Libert»

• £gall/"

• Frntet nlt c

RErUBLlQUE FRAN(.:AISE MINISTERE DES AFPAIRES ETRANOERES ET EUROPEENNES

•' . scy t •••'.' . .• .
,
0,

AU9S
,"
", ~ I,.
I.

,r

Ministere des Affalres Etrangeres et Europeennes Elections leqlslatives de 2012 pour lies Francais de l'etranqer - vote electronlque

Online Platforms Configuration Guide
Version '02 December '0.'0 2'011

Online Platforms Configuration Guide Minisiere des Affaires Etr3ngeres et Europeennes Elections legislalives de 2012 pour les Francais de l'etranger - vote electroniqus

AUgS
tl scy·
,

'IiI.'
I I

••.•••.•
[.

~

.

.
.

Strictly confidential
Scyt! Secure Electronic Voting

sttncn. Y CONFIDENTIAL
Use only for evaluation purpoees

The property of the cryptographic mechanisms and protocols described in this document is protected I)y their owners

© Copyright 2009-11 Scytl Secure Electronic Voting.

Neither the whole nor any part of the information contained in this document may be adapted or reproduced in any material or electronic form without the prior written consent of Scytl Secure Electronic Voting.

STRICTLY CONFIDENTIAL

.02

Online Platforms Configuration Guide Ministere des Affaires Etranqeres et Europsennes Elections It~gislatives de 2012 pour les Francais de l'etranqer - vote electronique

. .. scy tl·····.''. .
:.. t
1

...

Revision chart
Version Date ~~~~~Primary Author(s) Reviewed I)y Description Initial document

0.0

02-12-2011

HJNARA

AS MJA RA

STRICTLY CONFIDENTIAL
l-rlename. t.lAEE_~VQt820 12_OnlinElPlalform",_ConrlgtJratiol1_ \ O_O.doc

.03

Online Platforms Configuration Guide Ministere des Affaires Etrangeres et Europeel1l1es E'lectiolls legislatives de 2012 pourles Francais de l'etranqar - vote electronique y

..······ scy tl··.......•..
. .

.
~

t

.

~

1

Table of content
1
1.1
1.1.1 1.1.. 2

Hardware and Software requirements
Hardware platforms sizing Common infrastructure Voting System Password Recovery System Architecture Platform Components Firewall! Load Balancers! Switches Voting System Password Recovery System Preproduction System Monitoring System Logical distribution of the different applications Voting System Password Recovery Platform Preproduction Platform Connections and bandwidth Bandwidth calculations Database connections requirements External connections URLs Internal connections Monitoring the voting application " ; , ,

_
7 7 7 8
10 10

7

1.1.3
1.2

1.3
1.3.1 1.3.2

10
11

1.3.3
1.3.4 1.3.5 1.4 1.4.1 1.4.2

12

13
14 15 15
17

1.4.3
1.5 1.5.1 1.5.2

19 20

20
21 21

1.5.3
1.5.4

22 23 24

1.5.5
1.6

2 3 4 5
5.1

Required Services to be provided by the Data Center Configuration du VPN

25

_________________________________
Installation des plates-formes du systerne
30

26
_

Procedure de Configuration, Strategie et architecture

28
29

pour la supervision

Strategie et architecture pour la metrolople du systems

6
6.1

Strategie de securite du systems
Procedure de durcissement des plates-formes Securile Securite logique ; ;

_ 31
; 31 32 33

6.2
6.2.1

STRICTLY CONFIDENTIAL

.04

Online Platforms Configuration Guide Ministers des Affalres '-trangeres et Europaannes Elections h~gislatives de 2012 pour Iss Francais de l'etral1ger - vote electronlque

scy t • .
.

Atl9S ..........
~.
{

.
,

.-

.

6.2.2

Mesures de securlte physique

43

List of tables
Table 1-1 Infrastructure - Network components Table 1-2 Voting system platform components for one round Table 2-2 Recovery Password system platform COmponents Table 2-4 Pre-production platform components Table 2-5 External Connections Table 2-5 Internal Connections Table 6-1 Infrastructure - Securite Logique Table 6-2 Infrastructure - Securlte Physique , 10 11 13 14 22 23 42 45

List of figures
Figure 1-1 - Infrastructure - General architecture at Data Center Figure 1-2 - Infrastructure - Detailed architecture Figure 1-3 - Distribution of the logical components in voting servers Figure 1-4 - Distribution of the logical components in password recovery servers 9 10 16 18

STRICTLY CONFIDENTIAL
Frlena.ne: r.IAEE_eVole20 \2_ Ol"llinePJ:.Jtrc.rnos_ Cor1rigwr3tioll_ vo.o.doc

.05

Online Platforms Configuration Guide Ministere des Affaires Etranqares et Europeonnes Elections h3gislatives de 2012 pour les Francais de I'etranger-

vote electronique

Atl9S scytl ~r~:~n;
.! .
I

Preface
This document lists the recommended hardware, software and connectivity requirements in order to install and configure the online infrastructure for the Electronic Voting Solution In a high availability environment at a data center which must cope with a high volume of connections/voters as in the case of Elections legislatives de 2012 pour les Francais de l'etranqer _ vote electronique project.

This document also includes the security measures implemented by ATOS WorldHne to fulfill the project's requirement on this area. NOTE about the document language: This document has been created to provide the ANSSI with a single document compiling the online platforms configuration details. This is the result of the compilation of two previously existing documents:

• •

Online HW Requirements, a working paper between ATOS Worldline and Scytl; Dossier d'Architecture Technique, an extinct document containing general information about the solution.

For that reason, the sections including information to be agreed between ATOS Worldline and Scytl are written in English, while the security measures, corresponding to internal ATOS Worldline inirmation is written in French.

This document will evolve by adding new details on the different topics to be agreed between Scytl and ATOS Worldline.

Document structure
This document is organized as follows: • • • • • • Chapter 1 provides details on the Hardware and Software requirements Chapter 2 provides details on the Required Services to be provided by the Data Center; Chapter 3 provides details on the VPN configuration Chapter 4 provides details on the installation and configuration procedures; Chapter 5 provides details on the supervision strategy and architecture; Chapter 6 provides details on the security strategy.

Related documents
• • MAEE_eVote2012_lnventairelnfrastructure_v1.2.xlsx, MAEE_DAT_2012, AtosfScytl, November 2011. Atos/Scytl, November 2011.

STRICTLY CONFIDENTIAL
Filename: ~. \EE_eVole20 V
j 2_ On!lncPlatforrr,$_

Confi9ural.ian_\{).O.doc

.06

Online Platforms Configuration Guide Minisiere des Affaires Eirar1geres et Europeennes Elections legislatives de 2012 pour Ies Francais de I'etranqer - vote electronlque

..··!II.'·. . scy tl· ••..t'·.·.·
~~ ( ~ I

AUgS

1

Hardware and Software requirements

Pnyx isa highly scalable solution, as it is made up of independent components that only need to be replicated on more servers to be able to support a higher load, In the description below Scyll is assuming the data center includes all standard physical and logical security measures, as well as high availability on power source and Internet access.

1.1 Hardware platforms sizing
1.1.1

Common infrastructure
2 active-passive flrewalls connected to an Internet Service Provider on one end and to load balancers on the other.

• •

All required switches to configure VLANs and interconnect the previously listed devices. 1 pre-production front-end server, running 4 NGINX and mall relay, and connected to the preproduction application servers

1 pre-production application server, running 8 Tomcats, the votlnq portal T1 and T2 , password recovery portal T1 and T2 , ActlveMQ, Pnyx Portal component T1 and T2 and Pnyx Back-Office component T1 and T2, connected to the pre-production database server.

1 pre-production database server (PDS), running 4 Oracle DB ; One for Vote T1, one for Vote T2, one for Password recovery T1 and one for Password recovery T2.

1. 1.2

Voting System

The servers and software required to run Pnyx for the s-votlnq solution at the data centre are:

1. 1.2.1 First Round Voting Platform
• 2 load balancers working in failover (active-passive), connected to the ''voting system" front-end servers. The load balancing is carried out at IP level. • • 2 "voting system" front-end servers (VFS), and connected to the voting application servers, 2 "voting system" application servers (VAS) running Tomcat, AcliveMQ, Pnyx Portal component and Phyx Back-Office component, connected to the voting database cluster. • 2 voting database servers (VDS) configured in cluster (active-pasive with data guard).

1. 1.2.2 Second Round Voting Platform
• 2 load balancers working in failover (active-passive), connected to the "voting system" front-end servers. The load balancing is carried out at IP level. • 2 "v.oting system" front-end servers (VFS), running, and connected to the voting application servers.

STRICTLY CONFIDENTIAL
Filename: MAEE_eVtlle20 12_Onlil,ePI<JlfoJ'ri1:;~Co{lfigura t:on_v(LG.doG

.07

Online Platforms Configuration Guide Ministere des Affaires Etrangeres et Europeennes Elections legislatives de 2012 pour res Francais de l'stranqer - vole electronique

AUg
scy t I
'0' ~_

'

••" •••• £ •

'

i.'.
I

o

2 "voting system" application servers (VAS) running Tomcat, ActiveMQ, Pnyx Portal component and Pnyx Back-Office component, connected to the voting database cluster.

2 voting database servers (VOS) configured in cluster (active-pasive with data guard).

1.1.3 •

Password Recovery System :2 load balancers working in failover (active-passive) connected to the "password recovery" frontend servers. The load balancing is carried out at IP level. 2 "password recovery"front-end servers (PRFS), running NGINX, and connected to the "password recovery" application servers. The mail relay will also be installed on these two front servers.

2 "password recovery" application servers (PRAS), running Tomcat, the voter portal and "password recovery" back office connected to the "password recovery" database cluster

2 "password recovery" database servers (PROS) configured in cluster (active-pasive with data guard).

Note that all the components except for the pre-production environment is replicated to ensure a high availability environment. Only the productlon databases (voting and password recovery) are connected using dual path. Flrewalls and load balancers do not need to be dedicated (they could be shared in the data centre if required). Servers should be dedicated due to security measures.

The followlnfj figure shows a diagram of the hardware layout.

STRICTLY CONFIDENTIAL
F II enQITl6: t,1AEE_eVo!e~O

~'2 nl inePlaNyrms_CoJtflgu ra ~Oil_vO.O_doc _:o

.08

Online Platforms Configu ration Guide Ministere des Affaires Etranqeres et Europeennes Elections legislatives de 2012 pour les Francais de l'atranqer - vote electronique

'. .. scy tl ......... .
~!
I

AUgS

------------------PLiit.r~fN'nl

QUI

I~
I
I
~

\HI'

I

D M Z Apache

III
i ~

'J,,'

tI
I

I

2 pure-f

U

Swilcilc;
li'dl'lHlanl. '

redoudaute Tumrul
Switches

Oracle

glKriUMft,MI'
D"lnGunrtl

±

Il 1.1

1l1· '.'"
I
I
~

z

t.
Figure 1-1 =tntrestructure

it

I

:c.,,~.!..~j
ImnilIl·.·~

:-;'ij"~,
Il,\-".\.n,'<",

__ .

.J

- General architecture

at Data Center

STRICTLY CONFIDENTIAL
F II enorne~.1AE E _

evote

20 12_ Online

prO}tforrns

_ Config

1Iralic n_ \'J.O.doc

.09

Online Platforms Configuration Guide Ministers des Affaires Etranqeres et Europeelllles Elections legislatives de 2012 pour les Francais de l'etranqar - vote electronique

scytl :::::T:;
.~ (' • 1

AttgS

1.2

Architecture

FRONTV2

FRONTPP

1

r
!

j

~ I I

r

I I.

,I I

frontvot. Tour ~ R~dW.T LVS

APACHE

/

MIDDLE/SACI V2

,1
MIDDLE all Fi.1:DHAT
',IDDLerl·'

f

.

I,

I'

Fi.1:DH.~T
iOn1(al

I

.
12

Tomcat

MlDOLEVOTE

Fi.1:0 K~T
Ob!>!r;er AlOE

T3~,~a!I

I

f

MIDDLEVOTE TI Fi.1:0KAT TOlntat Ja';a Ob~mr
AIDE BODVOTETt

Obs€lYpr

J~';a

AIDE

,"
Fi1:Dt-'AT Or.cle1 to AlOE
BDDOn.

Obser,E'
BOD PP

Java

Fi.1:0HAT Oracle I 19

aOOVOTET2

Fi.1:0KU Orscle11g AIDE

Fi.1:0HAT Ora(l~ I I g
AIDE

Figure 1-2 «lntrestructure

- Detailed architecture

1.3 1.3.1

Platform Components Firewall / Load Balancers / Switches

The firewalls and load balancers available in the data center need to support the number of connections required by the voting platform based on customer's requirements, and allow sticky sessions and/or persistence based on IP address, unless the front-end servers provide it. There should be a pair of each of them, configured as active-passive for redundancy purposes.

Firewalls Front: 2 x Cisco ASA 5510 ac1Jve-passive Firewalls Middle: 2x Fuji Rx100 IOpenBSD Table 1-1 Infrastructure - Network components

STRICTLY CONFIDENTIAL
Fsleneme: ~,tto.EE_eVu!e2012~O[):irlBPI'(ilforms_Conftg\Jriil_;on_\'O.O doc

.010

Online Platforms Configuration Guide Ministere des Affaires Etrangeres et Europeennes Elections legislatives de 20'12pour les Francais de l'etranqar _ vote electronique

·.·".·.·n scy t • ... .
I ••

AttgS ........
.~ r
'

.

1.3.2 Voting System
The configuration of the voting servers for each round is listed below. This configuration is to support 1.2 Million voters for May 2012 (or June 2012) elections.

Machine # Servers Server Model

Front 2 Moyen de gamme (e.g. Proliant DL360 G7)

Ap'plication 2 Moyen de gamme (e.g. Proliant DL360 G7) Xeon Quad-core x2 64 G8 RAM 2*146Go Raid 1 + 2'300 GB SAS 10k Raid 1

Datahase 2 moyen de gamme (e.g. Proliant DL380 G7) Xeon Dual-core xi 16 G8 RAM 4'146 G8 SAS 10k Raid 1

RAM RAM

Xeon Quad-core x2 8 G8 RAM 2*146 G8 SAS 10k Raid 1

HD
Network Other Software

1 x Dual Ethernet card 1 x Power Supply • Red Hat Linux Enterprise Server 5.6 64bit (Linux 2.6.18-274.eI5)

1 x Dual Ethernet card 1 x Power Supply • Red Hat Linux Enterprise Server 5.6 64bit (Linux 2.6.18-274.eI5) • Tomcat 6.0.29 • Java i.6.0_u24 SE + Install Java Cryptography Extension (JCE) Unlimited Strength Jurisdiction Policy Files 6 • add rngd entropy daemon • component Pnyx Portal • component Pnyx Back Office • activeMQ 5.4.2 • Oracle SQL Client • AIDE

2 x Dual Ethernet card 2 x Power Supply • Red Hat Linux Enterprise Server 5.4 64bit (Linux 2.6.18-164.eI5) • Oracle and UTF8 • AIDE 11g Enterprise

• NGINX web server ( (x2)
• AIDE

Database with Data Guard

Table 1-2 Voting system platform components for one round

NOTE: Oracle has to be configured to create a copy of all the stored data in the local tapes. A new tape has to be used every day during the electoral process. Notice that the data of all the elections will be stored by the same RDBMS in the same physical storage device and back-up tapes. Backup strategy: on tapes
STRICTLY CONFIDENTIAL

Online Platforms Configuration Guide Ministere des Afiaires Etranqeres et Europaannes Elections legislatives de 2012 pour les Francais de l'etranqer - vote electronique

DgS
.•. ;"":.., '. scy tl··''''··'·· ._" ·'.·.It

• • •

Full every week Archive logs :twice a day Data guard: max availability: change applied on all nodes. server partition needs

1.3.2.1 Voting Application

birectory
IMIDDLE IMIDDLELOGS lusr/localloracie lusr/locallactivemq

Allocated Space desired in GB after adcllng new HOD
120,0 120,0 0,0 0,0 60,0

limp 1.3.3 Password Recovery System

The configuralion of the password recovery servers is listed below. This configuration is to support 1.2 M voters for May and June 2012 elections.
Machine Front

Application
2 HP DL380G5 2 CPU quad-core 8 GB RAM 4'72 GB SAS 10k Raid 0+1

Database

# Servers
Server Model CPU RAM HD

2
HP DL380G5 1 CPU quad core 4 GB RAM 2*72 GB SAS 10k Raid 1

2
HP DL380G5 1 CPU DualCore 16 GB RAM 4*146 Go SAS 10k Raid 0+1. Allocated space: 60 GB for each round

Network Other Software

1 x Dual Ethernet card 1 x Power Supply • Red Hat Linux Enterprise Server 5.6 64bit (Linux 2.6.18-274.eI5) • NGINX web server (x2) • Postfix • AIDE

1 x Dual Ethernet card 1 x Power Supply • Red Hat Linux Enterprise Server 5.6 64bit (Linux 2.6.18-274.eI5) • Tomcat 6.0.29 • Java 1.6.0_u24 SE + Install Java Cryptography Extension (JCE) Unlimited Strength Jurisdiction Policy Files 6 • add rngd entropy daemon • Recovery password Portal

2 x Dual Ethernet card 2 x Power Supply • Red Hat Linux Enterprise Server 5.4 64bit (Linux 2.6.18-164.eI5) • Oracle and UTFB • AIDE 119 Enterprise

Database with Data Guard

STRICTLY CONFIDENTIAL
Rlen nme. t\lAEE_tNQte20 .2_ Oilr~nf:PJJ.lform.s_Config
.JI'D

UG/l_\ O,Q.dm:

.0'12

Online Platforms Configuration Guide Ministere des Affaires Etrangeres et Europeennas Elections legislatives de 2012 pour las Francais de l'etranqer - vote electronique

'..' scy tl········... ... .. -,

A1l9S

r
Backup strategy: on tapes • • • Full every week Archive logs :twice a day

I.

Recovery password 80

• AIDE Table 1-3 Recovery Password system platform components

NOTE: Oracle has to be configured to create a copy of all the stored data in the local tapes. And a new tape has to be used every day during the electoral process. Notice that the data of all the elections will be stored by the same RDBMS in the same physical storage device and back-up tapes.

Dataguard : max availability: change applied on all nodes.

1.3.3. 1 Password Recovery Server partition needs Allocated Space desired in GB after add'ing new HDD 36
18

Directory

IMIDDLE IMIDDLELOGS lusrllocalloracle
Itmp

o
18

1.3.4 Preproduction

System

The preproduction platform should allocate 3 applications, 2 Voting Systems and 1 Password Recovery System.
Machine FWl7lt 1 Moyen de gamme (e.g. Proliant DL360 G7) Appllc;ation 1 Moyen de gamme (e.g. Proliant DL360 G7) Xeon Quad-core x2 64 GB RAM 2'146 GB SAS 10k Raid 1+ 2'300 GB SAS 10k Raid 1 Network Other Software 1 x Dual Ethernet card 1 x Power Supply • Red Hat Linux Enterprise Server 5.6 64bit (Linux 2.6.18-274.eI5) 1 x Dual Ethernet card 1 x Power Supply • Red Hat Linux Enterprise Server 5.6 64bit (Linux 2.6.18-274.eI5) 2 x Dual Ethernet card 2 x Power Supply • Red Hal Linux Enterprise Server 5 64bit (Llnux 2.6.18164.e(5) Database

# Servers
Server Model

1
moyen de gamme (e.g. Proliant DL380 G7) Xeon Quad-core xl 16 GB RAM 4'146 GB SAS 10k Raid 1

RAM RAM HD

Xeon Quad-core x2 8 GB RAM 2'146 GB SAS 10k Raid 1

STRICTLY CONFIDENTIAL
FilEr tame: f.'~4EE_eV.(t!e2012_ Online Platforn;s_Canf,guralia

n..vo.o.doc

.0'13

Online Platforms Configuration Guide Mlnistere des Affaires Etrangeres et Europeennes Elections legislatives de 2012 pour las Francais de l'etranqsr - vote electrcnlque

scy t I••. ,e·.·.·. ~ ~ .• \ I

AmS .
Standard

• NGINX web server (x2) • AIDE

• Tomcat 6.0.29 • Java 1.6.0_u24 SE + lnstall Java Cryptography Extension (JCE) Unlimited Strength Jurisdicti.on Policy Files 6 • add rngd entropy daemon • component Pnyx Portal • componenl Pnyx Back Office • Recovery password Portal • Recovery password BO • activeMQ 5.4.2 • Oracle SQL Client • AIDE

• Oracle

11g

Database wilhUTF8 • AIDE

Table 1·4 Pre-production platform components

1.3.4.1 Prepoduction server partition needs
Allocated Space desired in GB after adding new HOD 120,0 120,0 0,0 0,0 60,0

r Directory
IMIDDLE IMIDDLELOGS
lusr/localloracle lusr/locallactivemq
limp

1.3.5

Monitoring System

There must be a system to alert the BVE (Bureau de Vote Electronique) in case on intervention in the Voting System. Le processus serait Ie suivant : 1) Un script est etiectue periodiquement (Ia periode est

a

detinir mais disons quotidiennement) sur la

plate-forme de vote qui examinera les logs du systeme d'exploita/ion. (If faut savoir que toute personne qui se loggue est automatiquement enreoistree par fe systeme dans un flchier syslog). Le script extreit toutes les lignes de ce ttctiier relatives 2)

a une connexion.

Et les meiire dans un Itchier date du jour.

/I y aura donc un Iichier de trace par jour. Ces Iichiers serant crees avant fa perlode de vote et Ainsi si if y a eu connexion, fe tichier de trace du jour sera moditi« (par Ie script) et AIDE l'indiquere.

sulvie par te logiciel AIDE (done inc/us dans Ie scelJement). 3)

STRICTLY CONFIDENTIAL
F~I E'.n21rile MAEE_BVoleZO 12_

Onl inflPlatfolnis_COnhOJJ

ra tiO(J_ \'0.0.

doc

.014

Online Platforms Configuration Guide Ministere des Affaires Etrangeres et Europeennes Elections legislatives de 2012 pour les Francais de l'etranqar - vote electron ique

scy tl····· .. ... " ..
•~ r
'j

Atl9S

4)

L 'exploitant recupere Ie fichier et Ie transmet

a qui de droit

Details of procedure from AWL: • Each server will be sealed logicaly using aide. Each day a check is performed on each server and a report is sent by email to BVEC, scytl, Atos and AWL addresses To be defined. • Each day a script will run to check ssh access, if a ssh access is detected, a mail will be sent to BVEC,.scytl, Atos and AWL addresses. To be defined. • A desktop computer will be used by operators to run daily procedure, access the server if needed.

1.4 Logical distribution of the different applications
The proposed deployment of the voting platform components and the password recovery platform in the previously described infrastructure for May's and June's elections is as follows.

1.4.1

Voting System

The voting servers will need to support up to 1,000,000 votes per day during May and June 2012. • There will be a single institution configured in Pnyx, supporting all required elections and a common electoral roll of 1.200,000 voters • • Each of the VFS will run 2 instances of NGINX. Each VAS will run 2 instances of Tomcat: • • • One Tomcat will manage the instance of Pnyx Portal. One Tomcat will manage the instance of Pnyx Back-Office.

There will be the following mapping: • 1 to 2 between one Nginx in the VFS and the Pnyx Portal Tomcat in the VAS. i.e. Once a session is opened there won't be any kind of balancing between tomcats.

Loadbalancers will redirect to the both nginx without handling .IP persistence because Nginx will redirect to the same tomcat for all connection from the IP (not if tomcat is down). • 1 to 1 between one NGINX in the VFS and the Pnyx Back-Office Tomcat in the VAS. As each Tomcat will have a different URL, NGINX will redirect the queries to the appropriate Tomcat. • Therefore, Voter's connections to each of the two NGINX servers will be redirected to tile 2 voting portals to balance the incoming connections from voters for a IP the connection is made between the same servers when tomcat servers is available .. Both Pnyx Portal Instances will share the same URL (URL_A). • Each VAS will also run an ActiveMQ service in cluster, used by the Pnyx Back-Office to deploy different configuration files to each of the Pnyx Portals • The access to the 2 instances of Pnyx Back-Office will not be balanced t NGINX level. Each Pnyx Back-Office instance will have a different URL (URL_B1 and URL_B2).

STRICTLY CONFIDENTIAL
Filename: '·,tAEE_6Vote2012_On'inePI:3tfc.rms_ConflgliratitJn_",O.O.doc

.0'15

Online Platforms Configuration Guide Ministere des Affaires Etrangeres et Europsel1nEls Elections legislatives de 2012 pour les Francais de l'etranqer _ vole electronique

., scy tl····· .. . ...
Q ··,
'

AmS
, .~ I..,'

..

All 2 Pnyx Portal and 2 Pnyx Back-Office instances will connect to the active node of the database cluster.

There will be a sihgleinstance of Oracle ROBMSin each of the VOS, which will be synchronized by means of Data Guard. There will be a single database managed by this RDBMS.

Tour 1

Tour

2
NGINX 4

NGtNX 1

NGINX2

I
I I , ,

NGINX3

.f.
romeot
Portal 1.1 Tomcat

,

/\
'rorncat
Po,lrL31 2,2

Tomcat
Portal

Tomcat

B01.1

L2

901.2

Tomcat 1"011111 2.1

Tomcat
B02.1

Tomcat
602,2

Figure 1-3- DistributiOIl of the logical components in voting servers

1.4.1.1 Service on each server:

1.1.1.1.1

Front:

Official URLs to be provided by MAEE/AOSI 2 NGINX services: • • https:llwww.scrulin.diplomatie.gouv.friportall backoffice.scrutin.diplomatie.gouv.fr no Public ,IP).
-> Redirection rules to the 2-Tomcat backoffice (VPN Only,

Voting BO 1: https:IIONS_NAME/pnyx-bo1 Voting 80 2: https:/IDNS NAME/pnyx-b02

1.1.1.1.2
Here is the AWL IP/ONS : Portail T1 https:llwww-election2012-11-are.aw .atosorig in.com! 80T1 https:llbackoffice.election2012-t1.afe.priv.atos.fr/b01 http!'!:llbackoffice.election201'2-t1.afe.priv.atos.frlb02

STRICTLY CONFIDENTIAL

Online Platforms Configuration Guide Ministere des Affalres Etl'angeres et Europeennes Elections h~gislatives de 2012 pour les Francais dsI'atranqar - vote electrollique

S·cy t 1'···· '••..•.'
"

Atl9S
' '~~ 'I

.

Portail T2 https:ffwww-election2012-t2-afe.aw.alosorigin.com/ BOT2 https://backoffice.election2012-12.afe. pr,iv.atos.fr/bo1 https:llbackoffice.eleclion2012-t2.afe.priv.atos.fr/b02

1.t.1.1.3

Middle:

2 services Tomcat Iserver: 1 portal services: 1 BO services: 1.1.1.1.4 www.scrutin.diplomalie.gouv.fr

backoffice.scrutin.diplomatie.gouv.fr BDD:

1 instance BOD Iserver Tour 1 : Instance active on bpafe101v :AFE1PRO , Instance standby (passive) on bpafe102v: AFE1PRO_STB, Tour 2 : Instance active on bpafe201v : AFE2PRO, Instance standby (passive) on bpafe202v : AFE2PRO_STB

1.4.2 Password Recovery Platform
The password recovery servers will need to support up to 200,000 connections per day during May and June 2012. • The password recovery servers will host two different applications (2 tomcats): • • • The first tomcat hosts the password recovery portal The second tomcat runs the password recovery back-office
$0

Each PRFS will run 1 Instance of NGINX: Portal and BO wil.1have different URLs redirect using the rules below • •

NGINX will

/bo* to Tomcat BO password recovery (reacheminement-elections-diplomatie-gouv-fr) Iportail' to Tomcat portal password recovery (mdp-scrutin-diplomatie-gouv-fr)

Each PRAS will run 2 instances of Tomcat: • One tor the password recovery back-office. There will be a mapping 1 to 1 between the NGINX in the PRFS and the Tomcats in the PRAS,i.e. NGINX WILL only connect to a

specific Tomcat always, and will NOT do any kind of balancing. This condition, together with the balancing done by the load balancers which address the petitions of the same voter to the same NGINX (based on IP address), is what we call STICKY SESSIONS, andit is a requirement. • Both password recovery back-office instances will connect to the active node of the database cluster.
STRICTLY CONFIDENTIAL
Fuenerr.e: r;'L,'\EE_eVole2Q 12_ Onl'ne
pratfDrms_COllrlQW

ration_vO.a, dec

.017

Online Platforms Configuration Guide Ministere des Affairas Etrangeres at Europeennes Elections legislatives de 2012 pourles Francais de l'etranqer - vote electronlque

·. scy tl'·····.. ·· ~
..

_

,

'

~.

\,

There will be a single instance of Oracle RDBMS in each of the PROS, which will be synchronized by means password of Data Guard .. There recovery back-office. will be a single database managed by Ihis RDBMS for the

Tours 1 and 2

NGiNX 1

NGINX2

-~

/ \~
Tomcat BO 1

rc-«:

.---/\

-....

../ \

~

Tomcat P(lrl?t11

Tomcat Porlal2

Tomcat B02

Figure 1-4 - Distribution

of the logical components in password recovery servers

1.4.2.1 Service

on each server:
Front:
+ 1 postfix (mail)
(public access J no VPN I no Warning about

1.1.1.1.5

1 NGINX services/server

htlps:/Iwww.reacheminement.elections2012.diplomalie.gouv.fr/portail! security)

mailrelay. vdm.afe.priv.atosJr
DNS AWL for tests

postfix

Portail T1 https:llwww-reacheminement-election2012-11-afe.

aw .alosorigin

.coml

Portail T2 https:/Iwww-reacheminement-election2012-t2-afe.aw.atosorigin.com BO T1, https:/fwww-reacheminement-eleclion2012-11-afe https:lfwww-reacheminement-election20 BOT2 https:llwww-reacheminement-election2012-t2-afe.aw.atosorigin.com/reacheminement11 https:flwww-reacheminement-election2012-t2-aFe.aw.atosorigin.com/reacheminemenI2/0K 1.1.1.1.6 2 services .aw. alosorig in .com/reachem

inem ent 1
nem ent2

12-t 1-afe.aw .. tosorig in .com/reachemi a

Middle:
Tomcat
STRICTLY CONFIDENTIAL
Frfennme: ttAEE_ EVulB20 12_ OnljI12?latforms_Conflgu (~t~9n_ vO.O,uoC::

.0'18

Online Platforms Configuration Guide Ministere des Affaires Etrangeres et EUl'opeennes Elections legislatives de 2012 pour les Francals de l'etranqer _ vote electronique

scy t •.... , .
~ t •• '

AU9S •..•......
.

portai l.election2012.diplomatie .gouv. fr •

https:lltpafe001v.priv.atos.fr:8002/portail
hUps:lJtpafe002v.priv.atos.fr:8002fportail

(VPN access)

(VPN access)

reacheminem enLelecti on20 12.diplomatie .gouv.fr
• • https:fflpafe001v.priv.atos.fr:8001/bo hllps:lJtpafe002v.priv.alos.fr:8001/bo (VPN access) (VPN access)

1.1.1.1.7

880;

2 instance BDD Iserver Instance active sur bpafe001v : AFEOPRD , AFE3PRD, Instance standby (passive) sur bpafe002v : AFEOPRD_STB, AFE3PRO_STB,

1.4.3 Preproduction

Platform

glf.www.election2012·t1.diplomatie.gouv.fr IP/Nom publique: IP/Nom interne: 160.92.182.217 qlf-www-election2012-t1.aw.atosorigin.com 10.18.113.220 qlf-www-election2012-t1.afe.priv.atos.fr

curl -k https:llglf-www·election2012-t1.aw.atosorigin.com/portaii10K c:> tqafe01 v - www.election2012·t1.diplomatie.gouv.fr

glf.www.election2012.t2.diplomatie.gouv.fr IP/Nom publlque: IP/Nom interne: 160.92.182.218 qlf-www·election2012-t2.aw.atosorigin.com 10.18.113.221 qlf-www-election2012·t2.afe.priv.atos.fr

curl -k https:lfglf-www·election2012-t2.aw.atosorigin.com/portail/OK c:> tqafe01 v - www.election2012-t2.diplomatie.gouv.fr

glf.www.reacheminement.election2012-t1.diplomatie.gouv.fr IP/Nom publique: IP/Nom interne: 160.92.182.221 qlf-www-reacheminement-election2012-t1.aw.atosorigin.com 10.18.113.224 qlf-www-reacheminement-election2012-t1.afe.priv.atos.fr

curl -k ht!ps:llglf-www-reacheminement-elec!ion2012-t1.aw.atosorigin.com/porlail/OK
¢

tqafe01 v - portail.election2012-t1.diplomatie.gouvJr

glf.www.reacheminement.election2012.t2.diplomatie.gouv.fr IP/Nom publique: lP/Nom interne: 160.92.182.223 qlf-www-reacheminement·election2012-t2.aw.atosorigin.com 10.18.113.226 qlf-www-reacheminemenl-eleclion2012·t2.afe.priv.alosJr

curl ~k https:llglf-www-reacheminement-election2012-t2.aw.atosorigin,com/porlail/OK

STRICTLY CONFIDENTIAL
Filename. f.IAEE_eVola2012_CnlinePlaHOfl1ls_C\.')nllgufafon_vO,O.doc

,019

Online Platforms Configuration Guide Mlnistere des Affaires Etranqeres et Europeennes Elections Il'.lgislatives de 2012 pour les Francais de l'etranqer - vote electronique

AttgS
scy tl

...
"

. .
,

.

c:>

tqafe01v - portall.election2012-t2.diplomatie.gouv.fr

glf.backoffice.election2012-t1.diplomatie.gollv.fr IP/Nom publique: IP/Nom interne: 160.92.182.219 qlf-backoffice.election2012-t1 .aw.atosorigin.com 10.18.113.222 qlf-backoffLce.election2012-t1.afe.priv.atos.fr

curl-k https:/Iglf-backoffice.election2012-t1.aw.atosorigin.com/bo/OK c:> tqafe01 v - backofflce-electlonzutz-rl .. iplomatie.gouv. fr d fr

g If.backoffi ce·e lection2012.t2.diplomatie.gollv. IP/Nom publique: IP/Nom interne:

160.92. 182.220 qlf-backoffice.election2012-t2.aw.atosorigin.com 10.18. 113.223 qlf-backoffice.election2012-t2.afe.priv.atosJr

curl -k htlps:/Iqlf·backoffice.election2012-t2.aw.atosorigin.com/bo/OK c:> tqafe01 v - backoffice-election2012-t2.diplomatie.gouv.fr

1.5 Connections and bandwidth
The complete voting platform (including pre-production, password recovery, voting and monitoring) has certain requirements in terms of interconnecting the different services. connecting to external services or allowing connections to certain applications. Also. a scenario to estimate the required bandwidth is presented.

1.5.1

Bandwidth calculations

Bandwidth calculations are based on the MAEE electoral scenario and the assumptions listed below: 1.1.1.1.8 Voting process by voters:

Considering a typical access where a voter casts one vote. • • • Web pages: approx. 250 Kbytes plus the size of a ballot in the ballot page. 50 Kbytes Voting client (applet): around 800 Kbytes for Java 6. Java detect (apple! to detect your configuration): around 100 Kbytes for Java 6 Access to Pnyx back-end:

1.1.1.1.9
• •

There is one applet plus pure web navigation. There is also information to be uploaded. Login applet (required every time Ilog into the system): around 200 Kbytes for Java 6 The other actions (web navigation through the BO to see things): standard web navigation pattern, we cannot predict. • • Uploading of electoral roll: about 10-10Kbytes per voter (includes the PKCS12 per voter) Upl.oading the candidates: small XMLfile. maybe in this scenario 50 Koytes,

STRICTLY CONFIDENTIAL
F rlen illite:

t. t.... evctezc 12_Onl ;naPl3tfol EE_

rns _

Con:lglirat'on _ \'0,0. d DC

.020

Online Platforms Configuration Guide Ministere des Affaires Etrangeres at Europeennes Elections legislatives de 2012 pour les Francais de l'atranqer - vote electronlque

scy tl

Am5 .. ,
......... .
.
,I ",

1.1.1.1.10

One time link

The access will be limited to a two pages process: • • Initial page with the form that asks for different information (about 60Kbytes) Page with the authentifiant if the access is successful, or an error page otherwise (40Kbytes)

1.5.2 Database connections requirements
Below are the database connections requirements for the Password Recovery (PRAS) and the Voting

I DB Connections
Physical machines Tomcats per Machine Wars per Tomcat Connections per War
I

system (VSAS)

2

Physical machines Tomcats per Machine Wars per Tomcat Connections per War Total for VSAS T2

2

Physical machines Tomcats per Machine Wars per Tomcat Connections per War Total for PRAS

2
2

3 100 600

3 100 600

1 100 400

Total for VSAS T1 DB SPACE

size in Total for VSAS T1

size in Total for VSAS T1

GB 30

GB 30

size in

GB
5

Total for PRAS

Remark: The number of connections per War will depend on the configuration of Tomcat and how many inbound connections are accepted by the NGINX server

1.5.3 External connections
The following connections between the services hosted in the data center and external systems/users are foreseen: Connection tYJle
__ _ _.

Comments, .~'."
-ro! ~.

r",~~

-n._.._},~.

~.: . .... ~

y', "y
.

'.~)

HTTPSwith BackOffice (x2) server authentication Pas HTTPS mais SMTP.

Name: mailrelay. vdm .afe.priv.atosJr Address: 10.18.113.151 lp Publique visible for MAEE : 160.92.182.209

Computers used by MAEE staff and other actors to be defined Initialization users at system startup

Reacheminement BackOffice (single URL) Reacheminement BackOffice initialization page (one different URL per instance)

HTTPS with bidirectional authentication HTTPSwith bidirectional authentication

This will be the "VPN" secure connection

This will be the "VPN" secure connection

STRICTLY CONFIDENTIAL
He-name: :·,1AEE_e'/ole2012_ 0 inePfCllforms_Configuralion_I,,'C,O.doc

.021

Online Platforms Configuration Guide Ministere des Affalres tranqeres et Europsennes Elections legislatives de 2012 pour les Francals de l'etranqer - vote electronlqus

scy t 1_······· .•.
••• '.• ' ••••• I (. \ I

AttgS

Initialization users at system startup

Reacheminement Portal initialization page (one different URL per instance)

HTTPS with bidirectional authentication

This will be the 'VPN" secure connection

Voters and visitors

Onte-time-link (single URL) : Password recovery Portal or ???

HTTPS with server authentication HTTPS with server authentication

Voters and visitors

Pnyx Portal (single URL)

Computers used by MAEE staH and other actors to be defined Computers MAEE staff and other actors to be defined Scyll's offices

Pnyx BackOffice (one different URL per instance) Monitoring Server ' Apache (single URL)

HTTPS with bidirectional authentication HTTPSwith server authentication

This will be the "VPN" secure connection

No monitoring server.

All servers but the databases

IPSec VPN using Cisco client

Used for deployment, configuration and testing. To be closed during the election.

Scytl's offices

Reachsminement servers
,

IPSec VPN using Cisco client

Used for deployment, configuration and testing. To be closed during the election.

The same users as in the production environment

All services available in the pre-production server

HTTPSwith server authentication for public services HTTPSwith bidirectional authentication for prIvate services

Replicate the connection type found on the equivalent production servers

Table 1-5 External Connections

1.5.4

URLs
mailrelay. vdm .afe.priv.atos.fr/mailrelay-afe .aw.atosorigin .com • 10.18.113.151/160.92.182.209.

reacheminement.elecllon2012.diplomatie.gouv.fr: • 10.18.113.150/160.92.182.201 www-reacheminement-election20i2atosorigin .com.

tt.afe, priv.alos. fr/www-reacheminement-election2012-ti-afe.aw.
STRICTLY CONFIDENTIAl.
Filename:

".1.1\EE_eVo:e20

12_ Online-Plniforrl1i::;_Conflgurat;on_",O.O

doc

.022

Online Platforms Configuration Guide Ministere des Affaires Etrangeres et Ellropeennes Elections legislatives de 2012 pour les Francais de l'etranqer - vote electronique

scy tl

AmS .
...
•~ f ,

. .

10.18.113.154/160.92.182.202

www-reacheminement-eleclion2012-

t2.afe.priv.atos.fr/www-reacheminement-election2012-t2-afe.aw.atosorigin.com • https:llwww.elections2012.diplomatie.gouv.fr/portal/
• 10.18.113.20/160.92.182.210

:

www-election2012-t1.afe.priv.atos.fr/www-election2012-t1-

afe.aw.atosorigin.com.
• 10.18.113.80/160.92.182.193

www-eleclion2012-12.afe.priv. atos,fr/www-eleclion2012-t2-

afe.aw. atosorig in.com • backoffice.elections2012.diplomalie ..gouv.fr: No Public IP • • 10.18.113.21 backoffice.eleclion2012-t1.afe.priv.atos.fr. 10.18.113.81 backoffice-election2012-12.priv.atos.fr. Public IP will be available when DNS/URL is validated.

1.5.5 Internal connections
E fi1'fr.'Il'i1 ._..
• ~'1jljf: ,.1;

"

.II~

~;:'I"~~~";'.'j

(..--t

'~i~::"'~"E,;~

Reacheminemenl BackOffice Monitoring Server

SMTP Server

SMTP

Pnyx Back Office

Read

only

Database

In order 10 execute the log validation monitoring on the No

connection.

server.

monitoring server. All the servers Monitoring Server File copied with rsynch Information to validate AIDE sealing Pnyx Portal and Monitoring Server File copied with rsynch Immutable logs. Details of this interface not agreed yet Reachemlnement BackOffice (x2) Monitoring Server Files copied with rsynch

BackOffice (x4)

Immutable logs . Delails yet of this

interface not agreed

Voter web Portal (x4)

Pnyx Back Office web services interface (x2)

HTTP

Acces

to

NGINX

or

TOMCAT?
Table 1-6 Internal Connections

STRICTLY CONFIDENTIAL
Ftlenante: p;.t4EE _ eVole20 12_ Ofili/lePI~tforflls _ Confiqurat.cn _ vn.ndoc

.023

Online Platforms Configuration Guide Ministere des Affaires Etrangeres et Europeennes Elections legislatives de 2012 pour les Francais de l'atranqer - vote electronique

scytl ~:~~.~::.: ..........
_, '!: \, ,

AU9S

1.6 Monitoring the voting application
Pnyx Portal and Pnyx Back-Office incorporate a service check facility that allows load balancers to verify if the application is up and running properly. In case there is any failure on the NGINX server or individual tomcat servers, the load balancers (assuming that support service check queries) detect the failed service check response and redirects the connections of the electlon/s correlated to the service check to any other logical branch.

STRICTLY CONFIDENTIAL
Frlename: MAEE_ eVole2012_On.linaf1'lalforms_ Conf:gurafon_ vc.e.ooc

.024

Online Platforms Configuration Guide Mlnlstare des Affaires Etranqeres et Europeennes Elections legislatives de 2012 pour les Francais de l'etranqar - vote electronique

AmS . scy tl ... .., . .
,I'

,

.,

2

Required Services to be provided by the Data Center

Besides the previous components, Scytl requires that the data center offers the services listed below: • Installation of all the hardware and software components. Scyll, once everything is installed, will deploy Pnyx and the password recovery components. • Full system administration o o o o • • • • • • • Hardware and COTS software 24x7 monitoring Upgrades and patches application Performance and issues reporting Networking and security appliances

Hardening of all elements Redundant internet connectivity and valid internet IFl's Enough band-width for the service (as defined above) Real time monitoring of all its elements Intrusion Detection System (some firewalls/load balancers include this feature) Everything installed in a dedicated rack that could be, if required by customer, sealed physically. On-site support if required by auditors or third trusted parties in terms of site reviews, logical sealing and alike

Backup of the information and Secure destroy (wipe conform military standards) of storage media after the end of election.

STRICTLY CONFIDENTIAL
Fr'enerne: t.tAcE_BVOti'20 12_O,1IinePlat;Qrm3_ Cunf.guratiuIl_ \0.0 doc

.025

Online Platforms Configuration Guide Min lstere des Affaires Etranqeres et Europeannes Elections legislatives de 2012 pour les Francais de l'etranqer=-

vote electronique

. scy t • ......... .
. ! , \
j

AtlgS ...........

3

Configuration du VPN

Un compte VPN est cree sur Ie serveur VPN, puis I'utilisateur de ce compte configure son ordinateur avec les elements suivants :

1. Installation du client VPN cisco: .~ Cisco Systems
VPN Client 5.0.05,.0290Setup

Welcome to the Cisco Systems VPN Client 5.0.05.0290 Installation Wizard
II is strongly recommended lhal you e~it all Windows programs belore running this setup program.

Ctick Cancel 10 qu~ Ule setup plOgram, then close any programs you have fUnning. Click Next to continue lhe instaDation
WARNING: TI~s program is protected by copyright law and intetnalional treaties. Unauthorized reproduction or dislJibu(ion 01 this program, or any portion of it. may result in severe civil and criminal penalties, and will be prosecuted to the maximum extent possible under law.

< B,jc:k

1 Ne~t >

)[

Cancel

2. 3.

Dernarraqe du client VPN L'utilisateur importe le fichier de configuration « .pcf » (menu import), ce fichier est faurni par AWL. Ce fichier contient des elements necessalro a la connexion VPN tels que I'IP a atteindre, le nom de Group, un mot de passe crypts ... Une connexion VPN est etablie avectoutes Iss plates-formes MAEE E-VOTE

4.

En ce qui concerne les diHerents points de securite concernant la partie serveur du VPN : a) La desactivation des interfaceslnutillsees. En cours b) Parametraqs du BIOS securise : Au vu de 1::1 scurlsatlon du site, de la salle et des serveurs, s l'acces au BIOS des serveurs est extrernement difficile. AOW a done estirne qu'il n'est pas necessaire de securlser Ie BIOS du serveur. c) d) La Securite physique du serveur VPN est assures par une baie ferrnee Les ouvertures de session son! sscurisees par login/mot de passe.

a clef.

STRICTLY CONFIDENTIAL
F~!E'mllne: t.'l.AEE_BVate2012_ Online PlaHorms,_ConJ,gu ra tion_ 1,'0.0,do-C.

.026

Online Platforms Configuration Guide Ministere des Affaires Etrangeres at Europeennes Elections legislatives de 2012 pour les Francals de l'etranqer - vote electronique

scy tl'·········· ... '." .
,l "

AttgS

.

e) Les correctifs de securlts sont pris en compte au moment de la configuration du systems et en fonclion des caracteristiquos de la machine. Par contre, la prise en compte des derniers correetifs pourraient remeltre en cause les tests effeclues et necessltsr une nouvelle campagne. C'est pourquoi les derniers correctirs pourraient ne pas etre lnstalles, f) Le mode utilise est tunnel.

g) L'algorithme utilise pour Ie chiffrement des flux est bien AES. h) Pour la protection en integrite l'algorHhme HMAC-SHA1 est utilise. L'algorithme HMAC permet effeetivement Ie controle d'inteqrlte des paquets recus. i) La passerelle IpSec est un Cisco ASA 5510. Les clients Ipsec compatibles et conseiltes sont les clients VPN Cisco.

D
k)

Le group DH actuellement utilise est DH2. Les PSKs utlllsses comportent alphanumeriques,

13 caracteras

La lisle des comptes mis en csuvre est sous Ie controle du MAEE control able par un auditeur externe et Justifiee par rapport aux besoins. I. La taille des clas est de 2048.. Par contre, Entrust, notre fournisseur de certifical, ne fait pas parti des prestataires qualifies RGS II. ATOS fournira la liste complete des acces realises sur la passerelle.

En ee qui concerne Ie composant IPsec du VPN, un Pre -Shared Key (PSK) est utlllsa

i.

1. Cette ole PSK est generee par AWL . Cette cle est utilise pour crypter tous les echanqes entre Ie postes client VPN et la bulle (fW) dont les echanges, login/password. 2. 3. 4. il ya un PSK car un seul groupe est configure.(pour Ie MAEE) cette cle PSK est incluse dans Ie fichler PCF qui sera transmis au MAEE Les algorithmes utilises pour la phase ipsec : • • Encryption: esp aes 128 Authentification: esp sha

STRICTLY CONFIDENTIAL
Filer lame: '·,1AEE_eVole2012 _Or1line Pratforms_Canfigu ration_I."O.O_doc

.027

Online Platforms Configuration Guide Ministera des Affaires Etrang('nes at Europeennes Elections legislatives de 2012 pour les Francals de l'etranqer _ vote electronique

scy tl ..... -.- !

A"bgS .
.
'
I

4

Procedure de Configuration,

Installation des plates-formes

Une aquipe « operations en salle » est declee aux operations en salle. Ce sont les seules personnes avec Ie pilotage autorisees partition disque.

a penetrer

dans les salles machines. Cette equipe precede

a I'lnstallation

des

serveurs en appliquant une image parametres avec les informations prop res au serveur:

IP, nom,

Ces images ant ete definies et val idees par les equipes techniques: aquipes transverses et spacifiques. " existe differents profits d'installation suivant les OS et besoins exprirnes. Le choix de l'OS et des options est eftectue par l'inqenleur systems en charge du projet en Ionction des besoins et contraintes exprirnes. Dans Ie cadre de ce projet Evoting, nous installons un systems REO HAT. Ensuite des scripts sont appliques sur les serveurs pour les securiser en desactivant les services inuliles suivants :
NelworkManager anacron

lpvsadrn
irda

pand pcscd portmap

atd autofs
bJuetooth conman cpuspeed dnsmasq dund hldd ipmi

iscsi iscsid kudzu mdmonilor mdmpd nelfs nfs nfslock nscd

rawdavlces
readahead_laler rpcgssd rpcidmapd rpcsvcgssd syslog wpa _ supplicant ypbind

STRICTLY

CONFIDENTIAL
Fllerkln1e~ ~.LAEE_BVolt:l'20

12_ Online Plat:orms,_ConfIQ

llral;L)rl_I,'O.O_cJ

DC

.028

Online Platforms Configuration Guide Ministere des Affaires Etranqerss et Europeennes Elections legislatives de 2012 pour les Francais de l'etranqer ~ vote alectronique

......•..• scy tl .... .. ,
Ie
•• 6 •••••••

AmS
[
\

5

Stratsqle et architecture pour la supervision du systeme

La supervision du systems est ettectuee via la plate-forme O.S.C.A.R.E. (Outil de Supervision de Controle et d'Administration des Reseaux d'Entreprises). II s'agit de la plate forme centrale rnutuallsee utilises par les pilotes

a

Vendorne. Cette plate-forme,

presentee avec une interface homme machine conviviale et basee sur Ie traitement des alarmes rernontees par I'ensemble des equipernents et applications marche de I'ensemble des services ope res par Atos Worldline. La performance de cet outil est obtenue par: • • Une optimisation poussee des fonctions de reconnaissance et d'identification des messages Une conception modulaire permettant de distribuer les differents composants d'O.S.C.A.R.E. sur plusieurs serveurs afin de repartir la charge. • La possibilite de mettre en ceuvrs plusieurs process d'identification de messages (fonctionnalite la plus coOteuse dans Ie cas de la supervision) sur plusie.urs serveurs avec un load-balancing integre. • La mise en ceuvre d'une base d'historique Microsoft SQL Server simplifiant les extractions de donnees et permettant de les traiter simplement avec lesoutils bureautiques classiques.

a

superviser, permet de garantir la bonne

La gestion des services et Ie suivi de la production est effectue via Ie portail d'information : ISM P

La surveillance est effectuse •

a deux niveaux:
on verifle de rnaniere standard la presence des

D'une part la presence de I'infrastructure:

machines, du reseau, des process de base (apache, Tomcat, BDD, ... ) • D'autre la reponse de I'application aux sollicitations d'un robot: la sonde applicative

Watchservice est parametres pour surveiller Plate forme URL

a intervalle

regulier les URl suivantes :

a surveiller

Resultat aUendu

Ce tableau sera complete dans IIl1e procbeine

version, prealablement

a la mise

en place des surveillances

STRICTLY CONFIDENTIAL
F.I enernc: ~.t,-\EE_eVol.e2C 12_ Online pratforr.,s_Conf!~ uration_
\,'0.0

doc

.029

Online Platforms Configuration Guide Ministere des Affaires Etrangeres et Ellropeennes Elections legislatives de 2012 pour les Francais de I'etranger - vote electron ique

scy t I...
,

AwS .
l ..

. .
t

6

Strateqie

de securite

du systerne

6.1 Procedure de durcissement des plates-formes
La protection des diverses plates-formes de services heberqess par Atos World line est assures par des routeurs frontaux dont la charge principale est d'assurer Ie cheminement correct des paquets enlre les equlpernents reseaux et les dltfersnts services heberqes.

Ces routeurs assurent de plus un premier niveau de fillrage, qui ernpecho les connexions sur les ports privlleqles non explicitement specifies (par defaut, taus les ports sont

termes,

seuls les ports

necesselres

sont explicitement ouvertsi. Les routeurs frontaux effectuent aussi un filtrage des paquets

incorrectement Iormates (trop longs), les options IP non autorisees (source-routing), les broadcast, certains types de paquets ICMP, etc.

Ce premier niveau de filtrage permet d'elirniner des attaques qrossieres (connexions telnet au NetBIOS) et des attaques de deni de service (broadcast ICMP). II permet de plus de bannir temporairement des adresses IP a l'actlvits douteuse. La politique slandard de securlto d'Atos Worldline appliquee aux machines consiste, entre autres,

a

minimiser les services accessibles, €It ce quelle que solt leur position dans Ie reseau (DMZ au interne). Les services non indispensables ne sont pas disponibles (chargen, echo, ... ), et la pluparl des demons presents par defaut sont desactives (certains RPC, Ipd... ).

De plus, les services accessibles au grand public (HTTP ...) ulilisent des adresses IP specifiques virtue lies (systems d'adressage virtue I resaau pour les adresses externes des services - fonction NAT), dans un souci de securite (filtrage par service), et de souplesse d'administration (bascules des services plus Simples)

La securlts est aussi assures logiquement :

par I'architecture de la plateforme, protegee des intrusions exterieures par un double rideau de pare-feux, de technologies heterogenes afin d'en augmenter la resistance,

par les limitations d'acces aux serveurs (politique de sscurlte du centre serveur, avec acces distant par bastion aux serveurs e! utilisation durant la perlode de vote d'une authentification forte

a I'aide de token).
• par un scelle logique des applications avant la periode de vote afin d'en garantir la non modification [usqu'a I'extraction des donnees du vote. Cescellement nurneriqusment logique consiste

a

signer

l'applicatlon afin de verifier qu'elle demeure lnalteree durant l'election, La

STRICTLY CONFIDENTIAL
F,:E-numa: r.IA[E_eVot(;-2012~ OnlinaPlalftJlms_ Conflguratlc.n_ vO.O.doc

.031

Online

Platforms

Configuration

Guide vote electronique

Ministere des Affaires Etrangeres et Europeannas Elections legislatives de 2012 pour las Francais de l'etranqer=-

scytl

A"b.9S
-. {

:r:::u;
!

signature

numerique

est implementee

dans Ie code audile

par les auditeurs.

Cela permat

de

garantir que Ie code ne subit aucun modification • par Ie loqiclel lul-meme,

apres Ie processus des donnees

d'audit dus systerne, rnanipuless (chiHrement).

qui garantit la confidentialite

6.2

Securite
de production Atos World line de Vendorne et sans cesseen est operationnel de puis 28 ans avec une

Le centre infrastructure

et une securlte eprouveas

amelioration. Seul Ie personnel necessaire pendant

Le batlrnent est specialise la supervision

dans l'heberqement et

de moyens Informatiques. des taches sur sites,

a
les

des applications

a

l'execution

y

est attache.

Ainsi,

heures de bureaux, sont presentes, L'implantation

25 personnes

travaillent

sur Ie site, en dehors de ces heures, au moins 4 personnes

Le centre est operationnel speclfique

24/24 heures, 7/7 jours, 365 jours par an. des risques :

de ce centre permet de se premunlr

Industriels

et lies au vandalisme,

puisque

Ie centre a ete construit

loin des zones d'activites

et

d'habitations. • Meteorologiques, Ie centre se trouve dans une zone non inondable et place bien au-dessus des

niveaux hydrostatiques. • • Aeriens, il n'y a pas de couloir aerien dans cette zone. cette zone n'est pas

Sismiques,

a risque

sismique.

Le site de Vend6me

regroupe

les plateformes physique:

de paiement

operees par Atos Worldline,

et fait done I'objet

d'un tres haul niveau de securits

• • • •

Un contra Ie d'acces tres exigeant. Une securlte perlrnetrlque Une vldeosurvolllance Un automatisme des remontses d'alarmes des batlrnents Ires eiaboree

A l'entrse personnes batirnents

du site, Ie personnel autorlsses

et les visiteurs attendus

font I'objet pourront

d'un premier dans

filtrage,

en effet, seules du site. l.'acces d'Atos Worldline Ie deplacernent

les aux et des

st les vlsileurs

entrer restrelnt

I'enceinte

puis aux locaux n'est accords attendus. La separation necessalres

qu'a un nombre

de collaborateurs permet de limiter

aux visiteurs

des batlrnents

en zones

individus aux seuls endroils

a leur

activite.

Plus un local est sensible, • aux grilles d'entree

plus il y a de contr61es du site,

a franchir

pour y parvenir

:

• a l'entree • a l'accueil

du batiment, des visileurs

STRICTLY CONFIDENTIAL
Frlenarne: MAEE_eVoI820 12_Online Platlon
1;.5-_

Config urutlon vn.n.doc

.032

Online Platforms Configuration Guide Minishhe des Affaires Etranqeres et Europeennes Elections legislatives de 20'12 pour les Francais de l'etranger - vote electrol1ique

scytl !::::::::!
.~! .,

AttgS

• • •

a l'antree des salles informatiques, a l'entree des salles et espaces dedies securises dans les salles informatiques. A l'entree des locaux techniques

Des mesures complernentalres s'ajoutent aces contr61es :

• •

exigence de presentation d'une piece d'identite pour les visiteurs, surveillance video avec conservation des traces selon la reglementation pour taus les acces sensibles,

• •

contr61esvisuels. L'acces a la zone de haute sscurite necessue I'authentification obligatoire de deux personnes autorisees (dual control) via un systems d'authentitication forte inteqrant de la blornetrte

Par ailleurs, tout Ie perimetre du batlrnent principal est equlpe entre autres, de detection « laser », atin de prevenir toute tentative d'intrusion. Le tout est double d'une surveillance video pour lever les doutes et conserver des traces.

L'ensemble des plates formes de vote du MAEE beneflclent de la haute dispcnibilite du centre en matiere enerqetlque, climatique et securlte incendie. Ces plates formes beneficient d'un niveau complementaire de sscurlte physique puisque taus les serveurs sont installes dans des baies securisess et scellees prealablernent au vote.

6.2.1

Securite logique
des serveurs Non

Durcissement

SYSTEM
Aucun antivirus actuellement installs sur les ssrveurs Linux

Protection antivirale a jour.

Oesactivation des interfaces inutllisees. Pararnetraqe du BIOS securise.

Oui Non

Pas de cable. l.'acces en salle est necessaire pour seceder au BIOS. L'acces a la salle machine est securise

Dispositif de controle d'inteqrite des fichiers et des programmes. Securite physique assuree (baie ferrnee a cle au coHre). Ouverture de session sscurisee. Demiers correctifs de sscurlte pour leur systeme d'exploitation ainsi que les applications qui y sont lnstallees.

Qui Oui Qui Non

AIDE Cage serveur. ISAAC3 Mise a jour avant Ie vote des logiciels les + impactant (Apache, Tomcat, Java, ... ). Pas de mise a jour sur BOD car

STRICTLY CONFIDENTIAL
Hlename: t/J\EE_eVo)!.€<:20 12~OnlinaPlatfarms_ ConfigufQfon_ vo.o.ooc

.033

Onllne Platforms Configuration Guide Ministere des Affaires Etranqeres et Europeennes Elections legislatives de 2012 pour las Francais de I'etranger - vote electrollique

scy tl·········· ......... .
'
. l,. •

AmS

impact les versions Oracie/ASM Liste des comptes mis en ceuvre sous Ie controls du MAEE controlable par un auditeur externe et [usliflae par rapport aux besoins. Les personnels en charge de la configuration, de I'exploitation et de I'administration des serveurs ne doivent disposer d'aucun acces sur les pare-feux et sur les equipernents reseaux constituant la machine de vote. Oui Compte standard pour toutes les installations.

Oui

Les guides de durcissement publics doivent etre utilises: Pour les serveurs Linux :

• •

Guide to the Secure Configuration of Red Hat Enterprise Unux 5 - Revision 4.1 February 28, 2011 (auteur: National Security Agency) Red Hat Enterprise Linux Benchmark, v1.1.2 (2009/06/17) (auteur: CIS - the Center of Internet Security) Linux Security Checklist SANS Institute May 5th, 2011 (auteur: SANS Institute)

Non

Ce sont des installations standards d'Atos Wordline qui sont mises en place. Ces versions sont validses

Non

par les equipes techniques transverses (Technical Services)

Non

l.'inqenleur Systerne en charge de I'installation desactive par script un ensemble de service / package inutilisas. Pour la partie BDD, les pre-requls Oracle sont ajoutes,

Versions utillsses : « Reel Hat Enterprise Linux Server release 5.6 (Tikanga) Kernel: 2.6.18-274.eI5 » sur les Fronts et Middle, « 5.4 (Tikanga) Karnel : 2.6.18-164.eI5 sur les BDD Pour les serveurs Windows:
»

• •

Windows Server® 2008 Security Guide Version 3.0 February 2009 (auteur: Microsoft)_ Security Configuration Benchmark For Microsoft Windows Server 2008 - Version 1.1.0 July 30th, 2010 (auteur: CIS - The Center for Internet Security) Security Configuration Benchmark For Microsoft Windows 7 - Version 1.1.0 July 30th 2010 (auteur: CIS - The Center for

N/A

N/A

N/A

STRICTLY CONFIDENTIAL
Ftlenarn e: r\1.lI,EE_flVole20 12_ Online Pi3!furnrs_CollfigLJrfl1ir,n_ cu.ndoc

.034

Online Platforms Configuration Guide Ministere des Affaires Etrangeres et Europeennes Elections legislatives de 2012 pour les Francais de l'atranqer - vote electronique

". scy tl ..'..'.'.. .
.

AttgS
:~ I

I

Internet Security)_ Pour Ie serveur Apache:

Security Configuration Benchmark For Apache HTTP Server 2.2, Version 3.0.0 de May 18th, 2010, The Center for Internet Security

N/A

Nginx est utilise en Front d'Apache. Version « nginx-1.0.93,rheI5,x86_64»

a la place

Administration

des serveurs. Pas de compte nominatif mais tracabllite des acces, ISAAC3

L'administration des serveurs doit eire effectuee par du personnel habilite au moyen de comptes nominatifs permettant d'assurer la tracabllite des actions. Ces actions doivent pouvolr etre controlees par un auditeur externe ou par un membre du BVE.

ConformitEi des serveurs Les versions des syslernas d'exploitation utilises doivent disposer d'un certificat

ce.
Non Le changement de librairie, sous reserve de validation par les equipes transverses, necessiterait la recompilation de nombreux composant I'utilisant. La version Open SSL utilisee est « OpenSSL 0.9.8e-fips-rheI5 01 Jul 2008 ». La dernisre disponible pour RedHat 5.6 est la « 0,9,80 »

Dans Ie cas de I'utillsation de la librairie OpenSSL, une version evaluee FIPS 140-2 doit etre utilisee. Le serveur sur lequella librairie est installee doit eire conforme aux exigences sur Ie durcissement.

La taille des ctes et Ie choix des algorithmes doivent eire conformes au RGS : RSA 2048/4096, DH Groupe 14 ou plus, AES 1281256, SHA 256. La generation des cles doit etre con forme au RGS.

Voir document Cryptographic Key Management

Voir document Cryptographic Key Management

Durcissement des equipements reseaux Les equipernents reseaux mis en oouvre doivent com prendre les elements suivants :

RESEAU

Desactivatlon des interfaces inutilisees .

Oui

STRICTLY CONFIDENTIAL

Online Platforms Configuration Guide Ministine des Affaires Etranqere s et Europeennes Elections legislatives de 2012 pour las Fral1!{ais de l'etranger - vote elecifOl1ique

scy tl ...·'..... .::::::::!
[ ••

AU9S

i

Parametraqa du BIOS securisa. Securite physique assures (baie terrnae a cle au coffre), Ouverture de session securisea, Derniers correctifs de securite pour leur systems d'exploitation.

N/A Oui Baies scelles ISMC2 Non Les versions d'OS


a utiliser sur

ces composants sont definis par les equipes transverses d'AWL. Seuls les correctifs [uqes necessaires et valides par ces equipes sont lnstalles

Liste des comptes mis en oeuvre sous Ie controle du MAEE controlabls par un auditeur externe et justifiee par rapport aux besoins.

Oui

Compte standard.

Les guides de durcissement publics doivent etre utilises: Guide to Intrusion Detection and Prevention Systems (lOPS), Recommendations of the National Institute of Standards and Technology, February 2007, NIST Special Publication 800-94 Network Intrusion Detection/Prevention Systems & Conlent Scanning Appliances, Version 8, Release 1, Supplement of Network Infrastructure STIG, V8Ri, 24 March 2010, Developed by DISA for the 000. Cisco lOS Switch Security Configuration Guide, Switch Security Guidance Activity of the Systems and Network Attack Center (SNAC), 21 june 2004, Version 1.0. Router Security Configuration Guide, Principles and guidance for secure configuration of IP routers, with detailed instructions for Cisco Systems routers Router Security Guidance Activity of the System and Network Attack Center (SNAC), December 15, 2005, Version 1,1c Administration des equipernents reseaux,
-

Non

Ce sont les procedures standards AWL qui sont appliques,

Non

Non

Non

RESEAUX Oui

L'administration des equipements reseaux doit etre effectuee par du personnel habiliteau moyen de comptes nominatifs permettant d'assurer la tracabilite des actions. Ces actions doivent pouvoir etre controlses par un auditeur externe au par un membre du BVE.

STRICTLY CONFIDENTIAL
Fuename: t.iAEE_ENote2012_OnlinePiatfornls_COflfJgurioltiO!l_\'O.O.doc

,036

Online Platforms Configuration Guide Mlnistere des Affaires Etrangenes at Eu ropcennes Elections legislatives de 2012 pour les Francais de I'stranger - vote electronique

scy tl ...
,~

AttgS
\

~tI.~ ,e

. .
t

Conformite des equipements

reseaux Non Tout comme pour Ie cote de 2009, ce sont des equipernents standard AWL, valldss par les equipes techniques reseau qui sont utilises AES I SHA I DH Groupe 2

Les equlpernents reseaux utilises dolvent disposer d'un certiflcat CC.

La tallie des cles et Ie choix des algorithmes doivent eIre conformes au RGS : RSA 2048/4096, DH Groupe 14 au plus, AES 1281256, SHA 256. La generation des clss doit etre conforme au RGS. Filtrage des flux Aucun serveur ne doit etre directement relie a Internet. Chaque liaison entre un serveur et Internet doil etre fillree par un pare-feu. Le pare-feu doit permettre de fillrsr les types de flux entrants et sortants de la machine de vote, afin de n'autoriser que les types de ftux necessaires au fonctionnement de la machine de vote, Le pare-feu doit permettre Ie blocage de tous les types de flux non autorlses. Le pare-feu doit permettre la [ournalisation des tentatives de connexion au moyen de flux non autorlsss a la machine de vote. Ces journaux doivent pouvolr etre transmis au serveur de centralisation des traces. La configuration du pare-feu doit etre effecluae par du personnel habllite et validee par Ie MAEE. La configuration du pare-feu doit pouvoir etre controlse par un auditeur externe au par un membre du BVE, Le fichier contenant les regles de filtrage doit pouvoir etre extrait et fourni au BVE lors du scellement du svsteme, Une fois la configuration du pare-feu val idee, toute modification de cette configuration ne peut etre effeetuee sans I'accord du BVE, La configuration du pare-feu doit com prendre : La description des flux: equlpsment concerne, initiateur(s), destinataire(s), • Le protocole ou Ie nurnero de port utilise, • Le caractere « accepte » au « refuse », Tous les acces et les actions effeotues sur Ie pare-feu par Ie personnel en charge de sa

Non

Non

Qui

Qui

Qui Qui Logs conservees sur syslog

Qui

Qui

Fourniture de la configuration actuelle du firewall.

Qui

Qui

Qui

Qui Qui Qui Demandes effectuees suite

a
,03'7

STRICTLY CONFIDENTIAL
Ftlena.ne: ~.tAEE_eVote2012_ Ol"l:ine P~.3tfc.rms_Cof,figlJratioll_ vO.p.duc

Online Platforms Configuration Guide Ministere des Affaires Etranqeres et Europeannes Elections Isgislatives de 2012 pour les Francais de l'etranqer

- vote electroniqu8

scy tl········,.. ... .
'.0. " ••••••

At6lS
',. . l .•

I

maintenance et de son administration doivent etre traces depuis Ie sceHement jusqu'a la fin de la perlode de vote. L'ensemble des traces doit etre remis au BVE apres la fermeture du scrutin. Le pare-feu doit conlenir un module de protection contre les attaques en deni de service. Le pare-feu doit permettre de n'autorlser les paquets faisant partie d'une connexion deja etablle (mode « stateful »). Les personnels en charge de la configuration, de I'exploitation et de I'administration des parefeux ne doivent disposer d'aucun acces sur les serveurs constituant la machine de vote.

une demande

de la BU.

Non

Pas de protection

tout comme en

2009
Qui

Non

La partie reseau des serveurs est admlnistree systeme, par l'aqulpe

Pour les equipements

reseau il s'agit des equlpes reseau, En Standard AWL,

l'aeces pour test roseau est donne aux equipes rE3SeaU,sans droits system sur la machine. La transmission d'inforrnatlons de routage entre les equipernents reseaux dolt etre realisee apres authentificalion muluelle entre ces equipements, Une organisation permettant d'assurer Ie backup des administraleurs reseaux, dolt etre mise en ~ace. En cas de defaillance d'un pare-feu: Qui Routage static

Qui

• •

Une alarme doit eire generee. l.'equipernent ne dolt pas avoir un comportement remettant en cause les regles de filtrag_e. La configuration des pare-feux doit pouvoir etre accessible. Les traces generees par Ie pare-feu doivent permettre I'analyse de I'origine de la

Qui Qui

• •

Qui Qui

Sur CVS Logs sur Syslog

defalllance
Cloisonnement des flux Qui

La machine de vote doit etre positlonnee dans un SOLIS reseau dedie cloisonne logiquement au sein du reseau d'ATQS. La configuration des equipements reseaux mettant en oeuvre Ie cloisonnement doit etre effactuee par du personnel hablllte et val idee par Ie MAEE. La configuration des equlpernents reseaux mettanten ceuvre Ie cloisonnement dolt doit pouvoir eire controlee par un auditeur externe ou par un membre du BVE. Le fichier contenanl les reqles de cloisonnement doit[)_ouvoir etre extra it et fourni

Qui

Qui

Qui

STRICTLY CONFIDENTIAL
Ftlen arne ~tJAEE._eVota20 12·_On' inaPf_Jt[arrr,$ _ CCinf:Q urat'onvn o.ooc

.038

Online Platforms Configuration Guide Ministere des Affaires Etrangeres et Europeenn8s Elections lE§gislatives de 2012 pour les Francais de l'etranqer - vote olectronlque

scy tl
.

Ab9S .
~ i
.!

. .

au BVE lors du scellement du systerne, Une fois la configuration des equipernents reseaux mettant en ceuvre Ie cloisonnement validee, toute modification de cette configuration ne peut etre effectuee sans I'accord du BVE. Tous les acces et les actions effectues sur les equipernents reseaux mettant en ceuvre Ie cloisonnement par Ie personnel en charge de leur maintenance et de leur administration doivent eire traces depuis Ie scellement [usqu'a la fin de la periode de vote. L'ensemble des lraces doit eIre remis au BVE apres la fermeture du scrutin. Les personnels en charge de la configuration, de I'exploitation et de I'administration des equlpernents reseaux meHant en ceuvre Ie cloisonnement ne doivent disposer d'aucun acces sur les serveurs constiluan! la machine de vote.

Oui

Oui

Via CVS

Non

La partie reseau des serveurs est admlnlstrse par l'aquipe systems. Pour les equlpements reseau il s'agit des equipas rsseau. En Standard AWL, l'accss pour test reseau est donne aux equipes ressau, sans droits system sur la machine.

En cas de defaillance d'un des equipements ressaux mettant en oeuvre Ie cloisonnement : • Une alarme doit eIre generee.

Oui Oui


t.'equipernent ne doit pas avoir un comportement remeltant en cause les regles de filtrage. La configuration de l'equipement dolt pouvoir etre accessible. Les traces generees par l'squlpement doivent permettre I'analyse de I'origine de la d8faillance. reseaux

Oui Oui

Sur CVS Logs sur Syslog

Parametraqe des aqulpements Les services

RESEAU

a desactlver

sont les suivants : Non Si pas de DHCP dans la bulle, peux etre active sans impact et aucun port


Activation de DHCP SNOOPING

a passer en trust
Activation de DYNAMIC ARP INSPECTION Non - Depend de DHCP snooping - Quels sont les ports trust? A "installation d'une machine, on Ie passe en trust elles autres restent untrust?

a passer en

STRICTLY CONFIDENTIAL
FdEM arne: r,tt.,EE_eVuIB20 ~2_ a nl inaP~~llforrlls._Conrlgu rGiDOn_O.O.doc v

.039

Online Platforms Configuration Guide Ministere des Affaires Etranqeras at Europeermas Elections legislatives de 2012 pour les Francais de l'etranqar - vote electronlque

scy·tl ...

AwS .
£. •

. .
I

Les services

a desacllver

sont les suivants Non La desactivation aura un impact sur la prod.

Oesactivatlon de STP


Desactivatlon de UDLD Oesaclivation de VTP

Qui Qui Non Applicable car il ne s'applique pas pour Ie materiel utilise de la bulle AFE

Desactivation des COMMUNITY STRINGS par dsfaut Oesactivation des messages ICMP pour les interfaces

Oui Non - Problema pour la supervision - Posslbibte de filtrage pour ne laisser passer que les ICMP echo Reply et echo Request.

Desactivatlon des services TCP et UOP small servers

Non

Non Applicable car il ne s'applique pas pour Ie materiel utilise de ta bulle AFE

Desaclivation du mecanisme FLOW CONTROL Desactivation du protocole MOP

Oui Non Non Applicable car il ne s'applique pas pour Ie materiel utilise de la bulle AFE

• •


• •

Oesactivalion du serveur d'utilisalion de I'interface Desaclivalion du service SERVER Desactlvation du service

http (si pas web) BQQTP COP

Oui Oui Oui Non Active Non Applicable car line s'applique pas pour Ie materiel utilise de la bulle AFE

Oesactivatlon du service CONFIGURATION AUTOLOADING Desactlvation du service DTP

Oul Oui Non Applicable car line s'applique pas pour Ie materiel utilise de la bulle AFE

Desactivation du service FINGER

Oul

Non Applicable car il ne s'applique pas pour Ie materiel utilise de la bulle AFE


• •

Oesactivation du service NTP au controls des acces a ce service Dasactivation du service PAD

Oui Oui

Flltre par Firewall Non Applicable car il ne s'applique pas pour Ie materiel utilise de la bulle AFE

Desactlvalion du service TFTP et activation seulemenllors de I'usage

Non

Utilise pour les sauvegardes de

STRICTLY CONFIDENTIAL
Ftlenarna: 1\,1AEE_eVole20'12_ OrrJin::Platforms_ Co"r,gura.tian_ va.o.doc

.040

Online Platforms Configuration Guide Ministere des Affaires Etrangeres et Europeennes Elections legislatives de 2012 pour les Francals de l'etranqer

Att9S
- vote electronlqus

scy tl

...... " ...
II '~~

~,

configuration



Les mesures de securlte parametrer sont les suivantes Activation du chiffremenl des mots de passe (ENABLE-SECRET) Configuration explicite du DNS au desactivatlon du DNS LOOKUP Dedisr un port physique I'administration out-band Mise en place d'un mol de passe pour I'ouverture d'une session console Pas d'utilisation du VLAN 1 pour I'administration

a

Oui Oui Oui Oui Qui Non Comme en 2009. L'upgrade dernande serveurs, reseaux. d'infra

a


• •

Utilisation du mecanisme SECURITY

PORT

cet €lIe porte sur les pas sur les equlpsments

Utilisation TELNET

du service SSH au lieu de

Qui

Les messages

interdits sont les suivants des BROADCAST des masques ICMP

: Qui Non Comme demands serveurs, reseaux. en 2009. L'upgrade d'infra

-

Interdiction Interdiction

internes

-

cet ete porte sur les pas sur les equlpsrnents

-

Interdiction des notifications d'adresse IP incorrecte Interdiction des redirections Interdiction Interdiction

en cas ICMP

Qui Non Non Non Comme demands serveurs, reseaux. en 2009. L'upgrade d'infra

du relais de trames ARP du routage par la source

cet €lIe porte sur les pas sur les equlpernents

Disponibilite de service
L'ensemble dirnensionne des aqulpements pour supporter doit eire la charge maxima Ie

???

A voir lors des tests de performances

prevue. Les justifications doivent etre fournies

des choix eftectues

par les ma1tres d'ceuvre. des bulletins de vote Qui

La chaine de trailement doit eire redondae. Les fonctions de securits

reseau doiverit etre de

Oui

mises en ceuvre sur les deux chaines

STRICTLY CONFIDENTIAL
Flrenallle: M.AEE_sVo!e20) 2_On;ine Pi:alfc,rms_ Corlfraumtioll_vO_D.dc.,(;

.041

Online Platforms Configuration Guide Mlnlstere des Affaires Etrangeres et Europaennas Elections legistatives cle 2012 pour les Francais de I'stranger - vote electroniqua

scytl~.~~.~::;: :
•• I •••••••

AttgS
" I .

I

manlers

a eviler

les points de panne unique. Qui

Toute defaillanoe d'un equipement mettant en ceuvre les fonctions de securlte reseau (filtrage, cloisonnement) doit entraTner Ie basculement de ces fonctions de securite reseau sur la seconde chaine.

Surveillance L'ensemble des equlpernents doit eire sous surveillance 24/24. Qui durant la pericde de vote Tout evanernent de securite (cf. tableaux suivants dans Ie paragraphe « gestion des traces ») doit faire I'objet d'une alarme. Non Voir paragraphe « gestion des traces »

Gestion des traces La synchronisation horaire des equipernents reseaux doit etre assures. AIQS doit mettre en place un dispositif de centralisation des traces en provenance de I'ensemble des aquipements constituant la machine de vote (equipernents reseaux I serveurs). Les traces applicatives doivent egalement etre csntrallsees sur ce dispositif. Les evenements de securite suivants doivent eire collectes Les traces doivent contenlr les informations suivantes: Non Pas de serveur de centralisation des logs system et applicatif. Pas de serveur de centralisation des logs system et applicatif Non Pas de serveur de centralisation des logs system et applicatif. Qui

-

La date et I'heure de l'evensrnent. L'identificalion de la machine ou de I'application de provenance de l'evenement. L'adresse source et destination du flux. Le port source et destination du flux.
Table 6·1 tnirestructure - Securite Logique

STRICTLY CONFIDENTIAL
Fiten arne:

r.tAEE _ eVIlle20

12_Online PIa norms _ Con fig uralion _\'0 .u.doc

.042

Online Platforms Configuration Guide Ministere des Affaires Etrangeres at Europeennes Elections legislatives de 2012 pour les Francais de I'IHranger - vote electronique

scytl !:::::U;
'~l •
1

Att9S

6.2.2

Mesures de

secutite

physique

Controle d'accas Les zones heberqsant les composanls de la machine de vote doivenl eire physiquement protegees. L'acces doit etre strictement limite aux seules personnes autorisees Qui Qui

a panetrer
BVE.

dans les locaux et la tracablhte des acces dolt etre

assures. Toute detection d'acees physique doit eire rernontee au

Services essentiels Les serveurs composant la machine de vote doivent etre arretss elactrlquernent lorsque non utilises. Les locaux heberqaant Ie systerne de vote
ctirnatises.

Qui

a Vendorne doivent eIre

Qui

Les caracterlstlques des equlpements d'alimentation electrlque et de climatisalion doivent permettre de respecter les conditions d'usage des composants de la machine de vote telles que fixees par leurs fournisseurs.

Qui

Marquage des materiels Les materiels utilises doivenl com porter un marquage physique les identifiant. Le marquage des materiels doit permettre d'identifier la fonclion du materiel dans la machine de vote. Qui Qui

Inventaire des materiels Un lnventalre de I'ensemble des materiels utilises dans Ie systems de vote doit eire maintenu par ATOS. Cet inventaire dolt lnteqrer les marquages et inteqrer les numeros de serle des equlpernents. Qui Qui

Integration des materiels dans la machine de vote Toute integration d'un materiel dans la machine de vote dolt etre siqnifiee au MAEE. Toutes les operations effectuees entre la reception d'un materiel et son integration dans la machine de vote doit eIre traces. L'ensemble de ces traces doit etre communique au MAEE. Qui Oui Qui

STRICTLY CONFIDENTIAL
Filename: t~~AEE_eVule20 12_OnlinePIEltfvrms_ConHgur.atiol1_

vo.a.doc

.043

Online Platforms Configuration Guide Ministere des Af'faires Etrangeres et Europeennes Elections legislatives de 2012 pour les Francais de I'atranger

- vote electronique

scy tl

AmS .
'. l

..... ,...
.
, ~
I

Maintenance

des materiels Qui Qui

Les operations de maintenance sur les materiels integres a la machine de vote doiven! etre tracess. L'ensemblede ces traces doit etre communique au MAEE.

Medias

amovibles

et terminaux

mobiles

Les medias amovibles et les terminaux mobiles utilises dans Ie cadre des operations de vote doivent etre dedies ces operations. Une table contenant I'ensemble des nurneros de serie des medias amovibles et des terminaux mobiles doit etre maintenue par ATQS. Avant toute ecriturs de donnees sur un media amovible, un formatage du media doit etre effectue, A I'issue de l'ecriture de donnees, Ie media amovible doit etre protege en scriture. Les medias amovibles de type CD-RQM ou DVD doivent eIre non relnscriptibles. Les medias amovibles et les terminaux mobiles utilises dans Ie cadre des operations de vote doivent disposer d'un marquage physique. Les medias amovibles et les terminaux mobiles doivent etre conserves dans un coffre-fort dedie au vote lorsqu'ils ne sont pas utilises. l.'acces doit etre strictement limite aux seules personnes autorisees aces postes et supports et la tracablllts des accss doit etre

a

Qui Qui Qui Qui Qui Qui

CD de scellement CD de scellement CD de scellement CD de scellement CD de scellement

Qui

Coffre Vendome.

Qui

assures.
Materiel dedie utilise doit etre dedie au vote et a chaque tour de Qui Attention au

Le materiel scrutin.

reacheminement

Secours Chaque materiel utilise dans Ie cadre des operations de vote doit disposer d'un secours ayant la marne configuration que Ie materiel nominal. Le materiel de secours dolt etre conserve et manipule dans les memes conditions que Ie rnateriel nominal. Transfert du materiel Qui

Qui

Le trarisfert du materiel (terminaux mobiles, supports de donnees) entre Ie MAEE et Ie site d'Mbergement Vend6me doit etre effectue par du personnel de confiance. Le transfer! du materiel (terminaux mobiles, supports de donnees) entre Ie site de SCYTL et Ie MAEE ou entre Ie site de SCYTL et Ie site d'heberqernent Vendome doit etre effectue par du personnel de confiance.

a

Qui

Recuperation MAEE.

par

N/A

Pas de transfert AWL-SCYTL.

a

Sauvegarde

de la machine

de vote

Les compos ants de la machine de vote doivent permettre la sauvegarde de ses composants logiciels et materiels. En cas de perte d'un composant, la restaura!ion des donnees doi!
STRICTLY CONFIDENTIAL
Fl!en au-e. ~;LI\EE_€Vo~e2-O 12_0 nl inE:F~r3 norms _ Conr!gLlra tion_ \0.0 doc

.044

Online Platforms Configuration Guide Ministere des Affaires Etranqeres et Europeennes Elections legislatives de 2012 pour les Francais de I'etranqer - vote electroniqus

... ~ · scy tl········,., .,

:tt9S

.

etre effectues contorrnernent aux besoins de continuite du service. Scellement physique Les squlpernents utilises dans la machine de vote doivent faire I'objet d'un scellement physique garantissant que toute manipulation de ces composants est datectse. Les recommandations dscrites dans Ie guide de I'ANSSI doivent etre respectees, Qui

Non

A verifier.
- Seclirite Physique

Table 6-2Infrastmctu/'e

STRICTLY CONFIDENTIAL

Sign up to vote on this title
UsefulNot useful