3.1.2.6. Đặc điểm cơ bản của TOE
a. Các chức năng an toàn TOE
Phần này định nghĩa các chức năng an toàn của sản phẩm. Mỗi một phần có chứa một tập hợp các câu lệnh được đánh dấu cho mỗi một chức năng hoặc tiểu chức năng an toàn. Các câu lệnh này quy định cụ thể các tính năng an toàn của sản phẩm.
Các chức năng an toàn được chỉ ra trong Mục tiêu An toàn này có nguồn gốc chủ yếu từ các tài liệu sau:
a) Check Point Next Generation Getting Started Guide [GET_START] b) Check Point Next Generation Management Guide [MANAGEMENT]. Các câu lệnh và chức năng an toàn trong mục này được áp dụng cho một cấu hình sản phẩm và phương thức sử dụng phù hợp với phương pháp dự định sử dụng và môi trường cũng như các giả định liên quan đã được nêu ra trước đây trong Mục tiêu An toàn.
Kiểm soát truy nhập (Access Control)
Quản trị kiểm soát truy nhập (Access Control Administration)
[AC1] Sản phẩm sẽ cung cấp các khả năng cho người quản trị, bao gồm: a. Bật (Start) và tắt (Stop) sản phẩm
b. Biên dịch và tải Firewall Security Policy vào Management Server và sau đó Module VPN-1/Firewall-1
c. Biên dịch (Compile) và tải (Load) Desktop Security Policy (bao gồm các định nghĩa nhóm người dùng) vào Management Server và sau đó vào Policy Server cho VPN-1 SecureClients.
d. Áp dụng các quy tắc chuyển đổi địa chỉ (Address translation rules). Các khái niệm này có thể được mô tả như sau:
- Compile có nghĩa là tạo ra một biểu diễn ngôn ngữ máy ảo của FireWall
Security Policy và Desktop Security Policy cho VPN-1 SecureClients từ mã INSPECT
- Load có nghĩa là tạo ra mã INSPECT từ các biểu diễn văn bản của FireWall
Security Policy hoặc Desktop Security Policy, và chuyển nó từ Management Server vào các firewall (VD. Vào module VPN-1/Firewall-1 đối với FireWall Security Policy, và vào Policy Server đối với Desktop Security Policy).
- Stop có nghĩa là tạm ngừng firewall tại chỗ, do đó các gói tin vẫn phải đi
qua firewall nhưng chúng không bị bắt buộc phải áp dụng bất cứ các
FireWall Security Policy hoặc Desktop Security Policy cho các VPN-1 SecureClient
- Start có nghĩa là kích hoạt chính sách an toàn của một tường lửa và bắt đầu
- Address Translation Rules là các quy tắc do người quản trị định nghĩa để ánh xạ các địa chỉ thực tế của các máy chủ được tường lửa bảo vệ tới các địa chỉ IP hợp lệ. Trong suốt quá trình thực thi FireWall Security Policy, các ánh xạ này được áp dụng để thay thế các trường địa chỉ và cổng bên trong tiêu đề của gói tin.
Kiểm soát luồng băng thông
[AC2] Sản phẩm sẽ thi hành FireWall Security Policy và Desktop Security Policy cho các VPN-1 Secure Client (bao gồm các chính sách ban đầu, mặc định và tùy chỉnh) trên các gói tin IP cá nhân trên tham gia vào tất cả các hoạt động tác động tới các chủ thể (subject) và đối tượng (object) thuộc phạm vi bao phủ của FireWall Security Policy và Desktop Security Policy, ở đây subject đề cập tới các máy trạm đang cố gắng vượt qua Firewall và object đề cập tới các đích dự định của các yêu cầu hoặc nỗ lực của máy trạm như các mail server cư trú và được bảo vệ đằng sau các Firewall.
[AC3] Sản phẩm sẽ thi hành FireWall Security Policy và Desktop Security Policy cho các VPN-1 SecureClients dựa trên các mục thông tin tham gia vào một hoạt động có thể truy cập tới sản phẩm theo cú pháp và ngữ nghĩa của ngôn ngữ VPN-1/FireWall-1 (INSPECT)
[AC4] Sản phẩm sẽ thi hành FireWall Security Policy và Desktop Security Policy cho các VPN-1 SecureClients bằng cách dùng 1 và chỉ một thao tác sau
- Đối với chính sách an toàn FireWall Security Policy:
a) Accept - Chấp nhận các luồng gói tin IP giữa chủ thể (subject) và đối tượng (object)
b) Reject - Từ chối các luồng gói tin IP giữa chủ thể và đối tượng, thông báo cho chủ thể
c) Drop – Loại bỏ các luồng gói tin IP giữa chủ thể và đối tượng, mà không thông báo cho chủ thể
- Đối với chính sách an toàn Desktop Security Policy:
a) Accept - Chấp nhận các luồng gói tin IP giữa chủ thể và đối tượng b) Reject - Từ chối các luồng gói tin IP giữa chủ thể và đối tượng, thông
báo cho
chủ thể.
c) Drop – Loại bỏ các luồng gói tin IP giữa chủ thể và đối tượng, mà không thông báo chủ thể.
[AC5] Sản phẩm sẽ cung cấp khả năng cho người quản trị để tạo ra một bộ lọc liên kết các giao diện với các tập địa chỉ mạng cụ thể, vì thế mỗi một gói dữ liệu di chuyển qua một giao diện phải có địa chỉ nguồn và đích phù hợp với các thiết lập cho phép của các mạng cho giao diện đó và cho hướng di chuyển (vào hoặc ra), nếu không chúng sẽ bị loại bỏ
Bảo vệ định tuyến nguồn IP.
[AC6] Sản phẩm sẽ loại bỏ tất cả các gói IP có chứa một lựa chọn (option) định tuyến nguồn IP.
Chống phân mảnh ảo (Virtual Defragmentation)
[AC7] Sản phẩm sẽ tạm ráp các phân đoạn IP trước khi thực hiện truyền các phân đoạn ban đầu, để đảm bảo rằng:
a. Không xuất hiện các lỗ hổng khi các gói dữ liệu được ráp lại.
b. Không có bất kỳ một byte dữ liệu nào trong gõi dữ liệu đã được ráp lại được viết lại hai lần.
Nếu như có xuất hiện vấn đề, gói tin sẽ bị từ chối.
Chuyển đổi địa chỉ IP - IP Address Translation
[AC8] Sản phẩm cung cấp khả năng chuyển đổi giữa các địa chỉ IP trong mạng nội bộ và các địa chỉ IP trên mạng bên ngoài bao gồm cả các địa chỉ IP Internet hợp lệ.
[AC9] Sản phẩm cung cấp khả năng ẩn địa chỉ IP được lựa chọn trong mạng nội bộ của các đối tượng và của các đối tượng trên mạng bên ngoài, chẳng hạn các đối tượng và / hoặc các đối tượng trên bên ngoài mạng sẽ không thể nhìn thấy các địa chỉ IP của mạng nội bộ được lựa chọn.
Xác thực người dùng
[AC10] TOE sẽ cung cấp cho người quản trị khả năng lựa chọn chứng thực người dùng như là một tiêu chuẩn kiểm soát truy cập. Các quyết định liên quan đến việc chuyển các yêu cầu được thực hiện bằng cách sử dụng FireWall Security Policy và Desktop Secutity Policy cho các VPN-1 SecureClients và các thông tin liên quan đến chủ thể.
[AC11] Đối với mục đích xác thực máy trạm, các TOE sẽ gọi một máy chủ bên ngoài (trong đó sử dụng giao diện phù hợp với các tiêu chuẩn RCF 1777 và RFC 1778 để cung cấp dịch vụ xác thực hoặc sử dụng các sản phẩm của các nhà cung cấp khác có dùng chuẩn xác thực LDAP).
Lọc dữ liệu
[AC12] TOE sẽ cung cấp cho người quản trị viên khả năng chuyển các kết nối dựa trên các giao thức FTP, HTTP và SMTP tới một giao diện để phục
thực hiện cho phép luồng thông tin. Các quyết định liên quan đến việc chuyển các kết nối sẽ được thực hiện bằng cách sử dụng FireWall Security Policy và các thông tin liên quan đến chủ thể.
[AC13] Với mục đích phân tích nội dung, TOE sẽ gọi một máy chủ bên ngoài (có sử dụng một giao diện ứng dụng phù hợp với Content Vectoring Protocol với mục đích cung cấp dịch vụ phân tích nội dung hoặc các sản phẩm của hãng thứ 3).
Tổng quát
[AC14] TOE đảm bảo rằng tất cả các kết nối với các dịch vụ hoặc sản phẩm bên ngoài của hãng thứ 3 kết nối tới TOE, có giao tiếp với TOE cho mục đích chứng thực người dùng hoặc phân tích nội dung sẽ tùy thuộc vào FireWall Security Policy.
Các chức năng an toàn này bảo đảm phản ánh kiến trúc của TOE, đặc biệt là mô-đun tường lửa, đảm bảo rằng tất cả các kết nối đều đi qua một tường lửa bao gồm cả những dịch vụ bên ngoài bắt nguồn từ các tường lửa của chính nó là đối tượng để kiểm tra theo các yêu cầu của [AC2, AC3, AC4, AC5], [AC6], [AC7], [AC8] và [AC9].
Desktop Policy Server
[AC15] TOE sẽ thực hiện kiểm tra liệu các đối tượng cư trú thuộc chính sách an toàn của máy tính để bàn trên SecureClient là hợp lệ cho các máy trạm từ xa hay không, và khi một chính sách không hợp lệ bị phát hiện, nó sẽ cố gắng để tải về các chính sách hợp lệ cho các máy trạm.
Trao đổi dữ liệu
An toàn và toàn vẹn dữ liệu
[VPN1] Sản phẩm sẽ thực hiện việc thiết lập lập các kết nối VPN an toàn và đáng tin cậy giữa module FireWall và các module FireWall hoặc Secure Client tách biệt về mặt vật lý.
Giám sát từ xa.
[RS1] Sản phẩm sẽ cho phép một quản trị viên xem một biểu diễn của trạng thái hiện tại (current status) của các gateway từ xa, phân tán, đã được cài đặt tường lửa và trạng thái hiện tại trên các VPN-1 SecureClients đã được cài đặt Desktop Security Policy.
Trạng thái hiện tại bao gồm:
a. Tính sẵn sàng của một liên kết mạng chủ động giữa các máy chủ quản lý (Management Server) và gateway
b. Sự có mặt hay vắng mặt của một FireWall Security Policy hoạt động đối với gateway và Desktop Security Policy đối với VPN-1 SecureClient.
c. Tên và ngày tải về của FireWall Security Policy đã nạp vào gateway.
d. Thực tế là một Desktop Security Policy đã được nạp trên VPN-1 SecureClient hay chưa (Ngày Desktop Security Policy được cài đặt có thể được xem trên VPN-1 SecureClient).
e. Số lượng các gói tin được kiểm tra, bị loại bỏ, bị từ chối và / hoặc đăng nhập qua gateway.
An toàn Truyền thông nội bộ.
[SIC1] Sản phẩm cho phép một quản trị viên để gọi thành lập các kết nối an toàn và đáng tin cậy giữa GUI, Firewall và Management Server
Truy vết.
Quản lý các dữ liệu truy vết.
[AUD1] Sản phẩm sẽ cung cấp cho người quản trị các khả năng:
a. Xác định việc tạo ra các bản ghi truy vết, nhật ký, trên cơ sở các báo cáo kiểm soát truy cập cá nhân theo quy tắc của FireWall Security Policy và Desktop Security Policy đối với các VPN-1 SecureClient. b. Xác định việc tạo lập của các cảnh báo truy vết trên trên cơ sở các báo
cáo kiểm soát truy cập cá nhân theo quy tắc của FireWall Security Policy và Desktop Security Policy đối với các VPN-1 SecureClient.
Các sự kiện truy vết.
[AUD2] Sản phẩm cung cấp khả năng tạo ra các bản ghi truy vết cho mỗi cố gắng để nhận hoặc gửi một gói tin IP thông qua một giao diện mạng đã được sản phẩm định nghĩa, bao gồm của cả các VPN-1 SecureClients (Bản ghi truy vết được tạo ra trên VPN-1 SecureClient có thể được lưu trữ cục bộ hoặc chuyển tiếp đến Management Server).
Bản ghi truy vết
[AUD3] Sản phẩm sẽ ghi lại trong mỗi bản ghi truy vết các thông tin sau đây: a. Một dấu thời gian (bao gồm cả ngày và thời gian)
b. Địa chỉ IP của máy chủ cài đặt sản phẩm c. Giao diện mạng
d. Hướng của luồng gói tin e. Hoạt động bị lưu vết
f. Các thông tin thêm, theo quy định của định dạng bản ghi truy vết. Các thông tin bản ghi lưu vết bổ sung có thể được tìm thấy trong tài liệu [MANAGEMENT] phần Log Viewer.
[AUD4] Sản phẩm sẽ cung cấp khả năng cho người quản trị để hiển thị trên Management Server, và sử dụng để hiển thị trên VPN-1 SecureClient, các bản ghi truy vết từ một thời điểm hiện tại hoặc một tập tin nhật ký truy vết phù hợp với một hoặc nhiều tiêu chí lựa chọn sau đây:
a) Các bản ghi truy vết được ghi lại theo thời gian thực trong tập tin nhật ký hiện tại
b) Các bản ghi truy vết với các hoạt động cụ thể.
c) Các bản ghi truy vết được ghi lại trước, sau hoặc giữa các ngày và / hoặc thời gian cụ thể.
Các bản ghi truy vết được tạo ra trên VPN-1 SecureClient và được lưu trữ tại cục bộ có thể được hiển thị cục bộ.
Duy trì các tập tin Nhật ký truy vết
[AUD5] Sản phẩm sẽ cung cấp khả năng cho quản trị viên thực hiện việc đóng lại tập tin nhật ký truy vết và chuyển sang ghi các bản ghi truy vết vào một tập tin nhật ký mới trên Mângement Server, và xác định một chính sách để làm như vậy trên VPN-1 SecureClient, sẽ được thực thi sau khi Desktop Policy được nạp vào VPN-1 SecureClient.
Tạo các Cảnh báo truy vết
[AUD6] Sản phẩm sẽ cung cấp khả năng tạo ra các bẫy SNMP và các giao diện cảnh báo tương ứng với các sự kiện truy vết.
b. Cơ chế an ninh yêu cầu.
TOE bản thân chỉ đơn thuần gọi sử dụng xác thực, an toàn truyền thông nội bộ và cơ chế VPN cơ chế cho các yêu cầu được đặt ra trên môi trường của nó. Nó kết hợp không theo một cơ chế mà theo đó phân tích rõ ràng các sức mạnh của các chức năng được yêu cầu của CC.
c. Đo lường độ Đảm bảo.
Báo cáo đo lường độ đảm bảo
Không có các thước đo đảm bảo được yêu cầu khác hơn so với việc cung cấp thực hiện theoyêu cầu đảm bảo EAL4
3.1.2.7. Tuyên bố PP
Không có yêu cầu tuân thủ của PP được tạo ra cho TOE.
3.1.2.8. Cơ sở TOE
a. Các cơ sở mục tiêu an toàn
Phần này sẽ chứng minh các mục tiêu cho các TOE và các mục tiêu cho môi trường TOE (quy định tại Mục 4) là cần thiết và đầy đủ như thế nào để giải quyết những mối đe dọa, chính sách và các giả định được xác định tại mục 3.
Bảng 5 cho thấy rằng tất cả các mục tiêu an toàn ghi có thể được ánh xạ tới các mối đe dọa và giả định đã được chỉ ra và rằng tất cả các mối đe dọa và các giả định được ánh xạ tới ít nhất một trong mục tiêu an toàn. Các phần phụ sau bảng mô tả các phạm vi bao phủ của các mục tiêu an toàn đối với các mối đe dọa và các giả định.
[SO1] [SO2] [SO3] [SO4] [SO5] [SO6] [SO7] [SO8] [ESO1] [ES02] [ES03] [ES04] [ESO5] [ESO6] [ESO7]
[E_AS1] X [E_AS2] X X X [E_AS3] X X [E_AS4] X [M_AS1] X X X [M_AS2] X [M_AS3] X X [M_AS4] X X [M_AS5] X X [M_AS6] X X [M_AS7] X [M_AS8] X [M_AS9] X [M_AS10] X [M_AS11] X X [M_AS12] X [T1] X X X X X [T2] X X X [T3] X X X X X [T4] X X X [T5] X X X X X
[SO1] [SO2] [SO3] [SO4] [SO5] [SO6] [SO7] [SO8] [ESO1] [ES02] [ES03] [ES04] [ESO5] [ESO6] [ESO7] [T6] X X X X [T7] X X X [T8] X X X X [T9] X X X X [T10] X X X X [T11] X X X X [T12] X X X [T13] X X X X [T14] X X X X [T15] X X X X