Agence nationale de la sécurité des systèmes d’information

Agence nationale de la sécurité des systèmes d’information

Agence nationale de la sécurité des systèmes d’information

Vous êtes ici : Accueil  >  Produits & prestataires  >  Produits en cours de qualification  >  Edenwall 4

Firewall

EdenWall Technologies - Edenwall 4

présentation générale | caractéristiques de sécurité | caractéristiques techniques

Présentation générale

Créée en 2004, initialement sous le nom d’INL, EdenWall Technologies est le constructeur des pare-feu de nouvelle génération EdenWall et l'initiateur de l'Identity Based Firewall, ou filtrage des connexions basé sur l'identité des utilisateurs (technologie NuFW).

EdenWall Technologies fournit aux organisations de toutes tailles, outre des fonctionnalités traditionnelles de firewall, des réponses adaptées aux besoins spécifiques auxquelles elles doivent aujourd'hui faire face. Il s'agit de besoins de gestion des habilitations, de défense en profondeur, de traçabilité, d’imputabilité ou encore, de mise en conformité aux obligations réglementaires. Les boîtiers EdenWall adressent ces problématiques au travers des trois concepts développés par le constructeur :

EdenWall

Le pare-feu EdenWall est destiné à participer à la mise en œuvre de la politique de sécurité associée à l’interconnexion d’un réseau protégé avec un autre réseau. Il vise à conserver à ce réseau protégé son niveau de sécurité d’avant interconnexion. Pour cela, Il met en œuvre un filtrage basé sur une vérification des identités permettant d’associer chaque paquet réseau émis à un utilisateur.

Ceci augmente considérablement le niveau de sécurité des flux par rapport à un filtrage classique basé sur une identification simple de l’adresse IP de l’émetteur.

Défense en profondeur

La technologie EdenWall permet d’établir le lien entre les connexions et les utilisateurs identifiés qui les ont initiées. Ceci permet d’effectuer un filtrage réseau en amont de l’accès aux applications et indépendamment du protocole applicatif utilisé. Avec EdenWall, seuls les utilisateurs autorisés accèdent à la mire d’authentification.  

Simplicité d'administration

La solution amène à repenser la philosophie de paramétrage des règles de sécurité. Elle permet de calquer celles-ci sur l’organigramme fonctionnel de la structure et non plus sur des éléments d’infrastructure technique. L'outil d'administration du pare-feu permet ainsi d’établir des règles d'autorisation ou de refus concernant directement le rôle des utilisateurs. Les règles s’expriment en langage naturel.

Gestion dynamique des conditions de sécurité

Les personnes qui définissent la politique de sécurité ne sont pas toujours celles qui l’appliquent au niveau opérationnel.

Le respect de la répartition des rôles, telle que définie par l’organigramme de l'entité, est assuré par l’application stricto sensu de la politique de sécurité.

Toute modification ainsi réalisée, au niveau de l'annuaire est automatiquement appliquée par le ou les pare-feu.

Imputabilité

Les connexions réalisées sur le réseau sont journalisées, de façon paramétrable et sur demande de l’administrateur de sécurité. Au-delà de leur traçabilité, ces connexions peuvent être imputées aux utilisateurs qui les ont initiés, même dans le cas où la machine est partagée entre plusieurs d’entre eux.

Mobilité des personnels

Innovant, le principe de filtrage élaboré à partir des identités et rôles des utilisateurs répond aux besoins de sécurité liés à la mobilité et au nomadisme.

Environnement multi-utilisateurs

Le pare feu réseau EdenWall fait la différence entre les utilisateurs et leur applique des permissions liées à leur profil.

Passerelle VPN

EdenWall, en tant que passerelle VPN, interconnecte de façon sécurisée les réseaux.

Caractéristiques de sécurité

Certificat de sécurité

La version en cours de qualification standard est EdenWall 4.0

Niveau d'évaluation visé

Le niveau d'évaluation visé est EAL 3 augmenté des composants ALC_FLR.3 et AVA_VAN.3 et associé à une expertise de l’implémentation de la cryptographie

L'évaluation Critères Communs de ce produit entre dans le cadre d'une Qualification Standard de l'ANSSI.

 Services de sécurité

 -        La cible d'évaluation porte plus précisément sur la technologie de filtrage d'EdenWall 4.0 et sur les composants d'administration. Elle intègre :
-        les fonctionnalités de pare-feu IP
-        les fonctionnalités de pare-feu authentifiant
-        les fonctionnalités de VPN (chiffrement et authentification) : conformément au standard IPsec, (sécurisation de la transmission des données confidentielles entre différents sites
-        l’administration distante de ces fonctions à travers le logiciel EAS.

Cible de sécurité

La cible de sécurité est disponible auprès de l'ANSSI. Une version définitive sera publiée à l'issue de la phase d'évaluation.

La version prise en compte au lancement de l'évaluation est la version 1.8.

Génération et distribution des clés

Algorithmes disponibles
Pour l'authentification : HMAC MD5 et HMAC SHA1
Pour la confidentialité : DES (56bits), 3DES (168bits) et AES (128, 192, 256bits)

Gestion des clefs

EdenWall intègre une infrastructure de gestion et de génération de clefs (PKI), utilisant une autorité de certification interne. Une infrastructure de gestion de clefs externe peut aussi être utilisée.

 

Pour la partie Chiffrement IP, la négociation des clefs est basée sur le protocole Internet Key Exchange. L'authentication est réalisée par clef partagée ou par certificat x509.

 

Algorithmes disponibles :

Pour l'authentification : RSA (2048 bits), DSA, Diffie-Hellman

Pour l'intégrité : SHA512, SHA128

Pour la confidentialité : Blowfish, Triple-DES, AES, RC2, RC4

Pour la signature : RSA (2048 bits)

 

Conditions d'emploi

Les conditions d'emploi du pare-feu seront définies à la suite de l'évaluation.

Les conditions d'emploi actuellement présentées dans la cible de sécurité sont les suivantes :
- Le pare-feu doit être placé dans une salle à accès contrôlé et restreint aux administrateurs,
- Le pare-feu doit être placé en coupure entre les réseaux à protéger et les réseaux non-protégés.
- Les stations utilisées par les administrateurs pour administrer à distance le pare-feu sont de confiance.
- Les stations utilisées par les utilisateurs pour se connecter au pare-feu sont de confiance.
- L’agent installé sur le poste de l’utilisateur est de confiance. Il est émis par l’éditeur de logiciel EdenWall Technologies et n’est pas modifié. Les certificats et/ou éléments d’authentification sont stockés de manière sûre.

- L’administrateur de sécurité analyse et traite les alarmes de sécurité générées et remontées par la TOE.
- L’auditeur consulte régulièrement les événements d’audit générés par la TOE. La mémoire stockant les événements d'audit est gérée de telle sorte que les administrateurs ne perdent pas d'événements.
- Les administrateurs sont des personnes non hostiles. Ils disposent des moyens nécessaires à la réalisation de leurs tâches, sont formés pour exécuter les opérations dont ils ont la responsabilité et suivent les manuels et procédures d'administration.

Caractéristiques techniques

EdenWall propose les fonctionnalités suivantes :

-        filtrage stateful
-        filtrage des connexions en fonction de l'identité des utilisateurs
-        filtrage des accès en fonction des applications transitant sur le réseau
-        authentification basée sur les annuaires (LDAP, Active Directory)
-        authentification SSO via Kerberos
-        VPN IPSec
-        VPN SSL
-        haute disponibilité
-        plate-forme de surveillance et de gestion ergonomique et détaillée
-        outil de gestion, traitement et exportation des journauxfonctionnalités UTM optionnelles (antivirus, antispam, filtrage d'URL, IDS-IPS, Proxy)

EdenWall

La gamme EdenWall s'articule autour de 7 boîtiers :

EdenWall Technologies complète son offre d'une plate-forme de supervision et d'administration de ses pare-feu appelée EAS, pour EdenWall Administration Suite. Celle-ci permet de configurer et de gérer de façon très simple et ergonomique les règles de filtrage établies pour le pare-feu.

EdenWall Technologies propose également EMF, EdenWall Multi-Firewall, solution de gestion centralisée de parc de pare-feu. Grâce à une interface ergonomique, EMF permet ainsi de définir en un point un ensemble de règles qui pourront être poussées sur tout ou partie des pare-feu de l'organisation. La solution permet également d'accéder à l'ensemble des journaux des différents pare-feu depuis une connexion centrale et ainsi, optimise les coûts d'administration du parc de firewall.

Support et services associés.

EdenWall Technologies propose deux niveaux de support offrant un accès direct au centre de support technique (CST) du constructeur. Le support Silver propose un accès heures ouvrées jours ouvrés à 2 interlocuteurs avec détermination d'un niveau de criticité de l'incident intervenant sous 1 heure. L'échange matériel intervient par retour atelier sous 5 jours ouvrés. Le support Gold permet quant à lui un accès 24/7/365 au CST ouvert à 5 interlocuteurs. Le délai de détermination du niveau de criticité intervient sous 15 minutes et le remplacement matériel s'effectue en J+1 sur diagnostic établi avant 15 heures.

 EdenWall Technologies propose également un ensemble de formations permettant à ses clients de bien appréhender ses solutions mais aussi d'aller plus loin dans leur exploitation au quotidien. Ces formations interviennent inter- ou intra-entreprise et son dispensées directement par le constructeur ou par l'un des centres de formations agréés de la marque.

 Contact

EdenWall Technologies
172 Rue de Charonne
75011 Paris

Jérôme Notin – Directeur Stratégie et Partenariats
01 40 24 65 20

RÉPUBLIQUE FRANÇAISE | ANSSI © 2010 | Contact | Informations éditeur | Aide et accessibilité | Presse | Plan
Secrétariat général de la défense et de la sécurité nationale Portail de la sécurité informatique Portail du gouvernement Legifrance Service public