TÉLÉCHARGER - Renforcement des dispositifs JuniperIntroductionRaisonnementUne implémentation de pare-feu « hors boîte » n’est pas entièrement sécurisée et doit être renforcée. Ce document détaille les différents aspects de sécurité des pare-feux Juniper et des normes mises en œuvre pour sécuriser les pare-feux Juniper.ObjectifCe document a pour objectif de définir une norme de base de sécurité pour les implémentations de pare-feux Juniper par les administrateurs de pare-feux.PortéeCes normes de sécurité couvrent l’implémentation Screen OS du pare-feu Juniper.Toutefois, pour certaines configurations, ces exigences minimales et certaines fonctionnalités de ces normes peuvent ne pas être pratiques à mettre en œuvre. Pour les exceptions, les administrateurs système doivent documenter les raisons pour lesquelles elles ne respectent pas pleinement ces normes et demander une exemption au département de sécurité.Public cibleLes administrateurs de pare-feux ont la responsabilité principale de mettre en œuvre ces normes. Lors de leurs revues et inspections, les auditeurs doivent utiliser ce document pour vérifier le respect des normes.Les gestionnaires commerciaux peuvent lire les raisons derrière chaque point des normes afin de mieux comprendre l’importance de les appliquer à leurs environnements.Mise en œuvreLes administrateurs de pare-feux Juniper doivent utiliser ces normes pour établir les procédures d’installation et d’exploitation.Aperçu de la sécurité des pare-feux JuniperCette section donne un bref aperçu des différents aspects de la sécurité des pare-feux Juniper. Les détails du renforcement pour chaque aspect sont présents dans les sections suivantes du document.L’environnement de sécurité opérationnel du pare-feu Juniper comprend divers aspects :Configuration initiale du dispositif et de Screen OS
Configuration du dispositif
Gestion du dispositif
Gestion des utilisateurs
Services
Accès au système
Journalisation et surveillance du système
Journalisation et surveillance des politiques
Configuration du dispositif et de Screen OSLa sécurité du pare-feu Juniper Screen OS débute par une configuration sécurisée. Les facteurs influant sur cela incluent l’utilisation de la version correcte de Screen OS.Identifier correctement le dispositif pour prévenir les manipulations physiquesL’emballage extérieur ne doit pas présenter de dommages, ni de preuve que des personnes non autorisées l’ont ouvert. Si le carton présente des dommages qui permettraient au dispositif d’être déballé ou échangé, cela pourrait être une preuve de manipulation.Chaque boîte emballée arrive avec un ruban personnalisé pour indiquer que Juniper ou un fabricant autorisé a emballé le dispositif. Le ruban est unique ; le mot « Juniper » est imprimé répétitivement tout au long du ruban. Si le ruban n’est pas présent, cela pourrait être une preuve de manipulation.L’emballage intérieur ne doit pas présenter de dommages ou de preuve de manipulation. Le sac en plastique ne doit pas avoir de grand trou et l’étiquette qui scelle le sac en plastique ne doit pas être détachée ou manquante. Tout dommage au sac ou à l’étiquette pourrait être une preuve de manipulation.Vérifier la version correcte du matériel et du logicielPour vérifier que le produit reçu est la version correcte du matériel et du logiciel, exécutez la commande suivante depuis l’interface CLI :get systemLa sortie de cette commande inclut deux éléments clés : la version du matériel et la version du logiciel. Les versions du matériel et du logiciel doivent correspondre à la cible de sécurité commune pour être pleinement conformes à la configuration évaluée selon les critères communs.Les pare-feux sont livrés avec le logiciel Screen OS pré-installé. Toutefois, les versions du logiciel Screen OS installées sur les dispositifs peuvent varier en fonction de l’époque de fabrication des appareils de sécurité.Mise à jour d’un pare-feu JuniperIl faut charger l’image correcte du logiciel Screen OS sur l’appareil de sécurité.Avant de pouvoir charger l’image du logiciel Screen OS, configurez l’interface de gestion par laquelle les images peuvent être téléchargées depuis le serveur FTP vers les appareils de sécurité. Les commandes suivantes permettent de configurer la zone et l’adresse IP pour l’interface de gestion.set interface interface-name zone trustset interface interface-name ip ip-addressNote : Le nom de l’interface doit être le nom de l’interface réelle connectée à l’ordinateur servant de pare-feu FTP ; à travers cette interface, les appareils de sécurité peuvent communiquer avec le pare-feu FTP. Pour les appareils de série 5, l’interface trust – liée par défaut à la zone de sécurité trust peut être utilisée. Pour les appareils Juniper NetScreen-204 et 208, vous pouvez utiliser l’interface ethernet1. Pour les appareils Juniper NetScreen-500, l’interface ethernet1/1 dans la zone de sécurité trust peut remplacer l’interface-name. Sur les appareils de sécurité haut de gamme, y compris Juniper NetScreen-ISG2000 et ISG1000, l’interface peut utiliser ethernet1/1. Juniper NetScreen-5200 et NetScreen 5400 peuvent utiliser l’interface ethernet2/1.L’adresse ip-address doit être une adresse IP valide, qui peut être dans le même sous-réseau ou dans un sous-réseau différent du pare-feu TFTP.Une fois configuré, utilisez les commandes suivantes pour télécharger l’image Screen OS depuis le pare-feu FTP vers l’appareil de sécurité :save software from tftp tftp-firewall-ip Screen OS-image to flashoù tftp-firewall-ip est l’adresse IP de l’ordinateur servant de pare-feu TFTP où se trouvent les images logicielles Screen OS et Screen OS-image est le chemin relatif vers le fichier d’image logicielle Screen OS et le nom du fichier lui-même.Par exemple, si l’image Screen OS pour l’appareil Juniper NetScreen-5GT est « ns5gt.5.4.0r4.0 » et se trouve sur le pare-feu FTP (avec l’adresse IP 10.155.95.253), dans le répertoire /tftpboot/screen OS-image/5.4/, la commande doit être la suivante :save software from tftp 10.155.95.253 /tftpboot/screen OS-image/5.4/ns5gt.5.4.0r4.0 to flashLe processus de téléchargement prendra quelques minutes. Une fois le processus de téléchargement terminé, l’appareil de sécurité reviendra à l’invite CLI et nécessitera un redémarrage. Émettez la commande reset et fournissez les réponses aux questions ci-dessous pour charger complètement l’image sur l’appareil de sécurité et restaurer les configurations d’usine par défaut.resetConfiguration modifiée, sauvegarder ? [y]/n nRedémarrage du système, êtes-vous sûr ? y/[n] yL’appareil de sécurité reviendra à l’invite de connexion. À ce stade, l’appareil de sécurité a été complètement chargé avec la version correcte du logiciel Screen OS.Mises à jour de Screen OSMettez à jour les pare-feux Screen OS avec les mises à jour recommandées par le fournisseur, dans le cadre de chaque trimestre.Configuration du dispositifRestaurer les paramètres par défautRestaurez le pare-feu à son mode opérationnel et configurations d’usine par défaut avant de mettre l’appareil dans un mode opérationnel différent, y compris le mode authentifié transparent (aussi appelé mode VPN transparent) ou le mode NAT/Route authentifié (aussi appelé mode VPN NAT/Route) ou avant d’effectuer toute configuration pour un test spécifique.Utilisez les commandes unset all et reset avec les réponses suivantes pour restaurer le mode opérationnel et les configurations par défaut pour l’appareil.unset allErase all system config, are you sure y/ [n]? YresetConfiguration modified, save? [y]/n nSystem reset, are you sure? y/[n] yset clock mm/dd/yyyy hh:mmget system"System in NAT/Route mode" indique qu’il fonctionne en mode NAT/Route"System in transparent mode" indique qu’il fonctionne en mode transparentTous les appareils de sécurité sont, par défaut, configurés en mode NAT/Route sans VPN.Pour garantir que l’appareil de sécurité est en mode conforme aux critères communs EAL4 évalués, suivez l’une des trois séquences suivantes selon la configuration souhaitée :Mode NAT/Route non authentifiéMode NAT/Route authentifiéVPN basé sur le routageVPN basé sur la politiqueMode transparent authentifiéMode NAT/Route authentifiéConfigurez le pare-feu en mode NAT/Route authentifié en utilisant un VPN basé sur le routage ou un VPN basé sur la politique. Vous pouvez configurer les deux, un VPN basé sur le routage et un VPN basé sur la politique, en mode NAT/Route authentifié.Seul la clé manuelle est prise en charge dans la configuration évaluée, c’est-à-dire que la clé automatique ne peut pas être utilisée. Faites attention à sélectionner les valeurs de clé manuelle de manière à ce qu’elles suivent les mêmes règles que les mots de passe administrateurs. Distribuez les clés manuelles en utilisant une méthode sécurisée afin de garantir qu’elles ne sont pas accessibles publiquement.VPN basé sur le routageConfigurez l’appareil de sécurité correspondant avec un VPN basé sur le routage en mode NAT/Route authentifié.VPN basé sur la politiqueConfigurez l’appareil de sécurité correspondant avec un VPN basé sur la politique en mode NAT/Route authentifié.Convention de nommage du pare-feuPare-feux de branche : (Convention de nommage non définie)Pare-feux du centre de données : (Convention de nommage non définie)Configuration des options d’écranLes appareils de sécurité doivent empêcher tous les types d’attaques de type déni de service (DoS) et de signatures d’attaques sur chaque zone de sécurité pour éviter que ces types d’attaques se produisent sur le réseau.Pour afficher les options d’écran par défaut pour une zone de sécurité spécifique, exécutez la commande suivante :get zone zone-name screenPar défaut, les options d’écran activées pour la zone de sécurité Untrust/V1-Untrust (et les interfaces dans la zone Untrust/V1-Untrust) dans Screen OS 5.0 :Protection contre les attaques de type Tear-drop : activéeProtection contre les attaques de type SYN Flood (200) : activéeSeuil d’alarme : alarm-thresholdTaille de file d’attente : Q-sizeValeur d’expiration : 20Seuil source : src-thresholdSeuil de destination : dst-thresholdSupprimer MAC inconnu (mode transparent uniquement) : désactivéProtection contre les attaques Ping-of-Death : activéeFiltre des options IP de route source : activéProtection contre les attaques Land : activéeLes seuils d’alarme, Q-size, src-threshold et dst-threshold sont dépendants de la plateforme, comme indiqué dans le tableau ci-dessous.Pour les zones de sécurité Trust/V1-Trust et DMZ/V1-DMZ (et les interfaces dans les zones Trust et DMZ), aucune option d’écran n’est activée par défaut.Fonction d’écran ne générant que des alarmes sans supprimer les paquets : désactivéePour désactiver toutes les options d’écran par défaut pour la zone Untrust/V1-Untrust, les commandes suivantes sont utilisées :unset zone untrust screen tear-dropunset zone untrust screen syn-floodunset zone untrust screen ping-deathunset zone untrust screen ip-filter-srcLorsque la zone de sécurité n’a pas d’options d’écran activées, le message suivant s’affiche :"Screen function only generate alarm without dropping packet: OFF"La commande CLI suivante active tous les écrans par zone (et est appliquée à toutes les interfaces de cette zone) :set zone zone-name screen block-fragset zone zone-name screen component-blockset zone zone-name screen fin-no-ackset zone zone-name screen icmp-floodset zone zone-name screen icmp-fragmentset zone zone-name screen icmp-largeset zone zone-name screen ip-bad-optionset zone zone-name screen ip-filter-srcset zone zone-name screen ip-loose-src-routeset zone zone-name screen ip-record-routeset zone zone-name screen ip-security-optset zone zone-name screen ip-spoofingset zone zone-name screen ip-stream-optset zone zone-name screen ip-strict-src-routeset zone zone-name screen ip-sweepset zone zone-name screen ip-timestamp-optset zone zone-name screen land
RaisonnementUne implémentation de pare-feu « hors boîte » n’est pas entièrement sécurisée et doit être renforcée. Ce document détaille les différents aspects de sécurité des pare-feux Juniper et des normes mises en œuvre pour sécuriser les pare-feux Juniper.ObjectifCe document a pour objectif de définir une norme de base de sécurité pour les implémentations de pare-feux Juniper par les administrateurs de pare-feux.PortéeCes normes de sécurité couvrent l’implémentation Screen OS du pare-feu Juniper.Toutefois, pour certaines configurations, ces exigences minimales et certaines fonctionnalités de ces normes peuvent ne pas être pratiques à mettre en œuvre. Pour les exceptions, les administrateurs système doivent documenter les raisons pour lesquelles elles ne respectent pas pleinement ces normes et demander une exemption au département de sécurité.Public cibleLes administrateurs de pare-feux ont la responsabilité principale de mettre en œuvre ces normes. Lors de leurs revues et inspections, les auditeurs doivent utiliser ce document pour vérifier le respect des normes.Les gestionnaires commerciaux peuvent lire les raisons derrière chaque point des normes afin de mieux comprendre l’importance de les appliquer à leurs environnements.Mise en œuvreLes administrateurs de pare-feux Juniper doivent utiliser ces normes pour établir les procédures d’installation et d’exploitation.Aperçu de la sécurité des pare-feux JuniperCette section donne un bref aperçu des différents aspects de la sécurité des pare-feux Juniper. Les détails du renforcement pour chaque aspect sont présents dans les sections suivantes du document.L’environnement de sécurité opérationnel du pare-feu Juniper comprend divers aspects :Configuration initiale du dispositif et de Screen OS
Configuration du dispositif
Gestion du dispositif
Gestion des utilisateurs
Services
Accès au système
Journalisation et surveillance du système
Journalisation et surveillance des politiques
Configuration du dispositif et de Screen OSLa sécurité du pare-feu Juniper Screen OS débute par une configuration sécurisée. Les facteurs influant sur cela incluent l’utilisation de la version correcte de Screen OS.Identifier correctement le dispositif pour prévenir les manipulations physiquesL’emballage extérieur ne doit pas présenter de dommages, ni de preuve que des personnes non autorisées l’ont ouvert. Si le carton présente des dommages qui permettraient au dispositif d’être déballé ou échangé, cela pourrait être une preuve de manipulation.Chaque boîte emballée arrive avec un ruban personnalisé pour indiquer que Juniper ou un fabricant autorisé a emballé le dispositif. Le ruban est unique ; le mot « Juniper » est imprimé répétitivement tout au long du ruban. Si le ruban n’est pas présent, cela pourrait être une preuve de manipulation.L’emballage intérieur ne doit pas présenter de dommages ou de preuve de manipulation. Le sac en plastique ne doit pas avoir de grand trou et l’étiquette qui scelle le sac en plastique ne doit pas être détachée ou manquante. Tout dommage au sac ou à l’étiquette pourrait être une preuve de manipulation.Vérifier la version correcte du matériel et du logicielPour vérifier que le produit reçu est la version correcte du matériel et du logiciel, exécutez la commande suivante depuis l’interface CLI :get systemLa sortie de cette commande inclut deux éléments clés : la version du matériel et la version du logiciel. Les versions du matériel et du logiciel doivent correspondre à la cible de sécurité commune pour être pleinement conformes à la configuration évaluée selon les critères communs.Les pare-feux sont livrés avec le logiciel Screen OS pré-installé. Toutefois, les versions du logiciel Screen OS installées sur les dispositifs peuvent varier en fonction de l’époque de fabrication des appareils de sécurité.Mise à jour d’un pare-feu JuniperIl faut charger l’image correcte du logiciel Screen OS sur l’appareil de sécurité.Avant de pouvoir charger l’image du logiciel Screen OS, configurez l’interface de gestion par laquelle les images peuvent être téléchargées depuis le serveur FTP vers les appareils de sécurité. Les commandes suivantes permettent de configurer la zone et l’adresse IP pour l’interface de gestion.set interface interface-name zone trustset interface interface-name ip ip-addressNote : Le nom de l’interface doit être le nom de l’interface réelle connectée à l’ordinateur servant de pare-feu FTP ; à travers cette interface, les appareils de sécurité peuvent communiquer avec le pare-feu FTP. Pour les appareils de série 5, l’interface trust – liée par défaut à la zone de sécurité trust peut être utilisée. Pour les appareils Juniper NetScreen-204 et 208, vous pouvez utiliser l’interface ethernet1. Pour les appareils Juniper NetScreen-500, l’interface ethernet1/1 dans la zone de sécurité trust peut remplacer l’interface-name. Sur les appareils de sécurité haut de gamme, y compris Juniper NetScreen-ISG2000 et ISG1000, l’interface peut utiliser ethernet1/1. Juniper NetScreen-5200 et NetScreen 5400 peuvent utiliser l’interface ethernet2/1.L’adresse ip-address doit être une adresse IP valide, qui peut être dans le même sous-réseau ou dans un sous-réseau différent du pare-feu TFTP.Une fois configuré, utilisez les commandes suivantes pour télécharger l’image Screen OS depuis le pare-feu FTP vers l’appareil de sécurité :save software from tftp tftp-firewall-ip Screen OS-image to flashoù tftp-firewall-ip est l’adresse IP de l’ordinateur servant de pare-feu TFTP où se trouvent les images logicielles Screen OS et Screen OS-image est le chemin relatif vers le fichier d’image logicielle Screen OS et le nom du fichier lui-même.Par exemple, si l’image Screen OS pour l’appareil Juniper NetScreen-5GT est « ns5gt.5.4.0r4.0 » et se trouve sur le pare-feu FTP (avec l’adresse IP 10.155.95.253), dans le répertoire /tftpboot/screen OS-image/5.4/, la commande doit être la suivante :save software from tftp 10.155.95.253 /tftpboot/screen OS-image/5.4/ns5gt.5.4.0r4.0 to flashLe processus de téléchargement prendra quelques minutes. Une fois le processus de téléchargement terminé, l’appareil de sécurité reviendra à l’invite CLI et nécessitera un redémarrage. Émettez la commande reset et fournissez les réponses aux questions ci-dessous pour charger complètement l’image sur l’appareil de sécurité et restaurer les configurations d’usine par défaut.resetConfiguration modifiée, sauvegarder ? [y]/n nRedémarrage du système, êtes-vous sûr ? y/[n] yL’appareil de sécurité reviendra à l’invite de connexion. À ce stade, l’appareil de sécurité a été complètement chargé avec la version correcte du logiciel Screen OS.Mises à jour de Screen OSMettez à jour les pare-feux Screen OS avec les mises à jour recommandées par le fournisseur, dans le cadre de chaque trimestre.Configuration du dispositifRestaurer les paramètres par défautRestaurez le pare-feu à son mode opérationnel et configurations d’usine par défaut avant de mettre l’appareil dans un mode opérationnel différent, y compris le mode authentifié transparent (aussi appelé mode VPN transparent) ou le mode NAT/Route authentifié (aussi appelé mode VPN NAT/Route) ou avant d’effectuer toute configuration pour un test spécifique.Utilisez les commandes unset all et reset avec les réponses suivantes pour restaurer le mode opérationnel et les configurations par défaut pour l’appareil.unset allErase all system config, are you sure y/ [n]? YresetConfiguration modified, save? [y]/n nSystem reset, are you sure? y/[n] yset clock mm/dd/yyyy hh:mmget system"System in NAT/Route mode" indique qu’il fonctionne en mode NAT/Route"System in transparent mode" indique qu’il fonctionne en mode transparentTous les appareils de sécurité sont, par défaut, configurés en mode NAT/Route sans VPN.Pour garantir que l’appareil de sécurité est en mode conforme aux critères communs EAL4 évalués, suivez l’une des trois séquences suivantes selon la configuration souhaitée :Mode NAT/Route non authentifiéMode NAT/Route authentifiéVPN basé sur le routageVPN basé sur la politiqueMode transparent authentifiéMode NAT/Route authentifiéConfigurez le pare-feu en mode NAT/Route authentifié en utilisant un VPN basé sur le routage ou un VPN basé sur la politique. Vous pouvez configurer les deux, un VPN basé sur le routage et un VPN basé sur la politique, en mode NAT/Route authentifié.Seul la clé manuelle est prise en charge dans la configuration évaluée, c’est-à-dire que la clé automatique ne peut pas être utilisée. Faites attention à sélectionner les valeurs de clé manuelle de manière à ce qu’elles suivent les mêmes règles que les mots de passe administrateurs. Distribuez les clés manuelles en utilisant une méthode sécurisée afin de garantir qu’elles ne sont pas accessibles publiquement.VPN basé sur le routageConfigurez l’appareil de sécurité correspondant avec un VPN basé sur le routage en mode NAT/Route authentifié.VPN basé sur la politiqueConfigurez l’appareil de sécurité correspondant avec un VPN basé sur la politique en mode NAT/Route authentifié.Convention de nommage du pare-feuPare-feux de branche : (Convention de nommage non définie)Pare-feux du centre de données : (Convention de nommage non définie)Configuration des options d’écranLes appareils de sécurité doivent empêcher tous les types d’attaques de type déni de service (DoS) et de signatures d’attaques sur chaque zone de sécurité pour éviter que ces types d’attaques se produisent sur le réseau.Pour afficher les options d’écran par défaut pour une zone de sécurité spécifique, exécutez la commande suivante :get zone zone-name screenPar défaut, les options d’écran activées pour la zone de sécurité Untrust/V1-Untrust (et les interfaces dans la zone Untrust/V1-Untrust) dans Screen OS 5.0 :Protection contre les attaques de type Tear-drop : activéeProtection contre les attaques de type SYN Flood (200) : activéeSeuil d’alarme : alarm-thresholdTaille de file d’attente : Q-sizeValeur d’expiration : 20Seuil source : src-thresholdSeuil de destination : dst-thresholdSupprimer MAC inconnu (mode transparent uniquement) : désactivéProtection contre les attaques Ping-of-Death : activéeFiltre des options IP de route source : activéProtection contre les attaques Land : activéeLes seuils d’alarme, Q-size, src-threshold et dst-threshold sont dépendants de la plateforme, comme indiqué dans le tableau ci-dessous.Pour les zones de sécurité Trust/V1-Trust et DMZ/V1-DMZ (et les interfaces dans les zones Trust et DMZ), aucune option d’écran n’est activée par défaut.Fonction d’écran ne générant que des alarmes sans supprimer les paquets : désactivéePour désactiver toutes les options d’écran par défaut pour la zone Untrust/V1-Untrust, les commandes suivantes sont utilisées :unset zone untrust screen tear-dropunset zone untrust screen syn-floodunset zone untrust screen ping-deathunset zone untrust screen ip-filter-srcLorsque la zone de sécurité n’a pas d’options d’écran activées, le message suivant s’affiche :"Screen function only generate alarm without dropping packet: OFF"La commande CLI suivante active tous les écrans par zone (et est appliquée à toutes les interfaces de cette zone) :set zone zone-name screen block-fragset zone zone-name screen component-blockset zone zone-name screen fin-no-ackset zone zone-name screen icmp-floodset zone zone-name screen icmp-fragmentset zone zone-name screen icmp-largeset zone zone-name screen ip-bad-optionset zone zone-name screen ip-filter-srcset zone zone-name screen ip-loose-src-routeset zone zone-name screen ip-record-routeset zone zone-name screen ip-security-optset zone zone-name screen ip-spoofingset zone zone-name screen ip-stream-optset zone zone-name screen ip-strict-src-routeset zone zone-name screen ip-sweepset zone zone-name screen ip-timestamp-optset zone zone-name screen land
ObjectifCe document a pour objectif de définir une norme de base de sécurité pour les implémentations de pare-feux Juniper par les administrateurs de pare-feux.PortéeCes normes de sécurité couvrent l’implémentation Screen OS du pare-feu Juniper.Toutefois, pour certaines configurations, ces exigences minimales et certaines fonctionnalités de ces normes peuvent ne pas être pratiques à mettre en œuvre. Pour les exceptions, les administrateurs système doivent documenter les raisons pour lesquelles elles ne respectent pas pleinement ces normes et demander une exemption au département de sécurité.Public cibleLes administrateurs de pare-feux ont la responsabilité principale de mettre en œuvre ces normes. Lors de leurs revues et inspections, les auditeurs doivent utiliser ce document pour vérifier le respect des normes.Les gestionnaires commerciaux peuvent lire les raisons derrière chaque point des normes afin de mieux comprendre l’importance de les appliquer à leurs environnements.Mise en œuvreLes administrateurs de pare-feux Juniper doivent utiliser ces normes pour établir les procédures d’installation et d’exploitation.Aperçu de la sécurité des pare-feux JuniperCette section donne un bref aperçu des différents aspects de la sécurité des pare-feux Juniper. Les détails du renforcement pour chaque aspect sont présents dans les sections suivantes du document.L’environnement de sécurité opérationnel du pare-feu Juniper comprend divers aspects :Configuration initiale du dispositif et de Screen OS
Configuration du dispositif
Gestion du dispositif
Gestion des utilisateurs
Services
Accès au système
Journalisation et surveillance du système
Journalisation et surveillance des politiques
Configuration du dispositif et de Screen OSLa sécurité du pare-feu Juniper Screen OS débute par une configuration sécurisée. Les facteurs influant sur cela incluent l’utilisation de la version correcte de Screen OS.Identifier correctement le dispositif pour prévenir les manipulations physiquesL’emballage extérieur ne doit pas présenter de dommages, ni de preuve que des personnes non autorisées l’ont ouvert. Si le carton présente des dommages qui permettraient au dispositif d’être déballé ou échangé, cela pourrait être une preuve de manipulation.Chaque boîte emballée arrive avec un ruban personnalisé pour indiquer que Juniper ou un fabricant autorisé a emballé le dispositif. Le ruban est unique ; le mot « Juniper » est imprimé répétitivement tout au long du ruban. Si le ruban n’est pas présent, cela pourrait être une preuve de manipulation.L’emballage intérieur ne doit pas présenter de dommages ou de preuve de manipulation. Le sac en plastique ne doit pas avoir de grand trou et l’étiquette qui scelle le sac en plastique ne doit pas être détachée ou manquante. Tout dommage au sac ou à l’étiquette pourrait être une preuve de manipulation.Vérifier la version correcte du matériel et du logicielPour vérifier que le produit reçu est la version correcte du matériel et du logiciel, exécutez la commande suivante depuis l’interface CLI :get systemLa sortie de cette commande inclut deux éléments clés : la version du matériel et la version du logiciel. Les versions du matériel et du logiciel doivent correspondre à la cible de sécurité commune pour être pleinement conformes à la configuration évaluée selon les critères communs.Les pare-feux sont livrés avec le logiciel Screen OS pré-installé. Toutefois, les versions du logiciel Screen OS installées sur les dispositifs peuvent varier en fonction de l’époque de fabrication des appareils de sécurité.Mise à jour d’un pare-feu JuniperIl faut charger l’image correcte du logiciel Screen OS sur l’appareil de sécurité.Avant de pouvoir charger l’image du logiciel Screen OS, configurez l’interface de gestion par laquelle les images peuvent être téléchargées depuis le serveur FTP vers les appareils de sécurité. Les commandes suivantes permettent de configurer la zone et l’adresse IP pour l’interface de gestion.set interface interface-name zone trustset interface interface-name ip ip-addressNote : Le nom de l’interface doit être le nom de l’interface réelle connectée à l’ordinateur servant de pare-feu FTP ; à travers cette interface, les appareils de sécurité peuvent communiquer avec le pare-feu FTP. Pour les appareils de série 5, l’interface trust – liée par défaut à la zone de sécurité trust peut être utilisée. Pour les appareils Juniper NetScreen-204 et 208, vous pouvez utiliser l’interface ethernet1. Pour les appareils Juniper NetScreen-500, l’interface ethernet1/1 dans la zone de sécurité trust peut remplacer l’interface-name. Sur les appareils de sécurité haut de gamme, y compris Juniper NetScreen-ISG2000 et ISG1000, l’interface peut utiliser ethernet1/1. Juniper NetScreen-5200 et NetScreen 5400 peuvent utiliser l’interface ethernet2/1.L’adresse ip-address doit être une adresse IP valide, qui peut être dans le même sous-réseau ou dans un sous-réseau différent du pare-feu TFTP.Une fois configuré, utilisez les commandes suivantes pour télécharger l’image Screen OS depuis le pare-feu FTP vers l’appareil de sécurité :save software from tftp tftp-firewall-ip Screen OS-image to flashoù tftp-firewall-ip est l’adresse IP de l’ordinateur servant de pare-feu TFTP où se trouvent les images logicielles Screen OS et Screen OS-image est le chemin relatif vers le fichier d’image logicielle Screen OS et le nom du fichier lui-même.Par exemple, si l’image Screen OS pour l’appareil Juniper NetScreen-5GT est « ns5gt.5.4.0r4.0 » et se trouve sur le pare-feu FTP (avec l’adresse IP 10.155.95.253), dans le répertoire /tftpboot/screen OS-image/5.4/, la commande doit être la suivante :save software from tftp 10.155.95.253 /tftpboot/screen OS-image/5.4/ns5gt.5.4.0r4.0 to flashLe processus de téléchargement prendra quelques minutes. Une fois le processus de téléchargement terminé, l’appareil de sécurité reviendra à l’invite CLI et nécessitera un redémarrage. Émettez la commande reset et fournissez les réponses aux questions ci-dessous pour charger complètement l’image sur l’appareil de sécurité et restaurer les configurations d’usine par défaut.resetConfiguration modifiée, sauvegarder ? [y]/n nRedémarrage du système, êtes-vous sûr ? y/[n] yL’appareil de sécurité reviendra à l’invite de connexion. À ce stade, l’appareil de sécurité a été complètement chargé avec la version correcte du logiciel Screen OS.Mises à jour de Screen OSMettez à jour les pare-feux Screen OS avec les mises à jour recommandées par le fournisseur, dans le cadre de chaque trimestre.Configuration du dispositifRestaurer les paramètres par défautRestaurez le pare-feu à son mode opérationnel et configurations d’usine par défaut avant de mettre l’appareil dans un mode opérationnel différent, y compris le mode authentifié transparent (aussi appelé mode VPN transparent) ou le mode NAT/Route authentifié (aussi appelé mode VPN NAT/Route) ou avant d’effectuer toute configuration pour un test spécifique.Utilisez les commandes unset all et reset avec les réponses suivantes pour restaurer le mode opérationnel et les configurations par défaut pour l’appareil.unset allErase all system config, are you sure y/ [n]? YresetConfiguration modified, save? [y]/n nSystem reset, are you sure? y/[n] yset clock mm/dd/yyyy hh:mmget system"System in NAT/Route mode" indique qu’il fonctionne en mode NAT/Route"System in transparent mode" indique qu’il fonctionne en mode transparentTous les appareils de sécurité sont, par défaut, configurés en mode NAT/Route sans VPN.Pour garantir que l’appareil de sécurité est en mode conforme aux critères communs EAL4 évalués, suivez l’une des trois séquences suivantes selon la configuration souhaitée :Mode NAT/Route non authentifiéMode NAT/Route authentifiéVPN basé sur le routageVPN basé sur la politiqueMode transparent authentifiéMode NAT/Route authentifiéConfigurez le pare-feu en mode NAT/Route authentifié en utilisant un VPN basé sur le routage ou un VPN basé sur la politique. Vous pouvez configurer les deux, un VPN basé sur le routage et un VPN basé sur la politique, en mode NAT/Route authentifié.Seul la clé manuelle est prise en charge dans la configuration évaluée, c’est-à-dire que la clé automatique ne peut pas être utilisée. Faites attention à sélectionner les valeurs de clé manuelle de manière à ce qu’elles suivent les mêmes règles que les mots de passe administrateurs. Distribuez les clés manuelles en utilisant une méthode sécurisée afin de garantir qu’elles ne sont pas accessibles publiquement.VPN basé sur le routageConfigurez l’appareil de sécurité correspondant avec un VPN basé sur le routage en mode NAT/Route authentifié.VPN basé sur la politiqueConfigurez l’appareil de sécurité correspondant avec un VPN basé sur la politique en mode NAT/Route authentifié.Convention de nommage du pare-feuPare-feux de branche : (Convention de nommage non définie)Pare-feux du centre de données : (Convention de nommage non définie)Configuration des options d’écranLes appareils de sécurité doivent empêcher tous les types d’attaques de type déni de service (DoS) et de signatures d’attaques sur chaque zone de sécurité pour éviter que ces types d’attaques se produisent sur le réseau.Pour afficher les options d’écran par défaut pour une zone de sécurité spécifique, exécutez la commande suivante :get zone zone-name screenPar défaut, les options d’écran activées pour la zone de sécurité Untrust/V1-Untrust (et les interfaces dans la zone Untrust/V1-Untrust) dans Screen OS 5.0 :Protection contre les attaques de type Tear-drop : activéeProtection contre les attaques de type SYN Flood (200) : activéeSeuil d’alarme : alarm-thresholdTaille de file d’attente : Q-sizeValeur d’expiration : 20Seuil source : src-thresholdSeuil de destination : dst-thresholdSupprimer MAC inconnu (mode transparent uniquement) : désactivéProtection contre les attaques Ping-of-Death : activéeFiltre des options IP de route source : activéProtection contre les attaques Land : activéeLes seuils d’alarme, Q-size, src-threshold et dst-threshold sont dépendants de la plateforme, comme indiqué dans le tableau ci-dessous.Pour les zones de sécurité Trust/V1-Trust et DMZ/V1-DMZ (et les interfaces dans les zones Trust et DMZ), aucune option d’écran n’est activée par défaut.Fonction d’écran ne générant que des alarmes sans supprimer les paquets : désactivéePour désactiver toutes les options d’écran par défaut pour la zone Untrust/V1-Untrust, les commandes suivantes sont utilisées :unset zone untrust screen tear-dropunset zone untrust screen syn-floodunset zone untrust screen ping-deathunset zone untrust screen ip-filter-srcLorsque la zone de sécurité n’a pas d’options d’écran activées, le message suivant s’affiche :"Screen function only generate alarm without dropping packet: OFF"La commande CLI suivante active tous les écrans par zone (et est appliquée à toutes les interfaces de cette zone) :set zone zone-name screen block-fragset zone zone-name screen component-blockset zone zone-name screen fin-no-ackset zone zone-name screen icmp-floodset zone zone-name screen icmp-fragmentset zone zone-name screen icmp-largeset zone zone-name screen ip-bad-optionset zone zone-name screen ip-filter-srcset zone zone-name screen ip-loose-src-routeset zone zone-name screen ip-record-routeset zone zone-name screen ip-security-optset zone zone-name screen ip-spoofingset zone zone-name screen ip-stream-optset zone zone-name screen ip-strict-src-routeset zone zone-name screen ip-sweepset zone zone-name screen ip-timestamp-optset zone zone-name screen land
PortéeCes normes de sécurité couvrent l’implémentation Screen OS du pare-feu Juniper.Toutefois, pour certaines configurations, ces exigences minimales et certaines fonctionnalités de ces normes peuvent ne pas être pratiques à mettre en œuvre. Pour les exceptions, les administrateurs système doivent documenter les raisons pour lesquelles elles ne respectent pas pleinement ces normes et demander une exemption au département de sécurité.Public cibleLes administrateurs de pare-feux ont la responsabilité principale de mettre en œuvre ces normes. Lors de leurs revues et inspections, les auditeurs doivent utiliser ce document pour vérifier le respect des normes.Les gestionnaires commerciaux peuvent lire les raisons derrière chaque point des normes afin de mieux comprendre l’importance de les appliquer à leurs environnements.Mise en œuvreLes administrateurs de pare-feux Juniper doivent utiliser ces normes pour établir les procédures d’installation et d’exploitation.Aperçu de la sécurité des pare-feux JuniperCette section donne un bref aperçu des différents aspects de la sécurité des pare-feux Juniper. Les détails du renforcement pour chaque aspect sont présents dans les sections suivantes du document.L’environnement de sécurité opérationnel du pare-feu Juniper comprend divers aspects :Configuration initiale du dispositif et de Screen OS
Configuration du dispositif
Gestion du dispositif
Gestion des utilisateurs
Services
Accès au système
Journalisation et surveillance du système
Journalisation et surveillance des politiques
Configuration du dispositif et de Screen OSLa sécurité du pare-feu Juniper Screen OS débute par une configuration sécurisée. Les facteurs influant sur cela incluent l’utilisation de la version correcte de Screen OS.Identifier correctement le dispositif pour prévenir les manipulations physiquesL’emballage extérieur ne doit pas présenter de dommages, ni de preuve que des personnes non autorisées l’ont ouvert. Si le carton présente des dommages qui permettraient au dispositif d’être déballé ou échangé, cela pourrait être une preuve de manipulation.Chaque boîte emballée arrive avec un ruban personnalisé pour indiquer que Juniper ou un fabricant autorisé a emballé le dispositif. Le ruban est unique ; le mot « Juniper » est imprimé répétitivement tout au long du ruban. Si le ruban n’est pas présent, cela pourrait être une preuve de manipulation.L’emballage intérieur ne doit pas présenter de dommages ou de preuve de manipulation. Le sac en plastique ne doit pas avoir de grand trou et l’étiquette qui scelle le sac en plastique ne doit pas être détachée ou manquante. Tout dommage au sac ou à l’étiquette pourrait être une preuve de manipulation.Vérifier la version correcte du matériel et du logicielPour vérifier que le produit reçu est la version correcte du matériel et du logiciel, exécutez la commande suivante depuis l’interface CLI :get systemLa sortie de cette commande inclut deux éléments clés : la version du matériel et la version du logiciel. Les versions du matériel et du logiciel doivent correspondre à la cible de sécurité commune pour être pleinement conformes à la configuration évaluée selon les critères communs.Les pare-feux sont livrés avec le logiciel Screen OS pré-installé. Toutefois, les versions du logiciel Screen OS installées sur les dispositifs peuvent varier en fonction de l’époque de fabrication des appareils de sécurité.Mise à jour d’un pare-feu JuniperIl faut charger l’image correcte du logiciel Screen OS sur l’appareil de sécurité.Avant de pouvoir charger l’image du logiciel Screen OS, configurez l’interface de gestion par laquelle les images peuvent être téléchargées depuis le serveur FTP vers les appareils de sécurité. Les commandes suivantes permettent de configurer la zone et l’adresse IP pour l’interface de gestion.set interface interface-name zone trustset interface interface-name ip ip-addressNote : Le nom de l’interface doit être le nom de l’interface réelle connectée à l’ordinateur servant de pare-feu FTP ; à travers cette interface, les appareils de sécurité peuvent communiquer avec le pare-feu FTP. Pour les appareils de série 5, l’interface trust – liée par défaut à la zone de sécurité trust peut être utilisée. Pour les appareils Juniper NetScreen-204 et 208, vous pouvez utiliser l’interface ethernet1. Pour les appareils Juniper NetScreen-500, l’interface ethernet1/1 dans la zone de sécurité trust peut remplacer l’interface-name. Sur les appareils de sécurité haut de gamme, y compris Juniper NetScreen-ISG2000 et ISG1000, l’interface peut utiliser ethernet1/1. Juniper NetScreen-5200 et NetScreen 5400 peuvent utiliser l’interface ethernet2/1.L’adresse ip-address doit être une adresse IP valide, qui peut être dans le même sous-réseau ou dans un sous-réseau différent du pare-feu TFTP.Une fois configuré, utilisez les commandes suivantes pour télécharger l’image Screen OS depuis le pare-feu FTP vers l’appareil de sécurité :save software from tftp tftp-firewall-ip Screen OS-image to flashoù tftp-firewall-ip est l’adresse IP de l’ordinateur servant de pare-feu TFTP où se trouvent les images logicielles Screen OS et Screen OS-image est le chemin relatif vers le fichier d’image logicielle Screen OS et le nom du fichier lui-même.Par exemple, si l’image Screen OS pour l’appareil Juniper NetScreen-5GT est « ns5gt.5.4.0r4.0 » et se trouve sur le pare-feu FTP (avec l’adresse IP 10.155.95.253), dans le répertoire /tftpboot/screen OS-image/5.4/, la commande doit être la suivante :save software from tftp 10.155.95.253 /tftpboot/screen OS-image/5.4/ns5gt.5.4.0r4.0 to flashLe processus de téléchargement prendra quelques minutes. Une fois le processus de téléchargement terminé, l’appareil de sécurité reviendra à l’invite CLI et nécessitera un redémarrage. Émettez la commande reset et fournissez les réponses aux questions ci-dessous pour charger complètement l’image sur l’appareil de sécurité et restaurer les configurations d’usine par défaut.resetConfiguration modifiée, sauvegarder ? [y]/n nRedémarrage du système, êtes-vous sûr ? y/[n] yL’appareil de sécurité reviendra à l’invite de connexion. À ce stade, l’appareil de sécurité a été complètement chargé avec la version correcte du logiciel Screen OS.Mises à jour de Screen OSMettez à jour les pare-feux Screen OS avec les mises à jour recommandées par le fournisseur, dans le cadre de chaque trimestre.Configuration du dispositifRestaurer les paramètres par défautRestaurez le pare-feu à son mode opérationnel et configurations d’usine par défaut avant de mettre l’appareil dans un mode opérationnel différent, y compris le mode authentifié transparent (aussi appelé mode VPN transparent) ou le mode NAT/Route authentifié (aussi appelé mode VPN NAT/Route) ou avant d’effectuer toute configuration pour un test spécifique.Utilisez les commandes unset all et reset avec les réponses suivantes pour restaurer le mode opérationnel et les configurations par défaut pour l’appareil.unset allErase all system config, are you sure y/ [n]? YresetConfiguration modified, save? [y]/n nSystem reset, are you sure? y/[n] yset clock mm/dd/yyyy hh:mmget system"System in NAT/Route mode" indique qu’il fonctionne en mode NAT/Route"System in transparent mode" indique qu’il fonctionne en mode transparentTous les appareils de sécurité sont, par défaut, configurés en mode NAT/Route sans VPN.Pour garantir que l’appareil de sécurité est en mode conforme aux critères communs EAL4 évalués, suivez l’une des trois séquences suivantes selon la configuration souhaitée :Mode NAT/Route non authentifiéMode NAT/Route authentifiéVPN basé sur le routageVPN basé sur la politiqueMode transparent authentifiéMode NAT/Route authentifiéConfigurez le pare-feu en mode NAT/Route authentifié en utilisant un VPN basé sur le routage ou un VPN basé sur la politique. Vous pouvez configurer les deux, un VPN basé sur le routage et un VPN basé sur la politique, en mode NAT/Route authentifié.Seul la clé manuelle est prise en charge dans la configuration évaluée, c’est-à-dire que la clé automatique ne peut pas être utilisée. Faites attention à sélectionner les valeurs de clé manuelle de manière à ce qu’elles suivent les mêmes règles que les mots de passe administrateurs. Distribuez les clés manuelles en utilisant une méthode sécurisée afin de garantir qu’elles ne sont pas accessibles publiquement.VPN basé sur le routageConfigurez l’appareil de sécurité correspondant avec un VPN basé sur le routage en mode NAT/Route authentifié.VPN basé sur la politiqueConfigurez l’appareil de sécurité correspondant avec un VPN basé sur la politique en mode NAT/Route authentifié.Convention de nommage du pare-feuPare-feux de branche : (Convention de nommage non définie)Pare-feux du centre de données : (Convention de nommage non définie)Configuration des options d’écranLes appareils de sécurité doivent empêcher tous les types d’attaques de type déni de service (DoS) et de signatures d’attaques sur chaque zone de sécurité pour éviter que ces types d’attaques se produisent sur le réseau.Pour afficher les options d’écran par défaut pour une zone de sécurité spécifique, exécutez la commande suivante :get zone zone-name screenPar défaut, les options d’écran activées pour la zone de sécurité Untrust/V1-Untrust (et les interfaces dans la zone Untrust/V1-Untrust) dans Screen OS 5.0 :Protection contre les attaques de type Tear-drop : activéeProtection contre les attaques de type SYN Flood (200) : activéeSeuil d’alarme : alarm-thresholdTaille de file d’attente : Q-sizeValeur d’expiration : 20Seuil source : src-thresholdSeuil de destination : dst-thresholdSupprimer MAC inconnu (mode transparent uniquement) : désactivéProtection contre les attaques Ping-of-Death : activéeFiltre des options IP de route source : activéProtection contre les attaques Land : activéeLes seuils d’alarme, Q-size, src-threshold et dst-threshold sont dépendants de la plateforme, comme indiqué dans le tableau ci-dessous.Pour les zones de sécurité Trust/V1-Trust et DMZ/V1-DMZ (et les interfaces dans les zones Trust et DMZ), aucune option d’écran n’est activée par défaut.Fonction d’écran ne générant que des alarmes sans supprimer les paquets : désactivéePour désactiver toutes les options d’écran par défaut pour la zone Untrust/V1-Untrust, les commandes suivantes sont utilisées :unset zone untrust screen tear-dropunset zone untrust screen syn-floodunset zone untrust screen ping-deathunset zone untrust screen ip-filter-srcLorsque la zone de sécurité n’a pas d’options d’écran activées, le message suivant s’affiche :"Screen function only generate alarm without dropping packet: OFF"La commande CLI suivante active tous les écrans par zone (et est appliquée à toutes les interfaces de cette zone) :set zone zone-name screen block-fragset zone zone-name screen component-blockset zone zone-name screen fin-no-ackset zone zone-name screen icmp-floodset zone zone-name screen icmp-fragmentset zone zone-name screen icmp-largeset zone zone-name screen ip-bad-optionset zone zone-name screen ip-filter-srcset zone zone-name screen ip-loose-src-routeset zone zone-name screen ip-record-routeset zone zone-name screen ip-security-optset zone zone-name screen ip-spoofingset zone zone-name screen ip-stream-optset zone zone-name screen ip-strict-src-routeset zone zone-name screen ip-sweepset zone zone-name screen ip-timestamp-optset zone zone-name screen land
Toutefois, pour certaines configurations, ces exigences minimales et certaines fonctionnalités de ces normes peuvent ne pas être pratiques à mettre en œuvre. Pour les exceptions, les administrateurs système doivent documenter les raisons pour lesquelles elles ne respectent pas pleinement ces normes et demander une exemption au département de sécurité. Les administrateurs de pare-feux ont la responsabilité principale de mettre en œuvre ces normes. Lors de leurs revues et inspections, les auditeurs doivent utiliser ce document pour vérifier le respect des normes. Les gestionnaires commerciaux peuvent lire les raisons derrière chaque point des normes afin de mieux comprendre l’importance de les appliquer à leurs environnements. Les administrateurs de pare-feux Juniper doivent utiliser ces normes pour établir les procédures d’installation et d’exploitation. Cette section donne un bref aperçu des différents aspects de la sécurité des pare-feux Juniper. Les détails du renforcement pour chaque aspect sont présents dans les sections suivantes du document. L’environnement de sécurité opérationnel du pare-feu Juniper comprend divers aspects : Configuration initiale du dispositif et de Screen OS Configuration du dispositif Gestion du dispositif Gestion des utilisateurs Services Accès au système Journalisation et surveillance du système Journalisation et surveillance des politiques La sécurité du pare-feu Juniper Screen OS débute par une configuration sécurisée. Les facteurs influant sur cela incluent l’utilisation de la version correcte de Screen OS. L’emballage extérieur ne doit pas présenter de dommages, ni de preuve que des personnes non autorisées l’ont ouvert. Si le carton présente des dommages qui permettraient au dispositif d’être déballé ou échangé, cela pourrait être une preuve de manipulation. Chaque boîte emballée arrive avec un ruban personnalisé pour indiquer que Juniper ou un fabricant autorisé a emballé le dispositif. Le ruban est unique ; le mot « Juniper » est imprimé répétitivement tout au long du ruban. Si le ruban n’est pas présent, cela pourrait être une preuve de manipulation. L’emballage intérieur ne doit pas présenter de dommages ou de preuve de manipulation. Le sac en plastique ne doit pas avoir de grand trou et l’étiquette qui scelle le sac en plastique ne doit pas être détachée ou manquante. Tout dommage au sac ou à l’étiquette pourrait être une preuve de manipulation. Pour vérifier que le produit reçu est la version correcte du matériel et du logiciel, exécutez la commande suivante depuis l’interface CLI : get system La sortie de cette commande inclut deux éléments clés : la version du matériel et la version du logiciel. Les versions du matériel et du logiciel doivent correspondre à la cible de sécurité commune pour être pleinement conformes à la configuration évaluée selon les critères communs. Les pare-feux sont livrés avec le logiciel Screen OS pré-installé. Toutefois, les versions du logiciel Screen OS installées sur les dispositifs peuvent varier en fonction de l’époque de fabrication des appareils de sécurité. Il faut charger l’image correcte du logiciel Screen OS sur l’appareil de sécurité. Avant de pouvoir charger l’image du logiciel Screen OS, configurez l’interface de gestion par laquelle les images peuvent être téléchargées depuis le serveur FTP vers les appareils de sécurité. Les commandes suivantes permettent de configurer la zone et l’adresse IP pour l’interface de gestion. set interface interface-name zone trust set interface interface-name ip ip-address Note : Le nom de l’interface doit être le nom de l’interface réelle connectée à l’ordinateur servant de pare-feu FTP ; à travers cette interface, les appareils de sécurité peuvent communiquer avec le pare-feu FTP. Pour les appareils de série 5, l’interface trust – liée par défaut à la zone de sécurité trust peut être utilisée. Pour les appareils Juniper NetScreen-204 et 208, vous pouvez utiliser l’interface ethernet1. Pour les appareils Juniper NetScreen-500, l’interface ethernet1/1 dans la zone de sécurité trust peut remplacer l’interface-name. Sur les appareils de sécurité haut de gamme, y compris Juniper NetScreen-ISG2000 et ISG1000, l’interface peut utiliser ethernet1/1. Juniper NetScreen-5200 et NetScreen 5400 peuvent utiliser l’interface ethernet2/1. L’adresse ip-address doit être une adresse IP valide, qui peut être dans le même sous-réseau ou dans un sous-réseau différent du pare-feu TFTP. Une fois configuré, utilisez les commandes suivantes pour télécharger l’image Screen OS depuis le pare-feu FTP vers l’appareil de sécurité : save software from tftp tftp-firewall-ip Screen OS-image to flash où tftp-firewall-ip est l’adresse IP de l’ordinateur servant de pare-feu TFTP où se trouvent les images logicielles Screen OS et Screen OS-image est le chemin relatif vers le fichier d’image logicielle Screen OS et le nom du fichier lui-même. Par exemple, si l’image Screen OS pour l’appareil Juniper NetScreen-5GT est « ns5gt.5.4.0r4.0 » et se trouve sur le pare-feu FTP (avec l’adresse IP 10.155.95.253), dans le répertoire /tftpboot/screen OS-image/5.4/, la commande doit être la suivante : save software from tftp 10.155.95.253 /tftpboot/screen OS-image/5.4/ns5gt.5.4.0r4.0 to flash Le processus de téléchargement prendra quelques minutes. Une fois le processus de téléchargement terminé, l’appareil de sécurité reviendra à l’invite CLI et nécessitera un redémarrage. Émettez la commande reset et fournissez les réponses aux questions ci-dessous pour charger complètement l’image sur l’appareil de sécurité et restaurer les configurations d’usine par défaut. reset Configuration modifiée, sauvegarder ? [y]/n n Redémarrage du système, êtes-vous sûr ? y/[n] y L’appareil de sécurité reviendra à l’invite de connexion. À ce stade, l’appareil de sécurité a été complètement chargé avec la version correcte du logiciel Screen OS. Mettez à jour les pare-feux Screen OS avec les mises à jour recommandées par le fournisseur, dans le cadre de chaque trimestre. Restaurer les paramètres par défaut Restaurez le pare-feu à son mode opérationnel et configurations d’usine par défaut avant de mettre l’appareil dans un mode opérationnel différent, y compris le mode authentifié transparent (aussi appelé mode VPN transparent) ou le mode NAT/Route authentifié (aussi appelé mode VPN NAT/Route) ou avant d’effectuer toute configuration pour un test spécifique. Utilisez les commandes unset all et reset avec les réponses suivantes pour restaurer le mode opérationnel et les configurations par défaut pour l’appareil. unset all Erase all system config, are you sure y/ [n]? Y reset Configuration modified, save? [y]/n n System reset, are you sure? y/[n] y set clock mm/dd/yyyy hh:mm get system "System in NAT/Route mode" indique qu’il fonctionne en mode NAT/Route "System in transparent mode" indique qu’il fonctionne en mode transparent Tous les appareils de sécurité sont, par défaut, configurés en mode NAT/Route sans VPN. Pour garantir que l’appareil de sécurité est en mode conforme aux critères communs EAL4 évalués, suivez l’une des trois séquences suivantes selon la configuration souhaitée : Mode NAT/Route non authentifié Mode NAT/Route authentifié VPN basé sur le routage VPN basé sur la politique Mode transparent authentifié Mode NAT/Route authentifié Configurez le pare-feu en mode NAT/Route authentifié en utilisant un VPN basé sur le routage ou un VPN basé sur la politique. Vous pouvez configurer les deux, un VPN basé sur le routage et un VPN basé sur la politique, en mode NAT/Route authentifié. Seul la clé manuelle est prise en charge dans la configuration évaluée, c’est-à-dire que la clé automatique ne peut pas être utilisée. Faites attention à sélectionner les valeurs de clé manuelle de manière à ce qu’elles suivent les mêmes règles que les mots de passe administrateurs. Distribuez les clés manuelles en utilisant une méthode sécurisée afin de garantir qu’elles ne sont pas accessibles publiquement. VPN basé sur le routage Configurez l’appareil de sécurité correspondant avec un VPN basé sur le routage en mode NAT/Route authentifié. VPN basé sur la politique Configurez l’appareil de sécurité correspondant avec un VPN basé sur la politique en mode NAT/Route authentifié. Convention de nommage du pare-feu Pare-feux de branche : (Convention de nommage non définie) Pare-feux du centre de données : (Convention de nommage non définie) Configuration des options d’écran Les appareils de sécurité doivent empêcher tous les types d’attaques de type déni de service (DoS) et de signatures d’attaques sur chaque zone de sécurité pour éviter que ces types d’attaques se produisent sur le réseau. Pour afficher les options d’écran par défaut pour une zone de sécurité spécifique, exécutez la commande suivante : get zone zone-name screen Par défaut, les options d’écran activées pour la zone de sécurité Untrust/V1-Untrust (et les interfaces dans la zone Untrust/V1-Untrust) dans Screen OS 5.0 : Protection contre les attaques de type Tear-drop : activée Protection contre les attaques de type SYN Flood (200) : activée Seuil d’alarme : alarm-threshold Taille de file d’attente : Q-size Valeur d’expiration : 20 Seuil source : src-threshold Seuil de destination : dst-threshold Supprimer MAC inconnu (mode transparent uniquement) : désactivé Protection contre les attaques Ping-of-Death : activée Filtre des options IP de route source : activé Protection contre les attaques Land : activée Les seuils d’alarme, Q-size, src-threshold et dst-threshold sont dépendants de la plateforme, comme indiqué dans le tableau ci-dessous. Pour les zones de sécurité Trust/V1-Trust et DMZ/V1-DMZ (et les interfaces dans les zones Trust et DMZ), aucune option d’écran n’est activée par défaut. Fonction d’écran ne générant que des alarmes sans supprimer les paquets : désactivée Pour désactiver toutes les options d’écran par défaut pour la zone Untrust/V1-Untrust, les commandes suivantes sont utilisées : unset zone untrust screen tear-drop unset zone untrust screen syn-flood unset zone untrust screen ping-death unset zone untrust screen ip-filter-src Lorsque la zone de sécurité n’a pas d’options d’écran activées, le message suivant s’affiche : "Screen function only generate alarm without dropping packet: OFF" La commande CLI suivante active tous les écrans par zone (et est appliquée à toutes les interfaces de cette zone) : set zone zone-name screen block-frag set zone zone-name screen component-block set zone zone-name screen fin-no-ack set zone zone-name screen icmp-flood set zone zone-name screen icmp-fragment set zone zone-name screen icmp-large set zone zone-name screen ip-bad-option set zone zone-name screen ip-filter-src set zone zone-name screen ip-loose-src-route set zone zone-name screen ip-record-route set zone zone-name screen ip-security-opt set zone zone-name screen ip-spoofing set zone zone-name screen ip-stream-opt set zone zone-name screen ip-strict-src-route set zone zone-name screen ip-sweep set zone zone-name screen ip-timestamp-opt set zone zone-name screen landPublic cible
Mise en œuvre
Aperçu de la sécurité des pare-feux Juniper
Configuration du dispositif et de Screen OS
Identifier correctement le dispositif pour prévenir les manipulations physiques
Vérifier la version correcte du matériel et du logiciel
Mise à jour d’un pare-feu Juniper
Mises à jour de Screen OS
Configuration du dispositif