Cisco VideoStream

Comment supporter la Vido sur le WiFi ?

Explosion des Usages Vido, Explosion des Equipements Mobiles
Lune des principales transformations quest en train de vivre le rseau de lentreprise tourne autour de lusage de la vido comme moyen de communication privilgi et comme outil de collaboration. Daprs IDC, en moyenne 4,6 heures de vido sont visualises tous les mois et lon sattend ce que ce volume double dans les 2 prochaines annes. Dans le mme temps 1,1 Milliards de nouveaux quipements mobiles sont attendus pour 2011 ! Il devient donc ncessaire, non seulement de prendre en compte la vido dans son rseau, mais aussi de la prendre en compte en situation de mobilit.

Cisco Medianet
Dans le cadre de son architecture Borderless Network (Rseau sans Frontire), Cisco dveloppe des fonctions et des solutions pour supporter de mieux en mieux les flux multimdia sur linfrastructure dentreprise. Cette initiative est regroupe sous le nom de Cisco Medianet et implique aussi bien les produits rseau filaires que le sans-fil WiFi. La vido apporte en effet un ensemble de contraintes techniques, ou de sensibilits au comportement du rseau, dont les principales sont : Latence Gigue Bande Passante Perte de paquets On peut identifier 3 grandes familles de flux vido sur les rseaux dentreprise : Les flux en diffusion temps rel (Streaming, TV, Vido surveillance, ), La vido interactive (Vido collaborative, vido confrence, tlprsence, ), Les vidos la demande (VoD, Downloads, )

Chaque type de flux apporte ses contraintes spcifiques sur le rseau :

La solution Cisco VideoStream permet le support de la diffusion en temps rel de flux vido sur le WiFi.

Cisco VideoStream
La technologie WiFi, et la plupart des produits WiFi du march, ne sont pas nativement VidoReady . En effet la vido demande gnralement une bande passante plus leve, ainsi que des mcanismes de type multicast (particulirement pour les flux en diffusion) qui ne sont pas, ou pas bien grs, dans du WiFi traditionnel (802.11abg). La solution Cisco, reposant sur les derniers points daccs radio 802.11n, et sur Cisco VideoStream va permettre de rpondre aux demandes que gnre la vido sur le rseau.

VideoStream est un ensemble de fonctions qui vont permettre la diffusion des flux vido avec performance et fiabilit. Les fonctions essentielles sont : Acceptation et Prioritisation des flux vido : Capacit de rendre prioritaire les flux business par rapport tout autre flux vido moins critique ou de loisir , Rservation de ressources pour les flux vido Multicast Direct et Multicast Fiable : Transformation des flux multicast, non acquitts, par des flux unicast acquitts sur le WiFi.

Acceptation et Prioritisation des flux vido

La vido est une application trs demandeuse en termes de bande passante. La technologie 802.11n, permettant le support de flux jusqu un dbit thorique de 300 Mbps, apporte une premire rponse indispensable au support de la Vido. Grce Cisco VideoStream le gestionnaire du rseau peut donner des priorits diffrentes aux diffrents flux vido en fonction de limportance du flux pour lorganisation. Cette priorit peut tre faite par flux, mais aussi configure de faon trs granulaire au niveau des canaux radio (2,4 GHz / 5 GHz ou des rseaux virtuels radios (WLAN ou SSID).

 Resource Reservation Control

Laugmentation du nombre dutilisateurs et de flux prendre en compte demande une gestion plus prcise des ressources disponibles. La solution Cisco sappuie sur le standard IEEE 802.11e et WMM pour dlivrer la qualit de service, le contrle daccs et la rservation des ressources. Cette dernire repose sur les mcanismes de CAC (Call Admission Control) et de TSPEC (Traffic Specification) de 802.11e mais ncessite la capacit au niveau de linfrastructure de suivre en temps rel les ressources disponibles pour accepter ou non de nouveau flux. RRC Resource Reservation Control effectue un monitoring des flux vido tablis et de lutilisation du canal radio afin de prendre la dcision dacceptation dun nouveau flux et de contrler une surcapacit.

Multicast to Unicast
Sur un rseau WiFi un flux multicast est gnralement trait comme un flux broadcast, il est envoy tout le monde et chaque client conserve les trames ou les dtruit en fonction de sil sest inscrit sur le flux ou non. Le problme du multicast sur un rseau WiFi est le risque de perte de paquets. Les paquets multicast ne sont pas acquitts, il nest donc pas possible de les renvoyer sils sont perdus. Le principe global de Cisco VideoStream est de transformer de faon intelligente les flux multicast en flux unicast acquitts. Lorsquun client veut sinscrire un flux multicast, il doit tout dabord faire une requte IGMP. Celle-ci est analyse par le contrleur WiFi, qui en fonction des ressources et de la situation radio o se trouve le client, va accepter ou non cette requte. Le flux va alors tre diffus jusquau point daccs radio et ce dernier va le transformer en unicast acquitt pour les clients concerns. Cette technique va fortement amliorer la qualit du service en rduisant au minimum le risque de perte de paquets.
Pour aller plus loin

Optimizing Enterprise Video Over Wireless LAN : http://www.cisco.com/en/US/partner/prod/collateral/wireless/ps6302/ps8322/ps10315/ps 10325/white_paper_c11-577721.html

Cisco CleanAir

Dtecter, identifier et viter les interfrences radio

La mobilit, lment cl des rseaux sans frontires
Cisco annonce une nouvelle technologie et de nouveaux produits faisant partie intgrante de linitiative Borderless Network que lon peut traduire par rseau sans frontire . Cette nouvelle technologie concerne plus particulirement laspect mobilit de cette architecture. En effet nous vivons tous les phnomnes de mobilit au sein de lentreprise. Ceux-ci entrainent une transformation des rseaux dentreprise. Il faut pourvoir accder au systme dinformation de nimporte o, nimporte quel moment, depuis nimporte quel quipement et collaborer avec nimporte qui ou presque. La maitrise de la ressource radio, tout particulirement les frquences utilises par le WiFi, devient un enjeu majeur pour pouvoir dlivrer un service de qualit et limiter les cots dopration et de possession. Cest dans ce contexte que Cisco annonce la technologie et les produits CleanAir, qui sont un nouveau service rseau assurant la dtection, la qualification et la localisation des interfrences radio. Cette dtection et cette qualification des interfrences radio permet ensuite linfrastructure WiFi Cisco dviter ou dattnuer les impacts de ces interfrences

Quest ce que cest CleanAir Exactement ?

CleanAir est un systme compos de nouveaux points daccs radio et de nouvelles fonctionnalits logicielles dans les contrleurs WiFi, lapplication dadministration WCS et le systme de localisation MSE. Linnovation cl repose sur les nouveaux points daccs de la srie 3500, qui embarquent des composants lectroniques danalyse spectrale leur permettant de dtecter et de qualifier toute source dinterfrence radio. Ces informations sont alors agrges au niveau des contrleurs WiFi, puis analyses et localises par lapplication WCS et le service MSE. Ceux-ci maintiennent un tat de la qualit de lair (que lon appelle le AirQuality Index) qui permet de visualiser en temps rel ltat de son environnement radio et maitriser les perturbations prsentes.

Quest ce que CleanAir apporte Exactement ?

Tout dabord une vraie innovation au niveau des points daccs radio. La dtection des interfrences radio consistait jusqu aujourdhui la simple dtection dun niveau de bruit perturbant lenvironnement radio. Avec CleanAir nous pouvons dtecter et connaitre la source dune interfrence : un tlphone sans fil, un DECT, une camra de vido surveillance, un four micro-ondes, Le systme dclenche alors automatiquement un mcanisme de cicatrisation du service radio : la reconfiguration immdiate de la couverture radio pour attnuer ou viter linterfrence. Dans le mme temps CleanAir localise la source pour pouvoir le cas chant la retirer.

Fonctionnement de CleanAir
CleanAir met en uvre lensemble des composants de larchitecture Wireless Cisco pour fournir lensemble du service. Chaque composant un rle cl permettant denrichir les services offerts partir des lments lectroniques danalyse spectrale des points daccs radio. Srie Cisco Aironet 3500 La nouvelle srie de points daccs radio Aironet 3500 sont des AP WiFi bi-radio 802.11n quips dASIC danalyse spectrale CleanAir. Ils permettent de simultanment rendre le service WiFi et danalyser les signaux radio sans impact de performance pour les clients WiFi. Lanalyse radio est ralise avec une finesse de 156kHz, permettant lanalyse de la nature des interfrences issues de sources non WiFi. En comparaison un AP WiFi traditionnel a plutt une finesse de lordre de 5MHz ce qui ne lui permet pas de comprendre les interfrences, mais simplement de les identifier comme un niveau de bruit. Le point daccs va travailler sur deux types dinformations : les proprits des sources dinterfrence et un indice de qualit de lair (AQI Air Quality Index). Ce dernier va voluer en fonction de la svrit associe chaque type dinterfrence et son impact sur la radio frquence.

WLC Wireless LAN Controller Le WLC va recevoir rgulirement toutes les informations CleanAir issues des AP. Il va mmoriser et mettre jour rgulirement lindice de qualit de lair des ses AP. Il va aussi agrger les diffrents rapports sur les sources dinterfrences (IDR Interference Device Report). Chaque interfrence pouvant en effet tre identifie par plusieurs AP CleanAir. Le WLC va ensuite envoyer des notifications la MSE contenant les informations sur les sources dinterfrences (IDR) pour effectuer la localisation. MSE Mobility Service Engine La MSE va recevoir des diffrents WLC les informations sur les sources dinterfrences (IDR). Elle va aussi raliser une agrgation des ces informations issues de plusieurs contrleurs pour ne pas gnrer de doublons. Son rle est aussi de raliser la go-localisation de linterfrence et de permettre WCS de la visualiser. 5

WCS Wireless Control System WCS est lapplication dadministration de la solution WiFi. Cest par elle que lon va pouvoir alerter, visualiser, configurer les proprits de CleanAir et de lindice de qualit de lair. WCS va priodiquement (priodicit configurable) rcuprer les informations dinterfrence et dindice AQI auprs des WLC, mais aussi solliciter la MSE pour les informations de positionnement des interfrences.

Les AP 3500 sont capables la fois de dlivrer le service WiFi 802.11n aux clients et de faire lanalyse dinterfrence. Ils peuvent cependant tre dploys de deux faon diffrentes : En mode normal : Lensemble de la zone de couverture est effectue par les AP de la srie 3500. Chaque AP va automatiquement se mettre sur la meilleure frquence radio (Algorithme RRM Radio Ressource Management) et dans le mme temps analyser ce canal radio en ce qui concerne les interfrences. En mode overlay : La zone de couverture est effectue par des points daccs WiFi 802.11n traditionnels Cisco (AP-1140, AP-1260 ou AP-1250). Des AP CleanAir (AP-3500i ou AP-3500e) sont ajouts cette couverture en mode monitor uniquement. Ils font alors se charger uniquement de lanalyse des interfrences sur tous les canaux radio. Pour avoir une couverture complte danalyse on estime gnralement quil faut un ratio de 1 AP CleanAir en mode monitor pour 5 AP classiques. A noter que dans ce mode la MSE est absolument ncessaire pour faire lagrgation des interfrences.

En Conclusion
CleanAir est une innovation majeure, qui demande de nouveaux points daccs radio, mais qui permet dassurer un service WiFi de qualit malgr les perturbations de lenvironnement radio. Alors que lentreprise utilise sur le WiFi de plus en plus dapplications mtier critiques, ou des flux 6

vido, la maitrise de lenvironnement radio devient critique. La technologie CleanAir est l pour amliorer le rendu applicatif pour les utilisateurs en situation de mobilit et pour simplifier la gestion et les oprations pour les quipes rseau.
Pour aller plus loin

Cisco CleanAir Technology: Intelligence in Action :

http://www.cisco.com/en/US/solutions/collateral/ns340/ns394/ns348/ns1070/white_paper_c11-599260.html

Cisco CleanAir Demonstration :

http://www.cisco.com/assets/prod/wl/flash/cleanair/index.html

Wireless LAN Controller CT-5508 Augmentation de Capacit et Nouveaux AP

Augmentation des Capacits des Contrleurs CT-5508
Les contrleurs wireless de la famille CT-5508 sont les plus rcents contrleurs de la gamme Cisco. Avec les dernires amliorations de la version logicielle 7.0, ils supportent dsormais jusqu 500 points daccs radio en mode IETF CAPWAP. Ce doublement de la capacit des CT-5508 est valable pour tous les contrleurs CT-5508 vendus par Cisco depuis leur introduction sur le march (en juin 2009), par simple mise jour de la licence logicielle.

Les caractristiques techniques principales des CT-5508 sont : 8 ports uplink Gigabit Ethernet (format SFP) supportant cuivre ou fibre, 1 port 10/100/1000 de service pour le management hors bande, Support de 12, 25, 50, 100, 250 ou 500 point daccs radio Cisco CAPWAP, Support de 7000 clients simultans (7000 MAC@), Support du chiffrement AES-256 des canaux de contrle et de donnes du protocole CAPWAP, Un port console RJ-45 et mini-USB, 1 module dextension rserv un usage futur, 2 modules dalimentation redondante (second module optionnel), 1 module de ventilation extractible chaud

Mise en place de licences additionnelles

La famille de contrleurs CT-5508 peut tre mise jour pour augmenter la capacit des points daccs supports en ajoutant des licences. Jusqu maintenant les paliers de mises jour taient prdtermins (12 vers 25, 25 vers 50, ). A partir de la version logicielle 6.0.196 les licences 8

daugmentation de capacit deviennent additionnelles. C'est--dire que quelle que soit la capacit dun CT-5508 il est possible dajouter 25, 50, 100 ou 250 AP, sans dpasser la capacit maximale physique de 500 AP par contrleur. Cette volution permet plus de souplesse dans lvolution de capacit de linfrastructure de son rseau.

Suppression de la licence optionnelle

Lors de la mise sur le march des contrleurs CT-5508, une licence optionnelle (nomme licence WPLUS), permettait dajouter 3 fonctions optionnelles : Support de la fonction Enterprise Mesh (ou Mesh Indoor )

Cette fonction autorise lutiliser les points daccs Cisco Aironet 1130 et Aironet 1240 en mode maill. Elle permet lentreprise dtendre une partie de son rseau radio dans des zones o les points daccs nont pas la possibilit dtre interconnects par une liaison ethernet. Bien que trs intressante dans de nombreux environnement, les utilisateurs nen nayant pas un rel besoin nauront pas activer la licence WPLUS.
Support du chiffrement AES-256 du canal de donnes du standard CAPWAP

Le standard IETF CAPWAP, normalisant le dialogue entre un contrleur WiFi et un point daccs, dfini de faon optionnel le chiffrement du canal de donnes entre lAP et le contrleur. Dans un environnement de campus dentreprise, le flux CAPWAP entre lAP et le contrleur se trouve sur un rseau de type Intranet dans lequel le risque dintercepter le flux CAPWAP nest pas plus important que dintercepter celui dun client vers un serveur de lentreprise. Le chiffrement du canal de donnes CAPWAP dans ce type de situation nest priori pas une ncessit. Il peut le devenir si le flux CAPWAP passe dans une partie du rseau de moindre confiance. La famille des contrleurs 5508 supporte le chiffrement AES-256 du canal de donnes CAPWAP lorsque la licence WPLUS est active.
Support de la fonction Office Extended AP

Les capacits de chiffrement, dfinies dans le standard IETF CAPWAP, et supportes par les contrleurs WLC-5508, permettent lintroduction dun mode de fonctionnement spcifique des AP, afin doffrir une connectivit scurise et pilote par lentreprise, des travailleurs distants ou de petites agences dportes. En effet la version 6.0 introduit la possibilit de dporter un Cisco Aironet 1130 ou un Cisco Aironet 1140 la maison , en rapatriant les flux entreprises (donnes intranet, voix sur wifi, ) vers le rseau priv (sorte de VPN Wireless), tout en offrant une connexion grand publique pour les flux personnels et familiaux des autres quipements prsents la maison. (Voir chapitre spcifique sur la solution Office Extended AP ).
A partir de la version logicielle 6.0.196 les fonctions additionnelles de la licence WPLUS sont maintenant disponible dans la version de base, rendant caduque la licence WPLUS. Cette suppression de la licence WPLUS est valable pour tous les nouveaux contrleurs CT-5508, ainsi que tous ceux dj dploys, partir du moment o ils sont mis jour en version 6.0.196. A noter de plus que la version 6.0.196 apporte aussi le support du Mesh Indoor sur les autres contrleurs de la gamme Cisco (WLC-4400, WiSM, WLCM).

Nouveaux Points dAccs Radio

La gamme des points daccs radio Cisco Aironet senrichi de 3 nouveaux AP. LAironet 1260 est une volution de la gamme des points daccs radio 802.11n, et permet doffrir une version optimise de lAironet 1250.

Les proprits principales de lAironet 1260 en comparaison lAironet 1250 sont : Support de lalimentation par le cble Ethernet au standard 802.3af (au maximum des performances : 2 x 300Mbps), Formes extrieures similaires au modle Aironet 1140, mais avec des connecteurs pour des antennes extrieures, Modules radios 2,4GHz et 5GHz intgrs. Cisco introduit aussi la technologie CleanAir (voir articles ddi ce sujet), celle-ci repose sur une innovation au niveau des composants radio utiliss dans les points daccs radio, en apportant une analyse spectrale des interfrences, une qualification de celle-ci, des mcanismes de contournement, ainsi quune localisation de linterfrence. Deux AP Aironet permettent de mettre en uvre les fonctions CleanAir : Aironet 3500i : Point daccs bi-radio 802.11n avec CleanAir Aironet 3500e : Point daccs bi-radio 802.11n avec CleanAir et connecteurs pour des antennes extrieures

La gamme Cisco Aironet peut donc tre rsume par le tableau ci-dessous :

Pour aller plus loin

Description des produits et solutions de Mobilit Cisco :

http://www.cisco.com/go/mobility

Cisco CleanAir Technology: Intelligence in Action :

http://www.cisco.com/en/US/solutions/collateral/ns340/ns394/ns348/ns1070/white_paper_c11-599260.html

Cisco CleanAir Demonstration :

http://www.cisco.com/assets/prod/wl/flash/cleanair/index.html

10

Productivit et Web 2.0

Enjeux et solutions Cisco

Introduction
Ces dernires annes, lInternet sest transform dune approche statique de consultation de contenu vers une plateforme dynamique, dchange bidirectionnel. Les technologies web ont rendu possible lapparition dune nouvelle manire de travailler, combinant lultra mobilit avec des terminaux varis (BlackBerry, iPhones, PC Portables, Netbooks), des outils web dynamiques (webmail, rseaux sociaux), et une multiplication des lieux de connexion. Le primtre traditionnel de lentreprise, avec ses frontires clairement tablies, est donc devenu poreux. A sa place, un rseau aux frontires infinies est en train dapparaitre, reliant entreprises, clients, partenaires et permettent laccs aux informations de nimporte o, au travers des technologies Web. Au del de la problmatique prgnante des menaces qui est un sujet part entire, lexplosion des frontires de lentreprise et les technologies Web 2.0 posent des enjeux de contrle de lusage qui est fait des ressources Internet. Un directeur financier qui consulte ses prvisions depuis son iPhones sur une application telle que Salesforce.com ? Cette transaction ne passe par aucun quipement de scurit dploy par lentreprise, puisque la connexion se fait directement sur Internet. Comment distinguer un usage business de youtube dun usage inappropri ? Comment catgoriser un site web qui construit son contenu la vole tel que iGoogle? Comment contrler lusage de la messagerie instantane et des rseaux sociaux ? La notion de protection doit tre revue dans un monde Web 2.0, mais limplmentation dune politique dusage acceptable ncessite galement une nouvelle approche.

11

HTTP est le nouveau TCP: Usage acceptable des ressources Internet

Lutilisation dinternet a profondment volu ces dernires annes, et le web est devenu le chemin unique de nombreuses applications, la fois en interne et pour les changes avec clients, partenaires, ou fournisseurs. Le contenu des flux web et la diversification des applications se sont accrus : On peut citer les applications SaaS comme SalesForce.com et Netsuite ; les outils de collaboration tel WebEx ; et tous les outils de recherche dinformation, les Webmails et bien dautres. On peut raisonnablement affirmer que quelque soit le firewall que lon croise, les ports 80 et 443 seront ouverts, pour des besoins mtier. Leffet secondaire de cette volution est que des applications historiquement non web, comme FTP, la messagerie instantane, le peer-to-peer, la vido sont galement en train de migrer vers des technologies web pour tirer parti de lubiquit daccs.

HTTP domine dans les entreprises, reprsentant dans certains cas jusqu 90% du trafic dans lentreprise. Ce nest pas sans crer de nouveaux enjeux de scurit, tant au niveau des menaces nous lavons vu mais galement au niveau du contrle de lusage des applications web.

Figure 1 - HTTP et les applications

Le web inconnu Lusage impropre des ressources Internet cote des millions deuros chaque anne en perte de productivit et encombrement inutile des rseaux, tout en introduisant un risque lgal et de nonconformit. Traditionnellement, lapproche pour contrler lusage des ressources Internet faites par les collaborateurs dune organisation a t dutiliser des listes statiques de filtrage durl : Malheureusement, cette approche est devenue de moins en moins efficace. Pourquoi ? Car nous sommes passs dun web statique, avec des sites la dure de vie longue au contenu peu changeant, un web hautement dynamique au contenu vari, gnr en partie ou en totalit par les utilisateurs.

La consquence est que plus dun milliard de nouvelles pages web sont cres par jour, tmoignant du succs des technologies web 2.0. De nouveaux domaines se crent et disparaissent chaque jour avec une volumtrie telle que 30% des noms de domaine sont renouvelles chaque annes. Cette explosion du contenu et des pages web a cre un web inconnu , non classifi par les solutions de filtrage durl historiques. On estime que jusqu 80% du contenu web accd est non catgoris et que le risque est lev que dici 2015, 95% du web soit non catgoris ! Hors, ce web inconnu pose les mmes problmes en scurit que ceux qui ont conduit les entreprises dployer des solutions de filtrage durl.

12

Figure 2 - L'volution du web

Au del de la problmatique du nombre de pages web, la question du contenu se pose. Combien dentreprises utilisent Youtube ou Facebook pour des oprations dimage ou dans le cadre professionnel ? La frontire entre lusage personnel et lusage professionnel dinternet est devenue complexe et impossible trancher site par site. Doit-on interdire tout le streaming vido ? Tout facebook ? La catgorisation du contenu, pour tre efficace, doit franchir une nouvelle tape.

Contrle des applications HTTP

On la vu, lusage dInternet a profondment chang et de nombreuses applications sont dsormais bases sur HTTP. De nombreuses applications permettent lchange de donnes, comme par exemple lchange de fichiers dans une session de messagerie instantane, lenvoi de pices jointes dans les webmails. Des outils collaboratifs tel WebEx permettent dchanger des donnes, voire de prendre le contrle distance dune machine. Dans ce contexte, il est indispensable, en plus de dfinir des catgories de contenu, de contrler les applications et lusage qui peut tre fait des ressources Internet : On peut imaginer autoriser les sessions de collaboration Webex, utiles au mtier de lentreprise, mais en bloquant une tentative de partage de bureau ou de prise de main distance. Pour cela, il faut que les outils de scurit web permettent dimplmenter des politiques de scurit granulaires au travers dune large visibilit applicative. Si ce nest pas le cas, le risque dun incident de scurit impliquant une fuite de donnes, quelle soit volontaire ou non, est grand.

Nomades et applications en mode SaaS : Un cocktail explosif

Lutilisation des technologies web a encore acclr ces derniers temps avec lapparition des logiciels en mode SaaS (Software as a Service), qui ont chang la donne en terme de scurit. En effet, cela signifie que l o lensemble de lapplication tait hberg dans le Datacenter de lentreprise, bnficiant ainsi des fonctions de scurit (gestion de lauthentification, filtrage des flux par firewall et IPS), de visibilit et de reporting dployes au sein de ce Datacenter, toutes ces fonctions sont perdues.

Les bnfices des applications en mode SaaS et leur succs ne fait aucun doute, la fois en terme de cot, de flexibilit, et de ractivit. Cependant, sans visibilit, gestion de laccs des utilisateur et capacit de visibilit (qui se connecte quelle application et quand), le risque de compromission est grand. Pour empcher la perte de donnes, il faut donc par exemple que les administrateurs IT aient la possibilit de rvoquer les droits daccs dun utilisateur ds que ncessaire par exemple, suite au dpart dun collaborateur. Attendre une prochaine synchronisation entre lannuaire des utilisateurs 13

et lannuaire dentreprise nest pas satisfaisant dun point de vue scurit. Il faut galement savoir quand lapplication a t utilise, par qui, et combien de fois.

Mais pire encore, les utilisateurs sont de plus en plus nomades, et se connectent depuis de multiples lieux avec des terminaux varis, du PC au mac, Smartphone, tablette Hors, la technologie historiquement dploye pour prendre en compte le nomadisme, savoir linstallation dun client VPN pour accder aux informations stockes au sein du rseau de lentreprise, est galement dpasse : En effet, lutilisateur doit explicitement dmarrer son client VPN et, mme si ce client existe sur tous les terminaux que lutilisateur exploite (ce qui est rarement le cas), il ne le fera que sil en ressent le besoin. Concrtement, cela signifie quun directeur financier accdant SalesForce.com depuis son iPhone le fera sans VPN, laissant ce flux totalement non filtr. Un commercial en situation de mobilit participant une session de collaboration en ligne utilisant loutil WebEx pourra donner le contrle de son ordinateur un participant sil le souhaite : Le flux passe directement sur Internet, sans tre filtr et contrl par un proxy, un firewall, ou tout autre quipement. Nous avons donc plus dutilisateurs (partenaires), utilisant plus de terminaux dans plus dendroits sur le rseau. Cest une quation complexe pour la scurit. Pour rpondre cet enjeu, il est ncessaire de raliser deux grandes fonctions : Ramener systmatiquement les flux des nomades (quelque soit le terminal et le lieu de connexion) vers un point de filtrage, avec une exprience utilisateur amliore (on est connect, tout le temps, sans interaction utilisateur) et le support dun grand nombre de plateformes. Implmenter des fonctions de filtrage grant spcifiquement les problmatiques des applications en mode SaaS : Gestion de lidentit et des droits daccs, et contrle applicatif avanc.

14

Solution de contrle de lusage des ressources Web

Nous avons vu que lapproche Cisco pour la scurisation des flux web des entreprises repose sur la solution Cisco IronPort Web Security Appliance (WSA), la premire solution du march combiner dans un seul et mme boitier une dfense anti malware en profondeur, multi niveaux, des fonctions de politique dusage acceptable, et de scurit des donnes.

Figure 3 - Lappliance Cisco IronPort WSA assure une protection plusieurs niveaux contre les menaces provenant du Web, en intgrant des fonctions de scurit essentielles sur un puissant proxy.

Un focus particulier a t mis sur la protection de donnes et les politiques dusage acceptable afin de pouvoir contrler efficacement lusage des ressources Internet dans le monde du Web tel que nous le connaissons aujourdhui, dynamique, multiple et changeant.

Usage acceptable dans un monde Web 2.0 : Cisco IronPort Web Usage Control
Les solutions de filtrage dURL ne peuvent seules permettre de rsoudre les enjeux poss par le web inconnu et le contrle des multiples applications vhicules dans les flux web. Cisco IronPort a dvelopp la technologie Cisco IronPort Web Usage Controls en combinant des fonctions de filtrage dURL par catgorie, des fonctions de classification automatique qui catgorise jusqu 90% du web inconnu en temps rel, et des fonctions de visibilit et de contrle applicatif. Ainsi, les quipes scurit peuvent reprendre la main et implmenter des fonctions de protection des informations et dusage acceptable. Une efficacit la pointe de lindustrie Cisco IronPort Web Usage Controls utilise une catgorisation plusieurs niveaux afin de fournir la meilleure efficacit et couverture du web, fournissant 65 catgories et une base de donnes dURLs qui couvre les sites de plus de 200 pays et 50 langues.

15

Figure 4 - La fin du web inconnu

Cisco SIO met jour la base de donne toutes les 5 minutes, tirant parti de la visibilit unique sur plus de 30% du trafic internet mondial.

Catgorisation dynamique : en temps rel, directement sur lappliance

En plus des catgories, un moteur innovant danalyse value tout le contenu non catgoris y compris le contenu cach dans une tunnel SSL- afin de prendre une dcision de classification en temps rel. Cette catgorisation utilise des mthodes heuristiques avances afin de calculer un vecteur qui est compar une liste de modles prdfinis. Cette catgorisation automatique permet donc de classifier les sites inconnus mais galement les sites dont le contenu est gnr dynamique la connexion en fonction de lutilisateur, ainsi que par exemple les sites uniquement accessibles avec un mot de passe.

Figure 5 - Processus de classification dynamique

En combinant un filtrage par catgorie et des mcanismes de classification automatiques, la solution est capable de classifier jusqu 90% du web inconnu , et ainsi permettre dimplmenter rellement une politique dusage acceptable. Ct application, le Web est devenu la plateforme universelle pour les applications : Cela inclue les applications qui utilisent un navigateur comme client, comme Google Apps et Salesforce.com, mais galement les applications qui utilisent un client propre pour dlivrer du contenu riche, tel Apple 16

iTunes et Cisco Webex. Toutes ces applications utilisent le protocole web comme media pour entrer et sortir du flux des entreprises.

Figure 6 - Contrle des applications Web

Cisco IronPort Web Usage Controls permet dimplmenter des politiques de scurit non pas uniquement sur la catgorie du contenu, mais galement sur lapplication qui est utilise, au travers dune visibilit applicative avance dans les flux web. Ainsi, en plus de pouvoir bloquer ou autoriser des applications par type ou individuellement, un politique granulaire concernant lusage de lapplication peut tre implmente, comme par exemple : Limiter la bande passante consomme par les applications de streaming (tel Youtube) afin de contrler la congestion lie une consommation excessive de bande passante par ces flux. Autoriser le trafic de messagerie instantane, mais interdire le partage de fichier via ces outils Imposer lutilisation du safe search des moteurs principaux de recherche comme Google et Bing, mais galement sur les sites hbergeant du contenu gnr par les utilisateurs comme YouTube ou Flickr.

Ces contrles sont supports grce une base de donne de reconnaissance dapplications maintenue par les quipes du Cisco Security Intelligence Operations center, garantissant ladaptation rapide aux changements de fonctionnement des applications ou le support de nouvelles.

Contrle des applications en mode SaaS

Une grande partie des fonctions ncessaires la protection des applications en mode SaaS est fournie par Web Usage Control , permettant dimplmenter une politique spcifique certaines applications SaaS Webex, Google docs Mais il est ncessaire daller plus loin, notamment dans la gestion de lidentit et des droits daccs.

Pour cela, la solution Cisco IronPort WSA inclue un mcanisme dauthentification, bas sur les standards, pour ramener le contrle aux quipes IT. En effet, lappliance WSA va sauthentifier au nom de lemploy en utilisant le standard SAML 2.0 (Security Assertion Markup Language support par les fournisseurs majeurs de solutions SaaS). Ce processus utilise les droits daccs et les credentials de lutilisateur stocks dans lannuaire de lentreprise (Active Directory, Annuaire LDAP). Les administrateurs gardent ainsi le contrle sur les droits daccs, et lexprience utilisateur est amliore car cela leur offre une fonction de Single Sign-On !

La solution SaaS incorpore dans Cisco IronPort WSA permet aux quipes IT de contrler les droits daccs aux applications en mode SaaS et dimplmenter des fonctions de scurit, tout en amliorant lexprience utilisateur (plus besoin dun login spcifique pour chaque application).

17

Figure 7 - La solution de contrle des applications en mode SaaS

Combin la solution Cisco AnyConnect Secure Mobility de gestion des nomades, cette capacit permet de scuriser les applications en mode SaaS quel que soit le contexte de connexion, que lutilisateur soit dans lentreprise ou en situation de mobilit.

Redfinir la protection des nomades : Mobile User Security

Lexplosion de la mobilit a commenc il y a quelques annes, mais ce mouvement na cess dacclrer. Lexplosion rcente des terminaux connects (Smartphones, tablettes) a contribu renforcer ce phnomne, ainsi que lapparition de logiciels en mode SaaS accessibles de nimporte o.

Hors, le modle historique de scurisation des nomades repose sur un client VPN. Dans ce modle, lorsque lon souhaitez vous connecter au rseau dentreprise, il faut explicitement dmarrer le client VPN, rentrer son mot de passe, choisir son point de connexion (lendroit gographique o on souhaite se connecte), et cest uniquement une fois toutes ces tapes franchies que lon est connect. Par consquent, le reste du temps, linvestissement fait par lentreprise dans ses quipements de scurit (par exemple WSA) nest pas utilis... Ce nest pas satisfaisant la fois en terme de scurit mais galement en terme dexprience utilisateur. Sans parler que souvent ce client nexiste que sur PC. La vision de Cisco est plutt de lier automatiquement, de faon transparente lutilisateur, le flux vers une zone danalyse et de protection, et ce pour tous les terminaux.

Cisco a donc dvelopp la solution Mobile User Security, qui combine un client de connexion lger, Anyconnect, la plateforme de terminaison VPN, lASA, et la plateforme de scurit Web, WSA, afin de rpondre aux enjeux de la mobilit en 2010.

Le client Anyconnect va donc tre dploy sur les terminaux nomades (PC, Mac, Linux, iPhone, Windows Mobile). Ce client va lier le terminal nomade aux quipements de filtrage, qui non seulement vont terminer la connexion VPN, mais galement offrir une politique de filtrage, de prvention des menaces, dusage acceptable, spcifique ce contexte de mobilit. Ainsi les flux sont scuriss quelque soit le contexte de connexion.

18

Figure 8 - L'architecture Mobile User Security

Concrtement, le client Anyconnect va dtecter lorsque le poste nomade nest pas dans lentreprise et va automatiquement connecter le VPN au meilleur point daccs disponible. Le client se reconnectera automatiquement en cas de roaming, de mise en veille, de perte de signal 3G, afin doffrir une exprience utilisateur la meilleure possible. Une fois connect, le client est authentifi par lASA qui communique avec la plateforme de scurit Web WSA en linformant quun client vient de se connecter (et quil est par consquent en situation de nomadisme) et en lui transmettant lauthentification de lutilisateur. Le flux nomade est ainsi inspect par WSA, permettant dimplmenter une politique dusage acceptable et de contrle des menaces spcifiques aux nomades. Toutes les fonctions voques prcdemment (filtres de rputation, web usage control, SaaS) sont donc implmentes quelque soit le lieu de connexion, tout en amliorant lexprience utilisateur. Pour dployer cette solution, il est ncessaire dimplmenter WSA en version 7.0, ainsi que la plateforme ASA (version 8.3) et AnyConnect 2.5.

EN CONCLUSION
Les technologies Cisco IronPort WSA de scurisation des flux web, combines aux technologies de gestion des nomades portes par lASA, permettent de grer efficacement une politique de scurit web, protgeant des malware grce la rputation et au filtrage de contenu, implmentant une politique dusage acceptable au travers de la visibilit applicative et de la classification dynamique, protgeant les donnes de lentreprise. Ceci, quel que soit le contexte de connexion, que lutilisateur soit au bureau ou en dplacement, se connectant avec leur ordinateur ou un Smartphone. Pour plus dinformations : http://www.cisco.com/go/security

19

La scurit dans un monde Web 2.0 : Enjeux et solutions Cisco

Introduction
Ces dernires annes, lInternet sest transform dune approche statique de consultation de contenu vers une plateforme dynamique, dchange bidirectionnel. Les technologies web ont rendu possible lapparition dune nouvelle manire de travailler, combinant lultra mobilit avec des terminaux varis (BlackBerry, iPhones, PC Portables, Netbooks), des outils web dynamiques (webmail, rseaux sociaux), et une multiplication des lieux de connexion. Le primtre traditionnel de lentreprise, avec ses frontires clairement tablies, est donc devenu poreux. A sa place, un rseau aux frontires infinies est en train dapparaitre, reliant entreprises, clients, partenaires et permettent laccs aux informations de nimporte o, au travers des technologies Web. Malheureusement, cette transformation de lusage des ressources Internet saccompagne dune mutation et dune explosion des menaces, tant en volume quen complexit. Les criminels exploitent les vulnrabilits de cet environnement Web dynamique et ouvert pour distribuer leur malware, soit en construisant leurs propres sites web, soit, de plus en plus, en utilisant des sites connus et qui ont t compromis. Ces nouvelles techniques dinfection remettent en cause lapproche traditionnelle de contrle des flux web (telles que le filtrage durl et lanti-virus) et ncessitent de redfinir lapproche de la scurit internet.

Un cosystme criminel, des menaces complexes

Le Web, premier vecteur dinfection
Traditionnellement, le vecteur email a longtemps t la premire mthode pour faire entrer du malware dans les entreprises : Les virus et autres codes malicieux peuvent se prsenter sous forme dattachements, mais il est galement possible de se faire infecter simplement en lisant le-mail ou en le pr visualisant (dans ce dernier cas, il sagit de scripts automatiss qui vont infecter le poste). Mais dsormais, le vecteur web prend une place de plus en plus importante : La meilleure preuve est que dsormais, plus de 80% des messages spam incluent des URLs, qui redirigent lutilisateur vers un site web sur lequel est hberg le malware. Mais ces sites malicieux, spcifiquement crs pour distribuer du malware, ne sont pas les seuls sites infectant des machines. Mais avant de voir comment se droule une infection web, intressons nous quelques instants la raison qui pousse certaines personnes dvelopper, distribuer, et exploiter du malware : largent.

Le modle conomique
20

La motivation financire des hackers a conduit ces dernires annes lexplosion du nombre de machines infectes organises en rseau par les pirates : cest ce que lon appelle les rseaux dordinateurs zombies (ou rseaux de robots - botnets en anglais), et il sagit dune des menaces les plus srieuses pour la scurit des systmes dinformation. Un ordinateur zombie est une machine sur laquelle est install un code malicieux linsu de lutilisateur, mais qui ne commet pas daction malveillante linstant o il est install. A lissue de linstallation, le pirate peut demander distance au poste infect de raliser lui-mme une attaque ou dexcuter tout type daction malfaisante. Le poste infect devient donc un vritable zombie aux ordres du pirate, et ce, linsu du propritaire de la machine. Vol dinformation Une fois le code malicieux install, celui ci peut voler, par exemple tout ce qui ressemble un login/password, des informations personnelles (carte de crdit, identit), ou des informations confidentielles de lentreprises. Elles sont ensuite dposes sur un serveur (le plus souvent le fameux serveur de commande et contrle du botnet) Cyber extorsion, crimeware, scareware Il est possible lorsque le pirate peut donner des ordres la machine infecte, de modifier de nombreux paramtre pour par exemple changer les rsultats des moteurs de recherche afin de rediriger lutilisateur vers des sites spcifiques, mais galement, et cest une pratique de plus en plus rpandue, de faire croire via des pop-ups incessants que le PC est infect et tenter de vendre une soi-disant solution de scurit. Petit petit, le malware dsactive des fonctions du PC et multiplie les pop-ups afin que lutilisateur finisse par acheter le logiciel qui se contente videmment de dsactiver le malware. Cette forme dextorsion de fond est de plus en plus rpandue.

Figure 9 - Modification de la page Google aprs une infection

21

Figure 10 - Un bureau modifi pour forcer l'achat d'un faux anti-virus

DoS/DDos Les attaques de dnis de service distribues (DDoS) reprsentent une utilisation frquente des rseaux de zombies. Ceux-ci vont attaquer en sy connectant de faon simultane des passerelles HTTP ou des sites Internet connus, les saturant ainsi compltement, et les empchant donc de fonctionner normalement voire mme de rester en tat de fonctionnement. Cela peut rsulter en des pertes de chiffre daffaires colossales, par exemple pour des socits de commerce en ligne. Spam Les rseaux de zombies servent galement souvent envoyer du spam. Le spammeur se camoufle ainsi derrire des postes qui effectuent le sale travail sa place. Cisco estime aujourdhui que plus de 80% du spam mondial proviendrait de postes zombies. Une attaque spam dimportance peut gnralement utiliser des zombies parpills dans plus dune centaine de pays. Phishing Les zombies servent galement aux pirates lancer leurs attaques phishing : les e-mails envoyant des liens vers des sites frauduleux partent ainsi de machines tierces, rendant trs difficile la localisation du pirate.

Lvolution vers plus de professionnalisation a structur le modle conomique des menaces vers plus de spcialisation : Il existe dsormais des loueurs ou vendeurs de Botnet, des fournisseurs de toolkits permettant de crer du malware, etc. Mais comment se fait-on infecter ?

Techniques dinfection web

Deux grandes techniques sont possibles pour infecter une machine qui navigue sur Internet : Soit il faut rediriger lutilisateur vers un site web pirate qui hberge le code malveillant, avec par exemple lutilisation de phishing, soit lutilisateur est infect en naviguant sur un site lgitime (signifiant que le site lgitime a t lgrement modifi pour rediriger vers le malware). Cette dernire technique, extrmement pernicieuse, est en plein dveloppement, et reprsente dsormais presque 80% des infections ! Pour rediriger lutilisateur vers un site pirate, rien de tel que le spam. En effet, et cela reprsente une volution majeure depuis 2007, le spam porte dsormais moins sur la vente de produits que sur le 22

dveloppement de rseaux de zombies. Auparavant le spam avait en effet comme objectif principal la vente de produits (pharmaceutiques, prts faibles taux, valeurs boursires, etc.). Aujourdhui, une trs forte majorit des messages spam comporte des liens pointant vers des sites Web qui diffusent des codes malveillants, ces derniers ayant pour but dtendre la taille et la porte du rseau de zombies lorigine du spam. Le spam est donc de moins en moins utilis pour vendre, mais plutt pour dmultiplier des attaques. Les rseaux de machine zombies sont galement lorigine dattaques reposant sur les sites Web 2.0 et en particulier les rseaux sociaux. Lattaque Koobface (pour facebook) est ce titre reprsentative de ces nouvelles techniques dattaque. Dans le scnario de Koobface, lutilisateur reoit un message dun de ses contacts facebook (pralablement pirat) linvitant visualiser une vido sympa . Lutilisateur clique sur le lien et est redirig vers un site singeant le site youtube qui demande lutilisateur de mettre jour son lecteur flash afin de pouvoir visualiser la vido. Bien videmment, il ne sagit aucunement dune mise jour mais ce sera bien le malware qui sera tlcharg, faisant une victime de plus et une nouvelle machine membre du botnet.

Figure 11 - Le processus d'infection de KoobFace

Lexploitation de ces rseaux sociaux et des outils web 2.0 repose galement sur des outils comme la messagerie instantane, ou encore twitter, comme lillustre lexemple ci-dessous. Limagination des pirates na pas de limite !

23

Figure 12 - Twitter comme vecteur de diffusion de menaces

Sites lgitimes, des menaces invisibles Mais le meilleur vhicule pour distribuer le malware est sans contexte lutilisation des sites lgitimes. A la diffrence de sites malveillants, qui sont crs spcifiquement pour distribuer du malware, les sites lgitimes bnficient dune bonne rputation, et les utilisateurs ont toute confiance dans leur contenu. De plus, dans la plupart des cas, laccs ces sites est autoris par la politique dusage acceptable des ressources internet de lentreprise (via le filtrage durl). La combinaison de la confiance des utilisateurs, de laccessibilit et du volume de trafic que reoivent ces sites en fait des cibles cls pour distribuer du malware.

Les quipes daudit scurit de White Hat Security estiment que dsormais, plus de 79% des sites web qui distribuent des codes malicieux sont des sites lgitimes, qui ont t pirats cette fin. Mais pire encore, White Hat affirme que neuf sites sur dix pourraient tre vulnrables une attaque, avec sept sur dix qui sont vulnrables aux attaques de type cross-site Scripting (XSS, voir plus loin), et un sur cinq vulnrable des attaques bases sur la technique dinjection SQL. Ce qui signifie que la plupart des logiciels malveillants ne sont pas tlchargs depuis des sites problmes potentiels (musique, pornographie, etc.) mais distribus la base par des sites lgitimes, utiliss comme vritables plateformes de distribution du malware. Le problme est donc rel et massif !

Mais comment des sites lgitimes peuvent-ils distribuer du malware ? Tout dabord, le hacker va pirater le site web en utilisant une technique dattaque telle que :

Cross-site Scripting (XSS)

Ce type dattaque exploite une vulnrabilit rgulirement prsente dans les applications web permettant des utilisateurs malicieux dinjecter du code via aux utilisateurs qui se connectent au site. Ce code est alors excut par le navigateur de la victime. Ces attaques sont frquemment conduites en utilisant des lments html tels que les frame (cadres) et images, ou du JavaScript.

SQL injections

Cette technique dattaque tire partie d'une faille de scurit d'une application interagissant avec une base de donnes, en injectant une requte SQL non prvue par le systme et pouvant compromettre sa scurit. Les hackers reposent sur le fait que les administrateurs des sites web ne valident pas les donnes rentres par les utilisateurs dans des formulaires web (fentre de login, formulaires dinscription), leur permettant ainsi dinjecter les commandes dsires afin de prendre le contrle du site web. Buffer overflows 24

Le principe de cette vulnrabilit classique, mais toujours efficace, consiste envoyer trop de donnes une application par rapport ce qui est prvu en stockage mmoire. Cela permet de crer un incident dans le programme dexcution et au pirate de faire excuter les commandes quil souhaite sur le serveur.

Eu gard au nombre de sites web lgitimes qui dlivrent du malware, il est clair que ce ne sont pas ces sites qui crent ou dlivrent directement le code malicieux. En fait, le site est pirat en utilisant une des techniques voques ci-dessus, puis modifi pour rediriger automatiquement de faon transparente lutilisateur vers une adresse IP ou un lien contenant le malware. Cest ce qui est arriv Business Week, Wired, CNET, Bank of India, et bien dautres. La mthode la plus courante, utilise pour manipuler le navigateur et lui faire tlcharger le malware, est dutiliser les iFrame.

Les attaques iFrame En quoi consiste cette technique ? Une fois cette exploitation de vulnrabilit dans le site web utilise, le pirate a la possibilit de modifier les pages du site pour que le malware soit distribu aux visiteurs lorsquils viendront naviguer sur le site. Et bien souvent, ceci est ralis grce la balise HTML iFrame (on parle donc souvent dattaques iFrame). En effet, le langage HTML est bas sur lutilisation de balises permettant de prsenter et de formater les informations, textes, images, sons, vidos, etc. que lon souhaite afficher sur une page Web. La balise iFrame est lune des composantes du langage HTML utilise pour crer des pages Web sur Internet. Quelques-unes des balises les plus connues sont <b> pour la mise sous caractres gras, <font> pour dfinir les rgles de prsentation des caractres (taille, couleur, etc.), <script> permettant dinclure du code script tel que JavaScript, par exemple, pour dynamiser ou ajouter des fonctionnalits aux pages, <frame> pour inclure un cadre dans la page, etc. La balise iFrame signifie inline frame et scrit en HTML <iFrame>. Elle est utilise pour inclure lintrieur dune page HTML un autre document HTML, et particulirement des informations stockes sur diffrents sites Internet. Les concepteurs de sites ont le plus souvent recours la balise <iFrame> pour permettre laffichage de publicits, ces dernires tant hberges sur des serveurs leur tant ddis.

Figure 13 - Un site franais lgitime distribuant du malware

Figure 14 - Le code HTML et la redirection iFrame

Le drive by download 25

Il suffit donc dsormais quun utilisateur navigue sur le site web pour que le malware soit tlcharg sur son poste sans que lutilisateur ne voie quoi que ce soit, et sans mme quil ne clique sur une quelconque fentre. Le logiciel malveillant va tout simplement exploiter une vulnrabilit du navigateur Web pour sinstaller tout seul sur le poste de lutilisateur. Cette forme de tlchargement automatique du logiciel malveillant sans aucune action de lutilisateur et sans que celui-ci ne sen rende compte reprsente dsormais la majorit des infections Web. Cest ce que lon appelle le drive-by download, qui, combin aux attaques iFrame, permet dinfecter de nombreux postes sans aucune interaction de lutilisateur, lattaque tant rendue totalement transparente, et ayant lieu sur un site que lutilisateur visite sans doute rgulirement et dans lequel il place une confiance totale. Schma de lattaque En rsum, le schma classique dune attaque via un site lgitime respecte les tapes suivantes : Un pirate, grce une vulnrabilit du serveur Web ou des failles dans le code des pages, parvient corrompre une des pages d'un site web (disons par exemple une page d'un site de diffusion d'informations en ligne, donc considr habituellement comme un site de confiance, www.newsenligne.com). Cette corruption se fait de plus en plus souvent par une technique dite d'injection SQL, consistant injecter des instructions (par exemple la cration de la balise iFrame) en langage SQL dans des - formulaires sur le site concern. Le pirate ajoute sur une page du site une balise iFrame qui redirige les utilisateurs a leur insu vers un site contenant des contenus malveillants, gr par le pirate, disons par exemple le site www.yourspyware.com . De plus, il rend cette balise invisible laffichage grce une instruction HTML. se connectant sur ce site trs frquent, lutilisateur tlcharge le contenu du site et laffiche dans son navigateur Web. Si lutilisateur consulte la page infecte par le pirate, la page envoye au poste de lutilisateur contient dsormais la balise iFrame invisible. Tandis que lutilisateur lit la page du site newsenligne, des connexions se lancent son insu vers le site www.yourspyware.com. Son poste tlcharge alors automatiquement des logiciels malveillants, par exemple un cheval de Troie, grce lexploitation de vulnrabilits dans le navigateur web. Le pirate a dsormais accs au poste de lutilisateur grce la porte drobe ouverte par le Cheval de Troie. Le poste peut alors par exemple faire partie dun rseau de zombies. Ou alors le pirate peut envoyer un keylogger sur le poste qui volera des informations personnelles sur celui-ci.

Les attaquants utilisent des techniques de plus en plus complexes pour chapper aux outils de dtection, par exemple en multipliant les redirections entre le site lgitime de base corrompu, et le site final distribuant le malware.

Limites des technologies actuellement dployes

Bien videmment, un certain nombre de technologies de scurit ont t dployes dans les rseaux et sur les machines (serveurs et terminaux utilisateurs). Dans ce cas, pourquoi le taux dinfection par des logiciels malveillants connat-il une forte croissance travers le monde, quelle que soit la taille de lentreprise, et ce malgr le fait que lcrasante majorit des entreprises aient dploy des fonctions de scurit ? Cela tient profondment la nature de ces nouvelles attaques, qui mettent en chec lapproche traditionnelle de la scurit web. Pour mieux le comprendre, il faut distinguer les attaques ct serveur et ct client.

26

Ct serveur

La protection ct serveur repose traditionnellement sur lalliance firewall et prvention dintrusion (sur le poste ou en rseau), parfois en un quipement uniquement. La difficult provient du fait que ces technologies se focalisent sur la protection au niveau rseau et au niveau protocolaire, protgeant des attaques bas niveau, des vulnrabilits existant dans les systmes dexploitation, et dans les applicatifs de serveur web (apache, IIS) ou de base de donnes. Mais, suivant une tendance observe depuis plusieurs annes, les attaques ont continu remonter dans les couches applicatives, et la majorit des attaques se situent dsormais au niveau de lapplication web, qui inclue des pages, des scripts, des feuilles de style, des formulaires et bien dautres objets dvelopps dans un contexte spcifique.

Figure 15 - Les attaques se situent au niveau applicatif

Ct client

Les entreprises protgent traditionnellement le flux web au moyen de trois outils : Le firewall positionn la priphrie de lentreprise, une solution de filtrage durl bas sur des catgories, et une solution anti-virus dploye sur le poste client. Le firewall, comme lon a vu ct serveur, va valider que le flux circulant est bien form et contient bien de lhttp, mais ne va pas ou peu sintresser au contenu de lurl demande ou de la rponse du serveur web. Cest donc une brique de scurit indispensable, mais qui ne travaille pas en profondeur sur le contenu du flux web.

La solution de filtrage durl par catgorie va permettre de bloquer les accs aux sites connus de phishing ou connus pour tre infects par du malware et catgoriss comme tels. Ces solutions sont toutefois uniquement ractives, et en cas dapparition dun malware sur un site donn, le temps que le site soit bien catgoris et que la rgle soit transmise aux clients, le code malicieux aura eu potentiellement le temps dinfecter lentreprise. Hors aujourdhui, les sites hbergeant du malware et spcifiquement crs pour cela (le plus souvent dans le cadre de botnets) restent en ligne trs peu de temps et nauront bien souvent pas le temps dtre identifis dans les listes de filtrage durl. Mais bien pire, la majorit des infections se faisant en naviguant sur des sites lgitimes, leur trafic sera autoris par les listes de filtrage durl, car justement ils sont lgitimes et bien connus ! 27

Il faut donc se contenter dutiliser les solutions de filtrage URL par catgorie pour grer une politique dusage acceptable d'Internet au sein de sa socit, mais pas pour mettre en place une politique de scurit Web.

Enfin, il reste une dernire barrire de scurit pour se prmunir des infections : La scurit du poste client, avec en tout premier lieu lanti-virus. Hors, les malware modernes contournent ces protections, pour deux grandes raisons. Tout dabord, malgr de grands progrs raliss par les consoles de gestion des solutions de scurit du poste, il est quasi impossible davoir chaque instant tous les postes avec un anti virus jour. Bien souvent, une proportion plus ou moins large, pouvant atteindre dans certaines organisations la moiti des PCs avec une protection ayant 15 jours de retard.

Figure 16 - L'explosion du nombre de malware, preuve que chaque instance dattaque est unique

Enfin, dans contexte, deux autres facteurs qui seront abords plus loin dans ce document, viennent se rajouter : Lexplosion de la mobilit, qui fait que 85% des PC nomades vont surfer sur Internet sans passer par le VPN dentreprise, et donc sans passer par les outils de protection dploys, et lexplosion du Web 2.0 qui rend 80% du web (pages dynamiques type facebook ou autres) non classifi !

On le voit, les solutions de scurit actuelles, ractives, sont dpasses par rapport aux menaces et contexte actuels : Elles ne sont ni assez rapides dans leur raction, ni compltes en terme de couverture du spectre des menaces, ni suffisamment pertinentes.

Prenons un exemple datant du 13 septembre 2009. Les visiteurs du site NYTimes.com, catgoris par les listes de filtrage durl comme site dinformation lgitime, se sont retrouvs avec une publicit paraissant lgitime (insre dans le site), gnrant un pop-up alertant les visiteurs quun virus avait infect leur machine. Lutilisateur tait ensuite redirig vers un site hbergeant un malware, faisant croire un logiciel anti-virus alors que ctait un cheval de Troie Les outils de filtrage durl analysant uniquement la requte initiale (laccs la page daccueil NYTimes.com) et pas chaque objet composant la page (une page web va tre constitue en moyenne de 150 objets rcuprs sur plusieurs dizaines de serveurs diffrents), linfection peut facilement avoir lieu.

Face ces attaques multi vecteurs, changeantes, polymorphes, il faut donc aborder le sujet de la scurit des flux web avec une approche diffrente, plus proactive que ractive. La rponse tient en une approche combinant une analyse de contenu pertinente et performante, combine une approche proactive danalyse en profondeur des caractristiques des serveurs web pour 28

dterminer la rputation des sites web, objets, URLs, et adresses IP, permet de couvrir efficacement les menaces actuelles.

Protger des attaques Internet : Les solutions

Les solutions ct client : Cisco IronPort WSA
Lapproche Cisco pour la scurisation des flux web des entreprises repose sur la solution Cisco IronPort Web Security Appliance (WSA), la premire solution du march a combiner dans un seul et mme boitier une dfense anti malware en profondeur, multi niveaux, des fonctions de politique dusage acceptable, et de scurit des donnes. Ce systme de dfense plusieurs niveaux, en conjonction avec un proxy Web extrmement puissant, garantit non seulement une amlioration significative des performances, mais aussi une fiabilit suprieure celle des systmes classiques.

Figure 17 - Lappliance Cisco IronPort S Series assure une protection plusieurs niveaux contre les menaces provenant du Web, en intgrant des fonctions de scurit essentielles sur un puissant proxy.

Cisco SIO Cisco Security Intelligence Operations reprsente linfrastructure de suivi des menaces et de gnration des contre mesures de Cisco. Cette structure comprend plus de 500 analystes rpartis autour du globe dans des Threat Operation Center (TOC) en 24/24 7/7. Ces analystes ont en charge notamment lexploitation de Cisco SensorBase, le plus ancien et le plus vaste rseau de surveillance du trafic e-mail, web, et du trafic suspect mondiaux. SensorBase collecte des donnes provenant de pas moins de 130 000 rseaux diffrents travers le monde, soit 700 000 quipements remontant des informations, reprsentant par exemple plus de 30% du trafic e-mail plantaire et 5 milliards de requtes web, et surveille plus de 200 paramtres distincts relatifs une adresse IP mettant du trafic mail ou hbergeant un service web. SensorBase contrle donc un grand nombre de paramtres rseau concernant toute adresse IP hbergeant un serveur Web, comme lhistorique du site, son pays, son volume de trafic, sa prsence sur des listes noires ou blanches, etc. Plus de 600 sources externes (CERT, white et black list, ) viennent enrichir SensorBase. En accdant un trs large chantillon de donnes, SensorBase est ainsi en mesure dvaluer avec une extrme prcision le comportement et la rputation de chaque expditeur ou de chaque site. SensorBase applique des algorithmes qui analysent ces paramtres de niveau rseau et en tirent un score de rputation (email ou Web) compris entre -10 et +10. Ce score est ensuite communiqu en temps rel aux quipements Cisco IronPort lorsquun utilisateur tente daccder un site.

Lquipe veille lactualisation et la prcision des donnes SensorBase, afin que les administrateurs puissent sen remettre celles-ci pour automatiser la scurit e-mail et Web, et la prvention des Intrusions. Lempreinte unique de SensorBase, la fois en terme de quantit 29

dinfirmation remonte et en terme de diversit des vecteurs dattaques (information sur les attaques mail, web, et attaques cibles via les IPS), permet de corrler les informations et de garantir des scores de rputation pertinents et proactifs.

Fonctions Anti-malware innovantes intgres Cisco IronPort WSA Pour tre efficace face au malware, la technologie Cisco IronPort WSA combine plusieurs techniques : Une approche proactive grce aux filtres de rputation web, et une approche ractive grce lanalyse de contenu

Les filtres de rputation Web, une approche unique

Les filtres de rputation exploitent les 200 paramtres Web et rseau, spcifiques et pondrs, analyss par SensorBase au sein de la structure Cisco SIO. Sur la base des notes de rputation ainsi calcules (schelonnant de -10 +10), les accs aux URL correspondantes sont filtrs en temps rel. Suivant les rglages, les sites Web ayant une mauvaise rputation sont bloqus, tandis que les autres requtes peuvent faire lobjet dune analyse supplmentaire. Lanalyse de rputation porte non seulement sur la requte initiale de lutilisateur, mais aussi sur chacune des demandes suivantes du navigateur, par exemple pour incorporer des contenus multimdias qui peuvent tre hbergs sur diffrents serveurs Web. 70% des malware sont ainsi bloqus directement la connexion, de faon proactive, sans analyse de contenu.

Figure 18 - L'ensemble des objets composant les pages web est analys

Il est important de noter que les filtres de rputation web analysent chaque requte que le navigateur fait (de la requte HTML initiale aux requtes suivantes pour rcuprer chacun des objets composant la page), qui peuvent provenir de plusieurs domaines. Ainsi, dans le cas dun site lgitime pirat qui contiendrait une redirection transparente de lutilisateur vers une adresse distribuant un malware, seule cette dernire requte sera bloque pro activement grce aux filtres de rputation : Lutilisateur accde son site web, mais totalement protg.

Dans le cas d'une note neutre ou intermdiaire (par exemple entre -5 et +5), WSA peut alors pratiquer un dchiffrement SSL slectif. Les flux HTTPS provenant de sites la rputation douteuse seront ainsi dchiffrs pour tre inspects, alors que la confidentialit des flux HTTPS lgitimes sera respecte. Les transactions SSL vers des sites a mauvaise rputation seront systmatiquement coupes au niveau de la connexion, ne ncessitant donc pas non plus de dchiffrement.

30

Figure 19 - En fonction de la rputation l'objet est bloqu, autoris, ou passe par une analyse plus pousse

Enfin, Les filtres de rputation web sont mis jour en temps rel grce la connexion avec SensorBase, simplifiant grandement ladministration des Appliances.

Le filtrage de contenu

Cisco IronPort Anti-Malware System scrute et contrle les contenus Web en se rfrant a des signatures de codes malveillants. Pour ce faire, le systme combine de multiples bases de signatures anti-virus/Anti-malware leaders du march avec le moteur exclusif Cisco IronPort DVS (Dynamic Vectoring & Streaming). Le moteur DVS a notamment la particularit deffectuer les scans en mode streaming , sans avoir besoin de tlcharger entirement les objets analyss. Il en rsulte un dbit lev et des temps de latence rduits, qui autorisent pour la premire fois la mise en uvre de fonctions danalyse pousses sur une passerelle HTTP. Des systmes de rapports sont bien videmment disponibles afin de visualiser les attaques vites et les tendances historiques.

EN CONCLUSION
Les technologies Cisco IronPort WSA de scurisation des flux web, combines aux technologies de gestion des nomades portes par lASA, permettent de grer efficacement une politique de scurit web, protgeant des malware grce la rputation et au filtrage de contenu, implmentant une politique dusage acceptable au travers de la visibilit applicative et de la classification dynamique, protgeant les donnes de lentreprise. Ceci, quel que soit le contexte de connexion, que lutilisateur soit au bureau ou en dplacement, se connectant avec leur ordinateur ou un Smartphone. Pour plus dinformations : http://www.cisco.com/go/security

31

Cisco TrustSec Mettre lIdentit au centre de la Scurit Rseau

Introduction
Les systmes dinformation sont en pleine rvolution.
Consolidation, virtualisation, simplification des infrastructures vont permettre de construire un systme dinformation plus disponible, plus souple, plus facile exploiter et faire voluer. Les applications sont aussi en phase de refonte profonde, avec lexploitation des technologies web, lavnement des plates-formes collaboratives et le dveloppement trs rapide des applications dlivre en mode Software as a Service, le SaaS. Lexprience utilisateur devient aussi importante que la disponibilit des applications. Il faut permettre la connectivit permanente, mieux intgrer la mobilit, qui devient un mode de travail normal tout en simplifiant laccs aux ressources, il faut aussi prendre en compte lexplosion des types de terminaux, avec lavnement des tablets et des Smartphones. Enfin lentreprise tendue, interconnectant les mtiers, les sous-traitants, les prestataires externes, les clients et fournisseur et de plus en plus couvent les applications, permet aux entreprises dtre plus rapides, plus agiles et de sadapter plus vite aux changements.

Et la scurit ?
Historiquement, les solutions de scurit ont t bties sur le mode une menace une contremesure , permettant lindustrie de positionner chaque endroit la meilleure technologie et de suivre les volutions des menaces. Cette approche a fonctionn correctement jusqu maintenant, mais les grands bouleversements actuels montrent les limites de ce modle. Il devient trs difficile dexploiter des solutions de scurit htrognes, trs difficile de suivre les volutions trs rapides des menaces, et souvent impossible de bloquer les attaques croise utilisant certains points faibles pour en exploiter dautres. Le cas par exemple des sites lgitimes pirats, ou des attaques web vhicules par le mail. Mais surtout, cet empilement de technologies et leurs produits associs devient un frein aux volutions de lIT. On virtualise les applications et les ressources, mais on a encore beaucoup de difficult virtualiser la scurit. Conscient de cette situation, Cisco, lun des principaux acteurs du march de la scurit IT, et leader 32

mondial des rseaux, a dcid de prendre une initiative majeure, unique dans lindustrie : Intgrer la scurit nativement linfrastructure, comme un service rseau. Cette initiative, Cisco Trusted Security, est droule sous lacronyme TrustSec.

Cisco TrustSec
Cisco TrustSec permet datteindre trois objectifs principaux

Contrle daccs au rseau

En exploitant nativement le standard 802.1X laccs, Cisco TrustSec permet de dfinir et appliquer de faon globale des politiques daccs au rseau. Les utilisateurs, les quipements, les ressources, y compris les quipements rseau eux-mmes, sont pris en compte. Une fois quune politique daccs est dfinie, par exemple, faire un contrle de ltat de sant dun poste, elle simpose par dfaut comme un pr-requis sans lequel la connexion est impossible.

Mettre lidentit au cur du rseau

Cisco trustSec exploite la connaissance de lidentit de lutilisateur et son terminal (comme par exemple lheure et la localisation de la connexion) pour dfinir quels services rseau seront offerts (comme par exemple les services Medianet) et quelles ressources mtiers seront accessibles.

Intgrit et confidentialit des donnes

En exploitant nativement le standard 802.1AE, Cisco TrustSec permet dassurer la confidentialit des donnes (chiffrement), ainsi que leur intgrit (tag de scurit) tout en ne remettant pas en cause les services dinspection de scurit avancs, comme les IPS ou les Firewall. Fonctionnement de Cisco TrustSec

33

La premire tape est lauthentification des utilisateurs et des ressources. Base sur la norme 802.1X, cette tape ajoute des services extrmement souples (MAC Authentication Bypass et WEB Athentication) qui permettent aux ressources non 802.1X de se connecter selon des moyens spcifiques. En fonction des profils et des politiques dfinis, il est possible de faire des contrles complmentaires, comme par exemple vrifier ltat de sant du poste (Network Admission Control NAC) ou identifier un quipement passif, comme une imprimante, un tlphone ou une camra (NAC Profiler). Cette approche permet de diffrencier facilement les utilisateurs se connectant au rseau et de leur fournir les conditions daccs appropries, comme par exemple un portail daccs invits pour les externes, ou des services rseaux spcifiques, par exemple pour les tlphones IP. Ltape suivante est la diffusion de cette information didentit et de scurit dans le rseau. La norme 802.1AE permet de marquer la trame avec un security tag . Une fois que la premire tape est droule, on sait rpondre au challenge qui, quoi, quand, comment et donc dfinir un rle lutilisateur ou la ressource. Le security tag va permettre la diffusion de ce rle dans le rseau, de proche en proche, ce qui fait que toutes les trames marques avec ce rle seront traites automatiquement avec les services rseaux prvus, conformes aux politiques dfinies. Lintrt de baser les politiques de scurit sur le rle est den simplifier de faon drastique le nombre et la complexit. En effet, cette approche permet de ne plus dpendre de la topologie rseau physique ni du mdia daccs utilis pour dfinir quel rle peut accder quel autre. Les autorisations de communication entre les diffrents domaines de confiance sen trouvent simplifies. Enfin, cest aussi la norme 802.1AE qui va permettre, en plus du security tag, de chiffrer les donnes critiques, la demande, avec un dchiffrement/chiffrement systmatique chaque traverse dun quipement rseau. Cette disposition permet dune part de conserver les services rseau, comme la qualit de service ou la diffusion multicast, mais aussi les services de scurit, les firewalls et IPS, par exemple, gardant toutes leurs capacits de filtrage, ce qui serait impossible avec une technique de chiffrement de bout en bout.

Architecture de Cisco TrustSec

34

Commutateurs Catalyst et Nexus

La base de larchitecture Cisco TrustSec, ce sont les commutateurs Cisco. Ils jouent le rle du point de contrle et du point denforcement de la politique de scurit. Ce sont eux qui vont garantir ltanchit des diffrents domaines de confiance laccs, ainsi que les diffrents processus de contrle dadmission. Les catalyst permettent toute la phase didentification et dauthentification (802.1X, MAC Authentication Bypass, Web Authentication), la gestion du Security Tag et des services associs, les processus de contrle de posture et de remdiation, ainsi que le chiffrement/dchiffrement des trames en cas dactivation des politiques de confidentialit/intgrit des donnes. Le Nexus quant lui sinsre dans la gestion du chiffrement/dchiffrement de 802.1AE au moment de laccs au Data Center et aux ressources qui sy trouvent.

Les lments de gestion des politiques de scurit

Cisco Secure ACS est la plate-forme cl de TrustSec. Cest lui qui va centraliser les politiques de scurit laccs, fournir les services dauthentification radius requis par la norme 802.1X, donner aux commutateurs les informations ncessaires sur les rgles daccs, les VLAN, les Access Lists et piloter les services dauthentification externe, Mac Authentication Bypass et Web authentication. NAC Manager est la plate-forme de rfrence qui sera utilise pour assurer le contrle de ltat de sant des postes, leur conformit systme aux rgles de scurit dfinies. NAC Server est la plate-forme denforcement et de remdiation des postes dont ltat de sant doit tre vrifi et ventuellement mis jour. NAC profiler est la plate-forme de gestion de lensemble des quipements prsents sur le rseau, mais ne supportant pas lauthentification 802.1X. Cest lui qui va constituer la base de rfrence permettant lACS de valider la fonction mac authentication bypass sur un port, par exemple, pour rfrencer les imprimantes et leur permettre de se connecter au VLAN imprimantes et dtre accessibles selon les rgles dfinies, ce qui serait impossible en 802.1X pur . NAC Guest Server est la plate-forme daccueil des utilisateurs externes ou temporaires, permettant de leur crer un compte, leur fournir un portail daccs et des services dfinis dans la politique de scurit invits Les services de contrle NAC, le Manager, le Serveur, le Profiler et le Guest sont ce jour hbergs sur des appliances. Ce choix permet un dploiement sur des rseaux existants sans tre contraint mettre en uvre 802.1X laccs. Dici la fin de lanne calendaire 2010, ces services seront ports nativement dans lACS. Cette offre permettra alors nos clients ayant dploy la norme 802.1X de ne plus avoir quune seule interface dexploitation, lACS, pour grer la totalit des services de contrle dadmission NAC.

Les logiciels Client.

Dployer un accs scuris par 802.1X sous-tend lutilisation dun logiciel rsident sur le poste, le supplicant. Cisco propose son propre supplicant, plus complet que ceux proposs gratuitement dans les systmes dexploitation. De mme, le contrle de ltat de sant du poste ncessite lutilisation dun client NAC ddi. Par ailleurs, nous voulions intgrer nativement la notion de nomadisme dans larchitecture Cisco TrustSec. Nous avons donc dcid de dvelopper un client unique de connectivit scurise, qui 35

sappelle Anyconnect. A ce jour, Anyconnect est utilis pour la connexion VPN SSL des postes nomades, mais dans le cadre de linitiative Cisco TrustSec, nous sommes en train de faire converger lensemble des services de scurit daccs dans ce logiciel. Ce dveloppement, trs ambitieux et unique sur le march, permettra, la fin de lanne 2010, dintgrer nativement tous les services de connexion au rseau : le VPN SSL, le VPN IPSEC, le LAN 802.1X (intgration du supplicant), le WiFi (intgration su client WiFi) et le contrle de posture (intgration du client NAC). Outre un provisioning simplifi, cette approche unique permettra de dployer de faon totalement transparente la totalit des services Cisco TrustSec et de les dlivrer quel que soit le mode de connexion, le tout de faon totalement transparente pour lutilisateur, et multi plate-forme, puisquAnyconnect est port sur Windows, MAC OS, Linux, Windows mobile et IPhone OS.

Conclusion
Linitiative Cisco TrustSec concrtise des annes dexprience dans la scurisation des accs au rseau. Aprs avoir invent le NAC et dploy plus de 3500 clients dans le monde, aprs avoir permis nos plus grands clients de dployer simplement le contrle daccs 802.1X travers des outils trs performants comme lACS version 5 et les commutateurs Calatyst, Cisco se devait de faire converger les deux environnement. Mais fidle sa rputation dinnovation, Cisco se devait aussi dapporter les outils complmentaires et de permettre nos clients denvisager des solutions encore plus ambitieuses, toujours plus souples dployer et les aider simplifier leurs architectures de scurit. Cest chose faite avec cette initiative Cisco trustSec.

36

Pour aller plus loin

http://www.cisco.com/en/US/netsol/ns1051/index.html

37

Routeurs services intgrs Cisco 1900/2900/3900

Les routeurs services intgrs Cisco (ISR) bnficient de plus de 25 annes d'innovation et de leadership Cisco dans le domaine du routage et de la commutation. L'architecture de ces nouvelles plates-formes est conue afin de prendre en charge la phase suivante de l'volution des sites distants, en leur proposant des services de virtualisation et de collaboration multimdia tout en optimisant les cots d'exploitation. Les routeurs services intgrs de deuxime gnration sont pars pour l'avenir grce des processeurs multi-curs, le support de DSP ( Digital Signal Processor - Processeurs de Signal Numrique) forte capacit supportant dans le futur des fonctionnalits vido avances, des modules de services trs performant avec un niveau de haute disponibilit accru, la commutation Gigabit Ethernet avec PoE amlior et de nouvelles fonctionnalits de contrle et de surveillance des consommations nergtiques tout en amliorant les performances globales. De plus, une nouvelle image universelle logicielle Cisco IOS et un nouveau module Services Ready Engine vous permettent de dcoupler le dploiement du hardware et du software, fournissant ainsi une fondation technologique stable qui permet au rseau de s'adapter rapidement l'volution des besoins des entreprises. Dans l'ensemble, la gamme Cisco ISR G2 permet une rduction du cot total de possession (TCO) ingale, offre au rseau une souplesse et une flexibilit sans prcdent grce l'intgration intelligente de services applicatifs, sans fil, de communications unifies et de scurit de pointe. Les routeurs ISR G2 ont t conu dans le cadre de larchitecture Borderless Networks autour de trois grands axes : Support de la vido : Larchitecture Broderless Networks prend en compte les flux multimedia autour dune stratgie appele medianet. Cette nouvelle gnration de routeurs daccs intgre de base des fonctions permettant de mieux grer les flux vido (support de codec vido pour transcodage, support de modules de vido-surveillance, possibilit de stocker les flux vido en local, etc) Virtualisation des services : la gnration prcdente de routeurs, les Cisco ISR, supportaient un ensemble de modules de services. Cette nouvelle gnration apporte un module gnrique sur lequel on pourra par License apport les services demands. Ces services seront fournis par Cisco ou par un de ses partenaires technologiques. A ce titre, cette nouvelle gnration permet louverture du routeurs des services externes. Optimisation de lexploitation : au travers de nombreux mcanismes de simplification de configuration et dexploitation (autoconfiguration, possibilit de scripts, gestion de lnergie EnergyWise), cette nouvelle gamme de routeurs ISR G2 apporte un gain rel en terme dOPEX.

38

Modle de routeurs ISR G2 Cisco 1941

Gamme

Cisco 2900

Cisco 3900

Prsentation du produit
La gamme Cisco ISR Gnration 2 reprend et amliore lensemble des avances de la gamme existante de routeurs services intgrs de premire gnration (ISR) en proposant plusieurs platesformes (Figure 1, 2 et 3) : Gamme ISR 1900: Cisco 1941 et Cisco 1941W Gamme ISR 2900 : Cisco 2901, 2911, 2921 et 2951. Gamme ISR 3900 : Cisco 3925 et 3945.

Tous les routeurs de la gamme services intgrs Cisco ISR-G2 intgrent l'acclration matrielle des fonctions de chiffrement, des slots pour DSP compatibles voix et vido, un pare-feu facultatif, la prvention des intrusions, le traitement des appels, la messagerie vocale et des services d'applications. En outre, ces plates-formes prennent en charge l'ventail le plus complet du march en termes de connectivit filaire et sans fil, telles que T1/E1, T3/E3, xDSL et Gigabit Ethernet cuivre ou fibres optiques.

Principaux avantages pour l'entreprise

Les routeurs services intgrs de deuxime gnration (ISR G2) offrent une souplesse et une intgration des services suprieures. Conue dans un objectif d'volutivit, l'architecture modulaire de ces plates-formes permet dadapter votre infrastructure rseau aux besoins de votre entreprise 39

au fur et mesure que celle-ci se dveloppe. Le tableau suivant rpertorie les avantages pour l'entreprise de cette nouvelle gamme.
Avantages Intgration des services Services la demande Description Les routeurs ISR G2 proposent des niveaux d'intgration de services accrus avec les services voix, vido, scurit, sans fil, mobilit et donnes, optimisant ainsi l'efficacit et les cot oprationnels.. Une image universelle logicielle Cisco IOS unique est installe sur chaque routeur ISR G2. L'image universelle contient lensemble des technologies Cisco IOS qui peuvent tre actives l'aide de licences logicielles. Ceci permet votre entreprise de dployer rapidement des fonctions avances sans qu'il soit ncessaire de tlcharger une nouvelle image IOS. Une mmoire par dfaut suprieure est, en outre, incluse de sorte prendre en charge les nouvelles fonctionnalits. Le module de service Cisco Services Ready Engine (SRE) offre un nouveau modle oprationnel qui vous permet de rduire les dpenses en capitaux et de dployer un ventail de services applicatifs selon vos besoins sur un seul module de services intgr. Cette gamme Cisco ISR G2 permet un dploiement dans des environnements WAN haut dbit avec les performances suivantes : o La gamme Cisco 1900 jusqu' 25 Mbits/s avec services activs simultanment. o La gamme Cisco 2900 jusqu' 75 Mbits/s avec services activs simultanment. o La gamme Cisco 3900 jusqu 150 Mbits/s pour le modle Cisco 3945 et 100 Mbits/s pour le Cisco 3925 avec services activs simultanment. La MultiGigabit Fabric (MGF) permet la communication haut dbit de module module sans pour autant compromettre les performances de routage. Conue pour rpondre aux exigences professionnelles des clients, l'architecture modulaire de la gamme Cisco ISR G2 offre une capacit et des performances accrues qui voluent avec vos besoins. Les interfaces modulaires offrent une bande passante plus large, de nombreuses options de connexion et la rsilience du rseau. Sur la gamme 3900 : o La carte mre modulaire Services Performance Engine (SPE) permet de futures mises jour des capacits de traitement et daugmenter les performances. o Le double systme d'alimentation intgr assure soit une redondance de l'alimentation lectrique, soit la configuration d'une alimentation ePOE supplmentaire aux terminaux. L'architecture de la gamme Cisco ISR G2 propose des fonctions permettant des conomies d'nergie, notamment : Une gestion de l'alimentation intelligente et qui permet au client de contrler l'alimentation des modules en fonction du moment de la journe. La technologie Cisco EnergyWise sera prise en charge l'avenir. La modularit et l'intgration des services sur une seule plate-forme excutant de nombreuses fonctions permettent de rduire la consommation de matires premires et l'nergie utilise. La flexibilit de la plate-forme et le dveloppement continu des capacits matrielles et logicielles contribuent un plus long cycle de vie du produit, la rduction du cot total de possession sous tous ses aspects, y compris les matriaux et la consommation nergtique. Des alimentations haut rendement sont fournies avec chaque plate-forme. La gamme Cisco ISR G2 maximise la protection des investissements : La rutilisation d'un large ventail de modules existants et supports sur les routeurs ISR de premire gnration permet une rduction du cot total de possession. Un vaste ensemble des fonctionnalits logicielles Cisco IOS est hrit des routeurs ISR de premire gnration et inclus dans l'image universelle. La flexibilit de cette gamme vous permet de vous adapter au fur et mesure de l'volution des besoins de votre entreprise.

Hautes performances avec services intgrs

Souplesse du rseau

Efficacit nergtique

Protection des investissements

Architecture et modularit
L'architecture de la gamme Cisco 2900 est conue de sorte rpondre aux exigences des sites distants modernes en termes d'applications tout en offrant une souplesse de conception afin de prendre en charge des applications futures. L'architecture modulaire est conue pour la prise en charge des besoins croissants en termes de bande passante, les interconnexions TDM ( Time Division Multiplexing - Multiplexage temporel) et la distribution entirement intgre de l'alimentation aux modules supportant la norme PoE 802.3af (Power over Ethernet) et la technologie Cisco Enhanced PoE (ePoE). Le tableau suivant rpertorie les fonctionnalits architecturales et les avantages de cette nouvelle gamme.
Fonctionnalit architecturale Plate-forme modulaire Avantages Les routeurs ISR de la gamme Cisco ISR G2 sont des plates-formes modulaires proposant plusieurs slots dextension pour module afin de fournir la connectivit et les services pour les diverses exigences rseau des sites distants. Les routeurs ISR offrent un ventail tendu d'options de connectivit avance LAN et WAN via des modules afin de permettre des mises jour en production pour bnficier de nouvelles technologies sans avoir remplacer la plate-forme. Le Cisco Services Performance Engine (SPE) sur les modles de gamme Cisco 3900 est en mesure d'amliorer les performances du routeur au moyen d'une carte mre qui peut tre mise jour sur site mesure que vos besoins rseaux voluent. Les routeurs de la gamme Cisco ISR G2 sont aliments par des processeurs multi-curs hautes performances qui rpondent aux besoins croissants des rseaux des sites distants en supportant de hauts dbits WAN. tout en excutant galement plusieurs services simultanment.

Processeurs

40

Fonctionnalit architecturale Acclration matrielle VPN IPSec/SSL (IP Security with Security Sockets Layer) intgre

Avantages L'acclration matrielle intgre des fonctions de chiffrement est amliore afin de fournir une plus grande volutivit qui, associe une licence Cisco IOS Security (en option), permet de scuriser la liaison WAN et les services VPN (acclration IPSec et SSL). Les performances de lacclration matrielle intgre surpassent celles des modules AIM (Advanced Integration Modules) des gnrations prcdentes. La gamme Cisco ISR G2 innove en introduisant le MultiGigabit Fabric (MGF) qui permet une communication efficace de module module, offrant ainsi des interactions de services directes sur l'ensemble des modules tout en rduisant la surcharge sur le processeur du routeur.. Les services de communications unifies des sites distants sont amliors de manire significative grce l'utilisation d'une architecture d'interconnexion TDM intgre au routeur, permettant une volution du nombre de canaux DS-0 supports bien suprieure. Tous les ports WAN intgrs sont des ports de routage WAN 10/100/1000 Gigabit Ethernet. La gamme ISR G2 dispose de ports WAN 10/100/1000 intgrs dont certains disposent dune connectique fibre SFP Un nouveau port console mini USB type B innovant permettant la configuration et ladministration de lquipement depuis un priphrique ne disposant pas de port srie, tels que les ordinateurs portables modernes. Les ports auxiliaires et console traditionnels sont galement disponibles. Le routeur peut tre configur l'aide du port console bas sur USB ou de celui bas sur RJ-45. Une mise jour optionnelle de l'alimentation interne permet de fournir une alimentation en ligne (compatible avec la norme PoE 802.3af et Cisco Inline Power ) aux modules de commutation intgrs en option Sur les routeurs ISR Cisco 2911, 2921, 2951, 3925 et 3945, une alimentation DC en option sera disponible l'avenir afin d'tendre le dploiement aux sites centraux et aux environnements industriels. Les deux modles Cisco 3925 et 3945 permettent de redonder l'alimentation l'aide d'une seconde alimentation intgre en option, qui rduit les priodes d'indisponibilit du rseau et protge le rseau contre les pannes d'alimentation. Les routeurs ISR Cisco 2911, 2921 et 2951 permettent de redonder l'alimentation grce l'utilisation d'un quipement externe : RPS ( Redundant Power System - systme d'alimentation redondant), rduisant ainsi les priodes d'indisponibilit du rseau et protgeant celui-ci des coupures de courant. Ce systme Cisco RPS 2300 peut fournir une alimentation redondante aux routeurs ISR de la gamme Cisco 2900 ainsi qu'aux commutateurs Cisco Catalyst. Un adaptateur pour RPS externe est toutefois requis (option configurable) pour l'utilisation du Cisco RPS 2300 de sorte pouvoir connecter la plate-forme au RPS externe. Lorsqu'il est connect un priphrique RPS externe, le routeur ISR Cisco 2911, 2921 et 2951 peut fonctionner dans le cadre d'une configuration de suralimentation PoE au lieu d'un mode d'alimentation redondante (le choix du mode est configurable), dans lequel la capacit d'alimentation de la plateforme est presque double afin de prendre en charge des ports PoE supplmentaires. Lorsqu'ils sont dots d'un double systme d'alimentation intgr, les modles Cisco 3925 et 3945 sont en mesure de fonctionner dans un mode PoE dynamis au lieu d'un mode d'alimentation redondante (le choix du mode est configurable), dans lequel la capacit d'alimentation de la plate-forme est presque double afin de prendre en charge des ports PoE supplmentaires. Les routeurs ISR Cisco 2911, 2951, 3925 et 3945 sont conus pour des environnements NEBS.

MultiGigabit Fabric (MGF)

Architecture d'interconnexion TDM Ports Gigabit Ethernet intgrs

Accs innovant la console bas sur USB

Alimentation intgre en option pour lalimentation en ligne PoE (Power Over Ethernet)

Bloc d'alimentation redondant externe en option

Suralimentation PoE

Conus pour des dploiements souples

Fonctionnalits modulaires et avantages

La gamme Cisco ISR G2 propose des fonctionnalits modulaires amliores de manire significative constituant pour les clients un investissement sr et protg. La plupart des modules disponibles pour les gnrations prcdentes de routeurs Cisco, telles que la gamme Cisco 1800, 2800 ou 3800, sont pris en charge par la nouvelle gamme Cisco ISR G2. De plus, vous pouvez utiliser ces modules sur lensemble de la gamme ISR G2, ce qui permet une protection maximale de vos investissements. L'utilisation de cartes d'interface communes sur l'ensemble d'un rseau rduit considrablement la complexit inhrente la gestion des besoins d'inventaire, la mise en uvre de vastes dploiements rseau et au maintien des configurations travers des sites distants de tailles varies. Le tableau suivant donne une liste des modules ISR G2
Modules ISR Cisco Services Performance Engine (SPE) Avantages Les deux modles Cisco 3925 et Cisco 3945 permettent de remplacer sur site les Services Performance Engine (SPE) , disponibles uniquement sur la gamme Cisco 3900. Le SPE est une carte mre modulaire qui pourra tre mise jour grce de nouveaux SPE qui seront dvelopps l'avenir. Le SPE protge plus longtemps votre investissement initial dans la plate-forme Cisco 3900 et adapte les performances du routeur mesure que les besoins du rseau et des sites distants voluent.

Module de service Cisco

Un slot de module de service remplace le slot utilis par les modules rseau et les modules d'extension pour voix/fax (EVM) et est propos sur les routeurs ISR Cisco 2911, 2921, 2951, 3925 et 3945. Chaque slot de module de service offre une haute capacit de dbit de donnes : Jusqu' 4 Gbits/s au total vers le processeur du routeur Jusqu' 2 Gbits/s au total vers les autres slot de modules au travers du MultiGigabit Fabric (MGF)

41

Modules ISR

Avantages Les slots de modules de service (SM) sont trs souples et supportent les modules de service de double largeur (SM-D), qui sont des modules de service ncessitant deux slots SM. Les slots SMD des routeurs ISR 2921, 2951, 3925 et 3945 offrent la souplesse ncessaire aux modules de densit suprieure. Un adaptateur permet la compatibilit avec les modules existants supports sur les routeurs ISR de gnration prcdente : NM, NME et EVM. Les slots de modules de service proposent des capacits doubles en termes d'alimentation par rapport aux slots de modules rseau (prsents sur les routeurs ISR dancienne gnration), offrant ainsi la souplesse requise pour des modules volutifs avec des performances suprieures. L'alimentation vers le slots de modules de service peut tre gre l'aide d'extensions similaires la technologie Cisco EnergyWise, permettant ainsi aux entreprises de rduire la consommation d'nergie de l'infrastructure rseau. Une prise en charge complte de la technologie EnergyWise sera disponible dans les versions logicielles venir.

Cisco EHWIC (carte d'interface WAN haut dbit optimise)

Le slot EHWIC propose des amliorations par rapport aux slots HWIC (carte d'interface WAN haut dbit) de la gnration prcdente tout en offrant une protection maximale des investissements en prenant nativement en charge les cartes HWIC, WIC (cartes d'interface WAN), VIC (cartes d'interface voix) et VWIC (cartes d'interface voix/WAN). Quatre slots EHWIC intgrs sur les routeurs ISR Cisco 2901, 2911, 2921, 2951, 3925 et 3945 permettent des configurations d'une souplesse accrue. Chaque slot EHWIC offre une haute capacit de dbit de donnes : Jusqu' 1,6 Gbits/s au total vers le processeur du routeur Jusqu' 2 Gbits/s au total vers les slots des autres modules au travers du MultiGigabit Fabric (MGF) La combinaison de deux slots EHWIC permet de prendre en charge des modules de double largeur, en toute souplesse. Jusqu' 2 modules HWIC de double largeur (HWIC-D) sont supports. Un seul slot ISM fournit la flexibilit d'intgrer des modules de service intelligents sur un slot interne du chssis. Chaque slot ISM offre une haute capacit de dbit de donnes : Jusqu' 4 Gbits/s au total vers le processeur du routeur Jusqu' 2 Gbits/s au total vers les slots des autres modules au travers du MultiGigabit Fabric (MGF) Le slot ISM remplace le slot AIM (Advanced Integration Module) ; les modules AIM existants ne sont pas compatibles avec le slot ISM. L'alimentation vers le slot ISM peut tre gre l'aide d'extensions similaires la technologie Cisco EnergyWise, permettant ainsi aux entreprises de rduire la consommation d'nergie de l'infrastructure rseau. Une prise en charge complte de la technologie EnergyWise sera disponible dans les versions logicielles venir. Les slots PVDM3 supportent nativement les modules PVDM3, offrant ainsi la prise en charge d'une densit accrue pour la voix et la vido multimdia. Chaque slot PVDM3 est connect au MultiGigabit Fabric (MGF) via une liaison 2 Gbits/s au total. La protection des investissements pour les modules PVDM2 est rendue possible grce un adaptateur. L'alimentation vers le slot PVDM peut tre gre l'aide d'extensions similaires la technologie Cisco EnergyWise, permettant ainsi aux entreprises de rduire la consommation d'nergie de l'infrastructure rseau. Une prise en charge complte de la technologie EnergyWise sera disponible dans les versions logicielles venir. Deux slots Compact Flash externes sont disponibles sur les routeurs services intgrs Cisco ISR G2. Chacun d'eux supporte des densits de stockage haut dbit pouvant aller jusqu' un maximum de 4 Go. Deux ports USB 2.0 haut dbit sont prsents. Les ports USB permettent de connecter des priphriques de stockage et des tokens de scurit

Cisco ISM (Internal Services Module)

Slots de modules PVDM3 (Packet Voice Digital Signal Processor (DSP) Module)

Slot Compact Flash

Ports USB 2.0

Logiciel Cisco IOS

La dernire gnration de logiciel IOS Les routeurs services intgrs Cisco ISR G2 proposent des technologies innovantes excutes sur le logiciel de pointe Cisco IOS. Dveloppes pour un dploiement grande chelle sur les rseaux d'entreprise et oprateurs les plus exigeants du monde, les plates-formes de routeurs services intgrs de deuxime gnration supportent les versions 15M&T du logiciel Cisco IOS. La version 15.0(1)M est disponible immdiatement et fournit la prise en charge d'un portefeuille complet de technologies Cisco, incluant les fonctionnalits proposes dans les versions 12.4 et 12.4T. Les innovations apportes la version 15.0(1)M s'tendent plusieurs domaines technologiques, notamment la scurit, la voix, la haute disponibilit, le multicast et le routage IP, la qualit de service (QoS), la mobilit IP, MPLS (Multiprotocol Label Switching), les VPN et ladministration intgre. Pour plus d'informations sur la version 15(0)1M, visitez le site http://www.cisco.com/go/ios

Licences logicielles Cisco IOS Une image universelle unique du logiciel Cisco IOS englobant toutes les fonctions est fournie avec les plates-formes. Vous pouvez bnficier de fonctionnalits avances en activant une ou plusieurs licences logicielles sur l'image universelle. Avec les routeurs d'accs des gnrations prcdentes, ces ensembles de fonctionnalits ncessitaient le tlchargement et linstallation d'une nouvelle 42

image logicielle. Les licences, activs par le biais de l'infrastructure Cisco software licensing , simplifient le dploiement de nouvelles fonctionnalits et rduisent les cots oprationnels inhrents leurs mises en place. Quatre licences principales sont disponibles sur les routeurs services intgrs Cisco ISR G2; vous pouvez activer celles-ci via le processus d'activation logicielle de Cisco identifi sur le site http://www.cisco.com/go/sa. Ces quatre licences sont les suivantes :

IP Base : disponible par dfaut. Data UC (Unified Communications) Security (SEC) ou Security with No Payload Encryption (SEC-NPE)

Rsum
mesure que votre entreprise s'efforce de rduire le cot total de possession associ au fonctionnement du rseau et augmenter lefficacit globale des utilisateurs grce des applications rseau plus centralises et collaboratives, des solutions pour sites distants plus intelligentes deviennent ncessaires. La gamme Cisco ISR G2 offre ces solutions en fournissant des performances amliores et une densit modulaire accrue pour la prise en charge de services multiples. La gamme Cisco ISR G2 est conue pour consolider les fonctions de nombreux quipements distincts en un seul systme compact.

43

SLA des applications avec Alaloop, partenaire ecosystme Mesure de la QoE (Quality of Experience) sur site distant sans y installer de robot
Alaloop est un fournisseur de services de mesure des performances IT dlivrs en mode SaaS. Les
mesures effectues par Alaloop concernent la fois la performance (rseau, application et QoE), la charge supporte par linfrastructure IT et l'analyse des trafics. Alaloop utilise toutes les technologies dinstrumentation Cisco (SNMP, CBQoS, NBAR, Netflow, IPSLA, NAM, etc.). Les mesures sont mises disposition des clients Alaloop travers un portail graphique hautement personnalisable.

L'innovation Alaloop Les approches traditionnelles de mesure du ressenti utilisateur (QoE) ncessitent linstallation de robots ou dagents logiciels sur les sites distants, ce qui aboutit toujours des solutions coteuses et complexes grer. Alaloop a dvelopp une solution alternative qui est la fois simple, conomique et efficace. AppSLA permet de mesurer la QoE sur les sites distants sans installer de robots. La solution AppSLA consiste en la combinaison intelligente de deux types de mesure : La QoS rseau WAN mesure avec la technologie Cisco IPSLA disponible dans tous les routeurs Cisco Le ressenti utilisateur (QoE : Quality of Experience) mesur par le robot Alaloop, en testant les transactions applicatives. AppSLA, intgr dans le robot install dans le Data Center, combine en temps rel les mesures IPSLA vers les sites distants et des techniques d'mulation WAN pour recrer les conditions de tests des applications depuis ces sites distants. Les scnarios de test d'applications qui s'excutent sur le robot Alaloop reprsentent alors la vision utilisateur de l'application depuis n'importe quel site. L'intgration des mesures IPSLA et AppSLA au portail Alaloop permet de matriser la fois les performances de l'application hberge sur le Data Center, les performances rseau entre le Data Center et les sites distants et les performances ressenties par les utilisateurs distants. Le portail permet un diagnostic immdiat des dysfonctionnements ainsi que l'tablissement des SLA correspondants.

Portail ALALOOP

44

Principaux bnfices d'AppSLA flexibilit et mise en uvre rapide grce au dploiement centralis trs faible cot de possession vision unifie des performances IT : convergence des mesures de performance rseau, hbergement, application (approche QoS) et ressenti utilisateur (approche QoE).

Vous avez-dit QoS ou QoE ? Si les deux sigles font rfrences la mesure de performance d'un service fourni, la QoE s'appuie sur une mesure subjective du service fourni, tandis que la QoS est base sur la mesure objective des composants qui constituent ce service. Prenons un exemple pour une application Web, l'approche QoE consiste mesurer le dlai de navigation de l'application directement sur le poste de travail de l'utilisateur, tandis que l'approche QoS consiste mesurer les dlais rseau LAN/WAN, le dlai d'accs au serveur et enfin le dlai d'accs l'application comme le montre le schma suivant.

L'avantage de la QoE c'est qu'elle mesure le rsultat visible de l'utilisateur; son inconvnient, elle tient rarement compte des conditions du test. En effet, en changeant simplement le navigateur, par exemple IE6 Chrome, le ressenti utilisateur sera chang. D'o l'importance de dterminer, un chantillon pertinent d'utilisateurs et une configuration identique des postes de travail. Cette vision bout en bout qu'offre la QoE ne permet pas d'identifier l'origine des dfauts constats. L'approche QoS permet de mesurer objectivement les performances des composants majeurs de l'IT (rseau, serveurs, applications) et d'identifier le ou les composants dfectueux pour valider les SLA correspondants. Etant focalis sur le ratio performance/qualit d'un seul composant, l'approche QoS ne permet pas de connatre le ressenti utilisateur global. En rsum, QoS et QoE sont intimement lies et constituent deux approches complmentaires. Si la QoE symbolise la qualit "visible" de l'utilisateur final, elle ne peut exister sans une matrise de la qualit intrinsque des diffrents composants de l'IT (rseaux, hbergement des serveurs, applications critiques) et des SLA associs. A l'inverse, l'approche QoE centre sur l'utilisateur et les besoins "mtiers" de l'entreprise, permet aux directions informatiques d'adapter le niveau de QoS des composants de l'IT aux besoins rels de l'entreprise. A propos d'Alaloop

"La mesure n'est rien sans l'intelligence de la mesure."

ALALOOP est un diteur de portails spcialiss dans le suivi des performances IT et propose des services manags adapts aux besoins de ses Clients, sous forme d'un abonnement mensuel. Ces services incluent la dfinition de la stratgie de mesure, la mise disposition du portail de mesure et diffrents niveaux de services d'assistance l'interprtation des mesures. La mise disposition des portails de mesure est de type SaaS (Software as a Service). Elle est prcde d'une tude d'implantation et complte par des services la carte proposs par notre 45

Centre de Services & Comptences (CSC). A la fois diteur et spcialiste de la mesure de performance et le reporting dcisionnel, ALALOOP propose une approche pragmatique, enrichie par l'exprience acquise dans de nombreux environnements Clients & oprateurs. Alaloop est partenaire dveloppement de Cisco. Les portails Alaloop intgrent l'ensemble des technologies d'instrumentation suivantes : IPSLA, Snmp MIB (CBQos, NBAR, ASA ...), requtes HTTP (Soap), Netflow, NAM, Flow Agent (WaaS) ... Alaloop est un service de tableaux de bord des performances IT dlivrs en mode SaaS. Plus d'informations sur www.alaloop.com

46

Gestion du cycle de vie du SI Comment Cisco peut participer votre dmarche.

Pour maximiser lalignement du systme dinformation avec les mtiers, rpondre aux exigences rglementaires et fournir de nouveaux services de productivit tout en maitrisant ses cots, la direction informatique planifie, conoit, dploie, opre et modifie son SI en suivant des modles rigoureux (Itil). Ce processus est connu sous le nom de gestion du cycle de vie comprenant lensemble des composants applicatifs, infrastructures et main duvre sur des dures pouvant dpasser 20 ans. Le rseau IP, au rythme du dveloppement dinternet, est devenu la plateforme critique dinterconnexion des utilisateurs, des systmes et des applications intra (ERP) et inter entreprises (Facebook). Les services apports par ce rseau IP senrichissent sans cesse en terme de performance, de scurit et dusages pour dlivrer toujours plus de richesse au SI et aux exploitants informatiques. Cisco et ses partenaires ont dvelopp un programme complet alliant mthodologie, solution financire et technologique pour vous permettre dintgrer la partie Network Lifecycle Management au sein de votre dmarche globale de gestion du cycle de vie de votre SI. Dans cet article nous vous prsenterons tout dabord les particularits du rseau IP puis vous donnerons un aperu de la manire dont Cisco et ses partenaires peuvent participer la russite de votre programme. 1) Le rseau IP : composants ou structure ? Aux cots des applications, serveurs, bases de donnes, le rseau IP possde 2 caractristiques tout fait particulires. I. Cest un petit systme dinformation lui tout seul compos dun ensemble de matriel et de logiciel fournissant plusieurs type de services : Connectivit haut dbit filaire ou non filaire Scurit des devices, des utilisateurs et des applications Haute disponibilit / Virtualisation des accs aux applications Mobilit des utilisateurs et des devices Applications de collaboration

Cette dimension est fondamentale car dans le choix architectural du rseau, les composants hardware doivent tre penss pour supporter les services demands aujourdhui mais galement ceux ncessaires au cours de la dure de vie du SI. Les exemples dinnovation technologique forte valeur ajoute pour lentreprises ayant ncessit un changement de hardware non compatible dans les 10 dernires annes sont nombreux (DSL, TOIP, MPLS. Le support dIPV6, seule solution au besoin exponentiel de nouvelles adresses IP (internautes, smartphone, M2M) est un des exemple des services de base que devront fournir les rseaux dans un futur proche. Autres grandes tendances qui solliciteront fortement larchitecture rseau : la vido, les devices ultra mobile, lutilisation dapplications en provenance du Cloud et les impratifs doptimisation nergtique. II. Le rseau IP est en relation avec lensemble des composants du systme dinformation Cette caractristique fait du rseau le premier excutant (voir premier coupable) de la perception de la performance du SI auprs des utilisateurs. 47

Les nouvelles applications de collaboration vido internes et externes ou encore le recours gnrale la virtualisation vont encore augmenter la prgnance du rseau sur le ressenti qualitatif des services. Sur un plan plus oprationnel le rseau offre aux quipes de la DSI une plateforme simple et efficace de fourniture et dacclration des divers services informatiques. Le cycle de vie du rseau doit donc tre consolid et planifi au diapason de celui du SI sous peine dune infrastructure vieillissante pouvant entrainer des impacts oprationnels (fin de support, failles de scurit, gestion de standards et administration complexes), financiers (pics dinvestissement, hausse des cots du support et maintenance,) et sur la productivit (disponibilit du SI et dploiement de nouvelles applications impacts).

Pour plus dinformations, notre partenaire Dimension Data publie la nouvelle version de son Network Barometer Report 2010 qui value la capacit des rseaux soutenir lactivit oprationnelle des entreprises. Il sappuie sur les donnes recueillies auprs de 235 entreprises, lors daudits raliss en 2010 par Dimension Data. Disponible gratuitement par simple tlchargement http://www.dimensiondata.com/NetworkBarometer 2) Comment Cisco peut participer votre dmarche globale de gestion du cycle de vie Fort de son exprience interne et de ses cooprations au sein des plus grands rseaux oprateurs et entreprises dans le monde, Cisco a dvelopp avec ses partenaires une dmarche holistique intgrant le network lifecycle management avec les diffrents morceaux du puzzle. Cette approche combine : vision darchitecture, produits, services et mthodologie

48

I.

Analyse de la situation existante Enrichissant les informations disponibes par un audit technique de dcouverte des composants rseaux (matriels et logiciels), cette premire tape fournit une topologie complte. A partir de cet audit, Cisco et ses partenaires vous fournissent un rapport sur : -Ltat de support de vos composants (fin de commercialisation, fin de support) -Les ventuels failles et correctifs de scurit -La capacit des lments supporter les services actuels et futurs Proposition darchitectures Le systme dinformation est une architecture technologique au service des mtiers et process de lentreprise. Cisco a dvelopp avec ses partenaires, des services de conseil et daccompagnement la rdaction darchitectures techniques alignes avec les architectures mtiers et organisationnelles de lentreprise. Le modle utilis est inspir de modle rfrence comme ITIL et TOGAF et fournit les services suivants dans chaque architecture -Accs constant et scuris des services tous les utilisateurs -Rduction des risques lors du dploiement et de lutilisation oprationnelle -Facilitation du support des services existants et futurs -Rduction des cots par la consolidation de services dans le rseau (tlphonie, mobilit, haute disponibilit) Les 3 architectures technologiques proposes par Cisco sont les suivantes : 1) Rseau sans frontires Plateforme de support des nouveaux modes dorganisation du travail fournissant un accs haut dbit et scuris lensemble des individus nomades et applications de lentreprise mais aussi aux sous-traitants et partenaires. 2) Collaboration : Acclrer la productivit en rendant possible linteraction et la communication entre quipes physiquement ou organisationnelement spares 3) Data Center Virtualis : 49

II.

Supporter la consolidation, lautomatisation et la virtualisation des data center pour automatiser les process et amliorer lutilisation des ressources informatiques. III. Planification Cette tape vise finaliser le plan dinvestissement des solutions, produits et services. En parallle de ses propres solutions, Cisco a dvelopp des partenariats avec la plupart des grands acteurs du march (SAP, Microsoft, VmWare) pour faciliter lintgration et le dploiement du systme globale. Le pannel de services propos par Cisco et ses partenaires est trs large, de larchitecture globale jusqu' des domaines dexpertises technologiques comme la mobilit, la scurit, la performance, la collaboration ou encore mtiers comme la performance des salles de march, des hopitaux ou des supermarchs. La planification financire des ses investissement est souvent llment cl pour scuriser le dploiement des services au moment ou lentreprise en a besoin. Via Cisco Capital, nous vous proposons des solutions de financement pour lisser les investissements dans la dure.

IV.

Gestion du dploiement Quand le projet est budget et lanc, la minimisation des risques est le facteur cls de succs pour russir la migration des anciens services vers les nouveaux. -Intgration des composants Les partenaires de Cisco, grandes SSII ou spcialistes technologiques fournissent des services experts dintgration de la solution globale et de son alignement avec les processus de lentreprise. Cisco peut tre appel par ces intgrateurs pour participer leur cots certains projets innovants. -Dploiements des composants rseaux : Plus de 25 000 partenaires intgrateurs gnralistes ou spcialistes, europen investissent chaque anne dans des comptences nouvelle pour dployer lensemble de la gamme Cisco. -Test et recette du dploiement En amont dans nos laboratoires et en aval une fois dploy, Cisco, avec laide de ses partenaires test et valide (Cisco Validated Design) la conformit du projet avec le design et les objectifs dfinis au dbut du projet.

V.

Gestion oprationnel et support -Services doptimisation Les usages et les besoins voluant sans cesse (nouvelles applications, nouveaux devices smartphone, nouveaux flux vido) sur le rseaux, Cisco et ses partenaires vous propose des services doptimisation et dvolution de larchitecture ainsi que les mises jours des fonctionnalits garantissant le maintien oprationnel et le SLA des applications.

50

-Support et maintenance Ensemble, Cisco et ses partenaires vous fournissent un support en ligne sans quivalent via le Technical Assistance Center. VI. Fin de vie et remplacement Toute lindustrie informatique est de plus en plus rglemente concernant le retraitement des quipements en fin de vie. Cisco a mis en place un programme complet pour ces clients et partenaires afin de : -Maximiser la dure de vie des quipements en place par des mises jour hardware et software -Faciliter la rcupration et le traitement des quipements en fin de vie. Financirement, Cisco offre un crdit de reprise des anciens quipements lors de lachat de nouveaux produits. Cisco assure galement la destruction des quipements repris au-del des rglementations les plus svres de lindustrie. Conclusion Un rapport dIDC mets en lumire les bnfices de la mise en place dune gestion du cycle de vie du rseau : -Meilleur alignement de larchitecture avec les priorits des divers mtiers de lentreprise -Diminution des risques oprationnels -Facilitation de ladministration et du support -Optimisation et lissage des cots dans le temps. En interne Cisco dvelopp une approche performante que nous rsume Yvic le Scouezec (EMEA IT Manager) : Cisco fournit lensemble des ses collaborateurs, rpartis dans trois cents bureaux, le mme niveau de service. Le rseau fait partie des fondations qui garantissent lentreprise la capacit de dployer rapidement de nouveaux services. Tous les ans, nous planifions des mises jour de notre infrastructure afin de soutenir le dveloppement de lentreprise. La Telepresence est un exemple qui illustre notre capacit offrir rapidement de nouveaux services. En trente mois, nous avons pu dployer sept cent cinquante systmes, sans budget supplmentaire pour le rseau. Nous restons votre disposition pour partager avec nos partenaires cette approche au sein de votre dmarche globale.

51

EnergyWise se renforce
EnergyWise a pour but de rduire les consommations lectriques dun btiment industriel ou tertiaire en utilisant le rseau IP pour mesurer les consommations, agrger les rsultats et activer/dsactiver les systmes lectriques suivant des politiques. Lambition dEnergyWise sexprime bien dans cette courte vido (sous-titre en franais) dune mn: http://www.youtube.com/watch?v=h-38i1ltrSw&feature=player_embedded EnergyWise a t annonc en janvier 2009 et la premire phase permettait le contrle des quipements directement aliments par les commutateurs via la technologie POE (Power Over Ethernet), comme des IP Phones, des camras de surveillance IP ou des Points daccs WiFi. Lannonce de la phase 2 introduit deux principales nouveauts: - la plate-forme de gestion Orchestrator (et la possibilit de contrler des PC via EnergyWise) - la mise disposition dun kit de dveloppement et dAPI pour que des produits tierce partie sinterfacent avec EnergyWise. Orchestrator se compose de deux lments: une plate-forme dadministration o les politiques de mises en veille et les tableaux de bords sont construits et des agents installs sur les PC (sous Windows 7, Vista ou XP) chargs dexcuter les politiques et de remonter les informations de consommation. La plate-forme dadministration peut piloter les systmes aliments en POE par les commutateurs ainsi que les PC (qui possdent un agent). La commercialisation devrait intervenir en mai. En parallle, afin de permettre aux industriels dutiliser les services EnergyWise, Cisco annonce un programme Cisco Developer Program (CDN) pour Energywise. Le programme CDN existe dj pour les communications unifies et les technologies sans fil. Les socits dsireuses dinterfacer leurs solutions avec les services EnergyWise disposeront dun kit de dveloppement et dun accs aux API EnergyWise. Elles pourront valider linteroprabilit de leurs dveloppements via une plateforme de test. Le programme dbutera en juin. Nous devrions ainsi voir apparatre dans les mois venir de nombreuses solutions tierce partie et des dploiements EnergyWise . Vous trouverez des informations supplmentaires sur http://www.cisco.com/go/energywise (notamment un calculateur en ligne qui permet rapidement destimer les conomies gnres par EnergyWise).

52

Du rseau sans Fil la Mobilit sans frontire

Lvolution du March et des usages de la Mobilit Plusieurs facteurs modifient actuellement le panorama et les usages de la mobilit, aussi bien des facteurs technologiques, conomiques ou sociaux. Larrive massive des Smartphones associs des offres incitatives 3G des oprateurs mobile a dmocratis linternet Mobile. Une tude dEricsson prvoit une progression du nombre dutilisateurs dinternet Mobile de 400 millions de personnes actuellement 3,5 milliards d'ici 2015. Les usages de la mobilit ont galement volus grce aux nouvelles gnrations dapplications web mobile. Pour le grand public notamment, la monte en puissance des rseaux sociaux et larrive de plateformes de tlchargement web comme lApple Store dApple pour son Iphone ont rvolutionn les usages des Smartphones. L'Internet mobile dj prsent dans les entreprises via le Web mail, continue se dvelopper autour de nouvelles applications de collaboration multimdia intgrant voix vido donnes comme les applications Webex de Cisco ou bien des applications professionnelles de suivie client type CRM ou de m-commerce. Une des consquences de la pntration de linternet Mobile dans les entreprises est notamment une amlioration de lefficacit des collaborateurs grce une meilleure interactivit avec les quipes ou les clients/fournisseurs de lentreprise. Un utilisateur mobile peut dsormais se connecter de nimporte o, nimporte quel moment et avec nimporte quel type de priphrique. Dun point de vue conomique, la Mobilit et le nomadisme permettent galement certaines entreprises de rduire les cots immobiliers en rduisant les surfaces tout en augmentant la productivit des collaborateurs. La vision Cisco de la Mobilit sans frontire (Borderless Mobility) Avec linternet, lentreprise sest largement transforme et dveloppe pour profiter de la globalisation et de la mondialisation, dsormais avec les technologies de linternet mobile lentreprise devient mobile et sans frontire, redfinissant ainsi lorganisation du travail autour de la notion dactivit dcorelle du principe de lieu de travail. Lentreprise devient donc vritablement une entreprise tendue ou la mobilit est omniprsente. Lutilisateur ne sera plus mobile lextrieur de lentreprise grce aux Smartphones et lintrieur grce aux portables en WiFi en utilisant des applications souvent distinctes, mais toujours connect et oprationnel quelque soit le lieu et le type de priphrique utilis. La mise en uvre dune politique de mobilit au sein des entreprises implique un certain nombre de contraintes pour les DSI comme la scurisation et la transparence des accs aux informations et la continuit des services applicatifs. Pour rpondre cette volution des besoins de lutilisateur nomade et faciliter la mise en uvre de solutions de Mobilit dentreprise, Cisco a dvelopp une stratgie produits et solutions base autour de la notion darchitecture de Mobilit sans frontire. Les principes de larchitecture de Mobilit sans frontire Cisco Pour dployer et mettre en uvre une solution rseau supportant les applications de mobilit, Cisco a dvelopp un modle bas sur une architecture volutive structure autour de plusieurs briques 53

technologiques, applicatives et de services.

Larchitecture dun rseau de mobilit sans frontire repose notamment sur : 1) Les technologies constituant linfrastructure rseau mobile telles que les commutateurs intelligent (Cisco Catalyst), les technologies WiFi Cisco 802.11n (Cisco Aironet) et les solutions de scurit pour laccs disant comme le VPN/SSL.

Dans sa stratgie, Cisco apporte au march un certain nombre dinnovations et de nouvelles fonctionnalits permettant damliorer la scurisation et la cohrence entre les diffrentes briques daccs aux rseaux (comme par exemple la transparence daccs filaire et sans fil). Le WiFi et le 802.11n une composante cl de larcitecture rseau de lentreprise : Le WiFi avec larrive et la ratification de la technologie 802.11n par lIEEE, est entr lre du Hautdbit et est dsormais considr comme une composante cl du rseau de lentreprise mobile, en offrant des caractristiques de performance et de fiabilit quivalente au rseau local. Les analystes prvoient en outre, une adoption du 802.11n par le march plus rapide que les technologies a/b/g.

54

Source: DellOro LAN Report Five Year Forecast January 2010

Group, 2010 -

Wireless 2014,

2) Les intelligents pour la gestion et loptimisation du rseau WiFi

services

Larrive massive des priphriques Mobile WiFi dans lentreprise, le dveloppement de nouvelles applications mobiles, critiques pour lentreprise ncessitent de disposer de services rseaux intelligents et cohrents pour assurer, la scurit, la performance et la continuit de service du rseau. Dans le domaine de la Mobilit et du WiFi Cisco a dvelopp un certain nombre de services pour amliorer la qualit, la scurit et la performance du rseau WiFi. Les principales innovations proposes sont notamment : - ClientLink au cur des points daccs 802.11n Cisco qui permet damliorer la performance et la couverture du rseau 802.11n ainsi que la compatibilit avec les priphriques a/b/g du march - La gestion proactive des problmes de connexions et de couverture WiFi grce notamment la solution de gestion WCS (Wireless Control System) associe aux solutions Aironet 802.11n Cisco et contrleurs WiFi. - La capacit via des services de golocalisation contextuelle propose sur la plateforme MSE (Mobility Service Engine) de grer la localisation des ressources filaires ou sans fil du rseau pour notamment amliorer les processus mtiers de lentreprise ou la scurit physique de certains collaborateurs. - CleanAir, la dernire innovation propose par Cisco et dcrite dans ce magazine pour permettre aux responsables rseaux de diagnostiquer et traiter de faon automatique et proactive les problmes de couverture radio lis aux interfrences de systmes non WiFi.

La scurisation des accs

3) Une architecture rseau volutive pour le support des applications Mobiles et critiques 55

Une architecture de mobilit sans frontire a pour objectif dassurer le support, la performance, la scurit la continuit de service et la transparence daccs aux applications mobile de lentreprise.

Larchitecture de Mobilit unifie Cisco offre tous les mcanismes de scurit de qualit de service, lefficacit de la radio et les services avancs permettant de supporter simultanment les applications voix/vidos. Les services de types invits et le support de la voix sont notamment intgrs nativement permettant ainsi des mises en uvre sans surcots. Larchitecture de Mobilit unifie Cisco est ainsi la fondation pour un projet de Mobilit dentreprise sans frontire. En conclusion Cisco propose une architecture de Mobilit unifie volutive afin daider la DSI dans sa ses choix et sa stratgie rseau pour son projet de Mobilit. La solution de Mobilit Cisco en combinant diffrentes briques technologiques Wifi matures et robustes et des services orients applications et mtiers permet de dplacer le dbat de la connexion rseau sans fil vers la notion darchitecture de Mobilit sans frontire pour une meilleure prennisation et un meilleur retour sur investissement.

56

Contactez-nous : www.cisco.fr 0800 907 375

Sige social Mondial Cisco Systems, Inc. 170 West Tasman Drive San Jose, CA 95134-1706 Etats-Unis www.cisco.com Tl. : 408 526-4000 800 553 NETS (6387) Fax : 408 526-4100 Sige social France Sige social Amrique Cisco Systems France Cisco Systems, Inc. 11 rue Camille Desmoulins 170 West Tasman Drive 92782 Issy Les Moulineaux San Jose, CA 95134-1706 Cedex 9 Etats-Unis France www.cisco.com www.cisco.fr Tl. : 408 526-7660 Tl. : 33 1 58 04 6000 Fax : 408 527-0883 Fax : 33 1 58 04 6100 Sige social Asie Pacifique Cisco Systems, Inc. Capital Tower 168 Robinson Road #22-01 to #29-01 Singapour 068912 www.cisco.com Tl. : +65 317 7777 Fax : +65 317 7799

Cisco Systems possde plus de 200 bureaux dans les pays et les rgions suivantes. Vous trouverez les adresses, les numros de tlphone et de tlcopie ladresse suivante :

www.cisco.com/go/offices Afrique du Sud Allemagne Arabie saoudite Argentine Australie Autriche Belgique Brsil Bulgarie Canada Chili Colombie Core Costa Rica Croatie Danemark Duba, Emirats arabes unis Ecosse Espagne Etats-Unis Finlande France Grce Hong Kong SAR Hongrie Inde Indonsie Irlande Isral Italie Japon Luxembourg Malaisie Mexique Nouvelle Zlande Norvge Pays-Bas Prou Philippines Pologne Portugal Porto Rico Rpublique tchque Roumanie RoyaumeUni Rpublique populaire de Chine Russie Singapour Slovaquie Slovnie Sude Suisse Taiwan Thalande Turquie Ukraine Venezuela Vietnam Zimbabwe
Copyright 2009 Cisco Systems, Inc. Tous droits rservs. CCSP, CCVP, le logo Cisco Square Bridge, Follow Me Browsing et StackWise sont des marques de Cisco Systems, Inc. ; Changing the Way We Work, Live, Play, and Learn, et iQuick Study sont des marques de service de Cisco Systems, Inc. ; et Access Registrar, Aironet, ASIST, BPX, Catalyst, CCDA, CCDP, CCIE, CCIP, CCNA, CCNP, Cisco, le logo Cisco Certified Internetwork Expert, Cisco IOS, Cisco Press, Cisco Systems, Cisco Systems Capital, le logo Cisco Systems, Cisco Unity, Empowering the Internet Generation, Enterprise/Solver, EtherChannel, EtherFast, EtherSwitch, Fast Step, FormShare, GigaDrive, GigaStack, HomeLink, Internet Quotient, IOS, IP/TV, iQ Expertise, le logo iQ, iQ Net Readiness Scorecard, LightStream, Linksys, MeetingPlace, MGX, le logo Networkers, Networking Academy, Network Registrar, Packet, PIX, Post-Routing, Pre-Routing, ProConnect, RateMUX, ScriptShare, SlideCast, SMARTnet, StrataView Plus, TeleRouter, The Fastest Way to Increase Your Internet Quotient et TransPath sont des marques dposes de Cisco Systems, Inc. et/ou de ses filiales aux tats-Unis et dans dautres pays.

Remarque :

Remarque :

Toutes les autres marques mentionnes dans ce document ou sur le site Web appartiennent leurs propritaires respectifs. Lemploi du mot partenaire nimplique pas ncessairement une relation de partenariat entre Cisco et une autre socit. (0502R) 205534.E_ETMG_JD_10/09

57