Professional Documents
Culture Documents
Sommaire
Pourquoi Cisco ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1 Section 1 - VPN Rseaux privs virtuels (VPN) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .5 VPN site--site . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .5 VPN Cisco accs distant . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .10 Easy VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .16 Section 2 - FIREWALLS Firewalls . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .21 Cisco PIX Firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .21 Cisco IOS Firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .24 Section 3 - DETECTION DINTRUSION Dtection dintrusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .29 Systme de dtection dintrusion scuris Cisco . . . . . . . . . . . . . . . . . . . . . . . . . . .30 Section 4 - CONTROLE DACCES Contrle daccs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .37 Serveur de contrle daccs Cisco Secure ACS . . . . . . . . . . . . . . . . . . . . . . . . . . . .37 Section 5 - GESTION DE LA POLITIQUE DE SECURITE Administrer la scurit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .43 CiscoWorks VPN/Security Management Solution (VMS) . . . . . . . . . . . . . . . . . . . .43 Section 6 - PROGRAMME SECURITY ASSOCIATES Produits complmentaires Cisco Security Associates . . . . . . . . . . . . . . . . . . . . . . . .51 Section 7 - REPRESENTATION GRAPHIQUE DES SOLUTIONS Solutions pour les grandes entreprises . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .58 Solutions pour les entreprises de taille moyenne . . . . . . . . . . . . . . . . . . . . . . . . . . .59 Solutions pour les petites entreprises . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .60 Solutions pour les entreprises de la nouvelle conomie . . . . . . . . . . . . . . . . . . . . . .61 Solutions pour les fournisseurs de services . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .62 Section 8 - GLOSSAIRE Terminologie VPN et scurit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .65
Pourquoi Cisco ?
Pourquoi faire appel Cisco en matire de scurit et de rseaux privs virtuels ?
Depuis son origine, Cisco Systems a pour objectif de permettre ses clients de dvelopper leur activit en sappuyant sur des rseaux performants. Or un rseau non scuris noffre pas toutes les garanties ncessaires une entreprise pour le dveloppement de son activit, pire il peut mettre en pril lintgralit de lentreprise. Assurer la scurit des rseaux des entreprises, quelle que soit leur taille, est donc devenu un des objectifs majeurs de Cisco. Et qui mieux que le leader du march des solutions rseaux peut garantir la scurit, linteroprabilit et la cohrence des rseaux ? Fort de son expertise rseau, Cisco Systems a ainsi dvelopp la gamme de solutions de scurit et de rseaux privs virtuels (VPN) la plus complte du march. Reconnu comme le leader du march de la scurit, Cisco Systems propose aujourdhui ses clients et partenaires de bnficier des avantages suivants : Gamme de solutions : Cisco propose un large ventail de produits VPN et de scurit pour rpondre la diversit des problmatiques clients : firewalls, systmes de dtection dintrusion, concentrateurs VPN et routeurs et ce, quelle que soit leur taille et leur configuration. Leadership et expertise du secteur : selon le groupe dexperts IDC, les firewalls ddis de la gamme Cisco PIX, occupent aujourdhui la premire place du march mondial et, selon le cabinet Frost & Sullivan, il en est de mme pour le systme scuris de dtection dintrusion Cisco (IDS). De plus, les listes de contrle daccs Cisco (ACL) sont la technologie de scurit la plus largement utilise dans le monde, et le magazine Network Computing a lu le concentrateur Cisco VPN 3060 "Produit matriel de lanne". Assistance technique 7 j/7 et 24 h/24 : les produits de scurit et VPN Cisco bnficient du mme service dassistance technique performant que les autres quipements Cisco, comprenant un support 24 h/24. Les services dassistance et de maintenance Cisco incluent galement les outils, lexpertise et les ressources ncessaires linstallation, la maintenance et loptimisation rapides des produits de scurit et VPN Cisco de faon protger efficacement le rseau dentreprise.
Pourquoi Cisco ?
Interoprabilit garantie : Cisco vous garantit la compatibilit de tous ses produits VPN et de scurit. De plus, la compatibilit des produits tiers avec les produits Cisco est dsormais garantie par le test officiel et indpendant du programme Security Associates, et ne repose pas sur des slogans publicitaires ambigs. Formation et certification : au-del de son expertise technologique, Cisco Systems a dvelopp un programme complet de certification permettant ses partenaires de bnficier de son exprience et de devenir de vritables spcialistes de la scurit des rseaux Sensibilisation des Entreprises : La scurit des rseaux informatiques est un domaine qui touche lensemble de lentreprise, dirigeants comme employs. Quil sagisse de sensibiliser les directeurs informatiques sur la ncessit de dployer une vritable politique de scurit, ou les employs sur limportance de protger leurs outils de travail, Cisco Systems a dvelopp une gamme doutils de communication et de guides pour les informer sur lensemble des solutions mettre en uvre.
VPN
Section 1 VPN
Section 1 VPN
VPN
Rseaux privs virtuels (VPN)
Afin dassurer la scurit des connexions entre sites distants tout en utilisant le rseau public pour limiter les cots de communications, de plus en plus dentreprises dploient des rseaux privs virtuels. Les VPN ont deux applications principales : la connectivit site--site et la connectivit accs distant. Dans le schma ci-dessous illustrant un systme de scurit physique, les VPN sont compars des fourgons blinds, assurant la confidentialit et la scurit du transfert entre deux ou plusieurs entits dun rseau public. Cisco apporte une amlioration significative dans la gestion et le dploiement des VPN avec la fonctionnalit Cisco Easy VPN.
VPN site--site
Les VPN site--site sont un autre type dinfrastructure WAN (rseau tendu). Ils remplacent et amliorent les rseaux privs existants utilisant les lignes loues, les protocoles de relais de trame ou le mode ATM (mode de transfert asynchrone) pour connecter les sites distants et les succursales la ou aux maisons mres. Les VPN site-site ne modifient pas en profondeur les exigences des rseaux tendus privs, telles que la prise en charge des divers protocoles, une grande fiabilit ou une volutivit optimale. Au contraire, ils rpondent ces exigences tout en diminuant les cots inhrents ces infrastructures et en offrant une flexibilit accrue. Les VPN site--site peuvent utiliser les technologies de transport les plus rpandues aujourdhui, telles que le rseau public Internet ou les rseaux des fournisseurs daccs, via la tunnellisation et le cryptage afin dassurer la confidentialit des donnes et la qualit de service (QoS) pour la fiabilit du transport.
5
Produits Les VPN site--site sont plus performants sils utilisent les routeurs optimiss VPN Cisco. Ces derniers garantissent lvolutivit du systme face aux progrs continus du cryptage matriel. De plus, les routeurs VPN de Cisco intgrent les fonctions de routage, de scurit et de qualit de service inhrentes au logiciel IOS Cisco garantissant un dploiement VPN site--site scuris, volutif et fiable. Cisco a cr une large gamme de routeurs VPN pour permettre de rpondre aux diffrents besoins des configurations dentreprises, quelles souhaitent connecter des sites de 10 personnes ou de plus de 200 personnes et ce, quelle que soit la technologie utilise (ADSL).
Principaux avantages et fonctionnalits des solutions VPN Cisco Prise en charge de la tunnellisation et du cryptage en utilisant les protocoles standard du march, tels que IPsec (Internet Protocol Security), 3DES (Digital Encryption Standard 3) et AES. Primtre de scurit absolue du rseau priv virtuel, avec fonction de filtrage de session et dtection dintrusion assure par le logiciel Cisco IOS. Qualit de service sensible lapplication et gestion de la bande passante garantissant la fiabilit du transfert VPN.
VPN
Segment Micro-entreprise Vitesse Mode daccs VPN DSL avec interface Ethernet DSL avec modem DSL Jusqu 144 Kbits/sec RNIS DSL avec interfaces Ethernet DSL avec modem DSL Jusqu T1/E Jusqu T1/E1 double n x T1/E1 Produit SOHO 91 SOHO 97 Cisco srie 800 Cisco 831 Cisco 1710 Cisco 837 Cisco 1700 - WIC ADSL Cisco srie 1700 Cisco srie 2600XM Cisco srie 3600 Cisco srie 3700 Cisco 7120 Cisco srie 7100 Cisco srie 7200
PME
Succursale Filiale
Maison mre
Jusqu OC-3
Routage intgral jusqu la couche 3, y compris les protocoles de routage externes, tels que BGP (Border Gateway Protocol) pour laccs Internet ou au rseau priv virtuel. Diffrents interfaages avec le rseau local (LAN) ou tendu (WAN) pour laccs Internet ou au rseau priv virtuel et la connectivit du rseau local. La solution VPN de Cisco offre les avantages suivants : Solution VPN globale avec intgration des priphriques : les solutions VPN site-site de Cisco regroupent dans un quipement unique toutes les fonctions essentielles aux dploiements VPN scuriss, volutifs et fiables. Ainsi, les architectures de rseaux sont simplifies et linvestissement total limit. La plupart des offres concurrentes disponibles sur le march sont dautant plus complexes quelles ncessitent lutilisation de plusieurs quipements pour mettre en uvre une solution VPN site--site globale. Evolutivit des performances : grce une gamme tendue de routeurs optimiss VPN, Cisco rpond tous les cas de figures en matire de dploiement VPN, quelle quen soit la taille, avec une ligne RNIS ou OC-3.
VPN
Pourquoi mettre en uvre ce produit ? Les VPN site--site permettent de mettre niveau, moindre cot, les architectures multi-points utilisant le rseau commut limit en bande passante et gnralement obsoltes, employes par la plupart des chanes de magasins, les tablissements financiers et les rseaux dagences. La mise niveau vers un VPN vous permet de distribuer un accs Internet et des applications Web depuis leurs emplacements. Les VPN site--site tendent le WAN moindre cot et en toute scurit vers des entits non desservies, telles que des filiales internationales, des succursales et des partenaires commerciaux (extranet). Les solutions VPN site--site de Cisco, totalement intgres et composes dun quipement unique, peuvent tre dployes et configures en toute simplicit. Types de rseaux Tous les types. La gamme tendue des routeurs optimiss VPN de Cisco permet de rpondre tous les types de dploiement, quel que soit le mode daccs au rseau. Mise en uvre Ces routeurs peuvent tre installs la limite physique du rseau tendu (WAN) ou en aval, gnralement au niveau de la couche daccs Internet. Equipements associs/ncessaires la mise en uvre Pour suivre lvolution de la technologie du cryptage, certains routeurs Cisco (Cisco sries 1700, 2600, 3600, 7100 et 7200) sont quips de cartes supplmentaires dacclration du cryptage. Chacune de ces plate-formes offre des interfaces LAN et WAN modulaires adaptables aux exigences de chaque site. Aucun quipement supplmentaire nest ncessaire pour faire fonctionner le routeur.
Pour de plus amples informations sur les solutions VPN site--site de Cisco : www.cisco.com/go/evpn
10
VPN
Principaux avantages et fonctionnalits Dploiement et utilisation simplifis : le concentrateur Cisco VPN srie 3000 est conu de manire sintgrer linfrastructure du rseau sans quaucune modification ne soit ncessaire. Il sadapte galement au protocole RADIUS (Remote Access DialIn User Service) existant, aux serveurs de domaine NT et 2000 ou aux serveurs Security Dynamics ACE. Cette grande souplesse dauthentification propose une interface didentification visuelle semblable celle dont vous disposiez en utilisant directement le rseau commut. En outre, il nest plus ncessaire de crer une seconde base de donnes dauthentification. Si larchitecture nen prvoit pas, le concentrateur Cisco VPN srie 3000 dispose dun serveur dauthentification intgr, permettant didentifier les utilisateurs. Le concentrateur Cisco VPN srie 3000 est compatible avec Cisco VPN 3000 Client, Microsoft Windows 2000 L2TP/IPsec Client ou PPTP (protocole de tunnellisation point--point), vous garantissant ainsi une flexibilit optimale. Performances et volutivit : le concentrateur Cisco VPN srie 3000 fournit le niveau de performances le plus lev du march. La plate-forme prend actuellement en charge un dbit des donnes cryptes 3DES maximal de 100 Mbits/sec, et jusqu 10 000 tunnels simultans. Pour augmenter le dbit des donnes cryptes, vous pouvez ajouter au concentrateur Cisco VPN srie 3000 des modules SEP ( traitement volutif du cryptage) bass sur un ASIC ddi. Scurit : le concentrateur Cisco VPN srie 3000 prend totalement en charge un certain nombre de systmes dauthentification, tels que RADIUS, lidentification de domaine Microsoft NT/2000, RSA SecurID et les certificats numriques. De plus, le concentrateur Cisco VPN srie 3000 peut tre gr en toute scurit laide de SSL (Secure Sockets Layer) ou via telnet scuris. Haute disponibilit : le concentrateur Cisco VPN srie 3000 est une plate-forme stable avec un temps moyen entre les pannes (MTBF) suprieur 200 000 heures (soit plus de 22 ans). Lquipement est muni de sous-systmes redondants (ventilateurs, alimentations, modules SEP) et de fonctionnalits dquilibrage de charges et VRRP (Virtual Router Redundancy Protocol) assurant un temps de fonctionnement optimal. Grce aux fonctions de surveillance tendues du concentrateur Cisco VPN srie 3000, les administrateurs rseau connaissent ltat du systme en temps rel et reoivent des avertissements sans dlai.
11
Nb dutilisateurs
Type de cryptage Logiciel SEP pris en ch. Dbit crypt maximum Mmoire (Mo) Alimentation redondante 0 4 Mbits/sec
32 Non
64 En option
128 En option
12
VPN
Q. Comment les concentrateurs Cisco VPN srie 3000 intgrent-ils le cryptage ? Les ressources du systme sont-elles affectes ? Est-ce volutif ? R. Les concentrateurs Cisco des sries 3005 et 3015 procdent au cryptage au niveau logiciel. Les concentrateurs Cisco milieu et haut de gamme des sries 3030, 3060 et 3080 utilisent les modules SEP pour exploiter leurs fonctions de cryptage. Lutilisation dun quipement ddi, de type SEP, les sries 3030, 3060 et 3080 peuvent prendre en charge un grand nombre de tunnels crypts et sadapter sans que les performances globales du systme nen soient affectes. Q. Quelles sont les caractristiques de haute disponibilit ou de tolrance aux pannes des concentrateurs VPN Cisco ? R. Les concentrateurs Cisco VPN srie 3000 prennent en charge les modules SEP, les alimentations et les ventilateurs redondants. De plus, ils intgrent le protocole VRRP pour assurer la redondance et le basculement multi-chssis, ainsi quun mcanisme dquilibrage de charge entre concentrateurs. Q. Quest-ce que la tunnellisation fractionne ? Est-elle prise en charge par les concentrateurs VPN Cisco ? R. La tunnellisation fractionne garantit un accs scuris aux donnes de lentreprise tout en offrant un accs direct Internet via les ressources du FAI (allgeant ainsi laccs Internet du rseau interne lentreprise). Ladministrateur active et contrle la prise en charge de la tunnellisation fractionne via le concentrateur. Q. Le VPN Cisco Client srie 3000 fonctionne-t-il lorsque des dispositifs quips de NAT/PAT (Network/Port Address Translation) sont installs ? R. Oui. Une intervention de l'utilisateur est ncessaire pour faire fonctionner le NAT/PAT de manire transparente avec le concentrateur VPN Cisco srie 3000. Un administrateur peut centraliser le contrle lorsquun utilisateur doit employer IPsec ou NAT/PAT Transparent IPsec. Si le NAT/PAT Transparent IPsec est activ pour un utilisateur spcifique, une ngociation est automatiquement enclenche et la transmission des donnes via le NAT/PAT peut aboutir. Pourquoi mettre en uvre ce produit ? Grce aux connexions Internet accs distant de qualit professionnelle via le concentrateur VPN Cisco srie 3000, vous ralisez des conomies sans prcdent, bnficiez dune flexibilit et dune fiabilit ingales pour un excellent niveau de performances. La mise en uvre du concentrateur VPN Cisco srie 3000 est une alternative rentable aux serveurs distants numrotation directe. Il permet aux entreprises de rduire le nombre dappels longue distance et doublier les problmes lis leur modem. Les personnes en dplacement, travaillant distance ou effectuant des heures supplmentaires remplacent les appels longue distance par des appels locaux via des modems cble ou ADSL pour accder leur FAI.
13
14
VPN
Pour de plus amples informations sur les concentrateurs VPN et Client Cisco : www.cisco.com/go/evpn
15
16
VPN
Questions-rponses Q. Quest-ce que Cisco Easy VPN Remote ? R. Pour les connexions distantes, Cisco Easy VPN Remote permet aux routeurs et aux quipements de scurit dtablir et de maintenir un tunnel VPN sur un quipement de terminaison Cisco Easy VPN Server sans avoir faire de configuration complexe sur le site distant. Q. Quest-ce que Cisco Easy VPN Server ? R. Cisco Easy VPN Server accepte les appels entrants des quipements Cisco Easy VPN Remote et des clients logiciels VPN et sassure que les rgles de connexion sont jour avant la mise en place du tunnel VPN. Q. Quels feature sets du logiciel Cisco IOS incluent la fonctionnalit Cisco Easy VPN Remote ? R. Tous les feature sets avec une image IP Security (IPSec), c'est--dire DES et 3DES, incluent la fonctionnalit Cisco Easy VPN Remote. Q. Combien de tunnels supporte Cisco Easy VPN Remote ? R. Cisco Easy VPN Remote supporte un tunnel jusqu lquipement de terminaison VPN. Q. Combien de tunnels supporte Cisco Easy VPN Server ? R. Cisco Easy VPN Server supporte autant de tunnels que la plateforme dans laquelle il tourne.
17
Easy VPN
Pourquoi mettre en uvre ce produit ? Car toutes les entreprises souhaitant dployer et administrer des VPNs site--site ou accs distant peuvent bnficier de la simplicit de configuration et dinstallation des VPNs grce aux fonctionnalits Cisco Easy VPN Remote et Cisco Easy VPN Server. Types de rseaux Tous les types. Les fonctionnalits Cisco Easy VPN sappuient sur les gammes de routeur, de firewall et concentrateur VPN qui sadaptent tous les types de rseau. Mise en uvre Les communications Cisco Easy VPN Remote sont ralises avec les extensions IKE (Internet Key Exchange), connues sous le nom de Mode-Config. Les attributs ModeConfig sont dlivrs par lquipement de terminaison VPN central. En poussant les paramtres aux clients, les changements dadresses (adresses temporaires sur connexion ADSL par exemple) peuvent tre grs facilement car chaque site distant peut obtenir les mises jour lors de linitiation du tunnel VPN. Les paramtres pousss sont ladresse IP interne, le subnet mask interne, ladresse du serveur DHCP, ladresse du serveur WINS et les informations du split tunneling. Equipements associs/ncessaires la mise en uvre Pour Cisco Easy VPN Remote : routeurs Cisco 800, uBR900, et Cisco 1700, firewall PIX 501. Pour Cisco Easy VPN Remote : routeurs uBR900, Cisco 1700, Cisco 2600XM, Cisco 3600, Cisco 7100 et Cisco 7200, concentrateurs VPN 3000 et firewalls PIX.
18
FIREWALLS
Section 2 FIREWALLS
Section 2 FIREWALLS
Firewalls
Firewalls
Un firewall est une solution mise en place dans une architecture rseau afin de renforcer la politique de scurit de lentreprise et de restreindre laccs aux ressources du rseau. Le schma ci-dessous illustrant un systme de scurit physique compare le firewall un verrou bloquant laccs un primtre ou lentre dun btiment. Seuls certains utilisateurs (dtenant une cl ou un badge) sont autoriss entrer.
21
March Micro-entreprise Nb utilisateurs par licence 10 ou 50 Nb max de tunnels VPN 5 Taille (RU) <1 Processeur 133 RAM (MB) 16 Max. 1 10BaseT Interfaces + switch 4 ports 10/100 Redondance Non Dbit texte clair (Mbps) 10 Dbit 3DES 3
*Utilisant une carte acclratrice VPN
Principaux avantages et fonctionnalits Scurit : Cisco PIX Firewall utilise un systme dexploitation scuris ddi la protection du routeur et des rseaux. La plupart des autres firewalls non Cisco reposant sur de gros systmes dexploitation gnralistes destins diverses fonctions, sont, par consquent, plus vulnrables aux menaces provenant dInternet. Performances : le PIX prend en charge plusieurs fois la capacit des routeurs concurrents et assure un niveau de scurit sans gal, avec un impact minimum sur les performances du rseau. Stabilit : le PIX tant ddi un objectif unique, la scurit, il est particulirement stable. La stabilit est un point essentiel pour un dispositif dune telle importance dans larchitecture du rseau. Le temps moyen entre les dfaillances d'un PIX est suprieur six ans. Evolutivit : les plate-formes PIX sont disponibles dans de nombreux formats afin de sadapter parfaitement aux divers contextes possibles, de la PME ou succursale au sige social. Toutes les plate-formes PIX sont quipes du mme logiciel et utilisent les mmes solutions de gestion, disposant ainsi dune volutivit et dune intgration optimales. Installation et maintenance simplifies : Cisco a cr Pix Device Manager, un utilitaire web intgr et scuris pour configurer simplement et graphiquement votre firewall. VPN conforme aux normes : la fonctionnalit VPN selon les normes IPsec compte parmi les fonctions de scurit du PIX Firewall. Outre ses performances hors de commun, le PIX est dot des fonctions VPN site--site et accs distant.
22
Firewalls
Questions-rponses Q. Quel est limpact du Cisco PIX Firewall sur les performances du rseau ? R. Aucun rseau ntant identique un autre, il est difficile de quantifier limpact du firewall dune manire globale et prcise. Toutefois, les performances du rseau sont peu voire pas affectes. Le PIX ne ralentit pas le trafic et traite les paquets de donnes le plus rapidement possible. En conclusion, il affecte moins les performances du rseau que les autres dispositifs de firewall. Q. Le PIX est-il un serveur filtrant ou un serveur proxy ? R. Le PIX utilise une technologie de filtrage de session, ainsi que linteraction avec les applications en cours, et offre les avantages des deux approches. En revanche, les utilisateurs du PIX ne subissent aucun des inconvnients des serveurs proxy, tels que des performances limites et une configuration complexe. Cisco PIX Firewall est rput pour assurer une scurit inviolable et une fiabilit sans faille pour une base client consquente. Pourquoi mettre en uvre ce produit ? Les firewalls sont des dispositifs de scurit classiques installs sur les rseaux. Si le rseau de lentreprise se connecte un rseau public comme Internet, celle-ci doit tre quipe de firewalls. Les performances du rseau tant cruciales pour le bon fonctionnement de lentreprise, Cisco PIX Firewall saura parfaitement assurer la scurit des donnes sans ralentir pour autant leur transfert grce son systme de fonctionnement ddi et de codage scuris garantissant une scurit et une disponibilit absolues. Types de rseaux La gamme PIX tant disponible dans de nombreux formats, ce produit peut sadapter tous les types de rseaux. Mise en uvre Le PIX est mis en place au niveau des passerelles du rseau. Il est gnralement install sur le primtre du rseau, entre le rseau et lintranet dune autre entreprise ou le rseau public Internet. Equipements associs/ncessaires la mise en uvre Aucun quipement supplmentaire nest ncessaire au bon fonctionnement de ce produit. Pour la gestion de plusieurs units, reportez-vous la section "Gestion de la scurit". Pour de plus amples informations sur Cisco PIX Firewall : www.cisco.com/go/pix
23
24
Firewalls
Questions-rponses Q. Quel est limpact de Cisco IOS Firewall sur les performances du rseau ? R. Dans la plupart des cas, Cisco IOS Firewall a un faible impact sur le routeur. Pour minimiser encore cet impact, il est conseill dajouter un processeur ou des modules de mmoire au routeur. Q. Cisco IOS Firewall propose-t-il autant de fonctions de scurit que les versions matrielles ddies ? R. Les dispositifs ddis proposent sans doute des fonctions de scurit plus compltes dans leur domaine dapplication spcifique ; par contre, les solutions intgres, telles que Cisco IOS Firewall, ont davantage de fonctions rseau. Un rseau quip dune passerelle VPN ddie, dun firewall ddi et dun systme IDS ddi, coupl un routeur, offrent plus de fonctions et de meilleures performances un prix bien suprieur celui dun routeur quip de Cisco IOS Firewall. Cisco IOS Firewall est une solution intgre dote de toutes les fonctionnalits dun routeur Cisco, ainsi quune fonction supplmentaire de scurit dans plusieurs domaines (cryptage, application dun firewall et systme IDS). Pourquoi mettre en uvre ce produit ? Les firewalls sont des dispositifs de scurit classiques installs sur les rseaux. Si la stabilit et la scurit sont des critres essentiels au bon fonctionnement du rseau de lentreprise, installez autant de firewalls que ncessaire. Cisco IOS Firewall tend la scurit au-del dun primtre physique autour du rseau et la garantit moindre cot. Des points de contrle de scurit installs sur le rseau assurent une scurit globale et optimale du rseau. Quil sagisse de diriger le trafic via une petite, une moyenne ou une grande passerelle, un PIX alli IOS Firewall vous fournissent les solutions firewalls idales. PIX est un firewall ddi, extrmement rapide et particulirement fiable. IOS Firewall fonctionne avec le routeur en tout point du rseau, garantissant ainsi une solution flexible et peu onreuse. Pour la plupart des rseaux, linstallation de systmes de firewalls ddis et intgrs en diffrents points du rseau permet dassurer une scurit optimale. Types de rseaux Ce produit convient tous les types de rseaux car il est propos sur une gamme tendue de routeurs, des plate-formes Cisco srie 800 aux Cisco srie 7500, ainsi que sur certains commutateurs.
25
26
DETECTION DINTRUSION
Dtection dintrusion
Dtection d'intrusion
La plupart des entreprises continue mettre en place des firewalls comme moyen de protection principal afin d'empcher les utilisateurs non autoriss d'accder leurs rseaux. Toutefois, la scurit rseau s'apparente beaucoup la scurit "physique", dans la mesure o une seule technologie ne peut rpondre tous les besoins, mais qu'une dfense plusieurs niveaux donne les meilleurs rsultats. Les entreprises se tournent de plus de plus vers des technologies de scurit supplmentaires, pour se protger des risques et vulnrabilits auxquels les firewalls ne peuvent faire face. Les solutions IDS (Intrusion Detection System) pour rseaux garantissent une surveillance du rseau permanente. Ces systmes analysent le flux de paquets de donnes du rseau, la recherche de toute activit non autorise, telle que les attaques menes par les pirates informatiques (hackers), permettant de ce fait d'y remdier rapidement. Lorsqu'une activit non autorise est dtecte, un systme IDS peut envoyer une console de gestion des alertes accompagnes d'informations dtailles concernant l'activit suspecte. Un IDS peut galement ordonner d'autres quipements, tels que des routeurs, d'arrter les sessions non autorises. Dans l'exemple de scurit physique illustr ci-dessous, les solutions IDS sont l'quivalent des camras vido et des dtecteurs de mouvement. Ces systmes dtectent les activits non autorises ou suspectes et sont associs des systmes de rponse automatique, tels que les sentinelles, pour mettre un terme l'activit incrimine.
29
Systme de dtection dintrusion scuris Cisco Systme de dtection d'intrusion scuris Cisco
Cisco Systems propose deux systmes de dtection dintrusion complmentaires : les HIDS (Host Intrusion Detection Systems). Ces sondes host-based sinsrent entre les applications et le cur du systme dexploitation pour protger des applications ou des serveurs critiques. Le host sensor Cisco permet de dtecter des attaques connues, mais galement protge dattaques non encore connues en empchant un appel malicieux (non autoris) au systme dexploitation, offrant ainsi une prvention contre les attaques futures. les NIDS (Network Intrusion Detection Systems). Ces sondes rseau en temps rel peuvent tre dployes dans de nombreux environnements rseau sensibles, des institutions financires majeures aux environnements militaires secret dfense. La gamme Cisco Secure IDS est compose de sondes et d'une console de gestion centrale. Les sondes totalement indtectables de l'intrieur comme de l'extrieur de par la technologie -furtive- utilise, dtectent toute activit non autorise sur le rseau, rpondent ces vnements en mettant un terme la session incrimine et envoient une alerte la console de gestion centrale. La console de gestion IDS (IDS Event Viewer ou VMS) offre une prsentation visuelle des alarmes et comprend un utilitaire de configuration distante du systme ainsi quune fonctionnalit unique offerte aux rseaux quips de routeurs d'accs Cisco : le "shunning" autrement appel reconfiguration dynamique des listes de contrle d'accs (ACL) des routeurs, directement par la sonde de dtection d'intrusion lors d'vnements ncessitant une telle action". Cisco est le fabricant d'IDS leader du march selon le cabinet d'analystes Frost & Sullivan. Le kit sonde Cisco Secure IDS comprend les lments suivants : Carte de dtection d'intrusion pour Catalyst 6000 IDS. Sondes IDS ddies. Fonctionnalit IDS intgre au firewall Cisco IOS et PIX Firewall. Le kit de gestion Cisco Secure IDS comprend les lments suivants : Security Monitor (VMS). IEV (gratuit, intgr aux sondes). Partenaires cosystme IDS.
30
Dtection dintrusion
Principaux avantages et fonctionnalits Gamme de sondes : Cisco offre la plus vaste gamme de sondes du march. Des applications rseau ddies aux cartes de lignes IDS pour commutateurs Catalyst en passant par les fonctionnalits IDS intgres au logiciel IOS de Cisco, l'ensemble de ces produits permet de rpondre aux besoins de chaque entreprise. Technologie intgre : Cisco est idalement plac pour intgrer sa technologie IDS, leader du march, aux quipements rseaux, tels que les routeurs et les commutateurs. Technologie avance : en associant son savoir-faire reconnu en matire de rseau et de sondes, Cisco dveloppe rapidement des produits la pointe de la technologie en matire de dtection d'intrusion. Evolutivit importante : Cisco Secure IDS est conu pour pouvoir tre dploy dans des environnements trs diffrents, des PME aux grandes entreprises. Visibilit rseau : la technologie Cisco offre une trs grande "visibilit" permettant d'observer le flux de donnes du rseau en temps rel et de dtecter toute activit non autorise.
31
32
Dtection dintrusion
Q. A quelle frquence les signatures d'attaques doivent-elles tre mises jour ? R. Les signatures des sondes et des cartes de lignes Catalyst 6000 IDS sont mises jour deux fois par mois, ou dans un dlai plus court si des vnements relatifs la scurit l'exigent. Q. Comment utiliser IDS dans un environnement commut ? R. La carte de dtection d'intrusion pour Catalyst 6000 IDS est dote d'une sonde matrielle s'insrant facilement dans le chssis du Catalyst 6000/6500. La carte de dtection d'intrusion pour IDS traite le trafic directement partir du fond de panier du commutateur. Pour les autres modles de commutateurs, les sondes peuvent tre connectes un analyseur de ports commuts (SPAN) ou un port miroir. Q. O les sondes doivent-elles tre installes ? R. Les sondes sont gnralement installes au niveau des connexions Internet, extranet, serveur d'accs distant et dans les centres vitaux de traitement de l'information des entreprises. Il est conseill d'installer les sondes au niveau de tous les quipements rseau ncessitant une protection. Q. Les sondes affectent-elles les performances du rseau ? R. Les sondes Cisco Secure IDS et la carte de dtection d'intrusion pour Catalyst 6000 IDS n'affectent pas du tout les performances du rseau. Elles fonctionnent de manire passive et traitent des copies de paquets, la manire des "sniffeurs" rseau. Le firewall Cisco IOS affecte les performances du routeur car il utilise le processeur principal et la mmoire de celui-ci. Pourquoi mettre en uvre ce produit ? Ce produit permet d'observer le flux de paquets de donnes sur le rseau et de dterminer les menaces pouvant affecter le rseau. Il complte d'autres dispositifs de scurit (les firewalls et les VPN par exemple) afin de garantir une architecture rseau scurise. Les firewalls travaillent principalement sur la couche rseau et transport de la pile OSI (Open System Interconnection). L'acceptation ou le rejet du trafic se base sur les informations relatives l'adresse ou au port (application) utilis par le trafic concern. La charge utile est rarement inspecte par les firewalls, tandis que le Cisco Secure IDS inspecte le contenu du trafic la recherche de signatures de dbordements de pile (buffer overflow), d'interruptions de service et d'autres types d'attaques. Le Cisco Secure IDS combin des firewalls reprsente une solution solide, complmentaire et intgre.
33
Pour de plus amples informations sur le systme de dtection d'intrusion scuris Cisco : www.cisco.com/go/ids
34
CONTROLE DACCES
Contrle daccs
Contrle d'accs
Les serveurs de contrle d'accs dterminent les personnes autorises accder un rseau et les services qu'elles peuvent utiliser. Ils ont en mmoire un profil comprenant les informations d'authentification et d'autorisation relatives chaque utilisateur. Les informations d'authentification valident l'identit des utilisateurs et les informations d'autorisation dterminent les lments accessibles. Par analogie un systme de scurit physique, les serveurs de contrle d'accs sont quivalents aux badges d'accs, aux cls et aux gardiens responsables de la scurit.
37
38
Contrle daccs
Questions-rponses Q. Pourquoi aurais-je besoin d'un Cisco Secure ACS ? R. Cisco Secure ACS offre une structure de gestion des services AAA commune l'utilisateur et aux entits charges de protger et de surveiller les accs utilisateurs et entits sur le rseau. Q. Et qu'en est-il de Cisco Secure ACS pour UNIX ? R. Cisco vend sparment un produit pour Cisco Secure ACS sous UNIX, labor partir d'un code diffrent (prsentant d'autres fonctionnalits, telles que les bases de donnes utilisateurs, une interface utilisateur graphique [GUI], etc.). Nous conseillons aux utilisateurs destinant Cisco Secure ACS un environnement UNIX de considrer la solution Cisco Access Registrar. Ce produit offre une solution AAA hautes performances dote d'une grande capacit d'extension et adapte aux environnements UNIX. Pourquoi mettre en uvre ce produit ? Pour les socits dsireuses de matriser l'authentification et l'autorisation des utilisateurs et des entits, Cisco Secure ACS constitue un lment cl pouvant tre utilis simultanment avec des serveurs d'accs commut, des routeurs et des firewalls. Grce la compatibilit du logiciel Cisco IOS avec les protocoles RADIUS et TACACS+, toutes les entits d'un rseau peuvent tre paramtres pour communiquer avec un ACS. Une socit ou un fournisseur de services peut alors centraliser le contrle des accs commuts. Types de rseaux Principalement aux rseaux d'entreprise ayant besoin de contrler les accs utilisateurs et de vrifier les utilisateurs et les administrateurs du rseau. Cisco Secure ACS prend en charge diffrentes infrastructures Cisco (Cisco 1700, 2600, 3600, 7200 et 7500 par exemple), ainsi que PIX Firewall. Cisco Secure ACS permet d'authentifier les utilisateurs en vrifiant s'ils figurent sur les bases de donnes utilisateurs de Windows 2000, de Cisco Secure ACS, d'ODBC (Open Database Connectivity), de NDS (Novell Domain Server) ou sur une base de donnes de serveur de carte jeton.
39
40
44
45
46
47
Pour de plus amples informations sur CiscoWorks VPN/Security Management Solution (VMS) : www.cisco.com/go/vms
48
Authentification Le systme CRYPTOCard CRYPTOAdmin complte l'ACS CiscoSecure pour assurer des services d'identification volus intgrant, par exemple, des mots de passe usage unique afin d'amliorer la scurit au niveau de l'authentification. Les systmes RSA Security ACE/Server et RSA Security ACE/SecurID scurisent l'accs aux produits Cisco en relation avec l'ACS CiscoSecure, assurant ainsi des services centraliss d'authentification deux cls. Secure Computing SafeWord est associ avec l'ACS CiscoSecure pour scuriser les transactions d'e-business l'aide de services d'authentification, d'autorisation et de vrification.
51
52
53
54
Les reprsentations graphiques des solutions Cisco exposes dans cette section vous donnent les bases permettant de dvelopper les produits et technologies Cisco en fonction du type d'entreprise. Ces produits et technologies vous permettent de raliser des transactions d'e-business en toute scurit, grce une stratgie de dfense en profondeur.
Cette section prsente des exemples schmatiss de solutions de scurit de rseau pour les types d'entreprises suivants :
Grandes entreprises, Entreprises de taille moyenne, Petites entreprises, Entreprises de la nouvelle conomie, Fournisseurs de services.
57
58
59
60
61
62
GLOSSAIRE
Section 8 GLOSSAIRE
Section 8 GLOSSAIRE
Glossaire
Terminologie VPN et scurit A
AAA (Authentication, authorization, and accounting) : Elments de scurit gnralement utiliss pour offrir un accs scuris aux ressources : Authentication (Authentification) : validation de l'identit d'un utilisateur ou d'un systme (hte, serveur, commutateur ou routeur). Authorization (Autorisation) : moyen permettant d'accorder l'accs un rseau un utilisateur, un groupe d'utilisateurs, un systme ou un programme. Accounting (Gestion) : processus permettant d'identifier l'auteur ou la cause d'une action spcifique, tel que le pistage des connexions d'un utilisateur et la journalisation des utilisateurs du systme. Analyse de risque : Processus comprenant l'identification des risques en matire de scurit, leur impact et l'identification des zones ncessitant une protection. Attaque par interruption de service (DoS) : Action malveillante visant empcher le fonctionnement normal de tout ou partie d'un rseau ou d'un systme hte. Cette attaque peut tre compare une personne qui composerait sans arrt le mme numro de tlphone pour saturer cette ligne. Attaque SMURF (camouflage) : Attaque malveillante consistant envoyer un grand nombre de paquets ping "spoofs" vers des adresses broadcast, afin d'amplifier le nombre de paquets par la rponse vers les adresses "spoofes". Cette technique offre des possibilits de saturation exponentielles, selon le nombre d'htes rpondant la requte. Autorit de certification (CA) : Entit de confiance charge de signer les certificats numriques et d'attester de l'identit d'autres utilisateurs autoriss.
65
66
Glossaire
Concentrateur VPN : Plate-forme matrielle permettant la mise en place de connexions rseaux prives bouten-bout via une infrastructure rseau publique et offrant un accs distant ou une connectivit site site. Confidentialit des donnes : Moyen permettant de garantir que seules les entits autorises peuvent voir les paquets de donnes dans un format intelligible. Processus de protection des donnes d'un rseau contre l'espionnage ou l'altration. Dans certains cas, la sparation des donnes l'aide de technologies de tunnellisation, telles que GRE (generic routing encapsulation) ou le L2TP (Layer 2 Tunneling Protocol), offre une confidentialit des donnes efficace. Toutefois, il est parfois ncessaire d'augmenter la confidentialit l'aide de technologies de cryptage numrique et de protocoles tels que Ipsec, en particulier lors de la mise en uvre de VPN. Contrle d'accs : Limitation du flux de donnes des ressources d'un systme uniquement vers les personnes, programmes, processus autoriss ou vers d'autres systmes du rseau. Les ensembles de rgles de contrle d'accs des routeurs Cisco sont appeles listes de contrle d'accs ou ACL. Contrle de la scurit : Procdure de scurisation du rseau au moyen de tests rguliers et de SPA (Security Posture Assessments). Cryptage : Codage des donnes empchant leur lecture par une autre personne que le destinataire prvu. De plus, les donnes sont uniquement lisibles aprs avoir t correctement dcryptes. Cryptographie : Science de l'criture et de la lecture de messages cods.
67
EH
En-tte d'authentification : En-tte IPsec permettant de vrifier que le contenu d'un paquet n'a pas t modifi pendant le transport. Filtrage : Recherche dans le trafic rseau de certaines caractristiques, telles que l'adresse source, l'adresse de destination ou le protocole, afin de dterminer, selon les critres dfinis, si le trafic de donnes concern est accept ou bloqu. Filtrage de paquets : Mcanisme de contrle paquet par paquet du trafic routable. GRE (Generic Routing Encapsulation) : Protocole de tunnellisation dvelopp par Cisco permettant d'encapsuler des paquets utilisant de nombreux protocoles diffrents dans des tunnels IP, afin de crer un lien point point virtuel entre des points distants et des routeurs Cisco via un rseau IP. Hack : Mthode utilise pour obtenir l'accs illgal et non autoris un rseau, en vue de drober des documents ou des donnes confidentielles ou par simple dmonstration technique. HSRP (Hot Standby Router Protocol) : Permet aux stations de travail utilisant IP de communiquer sur l'interrseau mme si leurs routeurs par dfaut sont indisponibles. Ce protocole garantit une disponibilit leve du rseau et un changement de topologie rseau totalement transparent.
68
Glossaire
IJ
Identit : Identification prcise des utilisateurs, htes, applications, services et ressources du rseau. Les nouvelles technologies, telles que les certificats numriques, les cartes puces, les services rpertoire jouent un rle de plus en plus important dans les solutions d'identification. IDS (Intrusion Detection System) : Sentinelle de scurit en temps rel (semblable un dtecteur de mouvement) protgeant le primtre du rseau, les extranets et les rseaux internes de plus en plus vulnrables. Les systmes IDS analysent le flux de donnes du rseau la recherche de signatures d'attaques ou d'activits considres comme non autorises, dclenchent l'alarme et lancent les actions ncessaires face cette activit. IETF (Internet Engineering Task Force) : Organisme de normalisation responsable de la conception de protocoles pour Internet. Les publications mises par l'IETF s'intitulent des RFC (Request for Comments). Intgrit : Moyen permettant de garantir que les donnes n'ont pas t modifies, si ce n'est par les personnes explicitement autorises le faire. Le terme "intgrit du rseau" signifie qu'aucun service ou aucune activit contraire la politique de scurit n'est permise. Intgrit des donnes : Processus permettant de garantir que les donnes n'ont pas t modifies ou dtruites lors du transport via le rseau. IP (Internet Protocol) : Protocole bas sur l'utilisation de paquets permettant l'change de donnes via des rseaux informatiques. IPsec : Ensemble de normes de scurit offrant des services de confidentialit et de d'authentification au niveau de la couche IP (Internet Protocol). ISAKMP (Internet Security Association and Key Management Protocol) : Protocole de gestion de cls pour IPsec. Ce protocole, ncessaire la mise en uvre complte de IPsec, est galement appel IKE (Internet Key Management).
69
70
Glossaire
NSA (National Security Agency) : Agence gouvernementale amricaine charge de contrler et de dcoder toutes les communications manant de pays trangers et susceptibles de concerner la scurit des Etats-Unis.
P
PAP (Password Authentication Protocol) : Protocole d'authentification permettant des postes PPP de s'authentifier les uns auprs des autres. Le routeur distant qui effectue une tentative de connexion sur le routeur local doit envoyer une requte d'authentification. Contrairement CHAP, PAP ne crypte pas le mot de passe et le nom d'hte ou d'utilisateur. PAP dtermine si un mot de passe est valide ou non. Firewall : Systme matriel ou logiciel utilis pour contrler le trafic de donnes entre deux rseaux. Primtre de scurit : Primtre dans lequel des contrles de scurit sont effectus afin de protger les quipements rseau. Ping : Commande permettant de dterminer la prsence et l'tat de fonctionnement d'un autre systme. Ping of Death (Ping de la mort) : Attaque par interruption de service (DoS) consistant en l'envoi d'un paquet ping de taille surdimensionne, dans le but d'entraner le blocage de la machine rceptrice lors de la tentative de rassemblage du paquet de donnes surdimensionn. PKI (Public Key Infrastructure) : Infrastructure de gestion de cls offrant un environnement sr et fiable. Politique de scurit : Ensemble de directives de haut niveau permettant de contrler le dploiement des services rseau. La maintenance et l'audit du rseau font galement partie de la politique de scurit.
71
R
RADIUS (Remote Access Dial-In User Service) : Protocole dvelopp par Livingston Enterprises Inc., utilis comme protocole d'authentification et de gestion de serveur d'accs. Rinitialisation TCP : Rponse possible une attaque de hacker d'une sonde Cisco Secure IDS ou d'un routeur Cisco IOS Firewall. Une commande est mise par ces quipements afin d'arrter la connexion par laquelle l'attaque est effectue, obligeant ainsi l'attaquant tablir une nouvelle connexion. Routeur VPN : Routeur destin tre install dans les locaux du client. Ce type de routeur prend en charge la fonctionnalit VPN et offre des performances VPN optimales sur diffrents types de supports physiques et densits de ports. RSA (Rivest, Shamir, Adelman) : Algorithme de cryptage cl publique permettant de crypter ou de dcrypter des donnes et d'appliquer ou de vrifier une signature numrique.
S
Scanneur : Application professionnelle permettant l'utilisateur d'identifier et de corriger les failles dans la scurit du rseau avant qu'un hacker ne le dcouvre. SHA (Secure Hash Algorithm) : Algorithme de hachage utilis pour l'authentification et la vrification de l'intgrit des communications.
72
Glossaire
Shunning : Reconfiguration dynamique par un routeur Cisco de ses ACL afin de stopper toute attaque dtecte et de bloquer toute nouvelle transmission de donnes de/vers l'adresse IP "attaquante", pour un laps de temps donn. Signature d'attaque : Systme d'identification d'activit malveillante sur le rseau. Les paquets de donnes entrants sont examins en dtail la recherche de modles logarithmiques identiques. Signature numrique : Chane de bits ajoute un message lectronique (hachage crypt) permettant l'authentification et l'intgrit des donnes. Spoofing (usurpation) : Tentative d'accs un systme rseau par usurpation (utilisateur, systme ou programme autoriss).
TV
TACACS+ (Terminal Access Controller Access Control System Plus) : Protocole AAA principalement utilis pour la gestion des connexions commutes. Triple DES : Algorithme DES combin une, deux ou trois cls pour le cryptage/dcryptage de paquets de donnes. Tunnel : Connexion scurise et crypte entre deux points passant par un rseau public ou tiers. VPN (Rseau priv virtuel) : Rseau garantissant un trafic IP scuris via un rseau TCP/IP public grce au cryptage des donnes entre les deux rseaux concerns. Le VPN utilise la tunnellisation pour crypter les informations au niveau IP. VRRP (Virtual Router Redundancy Protocol) : Gre le basculement automatique d'une plate-forme une autre au sein d'une installation redondante.
73
74
Cisco Systems Europe 11, rue Camille Desmoulins 92782 Issy les Moulineaux Cedex 9 - France Tl. : +33 (0)1 58 04 60 00 Fax : +33 (0)1 58 04 61 00
www.cisco.fr
Copyright 2000 Cisco Systems, Inc. Tous droits rservs. NetSonar et PIX sont des marques, et Catalyst, IOS, NetRanger, Cisco, Cisco IOS, Cisco Systems, ainsi que le logo Cisco Systems sont des marques commerciales de Cisco Systems, Inc. ou de ses reprsentants aux Etats-Unis et dans dautres pays. Toutes les autres marques commerciales mentionnes dans le prsent document sont la proprit de leur propritaire respectif. Lutilisation du terme "partenaire" ne fait pas rfrence un partenariat commercial entre Cisco et toute autre entreprise. (0005R) N doc. : 954913 ETMG-LW 08/00