Upload
mohammed-khattou
View
41
Download
1
Embed Size (px)
Citation preview
1© 1999, Cisco Systems, Inc.
La politique de sécurité des systèmes
d’information
La politique de sécurité des systèmes
d’informationBertrand GARS
Ingénieur avant-vente
Tél. : 01 41 18 32 16e-mail : [email protected]
Atelier technologique du 7 décembre 1999 : La politique de sécurité des systèmes d ’information
InformationWeek : Enquête sur la sécurité de l’information
• 78% des sociétés interrogées ont connu des pertes financières dues à des problèmes en matière de sécurité de l’information dans les deux dernières années
• Certaines sociétés ont ainsi perdu plus de 1 million de dollars
Source : Ernst & Young 1996 Information Security Survey
Les causes :Les causes :Virus informatiques :Virus informatiques : 76%76%Acte malveillant interne :Acte malveillant interne : 42%42%Acte malveillant externe :Acte malveillant externe : 25%25%Erreurs par inadvertance :Erreurs par inadvertance : 70%70%Espionnage industriel :Espionnage industriel : 10%10%
Le marché de la sécurité est estimé Le marché de la sécurité est estimé à plus de 2,5 milliards de dollars en à plus de 2,5 milliards de dollars en
Europe à l’horizon 2001Europe à l’horizon 2001
Atelier technologique du 7 décembre 1999 : La politique de sécurité des systèmes d ’informationSource : Gartner Group
$0
$200
$400
$600
$800
$1,000
$1,200
1997 1998 1999 2000 2001 2002
Appliance
Midrange
High Security
En millions de dollars
Le marché mondial du FirewallLe marché mondial du Firewall
Atelier technologique du 7 décembre 1999 : La politique de sécurité des systèmes d ’information
$0
$50
$100
$150
$300
$350
$400
1997 1998 1999 2000 2001 2002
$250
$200
Extranet
Accès distant
Internet
Le marché mondial du VPNLe marché mondial du VPN
Source : Gartner Group
En millions de dollars
Atelier technologique du 7 décembre 1999 : La politique de sécurité des systèmes d ’information
AgendaAgenda
• Définir une politique de sécurité
• Les technologies de la sécurité
• Administration
• Sécurité des accès
• Intégrité des échanges
• Détection d’intrusion
• Evaluation de la vulnérabilité du réseau
Atelier technologique du 7 décembre 1999 : La politique de sécurité des systèmes d ’information
Politique de SécuritéPolitique de Sécurité
“
”
La définition d’une Politique de Sécurité
Une politique de sécurité est l’ensemble des règles formelles auxquelles doivent se conformer les personnes autorisées à accéder à l'information et aux ressources d'une organisation.
B. FraserSite Security Handbook,
RFC 2196
Atelier technologique du 7 décembre 1999 : La politique de sécurité des systèmes d ’information
Politique de sécurité
• Qui sont les utilisateurs?
• Quels sont leurs privilèges
• Où se trouve l’information?
• Quelle information doit être protégée?
Atelier technologique du 7 décembre 1999 : La politique de sécurité des systèmes d ’information
Roue de la sécurité
Solution de sécurité intégrée globale, permettant à l’entreprise de minimiser et de gérer le risque
1) POLITIQUE SECURITE DE LA SOCIETE
2) CONCEVOIR / SECURISER
3) TESTER
4) SURVEILLER ET REPONDRE
5) GERER et AMELIORER
Atelier technologique du 7 décembre 1999 : La politique de sécurité des systèmes d ’information
La sécurité c’est…La sécurité c’est…
Central de surveillance
Serrures traditionnelles
gardien
Caméra de surveillance
Card KeyCard Key
Intrusion Detection Sensor
Intrusion Detection Sensor
Intrusion Detection SensorIntrusion Detection SensorIntrusion Detection Director
Scanner
PIX Firewall
IOS Firewall
CiscoSecure ACS
Atelier technologique du 7 décembre 1999 : La politique de sécurité des systèmes d ’information
Une gamme complète de produits de Sécurité : CiscoSecure
Une gamme complète de produits de Sécurité : CiscoSecure
Identification/autorisation et Identification/autorisation et intégrité des donnéesintégrité des données
• CiscoSecure IOS Integrated Solution
• CiscoSecure PIX Firewall
AuthentificationAuthentification• CiscoSecure ACS pour NT ou Unix
• Cisco Network Registrar
Solutions VPN et Solutions VPN et chiffrement IP-Sec chiffrement IP-Sec Audit Actif Audit Actif
• CiscoSecure Scanner
• CiscoSecure Intrusion Detection System
Politique de Sécurité Politique de Sécurité
• CiscoSecure Policy Manager
• CiscoSecure IP-Sec VPN Hardware Accelerator
• IOS
Atelier technologique du 7 décembre 1999 : La politique de sécurité des systèmes d ’information
AgendaAgenda
• Définir une politique de sécurité
• Les technologies de la sécurité
• Administration
• Sécurité des accès
• Intégrité des échanges
• Détection d’intrusion
• Evaluation de la vulnérabilité du réseau
Atelier technologique du 7 décembre 1999 : La politique de sécurité des systèmes d ’information
S ’adresser aux besoins actuels des S ’adresser aux besoins actuels des entreprisesentreprises
Voix / Images
ConsommateursPartenaires
Clients Sites distants
Applications en réseau
Connectivité d’entrepriseInternetIntranetExtranet
Concilier les performances, la disponibilité et la sécurité
Atelier technologique du 7 décembre 1999 : La politique de sécurité des systèmes d ’information
Commerce électronique:objectifs
Commerce électronique:objectifs
• Réduire les erreurs de saisie des commandes
• Augmenter le bénéfice net
• Améliorer le traitement des commandes
• Réduire les stocks
ServeursServeursexternesexternes
Util. Web/Util. Web/navigateurnavigateur
Clientset associés
InternetMfg.
Systèmesinternes
Saisie cdes
Assist.clients
Application transactionsécurisée
Pare-feuPare-feu
Atelier technologique du 7 décembre 1999 : La politique de sécurité des systèmes d ’information
ServeursServeursextérieursextérieurs
Util. Web /Util. Web /navigateurnavigateur
Clientset associés
InternetMfg.
Systèmesinternes
Saisie cdes
Assist.clients
Application transactionsécurisée
Commerce électronique:services réseau
Commerce électronique:services réseau
• Cacher les adresses internes• Filtrer et valider les informations de routage• Filtrage et pare-feu des privilèges des utilisateurs• Audit de mise en œuvre de la sécurité• Chiffrement des informations confidentielles• Surveillance active des intrusions
Pare-feuPare-feu
Atelier technologique du 7 décembre 1999 : La politique de sécurité des systèmes d ’information
Les éléments de la sécuritéLes éléments de la sécurité
Policy
• Identité
Identifier correctement les utilisateurs
Déterminer ce qu’ils ont le droit de faire
• Intégrité
Assurer la disponibilité du réseau
Etablir la sécurité périphérique
Assurer la confidentialité
• Audit actif
Déterminer les points faibles du réseau
Détecter et contrer les intrus
• Gestion de la politique
Gestion centralisée des services de sécurité
Atelier technologique du 7 décembre 1999 : La politique de sécurité des systèmes d ’information
IdentitéIdentité
• Identifier correctement et de manière unique les utilisateurs, les applications, les services et les ressources
Nom d’utilisateur/mot de passe, PAP, CHAP, serveur AAA, mot de passe à usage unique, RADIUS, TACACS+, Kerberos, MS-login, certificats , services d’annuaire, translation des adresses réseau
Atelier technologique du 7 décembre 1999 : La politique de sécurité des systèmes d ’information
Intégrité—Sécurité périphérique
Intégrité—Sécurité périphérique
• Contrôler l’accès aux applications, données et services de réseau critiques
Listes de contrôle d’accès, technologies firewall, chiffrement, filtrage du contenu, CBAC
Atelier technologique du 7 décembre 1999 : La politique de sécurité des systèmes d ’information
Importance d'un pare-feuImportance d'un pare-feu
• Permet un accès sécurisé aux ressources
• Protège les réseaux :
des intrusions commises par les sources externes et internes
des refus de service (Denial of Service - DoS)
Atelier technologique du 7 décembre 1999 : La politique de sécurité des systèmes d ’information
• Context-based access control (CBAC)
Filtrage sécurisé selon l'application
Supporte les protocoles avancés (H.323, SQLnet, RealAudio, etc.)
• Contrôle du téléchargement des applets Java
• Détection et prévention des refus de service
• Détection d’intrusion (IDS)• Authentication proxy• Alertes en temps réel• Journal des transactions TCP/UDP• Configuration et gestion
Cisco Secure Integrated SoftwareCisco Secure Integrated Software
Atelier technologique du 7 décembre 1999 : La politique de sécurité des systèmes d ’information
Network Address Translation
• Permet la translation dynamique ou statique d’adresses privées en adresses publiques
• Permet d’éviter la renumérotation• Permet d’économiser les adresses publiques (PAT)• Masque les adresses internes• Translation à la volée des requêtes DNS A et PTR
10.0.0.1
SA 10.0.0.1
Inside LocalInside LocalIP AddressIP Address
Inside GlobalInside GlobalIP AddressIP Address
10.0.0.110.0.0.110.0.0.210.0.0.2
171.69.58.80171.69.58.80171.69.58.81171.69.58.81
SA 171.69.58.8
Internet
Atelier technologique du 7 décembre 1999 : La politique de sécurité des systèmes d ’information
• Suit l'état et le contexte des connexions du réseau pour sécuriser le trafic
• Inspecte les données en entrée et/ou en sortie
• Permet l'établissement des connexions en ouvrant temporairement les ports en fonction de l'inspection des données
• Paquets de retour autorisés seulement pour des connexions particulières par une liste de contrôle d'accès temporaire
Qu'est-ce que le contrôle d'accès dépendant du contexte (CBAC) ?Qu'est-ce que le contrôle d'accès dépendant du contexte (CBAC) ?
Atelier technologique du 7 décembre 1999 : La politique de sécurité des systèmes d ’information
Cisco IOS:Filtrage de paquets
Serveur Finance
• Filtre par listes d’accès (ACL)
• Supporté par tous les routeurs Cisco
Agence Locale
J’ai besoin d’un rapport financier
Adresse Source/Destination Adresse Source/Destination Numéro de Port Numéro de Port
Type de Protocole Type de Protocole
Frame
RelayWAN
Backbone Campus
Atelier technologique du 7 décembre 1999 : La politique de sécurité des systèmes d ’information
IOS Firewall : statefull inspection
• Le routeur observe les connexions sortantes
• Crée dynamiquement des ACL entrantes pour les adresses IP et les N° de port
Source Port
TCP Header
IP HeaderDestination Addr
Source Addr
# 1
Intial Sequence#
Destination Port
Flag
Ack # 2 : permit tcp 200.150.50.111 192.34.56.8 eq telnet
200.150.50.111192.34.56.8
1026
23
49091
Syn
Atelier technologique du 7 décembre 1999 : La politique de sécurité des systèmes d ’information
Support d'applications du contrôle d'accès dépendant du contexte (CBAC)
de Cisco IOS• Support transparent pour les
services Internet courants TCP/UDP, dont :
WWW, Telnet, SNMP, finger, etc.
• FTP
• TFTP
• SMTP
• Blocage Java
• BSD R-cmds
• Oracle SQL Net
• Remote Procedure Call (RPC)
• Applications multimédia :
VDO Live de VDOnet
RealAudio de RealNetworks
InternetVideo Phone (H.323) d'Intel
NetMeeting (H.323) de Microsoft
Streamworks de Xing Technologies
CuSeeMe de Whitepine
Atelier technologique du 7 décembre 1999 : La politique de sécurité des systèmes d ’information
Inspect Port Command
Abandon du paquetAbandon du paquet
Requête HTTPRequête HTTP
Signature JavaSignature Java
RéponseRéponseserveurserveur
Req. comp. prog. JavaReq. comp. prog. Java
N
Pas signature Java—Laisser passerPas signature Java—Laisser passer
Inspect.Inspect.
Serveur WebClient Web
Blocage Java
Atelier technologique du 7 décembre 1999 : La politique de sécurité des systèmes d ’information
Evénements
Détection et prévention des attaques
Détection et prévention des attaques
• CBAC surveille les statistiques et conditions suivantes :
Total des demi-connexions
Taux de nouvelles connexions entrantes par minute
Temps mis pour l'établissement des connexions TCP
Comptage des paquets pour recherche de paquets syn dupliqués
Numéros de séquence des paquets
Atelier technologique du 7 décembre 1999 : La politique de sécurité des systèmes d ’information
Cisco IOS Firewall : alertes en temps réel
• Envoi de messages syslog à la console de gestion centrale en cas de détection d'activité suspecte
Alertes d'attaques de refus de service, d'attaques de commande SMTP ou refus d’applets Java
Alertes automatiques en cas d'activation de la prévention d'attaques
Alertes configurables par l'outil de gestion syslog
Atelier technologique du 7 décembre 1999 : La politique de sécurité des systèmes d ’information
Jeu de fonctions de Cisco IOS Firewall : journal de transactions
TCP/UDP
• Audit des transactions (CBAC audit_trail)
• Reconnaissance de la session et du port
• Exemple :
Sep 10 13:02:19 sifi-5 124: %FW-6-SESS_AUDIT_TRAIL: tcp session initiator (192.168.1.13:33192) sent 22 bytes—responder (192.168.129.11:25) sent 208 bytes
Sep 10 13:07:33 sifi-5 125: %FW-6-SESS_AUDIT_TRAIL: tcp session initiator (192.168.1.13:33194) sent 336 bytes—responder (192.168.129.11:25) sent 325 bytes
Atelier technologique du 7 décembre 1999 : La politique de sécurité des systèmes d ’information
Cisco IOS Firewall Feature Set
Intrus Routeur
Cisco 2500
Internet
• Intégré dans les routeurs : 8OO, 1600, 1700, 2500, 2600, 3600, et 7200
Backbone Campus
Atelier technologique du 7 décembre 1999 : La politique de sécurité des systèmes d ’information
Cisco PIX FirewallCisco PIX Firewall
• Pare-feu spécialisé
Appareil matériel/logiciel intégré
OS spécialisé
• Sécurité forte
Adaptive Security Algorithm (ASA)
Cut-through Proxy
Option réseau privé virtuel IPSec
• Performances
Plus de 256 000 sessions simultanées
Débit de plus de 170 Mbits/s
Plus de 6 500 connexions par seconde
N°1 des
ventes
mondiales
de pare-feu
N°1 des
ventes
mondiales
de pare-feu
Atelier technologique du 7 décembre 1999 : La politique de sécurité des systèmes d ’information
PIX 515
• Coût plus faible, caractéristiques PIX minimales
Pas de licence basée sur la session
• Châssis simple rack
Deux ports Ethernet 10/100 intégrés
64 Mo de RAM pour plus de 128.000 sessions simultanées
Conçu pour un petit bureau ou un environnement à applications simples
• Logiciel version 4.4
PIX 515-R
• 32 Mo
• Restrictions
Pas de failover automatique
Interfaces max. limitées
Ethernet seul
PIX 515-UR
• 64 Mo
• Pas de restrictions
Atelier technologique du 7 décembre 1999 : La politique de sécurité des systèmes d ’information
Principales caractéristiques de PIX
• Intégration d'HP OpenView
• Ethernet 10/100 Mbits/s, Token Ring 4/16 Mbits/s
• Authentification et autorisation d'interfaces multiples avec cut through proxy
• Supporte VPN (réseau privé virtuel)
Liaison privée : de LAN à LAN, DES
• Filtrage URL
• Blocage des applets Java
• Protection contre les refus de service
Mail Guard, DNS Guard, Flood Guard
• Failover automatique en cas de panne
Atelier technologique du 7 décembre 1999 : La politique de sécurité des systèmes d ’information
Principales caractéristiques de PIX
• Translation d'adresse
Port et adresse IP
• Protocoles multimédia
H.323 (NetMeeting, Internet VideoPhone, etc.)
Netshow, RealAudio, CUSeeMe, StreamWorks, VXtreme, etc.
• Oracle SQL*Net et autres bases de données
• Blocage URL
Intégration à WebSense
Architecture hautement évolutive
Base de données externe et traitement de recherche pour minimiser les effets sur les performances du pare-feu et la sécurité
Support de serveurs multiples pour plus de capacité
Atelier technologique du 7 décembre 1999 : La politique de sécurité des systèmes d ’information
Proxy Cut-Through =hautes performances
Utilisateur interne ou
externe
Ressource
1. Utilisateur fait une demande auprès de la ressource
2. PIX Firewall intercepte la connexion
3. PIX Firewall authentifie l'util. et vérifie la politique de sécurité
5. PIX Firewall connecte directement l'utilisateur à la ressource
4. PIX Firewall initie la connexion entre PIX et la ressource destinataire
CiscoSecure
PIX™
Atelier technologique du 7 décembre 1999 : La politique de sécurité des systèmes d ’information
AgendaAgenda
• Définir une politique de sécurité
• Les technologies de la sécurité
• Administration
• Sécurité des accès
• Intégrité des échanges
• Détection d’intrusion
• Evaluation de la vulnérabilité du réseau
Atelier technologique du 7 décembre 1999 : La politique de sécurité des systèmes d ’information
Architecture Cisco Secure Policy Manager
Architecture Cisco Secure Policy Manager
Policy Process:• Define• Enforce• Audit
DatabasePolicyServer(s)
PIXFirewalls
PolicyManager(s)
Perimeter SecurityPerimeter Security
Access Servers
AAA Server
Sensors
Directory
IDS & Directory ServicesIDS & Directory Services
Phase III
RoutersVPN
Clients
CertificateAuthority IPSec VPNsIPSec VPNs
Phase II
Phase I
Atelier technologique du 7 décembre 1999 : La politique de sécurité des systèmes d ’information
Cisco Secure Policy Manager Cisco Secure Policy Manager
• Gestion orientée politiques de sécurité des périmètres de sécurité réseau
• Gestion jusqu’à 100 Cisco PIX firewalls
• Basé Windows
• Architecture client-serveur
• rapports Web
38© 1999, Cisco Systems, Inc.
Cisco SecureCisco Secure
L’architecture de sécurité L’architecture de sécurité
38© 1999, Cisco Systems, Inc. www.cisco.fr
Atelier technologique du 7 décembre 1999 : La politique de sécurité des systèmes d ’information
Schéma du réseauSchéma du réseau
INSIDE OUTSIDE
DMZ
Windows NT
10.10.10.22600
10.1.6.1
10.1.6.3SUN
10.10.10.1
WWW Server172.10.12.10
172.10.11.2
172.10.11.1
PIX Firewall
172.10.12.1
10.10.10.10 36401720
192.10.11.2
192.10.11.1
192.10.10.1
192.10.10.10Windows 95
Atelier technologique du 7 décembre 1999 : La politique de sécurité des systèmes d ’information
L’architecture de sécuritéL’architecture de sécurité
INSIDE OUTSIDE
DMZ
ACS / CSPM
10.10.10.2
10.1.6.15Sensor
IPSEC 2600
10.1.6.1
10.1.6.3Director
10.10.10.1
WWW Server172.10.12.10
172.10.11.2
172.10.11.1
PIX Firewall
172.10.12.1
10.10.10.10 3640IPSEC 1720
192.10.11.2
192.10.11.1
192.10.10.1
192.10.10.10VPN Client
Scanner
Atelier technologique du 7 décembre 1999 : La politique de sécurité des systèmes d ’information
AgendaAgenda
• Définir une politique de sécurité
• Les technologies de la sécurité
• Administration
• Sécurité des accès
• Intégrité des échanges
• Détection d’intrusion
• Evaluation de la vulnérabilité du réseau
Atelier technologique du 7 décembre 1999 : La politique de sécurité des systèmes d ’information
Authentification, Autorisation, Accounting (AAA)
Outil logiciel d'application de la politique de sécurité
• AuthentificationVérifie l’identité—qui êtes-vous ?
• AutorisationConfigure l’intégrité— qu’avez- vous le droit de faire ?
• AccountingFacilite l’audit—qu’avez-vous fait ?
11 22 3344 55 6677
009988
11 22 3344 55 6677
009988
Atelier technologique du 7 décembre 1999 : La politique de sécurité des systèmes d ’information
CiscoSecure ACSCiscoSecure ACS
• Authentification, Autorisation, Accounting (AAA)
• Base de données centralisée
• Rapport d’activité
Visualisation des utilisateurs connectés et des essais infructueux.
Atelier technologique du 7 décembre 1999 : La politique de sécurité des systèmes d ’information
• Authentification centrale et autorisation utilisateurs distants
• RADIUS et TACACS+
• Permission heure du jour et jour de la semaine
• intégration serveur à jeton
CiscoSecure ACSCiscoSecure ACS
Atelier technologique du 7 décembre 1999 : La politique de sécurité des systèmes d ’information
Serveur AAA
ID/User ProfileID/User ProfileID/User ProfileID/User ProfileID/User ProfileID/User Profile
ID/User ProfileID/User ProfileID/User ProfileID/User ProfileID/User ProfileID/User Profile
• Lock and Key
ServeurAAA
Utilisateur mobile
Serveur d’accès réseaux
Campus
Utilisateur InternetGatewayRouter Firewall
Intercept Connections
Réseau Public
Internet
TACACS+
RADIU
S
TACACS+
RADIUS
Atelier technologique du 7 décembre 1999 : La politique de sécurité des systèmes d ’information
AgendaAgenda
• Définir une politique de sécurité
• Les technologies de la sécurité
• Administration
• Sécurité des accès
• Intégrité des échanges
• Détection d’intrusion
• Evaluation de la vulnérabilité du réseau
Atelier technologique du 7 décembre 1999 : La politique de sécurité des systèmes d ’information
Audit actif—Système de détection des intrusionsAudit actif—Système de détection des intrusions
• Détecte et réagit aux intrusions ou anomalies reconnues ou suspectées du réseau
Surveillance croisée, base de données des menaces et comportements suspects, infrastructure de communication, changements du contrôle d’accès
Atelier technologique du 7 décembre 1999 : La politique de sécurité des systèmes d ’information
Cisco Secure Intrusion Detection System
Cisco Secure Intrusion Detection System
• Architecture Evolutive
• Eléments CSIDS
Sensor
Director
• Haute Performance
Atelier technologique du 7 décembre 1999 : La politique de sécurité des systèmes d ’information
• Détection active des intrusions
Surveille le comportement des utilisateurs pendant qu'ils sont sur le réseau
Semblable aux gardes, cameras vidéo et détecteurs de mouvement qui protègent les chambres fortes
Cisco Secure Intrusion Detection System
Director
Sensor
Sensor
Atelier technologique du 7 décembre 1999 : La politique de sécurité des systèmes d ’information
Caractéristiques de CSIDS
• Arrête immédiatement les utilisations abusivesReconfiguration “sur-le-champ” des listes de contrôle d'accès du routeur Cisco pour écarter les intrus
• Technologie à la pointe de l'industrie
Installation et configuration rapides et aisées
Evolutivité, fonctionnement distribué
Hautes performances—Ethernet 100 Mbits/s, FDDI, Token Ring
Un moteur avancé détecte les attaques complexes (détournement de TCP, e-mail, spam )
• Exploite l'investissement réalisé dans le réseau Cisco
Surveillance et alarmes des syslogs sur les routeurs Cisco
Atelier technologique du 7 décembre 1999 : La politique de sécurité des systèmes d ’information
Architecture CSIDS
• Gestion des capteurs distants • Traitement des alarmes• Contrôle de configuration• Contrôle de signature
• Système expert • BD de signatures des
attaques • Détection des attaques• Génération des alarmes• Réponse• Un par segment réseau
Director
* Logiciel *
Sensor
* Appareil *
Comm
Atelier technologique du 7 décembre 1999 : La politique de sécurité des systèmes d ’information
• Hautes performancesEthernet, Fast Ethernet, 100BaseT, Token Ring, FDDI
Système d'exploitation robuste, fiable
• Plate-forme sécurisée
• Analyseur furtif de réseauAucune dégradation des performances du réseau
• Appareil "Plug-and-play" Pas de formation spéciale, pas d'ennuis (vs SW/HW)
Faible coût par rapport à la durée de vie du produit
Configuration par défaut disponible
Pas de licence—déplaçable à volonté
• Vérifie chaque paquet
CSIDS SensorCSIDS Sensor
Atelier technologique du 7 décembre 1999 : La politique de sécurité des systèmes d ’information
• GUI à orientation géographique
• BD sécurité du réseauInformations sur les attaques, liens autom., contre-mesures
Personnalisable
• Surveille des centaines de sensors
• Manager de configurationConfig. distante 'pointer-cliquer'
Mise à jour aisée des signatures
• Puissante capacité de signalisation
Solution évolutive par utilisation de directeurs hiérarchisés
applications third party (Telemate...)
• Capacités supplémentaires d'alarmes
Alertes pager, e-mail ...
CSIDS DirectorCSIDS Director
Atelier technologique du 7 décembre 1999 : La politique de sécurité des systèmes d ’information
MagiqueMagique
55© 1999, Cisco Systems, Inc.
Cisco SecureCisco Secure
Scanner Scanner
55Presentation_ID © 1999, Cisco Systems, Inc. www.cisco.fr
Atelier technologique du 7 décembre 1999 : La politique de sécurité des systèmes d ’information
Audit actif—Evaluation de la vulnérabilité du réseau
Audit actif—Evaluation de la vulnérabilité du réseau
• Evaluation et notification de l’état de sécurité des éléments du réseau
scanning (actif, passif), base de données de vulnérabilités
Atelier technologique du 7 décembre 1999 : La politique de sécurité des systèmes d ’information
Cisco Secure ScannerCisco Secure Scanner
• Identifie les attaques et les points de vulnérabilité du réseau d’entreprise et recommande des solutions
Atelier technologique du 7 décembre 1999 : La politique de sécurité des systèmes d ’information
Cisco Secure Scanner Cisco Secure Scanner
• Audit actif du profil de sécurité réseau
• Fournit l'expertise de sécurité aux non-experts
Atelier technologique du 7 décembre 1999 : La politique de sécurité des systèmes d ’information
Pourquoi un audit actif ?Pourquoi un audit actif ?
• Le pirate peut être un employé ou un partenaire ‘insoupçonnable’
Jusqu’à 80% des atteintes à la sécurité sont commises de l’intérieur (Source: FBI)
• La défense peut être inefficaceUne intrusion sur trois a lieu malgré la présence de pare-feu (Source: Computer Security Institute)
• Les employés peuvent se tromperErreur de configuration des pare-feu, serveurs, etc.
• Le réseau s’agrandit et changeChaque changement augmente les risques
Les firewalls, autorisations et chiffrements n’assurentpas la DETECTION de ces problèmes
Atelier technologique du 7 décembre 1999 : La politique de sécurité des systèmes d ’information
Comment fonctionne Cisco Secure ScannerComment fonctionne Cisco Secure Scanner
Découverte réseau
Actif
Test ping - Hôtes ID
Inactif
Test ports - Svcs ID
EmailSvr
WebSvr
Postesde travail
Pare-feu
Routeur
• SMTP• FTP
• HTTP• FTP
• Telnet
Analyse vulnérabilité passive
Analyse vulnérabilité active
Présentation &édition d'état
Réalisé contre hôtes cibles
Données découverte analysées par règles
Poste de travail :Windows NT v4.0•SMB Redbutton•FTP anonyme
Communiquerles résultats
FTP Bounce Exploit
Atelier technologique du 7 décembre 1999 : La politique de sécurité des systèmes d ’information
Caractéristiques de Cisco Secure ScannerCaractéristiques de
Cisco Secure Scanner
• Interface utilisateur intuitive
• Ordonnanceur
• Cartographie du réseauHôtes actifs
Services actifs
• Détection des équipementsPostes de travail, routeurs, pare-feu, imprimantes, etc.
Système d'exploitation avecnuméro de version
Système d'exploitation non-An 2000
• Identification de vulnérabilitéTechniques passives et actives
Vulnérabilité infrastructure et réseau
Non-intrusive
• Présentation innovante des données
• BD sécurité réseau
• Sortie d'états complets
62© 1999, Cisco Systems, Inc.
IPSEC: architecture
etsolutions Cisco
gilles [email protected]
IPSEC: architecture
etsolutions Cisco
gilles [email protected]
Atelier technologique du 7 décembre 1999 : La politique de sécurité des systèmes d ’information
AgendaAgenda
• Introduction à la terminologie et au techniques du chiffrement
• Introduction à IPSEC
• Architecture du protocole IPSEC
• Scénarios d’implémentation IPSEC
• Troubleshooting IPSEC
• Plateformes
• Management
Atelier technologique du 7 décembre 1999 : La politique de sécurité des systèmes d ’information
Qu’est ce que le chiffrement ?Qu’est ce que le chiffrement ?
• C’est la conversion de texte en clair (plaintext) en texte codé (ciphertext) par un algorithme prédéfini
• Généralement le ciphertext à la même longueur que le plaintext
• Souvent une clé est utilisée pour générer le ciphertext à partir d’un plaintext -
Atelier technologique du 7 décembre 1999 : La politique de sécurité des systèmes d ’information
Algorithme et clé
Une clé est un paramêtre utilisé par un algorithme de chiffrement pour chiffrer les données
Après chiffrement, soit la même clé (chiffrement symétrique) soit une clé complémentaire (algorithme asymétrique) est utilisée pour décrypter le ciphertext.
Atelier technologique du 7 décembre 1999 : La politique de sécurité des systèmes d ’information
Clé publique, clé privée
Une clé privée est une clé qui est seulement connue de celui qui la possède
Une clé publique est connue de tous mais appartient à un unique individu
Les données chiffrées avec ma clé publique peuvent uniquement être décryptée avec ma clé privée .
Les données chiffrées avec ma clé privée peuvent uniquement être décryptée avec ma clé publique .
Quand Alice envoie des données à Bob et ne veut pas que quelqu’un d’autre en prenne connaissance, elle chiffre avec la clé public de Bob puis chiffre le résultat avec sa propre clé privée. Bob reçoit le ciphertext, le decrypte avec la clé publique d’Alice (ce qui confirme que les données viennent bien d’Alice) et décrypte à nouveau avec sa propre clé privée.
Atelier technologique du 7 décembre 1999 : La politique de sécurité des systèmes d ’information
Confidentialité de l’algorithme versus key space
Confidentialité de l’algorithme versus key space
• Confidentialité de l’algorithme: Si le pirate ne connait pas l’algorithme il ne peut déchiffrer les données
• large key space: le pirate connait l’algorithme mais l’espace des clés est trop grand pour pouvoir trouver la clé et déchiffrer l’algorithme
• Le Key space pour un chiffrement de 56 bits est 2^56 soit 72 millions de milliards de clés
Atelier technologique du 7 décembre 1999 : La politique de sécurité des systèmes d ’information
Utilisation du chiffrement pour l’authentification: la signature numérique
Utilisation du chiffrement pour l’authentification: la signature numérique
AliceAlice
Message
HashHashFunctionFunction
Hash
Hash
Alice’s Private Key
recipient
Atelier technologique du 7 décembre 1999 : La politique de sécurité des systèmes d ’information
Decrypt the Received Signature
Public Key
Alice
Hash
Hash
Utilisation du chiffrement pour l’authentification: la signature numérique
Utilisation du chiffrement pour l’authentification: la signature numérique
MessageMessage
Message with
Appended Signature
Hash
Hash the Received Message
HashHashFunctioFunctio
nn
MesMes
sagesage
Hash???
Atelier technologique du 7 décembre 1999 : La politique de sécurité des systèmes d ’information
Le serveur de Certificats: Comment obtenir une clé publique en toute
sécurité ?
• Risque de l’attaque “man in the middle”, le pirate remplace une clé publique par sa propre clé publique
• Les Certificate authority (CA) servers sont utilisés pour certifier la validité et l’appartenance des clés publiques
• Le serveur CA peut vérifier une clé publique en envoyant cette clé signée par sa propre clé privée à la personne demandant la vérification.
Atelier technologique du 7 décembre 1999 : La politique de sécurité des systèmes d ’information
Processus de certificationProcessus de certification
InternetInternet
CA Server
Get signed Public key
for Bob from CA
Get signed Public key for Alice from CA
Alice Bob
Atelier technologique du 7 décembre 1999 : La politique de sécurité des systèmes d ’information
peer namepeer public keyexpiration dateother info
signature by the CA
Certificats
• Les certificats ne sont pas secrets
• structure ITU X.509 v3 ou PKCS#6 (S/MIME, SSL, EAP-TLS, …)
Atelier technologique du 7 décembre 1999 : La politique de sécurité des systèmes d ’information
AgendaAgenda
• Introduction à la terminologie et au techniques du chiffrement
• Introduction à IPSEC
• Architecture du protocole IPSEC
• Scénarios d’implémentation IPSEC
• Troubleshooting IPSEC
• Plateformes
• Management
Atelier technologique du 7 décembre 1999 : La politique de sécurité des systèmes d ’information
Qu’est-ce qu’IPSEC Qu’est-ce qu’IPSEC
• IPSEC pour IP Security
• Protocol de niveau 3 développé pour la securité
• “A security protocol in the network layer will be developed to provide cryptographic security services that will flexibly support combinations of authentication, integrity, access control, and confidentiality” (IETF)
Atelier technologique du 7 décembre 1999 : La politique de sécurité des systèmes d ’information
Pourquoi IPSEC?Pourquoi IPSEC?
• Etendre le réseau d’entreprise à travers l’Internet
• Mettre en place du business sur l’Internet
• Reduire le coût des accès distants
internet intranet
Atelier technologique du 7 décembre 1999 : La politique de sécurité des systèmes d ’information
Pourquoi IPSEC? (....)Pourquoi IPSEC? (....)
• Standard pour confidentialité , intégrité et authenticité
• Implémenté de façon transparente dans une infrastructure réseau
• Solution de sécurité de bout en bout (routeurs, firewalls, PCs, serveurs)
Atelier technologique du 7 décembre 1999 : La politique de sécurité des systèmes d ’information
AgendaAgenda
• Introduction à la terminologie et au techniques du chiffrement
• Introduction à IPSEC
• Architecture du protocole IPSEC
• Scénarios d’implémentation IPSEC
• Troubleshooting IPSEC
• Plateformes
• Management
Atelier technologique du 7 décembre 1999 : La politique de sécurité des systèmes d ’information
Architecture du protocole IPSEC
IPSEC est une combinaison de 3 protocoles (ESP, AH et IKE)
• Authentification - Intégrité - Confidentialité
• Authentication Header (AH)
• Encapsulating Security Payload (ESP)
• Internet key Exchange (IKE)
Atelier technologique du 7 décembre 1999 : La politique de sécurité des systèmes d ’information
Comment fonctionne IPSEC
IPSEC est implementé en 5 étapes:
• Décision d’utilisation IPSEC entre deux points sur l’Internet
• Configuration des deux gateways entre les deux end points pour supporter IPSEC
• Initiation d’un tunnel IPSEC entre les deux gateways pour le trafic intéressant
• Negociation des paramêtres IPSEC/IKE entre les deux gateways
• Passage du trafic chiffré
Atelier technologique du 7 décembre 1999 : La politique de sécurité des systèmes d ’information
IKE
• Internet key Exchange protocol– négociation des paramêtres du protocole
– échange clés (Diffie Hellman)
– authentification des deux cotés
– gestion des clés après échange
Atelier technologique du 7 décembre 1999 : La politique de sécurité des systèmes d ’information
IKE (....)IKE (....)
Alice’srouter
1. Paquet sortant de Alice vers Bob. sans IPSec SA
2. IKE Alice commence la negociation avec Bob’
IKE
3. Negociation terminée. Alice et Bob ont un jeu complet de SAs
IKEIKE TunnelIKE Tunnel
IPSecIPSec
Bob’s router
4. Paquet émis de Alice vers Bob protégé par SA IPSec
IPSecIPSec
Atelier technologique du 7 décembre 1999 : La politique de sécurité des systèmes d ’information
IDEA, SHA, et DSS Signatures
Algorithme de chiffrement, Algorithme d’authentification, et Méthode d’ Authentication
AliceAlice BobBob
3DES, MD5, et RSA Signatures, OUIDEA, SHA, et DSS Signatures, OUBlowfish, SHA, et RSA Encryption
IKE Policy TunnelIKE Policy Tunnel
Négociation IKENégociation IKE
Atelier technologique du 7 décembre 1999 : La politique de sécurité des systèmes d ’information
IKE a besoin de clé publique pour l’authentification
Les SA IPSEC doivent connaitre pour chaque peer- transform- clé
Cle publique alice Cle publique Bob
Pour authentifier IKE AlicePour authentifier IKE Bob
IKEIKE IKEIKE
protocole IPSEC: ESP, AHprotocole IPSEC: ESP, AH
Protocole IKEProtocole IKE
l
Alice Bob
Atelier technologique du 7 décembre 1999 : La politique de sécurité des systèmes d ’information
Echange des clés publiques
• Chaque peer:
génère sa paire de clés publique/privé
stocke sa clé privée dans un endroit sûr
transmet en clair sa clé publique
• celui qui reçoit la clé:
DOIT authentifer la clé reçue
Atelier technologique du 7 décembre 1999 : La politique de sécurité des systèmes d ’information
Echange de clés manuel
• Le processus a besoin d’une intervention humaine à chaque échange de clé
• non scalable: n peers => n*(n-1) échanges
key exchangeskey exchanges+ authentication+ authenticationkey exchangeskey exchanges+ authentication+ authentication
Atelier technologique du 7 décembre 1999 : La politique de sécurité des systèmes d ’information
Echange de clé automatique
• Certification Authority
• le peer doit prouver son authenticité devant le CA
• le CA signe le certificat
Atelier technologique du 7 décembre 1999 : La politique de sécurité des systèmes d ’information
Echange de clé automatique
• scalable: n peers => n authentification et n certificats
Certification Authority
automatic certificateautomatic certificate exchangesexchanges
automatic certificateautomatic certificate exchangesexchanges
authenticationsauthenticationsauthenticationsauthentications
Atelier technologique du 7 décembre 1999 : La politique de sécurité des systèmes d ’information
AH Authentication Header
IP header Auth. header other headers and payloads
IP header other headers and payloads secret key
Digital signature (RFC 1828 = MD5)
Datagramme IP d’origine
Datagramme IP authentifié
Atelier technologique du 7 décembre 1999 : La politique de sécurité des systèmes d ’information
ESPESP
• Encapsulating Security payload– Chiffrement du payload
– Transport du paquet sur IP
– Authentification de la source
Atelier technologique du 7 décembre 1999 : La politique de sécurité des systèmes d ’information
IPsec ESP Transport
IP header ESP header other headers and payloads
IP header other headers and payloads secret key
Datagramme IP d’origine
Datagramme IP avec transport ESP
chiffrement
Atelier technologique du 7 décembre 1999 : La politique de sécurité des systèmes d ’information
IPsec ESP Transport (.)
Utilisable de bout en bout, entre hosts
ESP Transport ‘tunnel’
Atelier technologique du 7 décembre 1999 : La politique de sécurité des systèmes d ’information
IPsec ESP Tunnel
new IP header
ESP header
IP header other headers and payloads
secret key
Datagramme IP d’origine
Datagramme IP avec tunnel ESP
chiffrement
IP header other headers and payloads
new IP header
Mouveau header IP
Atelier technologique du 7 décembre 1999 : La politique de sécurité des systèmes d ’information
IPsec ESP Tunnel (.)
Souvent entre routeurs ou Firewall pour VPN
ESP Transport ‘tunnel’
Sniffing impossible
Sniffing possibleSniffing possible
Atelier technologique du 7 décembre 1999 : La politique de sécurité des systèmes d ’information
IPsec ESP Tunnel (.)
Ou entre client et firewall/routerprincipalement VPDN
ESP Transport ‘tunnel’
Sniffing impossible
Sniffing possible
Atelier technologique du 7 décembre 1999 : La politique de sécurité des systèmes d ’information
Format du paquet ESPFormat du paquet ESP
Security parameter Index (SPI)
Sequence Number
Payload Data (variable length)
Padding (0-255 bytes)
Pad Length
Next header
Authentication Data
IP Header
encrypted Authentic-ated
Atelier technologique du 7 décembre 1999 : La politique de sécurité des systèmes d ’information
AgendaAgenda
• Introduction à la terminologie et au techniques du chiffrement
• Introduction à IPSEC
• Architecture du protocole IPSEC
• Scénari d’implémentation IPSEC
• Troubleshooting IPSEC
• Plateformes
• Management
Atelier technologique du 7 décembre 1999 : La politique de sécurité des systèmes d ’information
Scénari de design
Router vers Router
PC vers Router
Router vers Firewall
PC vers Firewall
`
une Router vers plusieurs
Atelier technologique du 7 décembre 1999 : La politique de sécurité des systèmes d ’information
Comment lire une configuration IPSEC
Routage du trafic vers l’interface de sortieRoutage du trafic vers l’interface de sortie
Si cette interfacea une crypto map configurée, aller vers cette crypto mapSi cette interfacea une crypto map configurée, aller vers cette crypto map
Aller à l’access list spécifiée dans la crypto mapAller à l’access list spécifiée dans la crypto map
Si le trafic matche l’access list alors négocier le tunnel IPSEC avec le peer spécifié dans la Si le trafic matche l’access list alors négocier le tunnel IPSEC avec le peer spécifié dans la crypto map basée sur le transform set et la politique ISAKMPcrypto map basée sur le transform set et la politique ISAKMP
Envoyer le trafic à travers le tunnelEnvoyer le trafic à travers le tunnel
Atelier technologique du 7 décembre 1999 : La politique de sécurité des systèmes d ’information
VPN Router vers Router
Encrypté
internet
172.16.1.30
100.126.125.53
172.21.1.30
100.126.125
Atelier technologique du 7 décembre 1999 : La politique de sécurité des systèmes d ’information
VPN Router vers Router VPN :Router 1
crypto isakmp policy 1 hash md5 authentication pre-share crypto isakmp key 123a34GDE1 address 100.126.125.54
crypto ipsec transform-set TACSet ah-md5-hmac esp-des
crypto map TACMap 1 ipsec-isakmp set peer 100.126.125.54 set security-association lifetime seconds 86400 set transform-set TACSet
match address 101 interface Ethernet0 description connected to EthernetLAN ip address 172.16.1.30 255.255.0.0 no ip directed-broadcast ip nat inside no ip route-cache no ip mroute-cache
interface ethernet1 description connected to Internet ip address 100.126.125.53 255.255.255.252 no ip directed-broadcast ip nat outside no ip route-cache no ip mroute-cache crypto map TACMap ip nat inside source route-map 16map pool CT16nat overload ip route 0.0.0.0 0.0.0.0 100.126.125.54
access-list 101 permit ip 172.16.0.0 0.0.255.255 172.21.0.0 0.0.255.255 access-list 116 deny ip 172.16.0.0 0.0.255.255 172.21.0.0 0.0.255.255 access-list 116 permit ip 172.16.0.0 0.0.255.255 any
route-map 16map permit 10 match ip address 116
(please not that we are not doing NAT for the traffic going to the IPSEC tunnel, but only to the rest of the internet)
1 2
Atelier technologique du 7 décembre 1999 : La politique de sécurité des systèmes d ’information
VPN Router vers Router VPN :Router 2
crypto isakmp policy 1 hash md5 authentication pre-share crypto isakmp key 123a34GDE1 address 100.126.125.53
crypto ipsec transform-set TACSet ah-md5-hmac esp-des crypto map TACMap 1 ipsec-isakmp set peer 100.126.125.53 set security-association lifetime seconds 86400 set transform-set TACSet match address 101 interface Ethernet0 description connected to EthernetLAN ip address 172.21.1.30 255.255.0.0 ip nat inside interface ethernet1 description connected to Internet ip address 100.126.125.54 255.255.255.252 ip nat outside crypto map TACMap
interface serial 1 description connected to Internet ip address 100.126.125.54 255.255.255.252 no ip directed-broadcast ip nat outside crypto map TACMap
ip nat pool 21nat 200.1.2.1 200.1.2.253 netmask 255.255.255.0 ip nat inside source route-map remote21 pool 21nat overload ip route 0.0.0.0 0.0.0.0 100.126.125.53 access-list 101 permit ip 172.21.0.0 0.0.255.255 172.16.0.0 0.0.255.255 access-list 121 deny ip 172.21.0.0 0.0.255.255 172.16.0.0 0.0.255.255 access-list 121 permit ip 172.21.0.0 0.0.255.255 any route-map remote21 permit 10 match ip address 121
3
4
Atelier technologique du 7 décembre 1999 : La politique de sécurité des systèmes d ’information
Router vers Router: clés rsaRouter vers Router: clés rsa
Encrypté
internet
50.50.50.50
20.20.20.21 20.20.20.20
60.60.60.60
Atelier technologique du 7 décembre 1999 : La politique de sécurité des systèmes d ’information
Router vers Router clé RSA config: Router 1
wan2511(config)#crypto key generate rsaThe name for the keys will be: wan2511.cisco.comChoose the size of the key modulus in the range of 360 to 2048 for yourGeneral Purpose Keys. Choosing a key modulus greater than 512 may takea few minutes. How many bits in the modulus [512]: Generating RSA keys …[OK]
wan2511#sh crypto key mypubkey rsa % Key pair was generated at: 00:09:04 UTC Mar 1 1993Key name: wan2511.cisco.comUsage: General Purpose KeyKey Data:305C300D 06092A86 4886F70D 01010105 00034B00 30480241 00E9007B E5CD7DC8 6E1C0423 92044254 92C972AD 0CCE9796 86797EAA B6C4EFF0 0F0A5378 6AFAE43B 3A2BD92F 98039DAC 08741E82 5D9053C4 D9CFABC1 AB54E0E2 BB020301 0001
wan2511#wan2511(config)#crypto key pubkey-chain rsa wan2511(config-pubkey-chain)#named-key wan2516.cisco.comwan2511(config-pubkey-key)#key-string Enter a public key as a hexidecimal number ....wan2511(config-pubkey)#$86F70D 01010105 00034B00 30480241 00DC3DDC 59885F14 wan2511(config-pubkey)#$D918DE FC7ADB76 B0B9DD1A ABAF4884 009E758C 4064C699 wan2511(config-pubkey)#$220CB9 31E267F8 0259C640 F8DE4169 1F020301 0001 wan2511(config-pubkey)#quitwan2511(config-pubkey-key)#^Zwan2511#wan2511#sh crypto key pubkey-chain rsa Key name: wan2516.cisco.comKey usage: general purposeKey source: manually enteredKey data:305C300D 06092A86 4886F70D 01010105 00034B00 30480241 00DC3DDC 59885F14 1AB30DCB 794AB5C7 82D918DE FC7ADB76 B0B9DD1A
1
2
Atelier technologique du 7 décembre 1999 : La politique de sécurité des systèmes d ’information
Router vers Route Router vers Router clé RSA config: Router
ABAF4884 009E758C 4064C699 3BC9D17E C47581DC 50220CB9 31E267F8 0259C640 F8DE4169 1F020301 0001wan2511#wr t hostname wan2511 ip host wan2516.cisco.com 20.20.20.20 ip domain-name cisco.com
crypto isakmp policy 1 authentication rsa-encr group 2 lifetime 240 crypto isakmp identity hostname
crypto ipsec transform-set auth2 ah-sha-hmac esp-des esp-sha-hmac
crypto map test 10 ipsec-isakmp set peer 20.20.20.20 set transform-set auth2 match address 133
crypto key pubkey-chain rsa named-key wan2516.cisco.com key-string
305C300D 06092A86 4886F70D 01010105 00034B00 30480241 00DC3DDC 59885F14 1AB30DCB 794AB5C7 82D918DE FC7ADB76 B0B9DD1A ABAF4884 009E758C 4064C699 3BC9D17E C47581DC 50220CB9 31E267F8 0259C640 F8DE4169 1F020301 0001 quit
interface Ethernet0 ip address 50.50.50.50 255.255.255.0
interface Serial0 ip address 20.20.20.21 255.255.255.0 encapsulation ppp no ip mroute-cache crypto map test
ip classless ip route 0.0.0.0 0.0.0.0 10.11.19.254 ip route 60.0.0.0 255.0.0.0 20.20.20.20 access-list 133 permit ip 50.50.50.0 0.0.0.255 60.60.60.0 0.0.0.255
3
4
Atelier technologique du 7 décembre 1999 : La politique de sécurité des systèmes d ’information
Router vers Router clé RSA config: Router 2
wan2516(config)#crypto key generate rsa The name for the keys will be: wan2516.cisco.comChoose the size of the key modulus in the range of 360 to 2048 for yourGeneral Purpose Keys. Choosing a key modulus greater than 512 may take a few minutes.How many bits in the modulus [512]: Generating RSA keys ...[OK]wan2516#sh crypto key mypubkey rsa% Key pair was generated at: 00:06:35 UTC Mar 1 1993Key name: wan2516.cisco.comUsage: General Purpose KeyKey Data:305C300D 06092A86 4886F70D 01010105 00034B00 30480241 00DC3DDC 59885F14 1AB30DCB 794AB5C7 82D918DE FC7ADB76 B0B9DD1A ABAF4884 009E758C 4064C699 3BC9D17E C47581DC 50220CB9 31E267F8 0259C640 F8DE4169 1F020301 0001wan2516(config)#crypto key pubkey-chain rsa wan2516(config-pubkey-chain)#named-key wan2511.cisco.comwan2516(config-pubkey-key)#key-string
Enter a public key as a hexidecimal number ....wan2516(config-pubkey)#$86F70D 01010105 00034B00 30480241 00E9007B E5CD7DC8 wan2516(config-pubkey)#$C972AD 0CCE9796 86797EAA B6C4EFF0 0F0A5378 6AFAE43B wan2516(config-pubkey)#$741E82 5D9053C4 D9CFABC1 AB54E0E2 BB020301 0001 wan2516(config-pubkey)#quitwan2516(config-pubkey-key)#^Zwan2516#sh crypto key pubkey rsaKey name: wan2511.cisco.comKey usage: general purposeKey source: manually enteredKey data:305C300D 06092A86 4886F70D 01010105 00034B00 30480241 00E9007B E5CD7DC8 6E1C0423 92044254 92C972AD 0CCE9796 86797EAA B6C4EFF0 0F0A5378 6AFAE43B 3A2BD92F 98039DAC 08741E82 5D9053C4 D9CFABC1 AB54E0E2 BB020301 0001
1
2
Atelier technologique du 7 décembre 1999 : La politique de sécurité des systèmes d ’information
Router vers Router clé RSA config: Router 2
wan2516#wr t hostname wan2516 ip host wan2511.cisco.com 20.20.20.21 ip domain-name cisco.com crypto isakmp policy 1 authentication rsa-encr group 2 lifetime 240 crypto isakmp identity hostname
crypto ipsec transform-set auth2 ah-sha-hmac esp-des esp-sha-hmac crypto map test 10 ipsec-isakmp set peer 20.20.20.21 set transform-set auth2 match address 144 crypto key pubkey-chain rsa named-key wan2511.cisco.com key-string 305C300D 06092A86 4886F70D 01010105 00034B00 30480241 00E9007B E5CD7DC8
6E1C0423 92044254 92C972AD 0CCE9796 86797EAA B6C4EFF0 0F0A5378 6AFAE43B 3A2BD92F 98039DAC 08741E82 5D9053C4 D9CFABC1 AB54E0E2 BB020301 0001 quit
interface Loopback0 ip address 70.70.70.1 255.255.255.0 no ip route-cache no ip mroute-cache
interface Ethernet0 ip address 60.60.60.60 255.255.255.0
interface Serial0 ip address 20.20.20.20 255.255.255.0 encapsulation ppp clockrate 2000000 crypto map test
ip default-gateway 20.20.20.21 ip classless ip route 0.0.0.0 0.0.0.0 20.20.20.21 access-list 144 permit ip 60.60.60.0 0.0.0.255 50.50.50.0 0.0.0.255
3
4
Atelier technologique du 7 décembre 1999 : La politique de sécurité des systèmes d ’information
Router vers Router: config CARouter vers Router: config CA
Encrypté
internet
40.40.40.40
12.12.12.13 12.12.12.12
20.20.20.20
CA Server
lab-isdn1 lab-isdn
Atelier technologique du 7 décembre 1999 : La politique de sécurité des systèmes d ’information
Router vers Router: config CA lab-isdn1
hostname lab-isdn1
ip host ciscoca-ultra 171.69.54.46
ip host lab-isdn 12.12.12.12
ip domain-name cisco.com
ip name-server 171.68.10.70
ip name-server 171.68.122.99 crypto ipsec transform-set mypolicy ah-sha-hmac esp-des esp-sha-hmac
crypto map test 10 ipsec-isakmp
set peer 12.12.12.12
set transform-set mypolicy
match address 144
crypto ca identity bubba
enrollment url http://ciscoca-ultra
crl optional crypto
ca certificate chain bubba certificate 3E1ED472BDA2CE0163FB6B0B004E5EEE 308201BC 30820166 A0030201 0202103E 1ED472BD A2CE0163 FB6B0B00 4E5EEE30
[Removed]
interface Ethernet0
ip address 40.40.40.40 255.255.255.0
Interface BRI0
ip address 12.12.12.13 255.255.255.0
encapsulation ppp
no ip mroute-cache
dialer idle-timeout 99999
dialer map ip 12.12.12.12 name lab-isdn 4724171
dialer hold-queue 40
dialer-group 1 isdn spid1 919472411800 4724118
isdn spid2 919472411901 4724119 1 2
Atelier technologique du 7 décembre 1999 : La politique de sécurité des systèmes d ’information
Router vers Router: CA config lab-isdn1 (....)
ppp authentication chap
crypto map test
ip classless ip route 0.0.0.0 0.0.0.0 12.12.12.12
access-list 144 permit ip 40.40.40.0 0.0.0.255
20.20.20.0 0.0.0.255
dialer-list 1 protocol ip permit
3
4
Atelier technologique du 7 décembre 1999 : La politique de sécurité des systèmes d ’information
Router vers Router: CA config lab-isdn
hostname lab-isdn
ip host ciscoca-ultra 171.69.54.46
ip host lab-isdn1 12.12.12.13
ip domain-name cisco.com
ip name-server 171.68.10.70
ip name-server 171.68.122.99
crypto ipsec transform-set mypolicy ah-sha-hmac esp-des esp-sha-hmac
crypto map test 10 ipsec-isakmp
set peer 12.12.12.13
set transform-set mypolicy match address 133
crypto ca identity lab enrollment url http://ciscoca-ultra
crl optional
crypto ca certificate chain lab certificate 44FC6C531FC3446927E4EE307A806B20 308201E0 3082018A A0030201 02021044
FC6C531F C3446927 E4EE307A 806B2030 0D06092A 864886F7 0D010104 05003042 31163014 06035504 0A130D43 6973636F 20537973 74656D73 3110300E 06035504 0B130744
[Removed]
interface Ethernet0
ip address 20.20.20.20 255.255.255.0
interface BRI0
ip address 12.12.12.12 255.255.255.0
no ip proxy-arp encapsulation ppp
no ip mroute-cache bandwidth 128
load-interval 30
dialer idle-timeout 99999 dialer hold-queue 40
dialer- group 1
1
2
Atelier technologique du 7 décembre 1999 : La politique de sécurité des systèmes d ’information
Router vers Router: CA config lab-isdn (....)
isdn spid1 919472417100 4724171
isdn spid2 919472417201 4724172
ppp authentication chap
crypto map test
ip classless ip route 0.0.0.0 0.0.0.0 12.12.12.13
access-list 133 permit ip 20.20.20.0 0.0.0.255
40.40.40.0 0.0.0.255 dialer-list 1 protocol ip permit
3
Atelier technologique du 7 décembre 1999 : La politique de sécurité des systèmes d ’information
Router vers Multiple routersRouter vers Multiple routers
Encrypté
internet
192.168.100.1
172.21.115.1 172.21.116.1
192.168.150.1
192.168.50.1
172.21.114.1
DetectiveFamous
Charlie
Atelier technologique du 7 décembre 1999 : La politique de sécurité des systèmes d ’information
Multiple Peers: Router ‘charlie’Multiple Peers: Router ‘charlie’hostname charlie
crypto isakmp policy 10 authentication pre-sharecrypto isakmp key orientexpress address 172.21.115.1 crypto isakmp key fortunecookie address 172.21.116.1
crypto ipsec transform-set encrypt-des esp-des
crypto map charlie2peer 10 ipsec-isakmp set peer 172.21.115.1 set transform-set encrypt-des match address 110crypto map charlie2peer 20 ipsec-isakmp set peer 172.21.116.1 set transform-set encrypt-des match address 111
interface ethernet 0 ip address 192.168.50.1 255.255.255.0
interface Ethernet1 ip address 172.21.114.1 255.255.255.0 crypto map charlie2peer
router eigrp 100 network 172.21.0.0 network 192.168.50.0
access-list 110 permit ip host 192.168.50.1 host 192.168.100.1access-list 111 permit ip host 192.168.50.1 host 192.168.150.1
1 2
Atelier technologique du 7 décembre 1999 : La politique de sécurité des systèmes d ’information
Multiple Peers: Router ‘famous’Multiple Peers: Router ‘famous’hostname famous
crypto isakmp policy 10 authentication pre-sharecrypto isakmp key orientexpress address 172.21.114.1
crypto ipsec transform-set encrypt-des esp-des
crypto map famous2peer 10 ipsec-isakmp set peer 172.21.114.1 set transform-set encrypt-des match address 101
interface ethernet0 ip address 192.168.100.1 255.255.255.0
interface Ethernet1 ip address 172.21.115.1 255.255.255.0 crypto map famous2peer
router eigrp 100 network 172.21.0.0 network 192.168.100.0
access-list 101 permit ip host 192.168.100.1 host 192.168.50.1
1 2
Atelier technologique du 7 décembre 1999 : La politique de sécurité des systèmes d ’information
Multiple Peers: Router ‘detective’Multiple Peers: Router ‘detective’hostname detective
crypto isakmp policy 10 authentication pre-sharecrypto isakmp key fortunecookie address 172.21.114.1
crypto ipsec transform-set encrypt-des esp-des
crypto map detective2peer 10 ipsec-isakmp set peer 172.21.114.1 set transform-set encrypt-des match address 110
interface ethernet0 ip address 192.168.150.1 255.255.255.0
interface Ethernet1 ip address 172.21.116.1 255.255.255.0 crypto map detective2peer
router eigrp 100 network 172.21.0.0 network 192.168.150.0
access-list 110 permit ip host 192.168.150.1 host 192.168.50.1
1 2
Atelier technologique du 7 décembre 1999 : La politique de sécurité des systèmes d ’information
Router vers PC ClientRouter vers PC Client
Encrypté
internet
10.10.1.1
200.200.200.1 200.200.200.100
Atelier technologique du 7 décembre 1999 : La politique de sécurité des systèmes d ’information
Router vers PC Client: Client Router vers PC Client: Client Policy Name: Cisco
Remote Party ID:ID: SubnetSubnet: 10.0.0.0Mask: 255.0.0.0
Connect Using Secure Gateway TunnelID Type: IP Address
200.200.200.1
My Identity: Certificate: NoneID type: IP AddressPre-shared Key: 12345678
Security Policy:Authentication (Phase 1):
Pre-shared KeyAuthentication Algorithm: DES
Hash Algorithm: SHA-1SA Life: UnspecifiedKey Group: DH-1Key Exchange (Phase 2)
ESPEncryption Algorithm:DES
Hash Algorithm: MD5Encapsulation: TunnelSA Life: Unspecified
1 2
Atelier technologique du 7 décembre 1999 : La politique de sécurité des systèmes d ’information
Router vers PC Client: RouterRouter vers PC Client: Routercrypto isakmp policy 2 authentication pre-sharecrypto isakmp key 12345678 address 200.200.200.100
crypto ipsec security-association lifetime kilobytes 100000
crypto ipsec transform-set esp-des esp-md5-hmac
crypto dynamic-map localmap 10 set transform-set esp-des-md5 match address 105
crypto map toPeer 30 ipsec-isakmp dynamic localmap
interface Ethernet0 ip address 200.200.200.1 255.255.255.0 crypto map toPeer
interface ethernet1 ip address 10.10.1.1 255.255.255.0
router rip network 10.0.0.0 network 200.200.200.0
access-list 105 permit ip 10.0.0.0 0.255.255.255 host 200.200.200.100
1 2
Atelier technologique du 7 décembre 1999 : La politique de sécurité des systèmes d ’information
AgendaAgenda
• Introduction à la terminologie et au techniques du chiffrement
• Introduction à IPSEC
• Architecture du protocole IPSEC
• Scénarii d’implémentation IPSEC
• Troubleshooting IPSEC
• Plateformes
• Management
Atelier technologique du 7 décembre 1999 : La politique de sécurité des systèmes d ’information
TroubleshootingTroubleshooting
– debug crypto ipsec
–debug crypto isakmp
–debug crypto engine
–show crypto isakmp sa
– show crypto ipsec sa
– sh crypto engine connections active
Atelier technologique du 7 décembre 1999 : La politique de sécurité des systèmes d ’information
Trace lors d’un fonctionnement correct
Trace lors d’un fonctionnement correct
irmg.cayman#sh debugCryptographic Subsystem: Crypto ISAKMP debugging is on Crypto Engine debugging is on Crypto IPSEC debugging is onirmg.cayman#pingProtocol [ip]:Target IP address: 10.146.1.1Repeat count [5]: 10Datagram size [100]:Timeout in seconds [2]:Extended commands [n]: ySource address or interface: 205.136.238.33Type of service [0]:Set DF bit in IP header? [no]:Validate reply data? [no]:Data pattern [0xABCD]:Loose, Strict, Record, Timestamp, Verbose[none]:Sweep range of sizes [n]:Type escape sequence to abort.Sending 10, 100-byte ICMP Echos to 10.146.1.1, timeout is 2 seconds: 1d09h: IPSEC(sa_request): ,
(key eng. msg.) src= 205.136.238.33, dest= 209.146.47.206, src_proxy= 205.136.238.0/255.255.255.0/0/0 (type=4), dest_proxy= 10.146.1.0/255.255.255.0/0/0 (type=4), protocol= ESP, transform= esp-des , lifedur= 3600s and 4608000kb, spi= 0x0(0), conn_id= 0, keysize= 0, flags= 0x40041d09h: ISAKMP (16): beginning Main Mode exchange1d09h: ISAKMP (16): processing SA payload. message ID = 01d09h: ISAKMP (16): Checking ISAKMP transform 1 against priority 1 policy1d09h: ISAKMP: encryption DES-CBC1d09h: ISAKMP: hash MD51d09h: ISAKMP: default group 11d09h: ISAKMP: auth pre-share.1d09h: ISAKMP (16): atts are acceptable. Next payload is 01d09h: Crypto engine 0: generate alg param 1d09h: CRYPTO_ENGINE: Dh phase 1 status: 01d09h: ISAKMP (16): SA is doing pre-shared key authentication
1 2
Atelier technologique du 7 décembre 1999 : La politique de sécurité des systèmes d ’information
Trace lors d’un fonctionnement correct
Trace lors d’un fonctionnement correct
1d09h: ISAKMP (16): processing KE payload. message ID = 01d09h: Crypto engine 0: generate alg param 1d09h: ISAKMP (16): processing NONCE payload. message ID = 01d09h: Crypto engine 0: create ISAKMP SKEYID for conn id 161d09h: ISAKMP (16): SKEYID state generated1d09h: ISAKMP (16): processing vendor id payload1d09h: ISAKMP (16): speaking to another IOS box!1d09h: generate hmac context for conn id 161d09h: ISAKMP (16): processing ID payload. message ID = 01d09h: ISAKMP (16): processing HASH payload. message ID = 01d09h: generate hmac context for conn id 161d09h: ISAKMP (16): SA has been authenticated with 209.146.47.2061d09h: ISAKMP (16): beginning Quick Mode exchange, M-ID of 1020082721d09h: IPSEC(key_engine): got a queue event...1d09h: IPSEC(spi_response): getting spi 207749755ld for SA from 209.146.47.206 to 205.136.238.33 for prot 3
1d09h: generate hmac context for conn id 161d09h: generate hmac context for conn id 161d09h: ISAKMP (16): processing SA payload. message ID = 1020082721d09h: ISAKMP (16): Checking IPSec proposal 11d09h: ISAKMP: transform 1, ESP_DES1d09h: ISAKMP: attributes in transform:1d09h: ISAKMP: encaps is 11d09h: ISAKMP: SA life type in seconds1d09h: ISAKMP: SA life duration (basic) of 36001d09h: ISAKMP: SA life type in kilobytes1d09h: ISAKMP: SA life duration (VPI) of 0x0 0x46 0x50 0x01d09h: ISAKMP (16): atts are acceptable.1d09h: IPSEC(validate_proposal_request): proposal part #1, (key eng. msg.) dest= 209.146.47.206, src= 205.136.238.33, dest_proxy= 10.146.1.0/255.255.255.0/0/0 (type=4), src_proxy= 205.136.238.0/255.255.255.0/0/0 (type=4), protocol= ESP, transform= esp-des , lifedur= 0s and 0kb, spi= 0x0(0), conn_id= 0, keysize= 0, flags= 0x4
3 4
Atelier technologique du 7 décembre 1999 : La politique de sécurité des systèmes d ’information
Trace lors d’un fonctionnement correct
Trace lors d’un fonctionnement correct
1d09h: ISAKMP (16): processing NONCE payload. message ID = 1020082721d09h: ISAKMP (16): processing ID payload. message ID = 1020082721d09h: ISAKMP (16): processing ID payload. message ID = 1020082721d09h: generate hmac context for conn id 161d09h: ISAKMP (16): Creating IPSec SAs1d09h: inbound SA from 209.146.47.206 to 205.136.238.33 (proxy 10.146.1.0 to 205.136.238.0 )1d09h: has spi 207749755 and conn_id 17 and flags 41d09h: lifetime of 3600 seconds1d09h: lifetime of 4608000 kilobytes1d09h: outbound SA from 205.136.238.33 to 209.146.47.206 (proxy 205.136.238.0 to 10.146.1.0 )1d09h: has spi 440535111 and conn_id 18 and flags 41d09h: lifetime of 3600 seconds1d09h: lifetime of 4608000 kilobytes1d09h: IPSEC(key_engine): got a queue event...1d09h: IPSEC(initialize_sas): , (key eng. msg.) dest= 205.136.238.33, src= 209.146.47.206,
dest_proxy= 205.136.238.0/255.255.255.0/0/0 (type=4), src_proxy= 10.146.1.0/255.255.255.0/0/0 (type=4), protocol= ESP, transform= esp-des , lifedur= 3600s and 4608000kb, spi= 0xC62027B(207749755), conn_id= 17, keysize= 0, flags= 0x41d09h: IPSEC(initialize_sas): , (key eng. msg.) src= 205.136.238.33, dest= 209.146.47.206, src_proxy= 205.136.238.0/255.255.255.0/0/0 (type=4), dest_proxy= 10.146.1.0/255.255.255.0/0/0 (type=4), protocol= ESP, .transform= esp-des , lifedur= 3600s and 4608000kb, spi= 0x1A420847(440535111), conn_id= 18, keysize= 0, flags= 0x41d09h: IPSEC(create_sa): sa created, (sa) sa_dest= 205.136.238.33, sa_prot= 50, sa_spi= 0xC62027B(207749755), sa_trans= esp-des , sa_conn_id= 171d09h: IPSEC(create_sa): sa created, (sa) sa_dest= 209.146.47.206, sa_prot= 50, sa_spi= 0x1A420847(440535111), sa_trans= esp-des , sa_conn_id= 18!!!!!!!!Success rate is 80 percent (8/10), round-trip
56
Atelier technologique du 7 décembre 1999 : La politique de sécurité des systèmes d ’information
Trace lors d’un fonctionnement correct
Trace lors d’un fonctionnement correct
min/avg/max = 180/185/205 msirmg.cayman#sh crypto engine conn ac ID Interface IP-Address State Algorithm Encrypt decrypt16 no idb no address set DES_56_CBC 0 017 Se0/0.1 205.136.238.33 set DES_56_CBC 0 818 Se0/0.1 205.136.238.33 set DES_56_CBC 8 0 irmg.cayman#sh crypto isa sa dst src state conn-id slot209.146.47.206 205.136.238.33 QM_IDLE 16 0 irmg.cayman#sh crypto ipsec sa interface: Serial0/0.1 Crypto map tag: charlie2peer, local addr. 205.136.238.33 local ident (addr/mask/prot/port): (205.136.238.0/255.255.255.0/0/0)
remote ident (addr/mask/prot/port): (10.146.1.0/255.255.255.0/0/0) current_peer: 209.146.47.206 PERMIT, flags={origin_is_acl,} #pkts encaps: 8, #pkts encrypt: 8, #pkts digest 0 #pkts decaps: 8, #pkts decrypt: 8, #pkts verify 0 #send errors 2, #recv errors 0 local crypto endpt.: 205.136.238.33, remote crypto endpt.: 209.146.47.206 path mtu 1500, media mtu 1500 current outbound spi: 1A420847 inbound esp sas: spi: 0xC62027B(207749755) transform: esp-des , in use settings ={Tunnel, } slot: 0, conn id: 17, crypto map: charlie2peer sa timing: remaining key lifetime (k/sec): (4607998/3455) IV size: 8 bytes replay detection support: Ninbound ah sas:
7 8
Atelier technologique du 7 décembre 1999 : La politique de sécurité des systèmes d ’information
Trace lors d’un fonctionnement correct
Trace lors d’un fonctionnement correct
outbound esp sas: spi: 0x1A420847(440535111) transform: esp-des , in use settings ={Tunnel, } slot: 0, conn id: 18, crypto map: charlie2peer sa timing: remaining key lifetime (k/sec): (4607999/3446) IV size: 8 bytes replay detection support: N outbound ah sas: irmg.cayman#sh ruBuilding configuration... Current configuration:
hostname irmg.cayman
crypto isakmp policy 1 hash md5 authentication pre-sharecrypto isakmp key orientexpress address 209.146.47.206crypto ipsec transform-set encrypt-des esp-des
9 10
crypto map charlie2peer local-address Ethernet0/0 crypto map charlie2peer 10 ipsec-isakmp set peer 209.146.47.206 set transform-set encrypt-des match address 110
interface Ethernet0/0 description connected to EthernetLAN ip address 205.136.238.33 255.255.255.224 no ip directed-broadcast no keepalive
interface Serial0/0 no ip address no ip directed-broadcast encapsulation frame-relay no ip route-cache no ip mroute-cache frame-relay lmi-type ansi!interface Serial0/0.1 point-to-point description connected to Internet ip unnumbered Ethernet0/0 no ip directed-broadcast no ip route-cache
Atelier technologique du 7 décembre 1999 : La politique de sécurité des systèmes d ’information
Trace lors d’un fonctionnement correct
Trace lors d’un fonctionnement correct
no ip mroute-cache bandwidth 64 frame-relay interface-dlci 16 IETF crypto map charlie2peer
ip classlessip route 0.0.0.0 0.0.0.0 Serial0/0.1
access-list 110 permit ip 205.136.238.0 0.0.0.255 10.146.1.0 0.0.0.255
11
Atelier technologique du 7 décembre 1999 : La politique de sécurité des systèmes d ’information
AgendaAgenda
• Introduction à la terminologie et au techniques du chiffrement
• Introduction à IPSEC
• Architecture du protocole IPSEC
• Scénarios d’implémentation IPSEC
• Troubleshooting IPSEC
• Plateformes
• Management
Atelier technologique du 7 décembre 1999 : La politique de sécurité des systèmes d ’informationServices Performance
VPN-Optimized RoutersVPN-Optimized Routers
• High density , modularity High density , modularity & flexibility& flexibility
• Scalable VPN ServicesScalable VPN Services
• For hybrid private/VPN For hybrid private/VPN environmentsenvironments
Cisco 7100 Series Cisco 7100 Series Integrated VPN RouterIntegrated VPN Router
• High-End, Focused High-End, Focused platformplatform
• Scalable VPN servicesScalable VPN services
• For Dedicated VPN For Dedicated VPN EnvironmentsEnvironments
Routeurs entreprise optimisés VPN
Branch
Core
De
nsi
ty
VPN Optimized RoutersCisco 7500
Cisco 7200 VXR
Cisco 7200
Cisco 3600
Cisco 2600
Cisco 1720
Cisco 800
DedicatedVPN
Cisco 7100 SeriesCisco 7100 SeriesVPN RouterVPN Router
Atelier technologique du 7 décembre 1999 : La politique de sécurité des systèmes d ’information
AgendaAgenda
• Introduction à la terminologie et au techniques du chiffrement
• Introduction à IPSEC
• Architecture du protocole IPSEC
• Scénarii d’implémentation IPSEC
• Troubleshooting IPSEC
• Plateformes
• Management
Atelier technologique du 7 décembre 1999 : La politique de sécurité des systèmes d ’information
Cisco Security ManagerCisco Security Manager
• Phase I: Gestion des Firewalls PIX . Gestion orientée politique de sécurité.
Disponible
• Phase II: Gestion des VPN et du chiffrement
IPSec, Routeurs IOS & IOS firewalls, Cisco VPN devices
Cisco Secure Policy Manager 2.x - (Q4 CY’99)
• Phase III: Gestion complète de la sécurité
Intégration : Directories, CiscoWorks2000, IDS, etc
Cisco Secure Policy Manager 3.x - (Q2 CY’00)
Atelier technologique du 7 décembre 1999 : La politique de sécurité des systèmes d ’information
Security Manager v1.0Security Manager v1.0
• Gestion orientée politiques de sécurité du périmètre de sécurité réseau
• Gestion jusqu’à 100 Cisco PIX firewalls
• Basé Windows
• Architecture client-serveur
• rapports Web
Atelier technologique du 7 décembre 1999 : La politique de sécurité des systèmes d ’information
Specification du Security Manager 1.0
Specification du Security Manager 1.0
• Policy ManagerWindow 95/98 ou NT 4.0
Service Pack 4 (File system NTFS )Internet Explorer 4.01
Policy serverWindows NT 4.0, SP 4Licences :
1 PIX, 10 PIXs, 100 PIXs
Atelier technologique du 7 décembre 1999 : La politique de sécurité des systèmes d ’information
Policy Enforcement Points
(i.e. network devices)Policy
Distribution
Policy Monitoring
Policy Server
IE 4.01
NS 4.x
Policy Server Policy Server FunctionsFunctions
Policy Manager Policy Manager FunctionsFunctions
PolicyPolicyReportingReporting
Network Network InfrastructureInfrastructure
PIX Firewall
Architecture : Security Manager
Architecture : Security Manager
Networks
ConfigPolicy
ReportReportGenerationGeneration
CentralPolicy
Database
PolicyPolicyGenerationGeneration
EventEventCollectionCollection
PolicyPolicyAdministrationAdministration
PIXPIXControl AgentControl Agent
Router
Cisco IOSCisco IOSControl AgentControl Agent
NetRanger Sensor
Directory
IDSIDSControl AgentControl Agent
Atelier technologique du 7 décembre 1999 : La politique de sécurité des systèmes d ’information
Positionnement : Security Manager v1.0
• Composant de sécuité de l’architecture CiscoAssure
• Complémente & coexiste avec QoS Policy Manager v1.0
• A terme, remplacement du PIX Firewall Manager (PFM)
Telecommuters
MobileUsers
Branch Offices
Enterprise Policy
Security & QoS
Campus
Partners
Atelier technologique du 7 décembre 1999 : La politique de sécurité des systèmes d ’information
Security Manager Création de la topologie
Security Manager Création de la topologie
• Première étape
• Wizards pour aide à la création de la topologie réseau
Network
Interface
Service
Atelier technologique du 7 décembre 1999 : La politique de sécurité des systèmes d ’information
Security Manager Définition des politiques
Security Manager Définition des politiques
• Créations des politiques en terme d’objectifs business
• Définition des politiques de bout en bout
• Indépendent du nombre de devices et de leurs emplacements
• Contrôle de cohérence
Atelier technologique du 7 décembre 1999 : La politique de sécurité des systèmes d ’information
Security Manager Mise en place des politiques
• Distribution des politiques à plusieurs PIXs simultanément
• Translation des politiques en configurations spécifiques aux devices
Atelier technologique du 7 décembre 1999 : La politique de sécurité des systèmes d ’information
Architecture Security ManagerArchitecture Security Manager
Policy Process:• Define• Enforce• Audit
DatabasePolicyServer(s)
PIXFirewalls
PolicyManager(s)
Perimeter SecurityPerimeter Security
Access Servers
AAA Server
NetRanger Sensors
Directory
IDS & Directory ServicesIDS & Directory Services
Phase III
RoutersVPN
Clients
Certificate
AuthorityIPSec VPNsIPSec VPNs
Phase II
Phase I
Atelier technologique du 7 décembre 1999 : La politique de sécurité des systèmes d ’information
Merci !!!Merci !!!
Atelier technologique du 7 décembre 1999 : La politique de sécurité des systèmes d ’information
CiscoSecure
Synthèse finale
Serveur WebFinanceIngénierie
Administrateur
Serveur e-mail
Commutateur groupe de
travail
Réseaude société Configurer
routeurConfigurer
routeur
Routeur
??????okok Internet
Bureau distantRouteur
Autorité de certification
Atelier technologique du 7 décembre 1999 : La politique de sécurité des systèmes d ’information
Routeur
PC distant
Utilisateur mobile
Bureau distant
Réseau de société
Etat de vulnérabilité
(( ((((
(( Routeur
Internet
IOS Firewall
Ingénierie Finance
Administrateur
Scanner
((
((
Autorité de certification
TUNNEL
TUNNEL
TUNNEL
SynthèseSynthèse
CiscoSecure
PIX FirewallCommutateur groupe travail
Atelier technologique du 7 décembre 1999 : La politique de sécurité des systèmes d ’information
Utilisateur mobile
Bureau distant
Commutateur groupe travail
Réseau de société
Sensor
Sensor
Sensor
Director
Routeur
Alerte !Alerte !
Internet
Ingénierie Finance
Administrateur
Autorité de certification
Synthèse finaleSynthèse finale
PIX Firewall
IOS Firewall
Scanner
CiscoSecure
Atelier technologique du 7 décembre 1999 : La politique de sécurité des systèmes d ’information
Utilisateur mobile
Bureau distant
Internet
Commutateur groupe travail
Réseau de société
Routeur
Mise à jourpolitique
Mise à jourpolitique
Ingénierie Finance
Administrateur
Manager de sécurité
Synthèse finaleSynthèse finale
Sensor
Sensor
Sensor
Director
PIX Firewall
IOS Firewall
Scanner
CiscoSecure
Atelier technologique du 7 décembre 1999 : La politique de sécurité des systèmes d ’information
ConclusionConclusion
• Vision globale de la sécurité:– un firewall ne suffit pas
– sécurité de bout en bout, interne et externe
– le niveau de la chaine de sécurité est celui du maillon le plus faible
• Administration centralisée
• Transparence de la solution mise en place– limitation des contraintes imposées aux utilisateurs
– faible impact en terme de performance
• Conservation de la maîtrise de la solution de sécurité
Atelier technologique du 7 décembre 1999 : La politique de sécurité des systèmes d ’information
Quelques URLs Cisco (1/2)Quelques URLs Cisco (1/2)
Security Overview
• http://www.cisco.com/warp/customer/778/security/
VPN Material
Enterprise http://www.cisco.com/warp/customer/779/largeent/learn/technologies/VPNs.html
Service Prov
• http://www.cisco.com/warp/customer/779/servpro/solutions/vpn/
Cisco Secure
• http://www.cisco.com/warp/customer/728/Secure/literature.shtml
PIX
• http://www.cisco.com/warp/customer/778/security/pix/pie_ds.htm
• http://www.cisco.com/warp/customer/778/security/pix/nat_wp.htm
Security Consulting
• http://www.cisco.com/warp/customer/778/security/scs/
Atelier technologique du 7 décembre 1999 : La politique de sécurité des systèmes d ’information
Quelques URLs Cisco (2/2)Quelques URLs Cisco (2/2)
IOS Firewall
• http://www.cisco.com/warp/customer/778/security/firewall/fire_ds.htm
IPSec
• http://www.cisco.com/warp/customer/732/Security/IPsec_wp.htm
NetSonar
• http://www.cisco.com/warp/customer/778/security/NetSonar/netso_ds.htm
NetRanger
• http://www.cisco.com/warp/customer/778/security/NetRanger/netra_ds.htm
Security Consulting
• http://www.cisco.com/warp/customer/778/security/scs/
Security Manager
• http://www.cisco.com/warp/customer/778/security/csm/
Atelier technologique du 7 décembre 1999 : La politique de sécurité des systèmes d ’information
Références produits tierce (1/2)Références produits tierce (1/2)
Certificate Authorities
• http://www.verisign.com/
• http://www.entrust.com/
Firewall Reporting
• http://www.opensystems.com
• http://www.telemate.net/
One Time Password Servers
• http://www.cryptocard.com/
• http://www.securitydynamics.com
URL Filtering
• http://www.netpartners.com/
Atelier technologique du 7 décembre 1999 : La politique de sécurité des systèmes d ’information
Références produits tierce (2/2)
Références produits tierce (2/2)
IPsec Clients
• http://www.ire.com/
• http://www.timestep.com/
• http://www.datafellows.com/
149© 1999, Cisco Systems, Inc. www.cisco.com
Merci!