Fiche technique

FONCTIONS DE SCURIT DES ROUTEURS SERVICES INTGRS CISCO 1800, 2800 ET 3800

Cette fiche technique dcrit les fonctions de scurit des routeurs services intgrs Cisco 1800, 2800 et 3800 DESCRIPTION DU PRODUIT Cisco Systems rvolutionne le routage avec une nouvelle gamme de routeurs services intgrs spcifiquement conus pour dlivrer la vitesse du cble des services convergents vido, voix, donnes. Fruit de vingt annes dinnovation et dexpertise dans le domaine des technologies Internet, la gamme de routeurs services intgrs Cisco 1800, 2800 et 3800 intgre au sein dun mme systme de routage, des services de tlphonie dentreprise, des services de routage multi protocole et des services de scurit dentreprise. Ces plateformes apportent une solution compltement intgre qui est parfaitement adapte aux besoins des entreprises en termes de services, de performances et de scurit. La gamme Cisco 3800 est conue autour dune nouvelle architecture interne qui se caractrise, en plus de plus de puissance, par une trs haute densit dinterface et une trs haute fiabilit. Cette nouvelle architecture sarticule autour dASIC spcialiss et intgre de faon native dans son hardware la scurit, la tlphonie dentreprise et le traitement des flux multimdia. Composante cl de la stratgie les rseaux qui se dfendent tout seuls (Cisco Self-Defending Network), les routeurs services intgrs Cisco ISR permettent la conception dinfrastructures de routage robustes dotes de fonctions de scurit adaptes aux volutions de la physionomie du risque. Avec de puissantes fonctionnalits comme les rseaux VPN, lacclration matrielle de lencryption, un pare-feu inspection dtat, un systme de prvention des intrusions (IPS), des modules rseau de diffusion de contenus (gammes Cisco 2800 et 3800), Cisco fournit la solution de scurit la plus robuste et la plus adaptable du march pour les sites distants dentreprise. En associant les fonctionnalits prouves de la plate-forme logicielle Cisco IOS, une connectivit de rseau LAN et WAN parmi les plus riches de lindustrie, des fonctions de scurit conformes aux critres communs de qualit, les solutions de scurit intgres permettent nos clients de bnficier des avantages suivants : Exploitez ce que vous avez vous tirez le meilleur parti de votre infrastructure de rseau existante tandis que la plate-forme logicielle Cisco IOS active de nouvelles fonctions de scurit sur le routeur sans quil soit ncessaire dacqurir des serveurs supplmentaires ; Dployez la scurit aux endroits stratgiques vous disposez dune souplesse totale qui vous permet de mettre en uvre les fonctionnalits de scurit comme les pare-feu, les systmes de prvention des intrusions (IPS) et les VPN aux points nvralgiques de votre rseau pour en maximiser la protection ; Protgez vos passerelles vous dployez les meilleures fonctionnalits de scurit du march tous les points dentre de votre rseau ; Gagnez du temps et de largent vous rduisez le nombre dunits dont vous avez besoin et donc les cots de formation et de gestion associs ; Protgez votre infrastructure vous protgez votre routeur et vous vous dfendez ainsi contre les menaces qui visent directement linfrastructure rseau comme les attaques par saturation et dpassement de capacit. CISCO LE RSEAU QUI SE DFEND TOUT SEUL Les routeurs Cisco 1800, 2800 et 3800 supportent un vaste ventail de fonctions de scurit qui agissent dans le cadre de la stratgie des rseaux qui se dfendent tout seuls, une solution qui permet aux organisations de toutes natures didentifier et de prvenir les menaces de scurit et dy ragir efficacement. Le rseau autodfense Cisco (Cisco Self-Defending Network) dispose de quatre catgories de protection qui sappliquent au niveau du routeur : Connectivit scurise vous bnficiez dune connectivit de rseau scurise et volutive qui reconnat de nombreux types de trafics simples mais aussi complexes tels que les trafics voix et vido. La conception darchitectures VPN de grande tailles fait partie des services disponibles en standards dans cette nouvelle gamme de routeurs. Ces services VPN sont renforcs en terme de robustesse et simplifis en terme de configuration grce aux fonctions DMVPN (Dynamic Multipoint VPN), Multi-VRF, MPLS Secure Contexts, et V3PN (Voice and Video Enabled VPN),

Cisco Systems, Inc. All contents are Copyright 19922004 Cisco Systems, Inc. All rights reserved. Important Notices and Privacy Statement. Page 1 of 15

 la dfense contre les menaces Internet elle consiste faire en sorte que le rseau sache dtecter et matriser dynamiquement les attaques circulant travers lui grce des services de blocage ou de confinement des attaques comme le systme Cisco IPS (Intrusion Prevention System) et le pare-feu inspection dtat Cisco IOS ; la scurisation et lidentification le rseau protge de manire intelligente les points dextrmit grce des technologies de contrle renforc laccs comme le service NAC (Network Admission Control) et les services didentification AAA (Autorisation, Authentification, Administration) la protection de linfrastructure de rseau linfrastructure de votre rseau est protge des attaques dont elle serait elle-mme la cible, et ce grce des fonctions comme la protection du plan de contrle (protection des fonctions systmes du routeur) la reconnaissance des applications complexes NBAR (Network-Based Application Recognition) et AutoSecure (durcissement du routeur) FONCTIONNALIT DES ROUTEURS SERVICES INTGRS Les fonctions de scurit des routeurs des gammes Cisco 1800, 2800 et 3800 sont distribues dans les ensembles de fonctionnalits des packages logiciels Cisco IOS suivants : Advanced Enterprise Services Advanced Enterprise Services Advanced Security Pour savoir comment choisir les fonctionnalits, visitez : http://www.cisco.com/en/US/products/sw/iosswrel/ps5460/prod_bulletin09186a00801af451.html CONNECTIVIT SCURISE : TUNNELLISATION ET CRYPTAGE VPN, DMVPN, EASY VPN, V3PN ET CONTEXTES MULTI-VRF Tunnellisation et cryptage des VPN Les VPN sont le mode de connectivit de rseau qui a connu la plus forte croissance et Cisco renforce sa valeur ajoute dans ce domaine en intgrant les fonctions correspondantes au niveau matriel dans la gamme routeurs services intgrs. Les routeurs Cisco 1800, 2800 et 3800 sont quips dune acclration matrielle intgre des fonctions de cryptage qui dcharge le processeur des tches de cryptage IPSec (AES, 3DES et DES) et des processus VPN pour augmenter le dbit des rseaux priv virtuels. Si lutilisateur souhaite accrotre encore le dbit des VPN ou leur volutivit, les modules AIM (Advanced Integration Module) plus puissants sont disponibles en option pour le cryptage matriel haute performance. Rsultat : des VPN aux performances amliores jusqu quatre fois plus rapides quavec les modles prcdents et la rduction de lutilisation globale du processeur. Le module AIM en option offre des performances de cryptage jusqu dix fois suprieures celles des modles prcdents tout en permettant lvolutivit de la tunnellisation. Parmi les principales fonctions des acclrateurs VPN intgrs et sur module AIM, signalons : lacclration du cryptage IPSec des vitesses compatibles avec des dbits T3/E3 full-duplex multiples, lacclration matrielle des algorithmes de cryptage DES, 3DES et AES (128, 192 et 256) sur tous les modules (intgr et AIM), le support des signatures de lalgorithme RSA (Rivest, Shamir, Aldeman) et Diffie-Hellman pour lauthentification, lutilisation des algorithmes de hachage SHA-1 (Secure Hash Algorithm 1) ou MD5 (Message Digest Algorithm 5) qui garantissent lintgrit des donnes, le support de la compression de couche 3 (IPPCP) au niveau matriel avec lajout du module de cryptage des VPN. En plus des services gnriques IPSec, les routeurs services intgrs peuvent galement utiliser une technique de tunnellisation particulire qui associe les protocoles IPSec et GRE (Generic Routing Encapsulation). Lencapsulation GRE avec IPSec est une solution originale dveloppe par Cisco qui permet la transmission de protocoles de routage dynamiques sur le VPN et garantit ainsi une plus grande robustesse de rseau que les solutions IPSec seules. En plus doffrir un mcanisme de correction automatique en cas de panne, les tunnels GRE permettent de crypter les paquets multicast et broadcast ainsi que les protocoles autres que IP. Avec la tunnellisation GRE IPSec, les routeurs services intgr Cisco peuvent supporter des protocoles comme AppleTalk et IPX (Internetwork Packet Exchange) de Novell ainsi que des applications multicast et broadcast comme la vido.

Cisco Systems, Inc. All contents are Copyright 19922004 Cisco Systems, Inc. All rights reserved. Important Notices and Privacy Statement. Page 2 of 15

Dynamic Multipoint VPN (DMVPN) Avec les premiers routeurs offrir la fonctionnalit DMVPN, Cisco se place rsolument en tte de lindustrie. Cisco DMVPN permet dtablir la demande des tunnels VPN sites distants vers sites distants. Ceci permet la reproduction dun maillage complet du rseaux VPN qui permet de rduire les risques de latence lorsque le trafic remonte vers un site de concentration, conomise la bande passante et simplifient considrablement le dploiement des architectures VPN (voir la Figure 1). Le service DMVPN sappuie sur le savoir-faire de Cisco en matire de routage et de protocole IPSec en permettant la configuration dynamique des tunnels GRE, du cryptage IPSec et des protocoles NHRP (Next Hop Resolution Protocol), OSPF et EIGRP. Cette configuration dynamique des tunnels VPN associe des technologies comme la qualit de service (QoS) et le multicast, optimise le dploiement des applications sensibles aux temps de latence comme la voix et la vido. DMVPN rduit galement les tches administratives en liminant la ncessit de reconfigurer un concentrateur VPN central pour ajouter de nouveaux routeurs priphriques ou pour tablir des connexions entre deux de ces routeurs priphriques.
Figure 1. Exemple de solution DMVPN

Easy VPN Easy VPN est une solution IPSec conue pour supporter aisment et de manire trs volutive les topologies VPN concentrateur et routeurs priphriques. Easy VPN simplifie le dimensionnement et la gestion des solutions VPN entre des pare-feu PIX, des VPN 3000 et des routeurs de toutes tailles. Easy VPN, qui a fait ses preuves au travers de plusieurs milliers dinstallations clients, utilise une technologie de tlchargement des politiques (policy push) pour simplifier la configuration tout en garantissant une grande diversit de fonctionnalits et le contrle des politiques. Easy VPN prsente les avantages suivants : Easy VPN supporte aussi bien les clients VPN matriels (routeurs daccs, pare-feu PIX) que les clients VPN logiciels distants partir dun mme routeur install sur le site central. Le client logiciel Cisco VPN Software Client peut tre install sur des PC, des Mac et des systmes UNIX pour fournir, sans supplment de cot, une connectivit daccs distance aux VPN du routeur. La mme technologie (Easy VPN) sert la fois aux clients VPN matriels et aux clients VPN logiciels, ce qui se traduit par une rduction du cot total dacquisition grce la simplification et lunification des services de dimensionnement, de surveillance et AAA (Authentification, Autorisation, Administration). Easy VPN offre des options dauthentification locale sur le routeur ou centralise de type RADIUS et AAA portant aussi bien sur les quipements de routage clients que sur les utilisateurs individuels. Lauthentification 802.1x permet galement dauthentifier les htes sur chaque site dquipement client.

Cisco Systems, Inc. All contents are Copyright 19922004 Cisco Systems, Inc. All rights reserved. Important Notices and Privacy Statement. Page 3 of 15

 Easy VPN supporte lutilisation des certificats digitaux, ce qui amliore la scurit par rapport aux changes pralables de cls. Lquilibrage de charge sur de multiples concentrateurs Easy VPN au site central permet une rpartition automatique de la charge sur de nombreux serveurs Easy VPN. Le tlchargement de politique vers les quipements clients partir des informations sauvegardes sur le concentrateur permet de faire voluer la solution sans avoir reconfigurer ces quipements. Le serveur Easy VPN virtualis donne aux fournisseurs de services la possibilit doffrir des services VPN un grand nombre de clients partir dune plate-forme unique. Easy VPN offre une intgration de lensemble des fonctionnalits, notamment laffectation dynamique de politiques de qualit de service (QoS), le pare-feu et le systme IPS de prvention des intrusions, la tunnellisation partage ainsi que SAA (Service Assurance Agent) et NetFlow pour la surveillance des performances. Cisco SDM (Security Device Manager) permet un dploiement rapide et assist de Easy VPN avec AAA et pare-feu, ainsi quune surveillance graphique en temps rel des clients Easy VPN distants, tandis que Easy VPN Server Administrator donne la possibilit de fermer les sessions des clients distants. Easy VPN est support sur toutes les gammes de produits de services Cisco VPN : la plate-forme logicielle Cisco IOS, les pare-feu Cisco PIX et la gamme de concentrateurs Cisco VPN 3000 V3PN : VPN IPSec compatible voix et vido Les routeurs des gammes Cisco 1800, 2800 et 3800 supportent le service V3PN. V3PN correspond la capacit pour linfrastructure de raliser une architecture VPN qui permet la convergence des donnes, de la voix et de la vido sur un rseau IPSec scuris avec qualit de service (QoS). Sur un transport IP, les utilisateurs obtiennent ainsi de manire scurise et conomique les mmes performances pour leurs applications voix et vido que sur une liaison de rseau WAN. Contrairement la plupart des units VPN du march, les routeurs services intgrs Cisco se plient aux nombreuses exigences de trafic et de topologie de rseau qui autorisent les VPN IPSec multiservice. Larchitecture de rseau de bout en bout V3PN exploite les routeurs scuriss Cisco et la plate-forme logicielle Cisco IOS pour protger le trafic voix. Ltablissement de VPN IPSec voix et donnes de haute qualit exige beaucoup plus que la simple capacit crypter le trafic il faut pouvoir disposer dun ensemble harmonis de technologies multiservices et VPN IPSec volues. Les principales technologies de la plate-forme logicielle Cisco IOS qui permettent la mise en uvre des V3PN Cisco sont les suivantes : qualit de service (QoS) centre sur le multiservice, support des diffrents types de trafic et des topologies de rseau multiservice et fonctionnalits amliores de reprise rseau. Contextes scuriss Multi-VRF et MPLS pour les fournisseurs de services Multi-VRF, galement appel VRF-Lite, permet de configurer et de grer plusieurs instances dune table de routage et de transfert sur le mme routeur physique. En association avec les technologies VLAN Ethernet VLAN et VPN WAN comme Frame Relay, MultiVRF permet de fournir plusieurs services logiques sur un mme rseau physique, apportant ainsi la confidentialit et la scurit jusquau rseau local dun site distant. Un mme routeur Cisco avec Multi-VRF peut supporter plusieurs organisations avec des plans adressages IP superposes tout en garantissant le cloisonnement des donnes, du routage et des interfaces physiques. Pour plus dinformations sur Multi-VRF, consultez le Product Bulletin. DFENSE CONTRE LES MENACES LIES AU CYBER RISQUE : PARE-FEU CISCO IOS, PARE-FEU TRANSPARENT, PRVENTION DES INTRUSIONS, FILTRAGE DES URL ET SCURIT DES CONTENUS Pare-feu Cisco IOS Le pare-feu Cisco IOS est un service de pare-feu inspection dtat parmi les meilleures du intgr aux routeurs Cisco. Dvelopp partir des technologies de pare-feu PIX march le pare-feu Cisco IOS est support par tous les routeurs services intgrs excutant au minimum lensemble de fonctionnalits Advanced Scurit de la plate-forme logicielle Cisco IOS. Solution de scurit et de routage tout en un, le pare-feu Cisco IOS est idal pour protger le point dentre WAN de votre rseau. Bien que le concentrateur soit gnralement le lieu dinstallation dun pare-feu et dinspection du trafic malveillant, ce nest pas le seul emplacement envisager pour le dploiement dune solution de scurit efficace. Les sites distants sont galement des points vulnrables de votre rseau o le trafic doit tre filtr et inspect.

Cisco Systems, Inc. All contents are Copyright 19922004 Cisco Systems, Inc. All rights reserved. Important Notices and Privacy Statement. Page 4 of 15

Les principales fonctionnalits du pare-feu Cisco IOS comprennent : le pare-feu inspection dtat avec protection contre les attaques par dbordement de capacit, la sensibilit amliore aux applications, au trafic et aux utilisateurs pour lidentification, linspection et le contrle des applications, linspection volue des protocoles pour la voix, la vido et les autres applications complexes, les politiques de scurit par utilisateur, par interface ou par sous-interface, les services didentification fortement intgrs fournissant lauthentification et lautorisation par utilisateur, la simplicit de gestion grce des fonctions comme laccs par rle et les vues de linterface de commande en ligne qui ralisent une sparation logique et scurise du routeur entre les administrateurs scurit et les administrateurs infrastructure. Le pare-feu Cisco IOS ne se contente pas de raliser un point de protection unique sur le primtre du rseau : il contribue galement garantir que lapplication de la politique de scurit demeure une composante inhrente du rseau lui-mme. Par leur souplesse et les conomies ralises, les deux modes dapplication des politiques ddi et intgr simplifient les solutions de scurit sur les primtres extranet et intranet ainsi que sur la connectivit Internet des bureaux ou des sites distants. Intgr au rseau grce la plate-forme logicielle Cisco IOS, le pare-feu Cisco IOS donne galement aux utilisateurs la possibilit dexploiter les fonctionnalits volues de qualit de service (QoS) sur le mme routeur. Cisco IOS supporte le pare-feu IPv6 qui autorise un dploiement dans des environnements mixtes IPv4 et IPv6. Le pare-feu Cisco IOS IPv6 permet linspection dtat des protocoles (dtection des anomalies) des paquets IPv6 ainsi que la prvention IPv6 des attaques par saturation. Pare-feu transparent En plus du pare-feu inspection dtat de couche 3, les routeurs des gammes Cisco 1800, 2800 et 3800 supportent le pare-feu transparent, autrement dit la possibilit dappliquer des fonctionnalits de pare-feu de couche 3 une connectivit de couche 2. Les avantages dun pare-feu transparent sont, notamment : la possibilit dajouter facilement un pare-feu sur des rseaux existants sans avoir modifier le plan dadressage IP le support des interfaces VLAN ; le support du protocole Spanning Tree pour grer correctement les paquets BPDU (Bridge Protocol Data Unit) conformment la norme 802.1d, et ne pas se contenter de les laisser passer ou de les rejeter ; le support dune solution mixte de pare-feu de couches 2 et 3 sur un mme routeur ; les interfaces qui nont pas besoin dadresse IP ; le support de tous les outils de gestion standard ; le support du transit DHCP (Dynamic Host Configuration Protocol) qui permet daffecter des adresses DHCP sur des interfaces opposes (trafic bidirectionnel).

Cisco Systems, Inc. All contents are Copyright 19922004 Cisco Systems, Inc. All rights reserved. Important Notices and Privacy Statement. Page 5 of 15

La Figure 2 prsente une application du pare-feu transparent.

Figure 2. Segmentation des dploiements de rseau existants en zones scurises sans changements dadresses. Le pare-feu Cisco IOS autorise la segmentation transparente de la couche 2

Systme de prvention dintrusions (IPS) Avec les premiers routeurs offrir la fonctionnalit IPS, Cisco se place rsolument en tte de lindustrie. Cisco IOS IPS est une solution en ligne dinspection en profondeur des trafics applicatifs qui permet la plate-forme logicielle Cisco IOS de limiter de manire efficace la circulation dattaques virales travers le rseau. Utilis pour la prvention des intrusions et la notification des vnements, le systme Cisco IOS IPS exploite au maximum la technologie des familles de sondes Cisco IDS, notamment les serveurs ddis Cisco IDS 4200, le module de services Catalyst 6500 IDS et les serveurs matriels ddis IDS en module rseau. Cisco IOS IPS est un logiciel en ligne : il peut ainsi rejeter le trafic, envoyer une alarme ou rinitialiser la connexion, ce qui permet au routeur de rpondre immdiatement aux menaces de scurit et de protger le rseau. Bien que le concentrateur VPN soit gnralement le lieu dinstallation dun pare-feu et dinspection du trafic malveillant, ce nest pas le seul emplacement envisager pour le dploiement dune solution de scurit efficace les attaques pouvant galement provenir des sites distants. Grce sa collaboration avec les VPN IPSec, GRE et le pare-feu Cisco IOS, Cisco IOS IPS permet le dcryptage, le raccordement des tunnels, la protection par pare-feu et linspection du trafic au premier point dentre du rseau, au niveau du site distant ou du concentrateur une premire dans lindustrie. Cisco IOS IPS arrte le trafic malveillant aussi prs que possible de sa source. Avec la commercialisation des routeurs Cisco 1800, 2800 et 3800, plusieurs nouvelles fonctionnalits sont dsormais disponibles : la possibilit de charger et dactiver les signatures IDS slectionnes de la mme manire que les sondes de dtection dintrusion spcialises Cisco IDS Sensor ; laugmentation du nombre de signatures supportes (plus de 700 signatures supportes par les plates-formes Cisco IDS Sensor) ; la capacit pour lutilisateur de modifier une signature existante ou de crer une nouvelle signature pour rpondre aux menaces nouvellement dcouvertes (chaque signature peut tre paramtre pour lenvoi dune alarme, le rejet du paquet ou la rinitialisation de la connexion) ; Une autre fonctionnalit permet lutilisateur qui souhaite une protection maximale contre les intrusions de slectionner un fichier de signatures facile utiliser et contenant les signatures des vers et des attaques les plus probables. Le trafic correspondant ces signatures est alors systmatiquement rejet. Cisco SDM ralise une interface utilisateur intuitive pour la fourniture de ces signatures, notamment grce sa capacit tlcharger, sans quil soit ncessaire de modifier limage logicielle, de nouvelles signatures partir de Cisco.com et de configurer le routeur en consquence.

Cisco Systems, Inc. All contents are Copyright 19922004 Cisco Systems, Inc. All rights reserved. Important Notices and Privacy Statement. Page 6 of 15

Filtrage des URL (off-box/on-box en option) Cisco fournit un filtrage des URL qui supporte le pare-feu Cisco IOS. Ceci permet un utilisateur dexploiter les produits de filtrage des URL Websense ou N2H2 avec les routeurs de scurit Cisco. La fonction Websense de filtrage des URL permet au pare-feu Cisco IOS dinteragir avec les logiciels Websense ou N2H2, et donc dempcher les utilisateurs daccder certains sites Web dsigns en fonction de la politique de scurit. Le pare-feu Cisco IOS travaille avec le serveur Websense et N2H2 pour dterminer si une URL donne doit tre autorise ou interdite (bloque). Sur les routeurs Cisco 2800, le module rseau de diffusion de contenu dispose galement de fonctionnalits de filtrage des URL pour un filtrage complet on-box des URL et la protection des contenus. Modules rseau de scurit volue (en option sur Cisco 2800 et 3800) Pour les utilisateurs qui recherchent une solution matrielle ddie pour la dtection des intrusions et la protection des contenus, deux modules rseaux sont disponibles pour les routeurs 2800 et 3800. Module rseau de dtection des intrusions Lorsque le module rseau de dtection des intrusions Cisco (rfrence NM-CIDS) est install sur les routeurs Cisco 2800 ou 3800, il fournit un systme de dtection des intrusions complet qui appartient la famille des sondes Cisco IDS Sensor. Ces sondes IDS travaillent de concert avec les autres composants IDS, notamment Cisco IDS Management Console, CiscoWorks VMS (VPN/Security Management Solution) et Cisco IDS Device Manager, afin dassurer une protection efficace de vos donnes et de votre infrastructure dinformations. Le module rseau Cisco IDS possde son propre processeur ddi pour la dtection des intrusions ainsi quun disque dur de 20 Go pour la journalisation, et supporte plus de 1000 signatures IPS. Grce sa collaboration avec les trafics VPN IPSec, GRE et le pare-feu Cisco IOS, ce module permet le dcryptage, le raccordement des tunnels, la protection par pare-feu et linspection du trafic au premier point dentre du rseau une premire dans cette industrie. Lutilisateur peut ainsi faire lconomie des units supplmentaires qui, avec dautres solutions, sont gnralement indispensables au systme, ce qui rduit les frais dexploitation et dinvestissements tout en amliorant la scurit. Module rseau de protection des contenus Le module rseau Cisco Content Engine (rfrence NM-CE) install sur les routeurs Cisco 2800 et 3800 ralise un systme de diffusion de contenus routage intgr avec des fonctionnalits de protection des contenus. En plus de la mise en mmoire cache intelligente et du routage des contenus, le module Cisco Content Engine permet galement le filtrage des URL. Chaque module rseau de diffusion de contenus est livr avec une copie du logiciel de filtrage des URL SecureComputing. PROTECTION ET CONTRLE DES POINTS DEXTRMIT : CONTRLE NAC, AUTHENTIFICATION, AUTORISATION ET ADMINISTRATION (AAA,) 802.1X ET AUTHENTIFIANTS RVOCABLES Contrle NAC (Network Admissions Control) Le contrle NAC (Network Admission Control) est le fruit dune collaboration mene par Cisco Systems avec lensemble de lindustrie pour garantir que chaque point dextrmit respecte les politiques de scurit avant de pouvoir obtenir un accs au rseau, et de rduire ainsi les dgts que peuvent occasionner les virus et les vers. NAC contrle laccs au rseau en interrogeant les postes de travail au moment de leur connexion au rseau pour vrifier quils sont en conformit avec la politique de scurit de lentreprise. NAC permet aux rseaux de reprer les systmes vulnrables et dappliquer des contrles efficaces dadmission au rseau en ne permettant quaux units dextrmit scurises celles qui disposent des mises jour antivirus et des correctifs de systme dexploitation les plus rcents prvus dans la politique de scurit daccder au rseau. Les htes vulnrables ou non conformes sont isols et ne disposent que dun accs restreint jusqu ce quils excutent le bon correctif ou quils soient correctement protgs : le contrle NAC vite ainsi quils deviennent la cible ou la source dinfections par virus ou par vers. Le contrle NAC peut tre activ sur les routeurs des gammes Cisco 1800, 2800 et 3800 disposant des packages logiciels IOS Advanced Security, Advanced IP Services ou Advanced Enterprise Services. Le contrle NAC prsente les avantages suivants : grand nombre de contrles les mthodes daccs les plus courantes utilises par les htes pour se connecter au rseau sont reconnues : liaisons de rseau WAN par routeur, accs IPSec distance et accs commut ; solution multi-constructeurs NAC est le fruit dune collaboration pilote par Cisco avec les plus grands fournisseurs de logiciels antivirus, notamment : Network Associates, Symantec et Trend Micro ;

Cisco Systems, Inc. All contents are Copyright 19922004 Cisco Systems, Inc. All rights reserved. Important Notices and Privacy Statement. Page 7 of 15

 extension des technologies et des normes existantes NAC largit lutilisation des protocoles de communication existants et des technologies de scurit actuelles comme EAP (Extensible Authentication Protocol), 802.1x et les services RADIUS ; extension des investissements consentis dans les rseaux et la protection antivirus NAC associe les investissements consentis dans linfrastructure de rseau et dans la technologie antivirus pour fournir des solutions de contrle des admissions. Authentification, autorisation et administration (AAA) Les services de scurit de rseau AAA (Authentification, Autorisation, Administration) de la plate-forme logicielle Cisco IOS constituent le cadre principal de la dfinition du contrle daccs sur un routeur ou un serveur daccs. AAA est conu pour permettre aux administrateurs de configurer de manire dynamique le type dauthentification et dautorisation quils souhaitent en fonction de la ligne (par utilisateur) ou du service IP, IPX ou VPDN laide de listes de mthodes applicables des services ou des interfaces spcifiques. 802.1x Les applications 802.1x rendent plus difficile laccs non autoris aux ressources dinformation protges en exigeant des authentifiants daccs valides. En dployant des applications 802.1x, ladministrateur rseau peut galement liminer efficacement la capacit des utilisateurs dployer des points daccs sans fil non scuriss lun des problmes majeurs poss par la simplicit de dploiement des quipements de rseau WLAN. Port USB / authentifiants rvocables Tous les routeurs des gammes Cisco 1800, 2800 et 3800 disposent de ports USB 1.1 intgrs. Ces ports seront bientt configurables pour permettre de travailler avec un jeton USB qui permettra la diffusion scurise des configurations et le stockage hors plate-forme des authentifiants VPN. En utilisant le jeton USB pour les authentifiants de scurit, ladministrateur rseau peut renforcer la protection de sa gestion en expdiant sparment le routeur et le jeton. PROTECTION DES UNITS RSEAU (PLATE-FORME LOGICIELLE CISCO IOS, VERSIONS IP BASE ET SUPRIEURES) : SECURISATION DU PLAN DE CONTRLE, AUTOSECURE, NBAR, DFINITION DE SEUILS PROCESSEUR ET MMOIRE, SSHV2, SNMP ET ACCES PAR RLE LINTERFACE DE COMMANDE EN LIGNE Securisation du plan de contrle Mme la mise en uvre logicielle et larchitecture matrielle les plus solides demeurent potentiellement vulnrables aux attaques par dpassement de capacit actions malveillantes qui cherchent paralyser linfrastructure de rseau en linondant de trafic sans intrt et maquill en paquets de commande dun type prcis destin au processeur du plan de contrle des routeurs, autrement dit, du trafic de service destin aux fonctions systmes des routeurs. Pour bloquer ces menaces, et dautres attaques analogues, qui visent directement le cur du rseau, la plate-forme logicielle Cisco IOS intgre des fonctionnalits de dfinition de politiques programmables sur les routeurs qui limitent les dbits on pourrait parler de police du trafic destins au plan de contrle. Cette fonctionnalit, appele Control Plane Policing, peut tre configure afin didentifier et de rduire certains types de trafic de services destins aux routeurs soit totalement soit lorsquils atteignent un seuil dfini lavance. AutoSecure AutoSecure est une fonction de la plate-forme logicielle Cisco IOS qui simplifie la configuration de scurit du routeur et rduit les risques derreurs de configuration. Le mode interactif, lusage des utilisateurs expriments, permet de personnaliser les paramtres de scurit et les routeurs de services, offrant ainsi un meilleur contrle sur les fonctions de scurit du routeur. Pour les utilisateurs moins spcialiss qui ont besoin de scuriser rapidement un routeur sans trop dintervention humaine, AutoSecure dispose dun mode non-interactif qui active automatiquement les fonctions de scurit du routeur avec les paramtres par dfaut dfinis par Cisco Systems. Une commande unique permet de configurer instantanment les paramtres de scurit des routeurs et de dsactiver les processus et les services non indispensables du systme, liminant par l mme les menaces potentielles sur la scurit du rseau. NBAR NBAR est un moteur de classification de la plate-forme logicielle Cisco IOS : il ralise une inspection dtat en profondeur des trafics qui lui permet de reconnatre un vaste ventail dapplications complexes, notamment les protocoles Web et dautres protocoles difficiles classer, qui utilisent les affectations dynamiques des ports TCP/UDP. Utilis dans un contexte de scurit, NBAR peut dtecter les vers en fonction de leur signature. Lorsquune application est reconnue et catgorise par NBAR, le rseau peut invoquer

Cisco Systems, Inc. All contents are Copyright 19922004 Cisco Systems, Inc. All rights reserved. Important Notices and Privacy Statement. Page 8 of 15

des services spcifiques cette application. NBAR permet galement de garantir lutilisation efficace de la bande passante du rseau en travaillant avec les fonctionnalits de qualit de service (QoS) pour fournir une bande passante garantie, la limitation de la bande passante, le formatage du trafic et la coloration des paquets. SDM 2.0 (voir Security Device Manager, ci-dessous) possde un assistant convivial qui permet lactivation de NBAR et fournit une vue graphique du trafic dapplication. Dfinition de seuils dutilisation pour le processeur et la mmoire La plate-forme logicielle Cisco IOS permet de dfinir des seuils globaux dutilisation de la mmoire du routeur et de gnrer des notifications lorsque ce seuil est atteint. En prservant les ressources processeur et mmoire, cette fonction permet au routeur de rester oprationnel mme lorsque la charge est importante ce qui correspond parfois une attaque. Secure Shell Version 2 Secure Shell version 2 (SSHv2) offre de nouvelles et puissantes fonctionnalits dauthentification et de cryptage pour les accs en administrateurs dans les routeurs. De nouvelles options sont dsormais disponibles et permettent la tunnellisation de types de trafic supplmentaires sur des connexions cryptes, notamment la copie de fichiers et les protocoles de courrier lectronique. Avec ses fonctionnalits largies dauthentification notamment les certificats digitaux et des options dauthentification plus de deux facteurs SSHv2 renforce la scurit de rseau. Le protocole SNMPv3 (Simple Network Management Protocol version 3) SNMPv3 (Simple Network Management Protocol Version 3) est un protocole normalis et interoprable de gestion de rseau. SNMPv3 fournit un accs rseau scuris aux units en associant des paquets dauthentification et de cryptage. Les fonctionnalits de scurit de SNMPv3 sont, notamment : lintgrit des messages elle permet de sassurer quun paquet na pas t altr au cours de son transit ; lauthentification elle vrifie que le message provient dune source autorise ; le cryptage il brouille le contenu dun paquet pour quil ne puisse pas tre lu par un utilisateur non autoris. SNMPv3 fournit aussi bien des modles de scurit que des niveaux de scurit. Un modle de scurit est une stratgie dauthentification dfinie pour un utilisateur et pour le groupe auquel il appartient. Un niveau de scurit est un niveau dautorisation attribu au sein dun modle de scurit. Lassociation dun modle et dun niveau de scurit dtermine le mcanisme de scurit employ pour grer un paquet SNMP. Les modles de scurit sont de trois types : SNMPv1, SNMPv2c et SNMPv3 Accs par rle linterface de commande en ligne (CLI) La fonction daccs par rle linterface de commande en ligne (Role-Based CLI Access) permet ladministrateur rseau de dfinir des vues, ensembles de commandes oprationnelles et de possibilits de configuration qui fournissent un accs slectif ou partiel la plate-forme logicielle Cisco IOS. Les vues limitent laccs de lutilisateur linterface de commande en ligne et aux informations de configuration de Cisco IOS ; elles peuvent dfinir les commandes acceptes et les informations de configuration visibles. Parmi ses nombreuses applications, Role-Based CLI Access donne ladministrateur rseau la possibilit daccorder au personnel charg de la scurit un accs des fonctions particulires. De plus, un fournisseur de service peut, grce cette fonction, donner un accs limit ses clients finaux afin de faciliter la rsolution des problmes du rseau. Cisco SDM est livr avec les vues par dfaut Administrators, Read-Only (pour les utilisateurs finaux), Firewall Policy (politique de pare-feu) et EzVPN Remote. Les utilisateurs qui ouvrent une session sur Cisco SDM dans ce mode ne peuvent consulter que les crans de linterface graphique qui correspondent au rle qui leur a t attribu.

Cisco Systems, Inc. All contents are Copyright 19922004 Cisco Systems, Inc. All rights reserved. Important Notices and Privacy Statement. Page 9 of 15

GESTION DE SERVICES INTGRS : CISCO ROUTER AND SECURITY DEVICE MANAGER (SDM). Cisco Router and Security Device Manager (SDM). Cisco Router and Security Device Manager (SDM) est install sur tous les routeurs des gammes Cisco 1800, 2800 et 3800. Cisco SDM est un gestionnaire dunit intuitif interface graphique qui permet le dploiement et la gestion des routeurs Cisco (voir la Figure 1). Cisco SDM facilite la configuration et la surveillance des routeurs grce son assistant de dmarrage qui acclre le dploiement et linstallation initiale des routeurs, ses assistants intelligents qui facilitent lactivation des fonctions de scurit et de routage, ses configurations routeurs valides par le Centre dassistance technique Cisco TAC et des contenus daides contextuels. Avec ses assistants intelligents et ses fonctionnalits de dpannage en profondeur qui permettent la gestion en toute simplicit du routage et des services de scurit, Cisco SDM 2.0 est un outil qui vous permet de profiter de tous les avantages de lintgration de services sur le routeur. Lutilisateur peut dsormais synchroniser les politiques de routage et de scurit sur lensemble du rseau, disposer dune vision plus complte de ltat des services du routeur services et rduire ses frais dexploitation. Parmi ses nouvelles fonctionnalits, Cisco SDM 2.0 supporte : le systme IPS en ligne avec possibilit de mise jour des signatures, personnalisation des mises jour Dynamic Signature et personnalisation des signatures (voir IPS) ; laccs par rle au routeur ; le serveur Easy VPN et AAA ; les certificats digitaux pour les VPN IPSec ; le dpannage des connexions VPN et WAN ; la configuration des politiques de qualit de service (QoS) et la surveillance NBAR du trafic dapplications. Pour en savoir plus sur Cisco SDM, visitez : http://www.cisco.com/go/sdm.
Figure 3. Cisco Security Device Manager

CiscoWorks VMS (VPN/Security Management Solution) est un ensemble logiciel pour la gestion des fonctionnalits de pare-feu et des VPN. Pour en savoir plus sur CiscoWorks VMS, visitez : http://www.cisco.com/go/vms

Cisco Systems, Inc. All contents are Copyright 19922004 Cisco Systems, Inc. All rights reserved. Important Notices and Privacy Statement. Page 10 of 15

Le Tableau 1 numre les principales fonctionnalits des gammes Cisco 1800, 2800 et 3800.
Tableau 1. Caractristiques matrielles des routeurs des gammes Cisco 1800, 2800 et 3800

Caractristiques Acclration matrielle intgre du cryptage VPN (IPSec DES, 3DES et AES 128, 192 et 256) Acclration matrielle du cryptage VPN Compression matrielle avec IPPCP

Cisco 3800 De srie sur tous les modles lensemble de fonctionnalits Advanced Scurit de Cisco IOS Fonctionnalit en option qui amliore les performances et lvolutivit des tunnels Rfrence : Cisco 3825 : AIM-VPN/EPIIPLUS Cisco 3845 : AIM-VPN/HPIIPLUS

Cisco 2800 De srie sur tous les modles lensemble de fonctionnalits Advanced Scurit de Cisco IOS Fonctionnalit en option qui amliore les performances et lvolutivit des tunnels (Rfrence : AIM-VPN/EPIIPLUS)

Cisco 1800 De srie sur tous les modles lensemble de fonctionnalits Advanced Scurit de Cisco IOS Fonctionnalit en option qui amliore les performances et lvolutivit des tunnels (Rfrence : AIM-VPN/BPIIPLUS)

Son activation exige au minimum Son activation exige au minimum Son activation exige au minimum

Module rseau IDS*

Fonctionnalit en option (Rfrence : NM-CIDS)

Fonctionnalit en option (Rfrence : NM-CIDS*) Fonctionnalit en option grce au module rseau Cisco Content Engine (Rfrence : CE-NM*)

N/D

Module rseau Content Engine pour la scurit des contenus*

Fonctionnalit en option grce au module rseau Cisco Content Engine (Rfrence : CE-NM)

N/D

*Option non disponible sur le routeur Cisco 2801.

Le Tableau 2 prsente les caractristiques et les avantages des gammes Cisco 1800, Cisco 2800 et Cisco 3800.
Tableau 2. Principales caractristiques et avantages des gammes Cisco 1800, 2800 et 3800.

Caractristiques Connectivit scurise Acclration intgre du cryptage des VPN sur tous les routeurs services intgrs Acclration de scurit sur module AIM Support des VPN commutation MPLS (Multiprotocol Label Switching) Contextes scuriss Multi-VRF et MPLS

Avantages

Cette fonctionnalit supporte les modes de cryptage IPSec DES, 3DES et AES 128, 192 et 256 sans occuper un emplacement de module AIM.

Grce au support dun module AIM de scurit ddi en option, les routeurs peuvent offrir des performances et une volutivit supplmentaires ainsi que la compression IPPCP de couche 3. Fonctionnalit de priphrie de rseau client optimise pour les sites distants et renforce par un mcanisme qui largit les rseaux VPN MPLS au-del de la priphrie client avec un pare-feu sensible Multi-VRF et la scurit IPSec Supporte de nombreux contextes indpendants (adressage, routage et interfaces) sur le site distant afin de permettre la sparation entre les services, les filiales ou les clients. Tous les contextes peuvent partager une connexion montante unique vers le cur du rseau (par exemple, des VPN IPSec ou Frame Relay sur ATM), tout en restant isols les uns des autres pour plus de scurit.

Support de Cisco Easy VPN Remote et Server V3PN DMVPN

Cette fonction facilite ladministration et la gestion des VPN de point point en poussant activement partir dune unique tte de rseau de nouvelles politiques de scurit vers les sites distants. Pour la fourniture sur VPN de services intgrs voix, vido et donnes vers nimporte quel site. Un moyen souple et volutif dtablir des tunnels IPSec virtuels maillage global de site site. Lajout de nouveaux routeurs de priphrie ne ncessite aucune configuration au niveau du concentrateur.

Cisco Systems, Inc. All contents are Copyright 19922004 Cisco Systems, Inc. All rights reserved. Important Notices and Privacy Statement. Page 11 of 15

Caractristiques Dfense contre les menaces Pare-feu Cisco IOS

Avantages

Solution de scurit et de routage tout en un : idal pour protger le point dentre WAN de votre rseau. Supporte dsormais IPv6.

Pare-feu transparent

Segmente les dploiements de rseau existants en zones scurises sans quil soit ncessaire de modifier les plans dadressages IP ! Supporte les VLAN. Supporte simultanment le pare-feu transparent et le parefeu de couche 3 !

Prvention des intrusions

Solution en ligne pour linspection en profondeur des trafics qui travaille avec la plate-forme logicielle Cisco IOS pour limiter efficacement la circulation des attaques virales au sein du rseau. IPS peut rejeter le trafic, envoyer une alarme ou rinitialiser la connexion, ce qui permet au routeur de rpondre immdiatement aux menaces de scurit et de protger le rseau.

Filtrage des URL (off box)

Permet au pare-feu Cisco IOS dinteragir avec les logiciels Websense ou N2H2, et donc dempcher les utilisateurs daccder certains sites Web dsigns en fonction de la politique de scurit.

Protection et contrle des points dextrmit Contrle NAC (Network Admissions Control) AAA Limite la diffusion des virus et des vers sur le rseau en limitant laccs aux seuls postes de travail scuriss et en conformit avec les politiques daccs et de scurit dfinies. Permet aux administrateurs de configurer de manire dynamique le type dauthentification et dautorisation quils souhaitent en fonction de la ligne (par utilisateur) ou du service IP, IPX ou VPDN. Support standard 802.1x sur la commutation intgre Authentifiants rvocables Les applications compatibles 802.1x exigent des authentifiants valides ce qui rend plus difficile laccs non autoris aux ressources dinformations protges et le dploiement de points daccs sans fil non scuriss. Les authentifiants VPN rvocables (cls VPN) permettent dobtenir lavance des certificats VPN et des configurations de routeur. Ports USB 1.1 sur carte Ces ports seront bientt configurables pour permettre de travailler avec un jeton USB qui permettra la diffusion scurise des configurations et le stockage hors plate-forme des authentifiants VPN. Protection des units rseau Dfinition de politiques pour le plan de commandes AutoSecure NBAR Rduit lincidence des attaques par saturation en rgulant le dbit du trafic entrant sur le plan de commandes : elle permet de maintenir la disponibilit du rseau mme en cas dattaque. Simplifie la configuration de scurit du routeur et rduit le risque des erreurs de configuration. Ce moteur de classification de la plate-forme logicielle Cisco IOS reconnat un vaste ventail dapplications. Lorsquune application est reconnue, le rseau peut invoquer des services spcifiques pour cette application, lui apportant ainsi le niveau de contrle dont elle a besoin. Dfinition de seuils pour le processeur et la mmoire Accs par rle linterface de commande en ligne (CLI) Gestion Gestion scurise avec Cisco Router and Security Device Manager (SDM). Intuitif et facile utiliser, cet outil de gestion dquipements par le Web intgr la plate-forme logicielle Cisco IOS permet daccder distance aux routeurs daccs laide des protocoles HTTPS et SSH (Secure Shell) En prservant les ressources processeur et mmoire, cette fonction permet au routeur de rester oprationnel mme lorsque la charge est importante ce qui correspond parfois une attaque. Fournit un accs par vue aux commandes de la CLI pour permettre une sparation logique et scurise du routeur entre les responsables de linfrastructure et, les responsables de la scurit.

Cisco Systems, Inc. All contents are Copyright 19922004 Cisco Systems, Inc. All rights reserved. Important Notices and Privacy Statement. Page 12 of 15

Caractristiques Gestion de scurit pour lentreprise

Avantages Deux outils permettent les dploiements scuriss en entreprise : - CiscoWorks VMS est un outil de gestion complet pour les dploiements de VPN de grande taille ou de taille moyenne ; il permet de configurer aussi bien les tunnels IPSec que les rgles de pare-feu. - Cisco IP Solution Center (ISC) 3.0 est un outil de gestion IPSec MPLS pour fournisseurs de services.

CERTIFICATIONS Cisco sest engag grer un programme actif de certification et dvaluation de ses produits pour ses clients du monde entier. Cisco IOS VPN a obtenu les homologations FIPS 140-2, ICSA et Common Criteria EAL4+ tandis que la certification du pare-feu Cisco IOS est en cours. Cisco reconnat que ces homologations sont des composantes critiques de sa stratgie de scurit intgre et sengage poursuivre sa politique dobtention des certifications FIPS, ICSA et Common Criteria. FIPS Les gammes Cisco 1800, 2800 et 3800 ont t reconnues conformes au niveau 2 de scurit de lagrment FIPS 140-1. Le NIST a fait voluer la norme FIPS 140-1 FIPS 140-2. Cisco sapprte soumettre un grand nombre de ses routeurs lagrment FIPS 1402 niveau 2. ICSA ICSA (International Computer Security Association) est un organisme commercial de certification de scurit qui propose la certification IPSec ICSA et Firewall ICSA pour diffrents types de produits de scurit. Cisco participe au programme IPSec de lICSA ainsi qu son programme de pare-feu. Common Criteria Common Criteria est une norme internationale dvaluation de la scurit informatique. Dveloppe par un consortium de pays afin de remplacer les nombreux processus dvaluation de la scurit propres chaque nation, elle a pour vocation dtablir une norme unique usage international. Actuellement, 14 pays reconnaissent officiellement la norme Common Criteria. Plusieurs versions de la plate-forme logicielle Cisco IOS IPSec et des routeurs Cisco ont t valus dans le cadre du programme AISEP (Australasian Information Security Evaluation Program) pour vrifier leur conformit lITSEC ou Common Criteria. COMMANDE DE MATRIEL Pour passer commande, visitez Cisco Ordering Home Page. Le Tableau 3 prsente les informations de commande pour les routeurs des gammes Cisco 1800, Cisco 2800 et Cisco 3800.
Tableau 3. Informations de commande pour les routeurs des gammes Cisco 1800, Cisco 2800 et Cisco 3800.

Nom du produit Package de scurit Cisco 1841 avec Cisco IOS Advanced Security Package de scurit Cisco 2801 avec Cisco IOS Advanced Security Package de scurit Cisco 2811 avec Cisco IOS Advanced Security Package de scurit Cisco 2821 avec Cisco IOS Advanced Security Package de scurit Cisco 2851 avec Cisco IOS Advanced Security Package de scurit Cisco 3825 avec Cisco IOS Advanced Security Package de scurit Cisco 3845 avec Cisco IOS Advanced Security Package de scurit renforce Cisco 1841 avec module AIM-VPN BPII-PLUS et Cisco IOS Advanced IP Package de scurit renforce Cisco 2801 avec module AIM-VPN EPII-PLUS et Cisco IOS Advanced IP Package de scurit renforce Cisco 2811 avec module AIM-VPN EPII-PLUS et Cisco IOS Advanced IP

Rfrence CISCO1841-SEC/K9 CISCO2801-SEC/K9 CISCO2811-SEC/K9 CISCO2821-SEC/K9 CISCO2851-SEC/K9 CISCO3825-SEC/K9 CISCO3845-SEC/K9 CISCO1841-HSEC/K9 CISCO2801-HSEC/K9 CISCO2811-HSEC/K9

Cisco Systems, Inc. All contents are Copyright 19922004 Cisco Systems, Inc. All rights reserved. Important Notices and Privacy Statement. Page 13 of 15

Nom du produit Package de scurit renforce Cisco 2821 avec module AIM-VPN EPII-PLUS et Cisco IOS Advanced IP Package de scurit renforce Cisco 2851 avec module AIM-VPN EPII-PLUS et Cisco IOS Advanced IP Package de scurit renforce Cisco 3825 avec module AIM-VPN EPII-PLUS et Cisco IOS Advanced IP Package de scurit renforce Cisco 3845 avec module AIM-VPN HPII-PLUS et Cisco IOS Advanced IP Package de scurit renforce Cisco 2801 V3PN avec module AIM-VPN EPII-PLUS, PVDM2-8, Cisco IOS Advanced IP, 64 Mo de mmoire Flash, 256 Mo de mmoire DRAM Package de scurit renforce Cisco 2811 V3PN avec module AIM-VPN EPII-PLUS, PVDM2-16, Cisco IOS Advanced IP, FL-SRST-36, 64 Mo de mmoire Flash, 256 Mo de mmoire DRAM Package de scurit renforce Cisco 2821 V3PN avec module AIM-VPN EPII-PLUS, PVDM2-32, Cisco IOS Advanced IP, FL-SRST-48, 64 Mo de mmoire Flash, 256 Mo de mmoire DRAM Package de scurit renforce Cisco 2851 V3PN avec module AIM-VPN EPII-PLUS, PVDM2-48, Cisco IOS Advanced IP, FL-SRST-72, 64 Mo de mmoire Flash, 256 Mo de mmoire DRAM Package de scurit renforce Cisco 3825 V3PN avec module AIM-VPN HPII-PLUS, PVDM2-64, Cisco IOS Advanced IP, FL-SRST-168, 64 Mo de mmoire Flash, 256 Mo de mmoire DRAM Package de scurit renforce Cisco 3845 V3PN avec module AIM-VPN HPII-PLUS, PVDM2-64, Cisco IOS Advanced IP, FL-SRST-240, 64 Mo de mmoire Flash, 256 Mo de mmoire DRAM Module AIM de compression et de cryptage VPN DES, 3DES et AES performances renforces pour Cisco 1800 Module AIM de compression et de cryptage VPN DES, 3DES et AES performances renforces pour Cisco 2800 Module AIM de compression et de cryptage VPN DES, 3DES et AES performances renforces pour Cisco 3800 Cisco 1841 avec Cisco IOS Advanced Security Cisco 2801 avec Cisco IOS Advanced Security Cisco 2800 avec Cisco IOS Advanced Security Cisco 3825 avec Cisco IOS Advanced Security Cisco 3845 avec Cisco IOS Advanced Security Module rseau IDS (Intrusion Detection System) Module rseau Content Engine 20 Go Module rseau Content Engine 40 Go Module rseau Content Engine 80 Go

Rfrence CISCO2821-HSEC/K9 CISCO2851-HSEC/K9 CISCO3825-HSEC/K9 CISCO3845-HSEC/K9

CISCO2801-V3PN/K9

CISCO2811-V3PN/K9

CISCO2821-V3PN/K9

CISCO2851-V3PN/K9

CISCO3825-V3PN/K9

CISCO3845-V3PN/K9 AIM-VPN/BPII-PLUS AIM-VPN/EPII-PLUS AIM-VPN/HPII-PLUS c184x-advsecurityk9 S28AESK9 S28NAESK9 S382AESK9 S384AESK9 NM-CIDS-K9 NM-CE-BP-20G-K9 NM-CE-BP-40G-K9 NM-CE-BP-80G-K9

MAINTENANCE ET ASSISTANCE Cisco propose ses client une large gamme de programmes de services. Le succs de ces programmes de services innovants est offert grce une combinaison unique de spcialistes, de processus, doutils et de partenaires qui maximisent la satisfaction de nos clients. Cisco Services vous aide protger votre investissement dans les rseaux, optimiser leur exploitation et le prparer aux nouvelles applications afin den tendre lintelligence business de lentreprise et daccrotre le succs de votre activit. Pour plus dinformations sur Cisco Services, consultez Cisco Technical Support Services ou Cisco Advanced Services. POUR PLUS DINFORMATIONS Pour de plus amples informations sur les gammes Cisco 1800, 2800 et 3800, visitez le site http://www.cisco.com/go/routing ou contactez votre responsable de compte Cisco.

Cisco Systems, Inc. All contents are Copyright 19922004 Cisco Systems, Inc. All rights reserved. Important Notices and Privacy Statement. Page 14 of 15

Sige social Mondial Cisco Systems, Inc. 170 West Tasman Drive San Jose, CA 95134-1706 Etats-Unis www.cisco.com Tl. : 408 526-4000 800 553 NETS (6387) Fax : 408 526-4100

Sige social France Cisco Systems France 11 rue Camilles Desmoulins 92782 Issy Les Moulineaux Cdex 9 France www.cisco.fr Tl. : 33 1 58 04 6000 Fax : 33 1 58 04 6100

Sige social Amrique Cisco Systems, Inc. 170 West Tasman Drive San Jose, CA 95134-1706 Etats-Unis www.cisco.com Tl. : 408 526-7660 Fax : 408 527-0883

Sige social Asie Pacifique Cisco Systems, Inc. Capital Tower 168 Robinson Road #22-01 to #29-01 Singapour 068912 www.cisco.com Tl. : +65 317 7777 Fax : +65 317 7799

Cisco Systems possde plus de 200 bureaux dans les pays et les rgions suivantes. Vous trouverez les adresses, les numros de tlphone et de tlcopie ladresse suivante :

www.cisco.com/go/offices
Afrique du Sud Allemagne Arabie saoudite Argentine Australie Autriche Belgique Brsil Bulgarie Canada Chili Colombie Core Costa Rica Croatie Danemark Duba, Emirats arabes unis Ecosse Espagne Etats-Unis Finlande France Grce Hong Kong SAR Hongrie Inde Indonsie Irlande Isral Italie Japon Luxembourg Malaisie Mexique Nouvelle Zlande Norvge Pays-Bas Prou Philippines Pologne Portugal Porto Rico Rpublique tchque Roumanie Royaume-Uni Rpublique populaire de Chine Russie Singapour Slovaquie Slovnie Sude Suisse Taiwan Thalande Turquie Ukraine Venezuela Vietnam Zimbabwe
Copyright 2004, Cisco Systems, Inc. Tous droits rservs. CCIP, le logo Cisco Arrow, la marque Cisco Powered Network, le logo Cisco Systems Verified, Cisco Unity, Follow Me Browsing, FormShare, iQ Breakthrough, iQ Expertise, iQ FastTrack, le logo iQ, iQ Net Readiness Scorecard, Networking Academy, ScriptShare, SMARTnet, TransPath et Voice LAN sont des marques commerciales de Cisco Systems, Inc.; Changing the Way We Work, Live, Play, and Learn, Discover All Thats Possible, The Fastest Way to Increase Your Internet Quotient et iQuick Study sont des marques de service de Cisco Systems, Inc.; et Aironet, ASIST, BPX, Catalyst, CCDA, CCDP, CCIE, CCNA, CCNP, Cisco, le logo Cisco Certified Internetwork Expert, Cisco IOS, le logo Cisco IOS, Cisco Press, Cisco Systems, Cisco Systems Capital, le logo Cisco Systems, Empowering the Internet Generation, Enterprise/Solver, EtherChannel, EtherSwitch, Fast Step, GigaStack, Internet Quotient, IOS, IP/TV, LightStream, MGX, MICA, le logo Networkers, Network Registrar, Packet, PIX, Post-Routing, Pre-Routing, RateMUX, Registrar, SlideCast, StrataView Plus, Stratm, SwitchProbe, TeleRouter et VCO sont des marques dposes de Cisco Systems, Inc. ou de ses filiales aux Etats-Unis et dans certains autres pays. Toutes les autres marques commerciales mentionnes dans ce document ou sur le site Web appartiennent leurs propritaires respectifs. Lutilisation du mot partenaire ne traduit pas une relation de partenariat dentreprises entre Cisco et toute autre socit. (0402R) 204064_ETMG_EC_08.04