Master 1386 PDF

Guide des solutions
scurit et VPN
Cisco Systems
Sommaire
Pourquoi Cisco ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1
Section 1 - VPN
Rseaux privs virtuels (VPN) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .5
VPN site--site . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .5
VPN Cisco accs distant . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .10
Easy VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .16
Section 2 - FIREWALLS
Firewalls . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .21
Cisco PIX Firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .21
Cisco IOS Firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .24
Section 3 - DETECTION DINTRUSION

Dtection dintrusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .29
Systme de dtection dintrusion scuris Cisco . . . . . . . . . . . . . . . . . . . . . . . . . . .30
Section 4 - CONTROLE DACCES

Contrle daccs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .37
Serveur de contrle daccs Cisco Secure ACS . . . . . . . . . . . . . . . . . . . . . . . . . . . .37
Section 5 - GESTION DE LA POLITIQUE DE SECURITE

Administrer la scurit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .43
CiscoWorks VPN/Security Management Solution (VMS) . . . . . . . . . . . . . . . . . . . .43
Section 6 - PROGRAMME SECURITY ASSOCIATES

Produits complmentaires Cisco Security Associates . . . . . . . . . . . . . . . . . . . . . . . .51
Section 7 - REPRESENTATION GRAPHIQUE DES SOLUTIONS

Solutions pour les grandes entreprises . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .58
Solutions pour les entreprises de taille moyenne . . . . . . . . . . . . . . . . . . . . . . . . . . .59
Solutions pour les petites entreprises . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .60
Solutions pour les entreprises de la nouvelle conomie . . . . . . . . . . . . . . . . . . . . . .61
Solutions pour les fournisseurs de services . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .62
Section 8 - GLOSSAIRE
Terminologie VPN et scurit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .65
Pourquoi Cisco ?
Pourquoi faire appel Cisco en matire de scurit et de

rseaux privs virtuels ?
Depuis son origine, Cisco Systems a pour objectif de permettre ses clients de
dvelopper leur activit en sappuyant sur des rseaux performants. Or un rseau non
scuris noffre pas toutes les garanties ncessaires une entreprise pour le
dveloppement de son activit, pire il peut mettre en pril lintgralit de lentreprise.
Assurer la scurit des rseaux des entreprises, quelle que soit leur taille, est donc
devenu un des objectifs majeurs de Cisco. Et qui mieux que le leader du march des
solutions rseaux peut garantir la scurit, linteroprabilit et la cohrence des
rseaux ?
Fort de son expertise rseau, Cisco Systems a ainsi dvelopp la gamme de solutions de
scurit et de rseaux privs virtuels (VPN) la plus complte du march.
Reconnu comme le leader du march de la scurit, Cisco Systems propose aujourdhui
ses clients et partenaires de bnficier des avantages suivants :
Gamme de solutions : Cisco propose un large ventail de produits VPN et de scurit

pour rpondre la diversit des problmatiques clients : firewalls, systmes de
dtection dintrusion, concentrateurs VPN et routeurs et ce, quelle que soit leur taille
et leur configuration.
Leadership et expertise du secteur : selon le groupe dexperts IDC, les firewalls ddis
de la gamme Cisco PIX, occupent aujourdhui la premire place du march mondial
et, selon le cabinet Frost & Sullivan, il en est de mme pour le systme scuris de
dtection dintrusion Cisco (IDS). De plus, les listes de contrle daccs Cisco (ACL)
sont la technologie de scurit la plus largement utilise dans le monde, et le magazine
Network Computing a lu le concentrateur Cisco VPN 3060 "Produit matriel de
lanne".
Assistance technique 7 j/7 et 24 h/24 : les produits de scurit et VPN Cisco

bnficient du mme service dassistance technique performant que les autres
quipements Cisco, comprenant un support 24 h/24. Les services dassistance et de
maintenance Cisco incluent galement les outils, lexpertise et les ressources
ncessaires linstallation, la maintenance et loptimisation rapides des produits de
scurit et VPN Cisco de faon protger efficacement le rseau dentreprise.
1
Pourquoi Cisco ?
Interoprabilit garantie : Cisco vous garantit la compatibilit de tous ses produits

VPN et de scurit. De plus, la compatibilit des produits tiers avec les produits Cisco
est dsormais garantie par le test officiel et indpendant du programme Security
Associates, et ne repose pas sur des slogans publicitaires ambigs.
Formation et certification : au-del de son expertise technologique, Cisco Systems a

dvelopp un programme complet de certification permettant ses partenaires de
bnficier de son exprience et de devenir de vritables spcialistes de la scurit des
rseaux
Sensibilisation des Entreprises : La scurit des rseaux informatiques est un domaine

qui touche lensemble de lentreprise, dirigeants comme employs. Quil sagisse de
sensibiliser les directeurs informatiques sur la ncessit de dployer une vritable
politique de scurit, ou les employs sur limportance de protger leurs outils de
travail, Cisco Systems a dvelopp une gamme doutils de communication et de guides
pour les informer sur lensemble des solutions mettre en uvre.
2
VPN
Section 1
VPN
Section 1
VPN
VPN
Rseaux privs virtuels (VPN)

Afin dassurer la scurit des connexions entre sites distants tout en utilisant le rseau
public pour limiter les cots de communications, de plus en plus dentreprises dploient
des rseaux privs virtuels. Les VPN ont deux applications principales : la connectivit
site--site et la connectivit accs distant. Dans le schma ci-dessous illustrant un
systme de scurit physique, les VPN sont compars des fourgons blinds, assurant
la confidentialit et la scurit du transfert entre deux ou plusieurs entits dun rseau
public. Cisco apporte une amlioration significative dans la gestion et le dploiement
des VPN avec la fonctionnalit Cisco Easy VPN.
VPN site--site
Les VPN site--site sont un autre type dinfrastructure WAN (rseau tendu). Ils
remplacent et amliorent les rseaux privs existants utilisant les lignes loues, les
protocoles de relais de trame ou le mode ATM (mode de transfert asynchrone) pour
connecter les sites distants et les succursales la ou aux maisons mres. Les VPN site-
-site ne modifient pas en profondeur les exigences des rseaux tendus privs, telles que
la prise en charge des divers protocoles, une grande fiabilit ou une volutivit optimale.
Au contraire, ils rpondent ces exigences tout en diminuant les cots inhrents ces
infrastructures et en offrant une flexibilit accrue. Les VPN site--site peuvent utiliser
les technologies de transport les plus rpandues aujourdhui, telles que le rseau public
Internet ou les rseaux des fournisseurs daccs, via la tunnellisation et le cryptage afin
dassurer la confidentialit des donnes et la qualit de service (QoS) pour la fiabilit du
transport.
5
VPN site--site Cisco
Produits
Les VPN site--site sont plus performants sils utilisent les routeurs optimiss VPN
Cisco. Ces derniers garantissent lvolutivit du systme face aux progrs continus du
cryptage matriel. De plus, les routeurs VPN de Cisco intgrent les fonctions de routage,
de scurit et de qualit de service inhrentes au logiciel IOS Cisco garantissant un
dploiement VPN site--site scuris, volutif et fiable. Cisco a cr une large gamme de
routeurs VPN pour permettre de rpondre aux diffrents besoins des configurations
dentreprises, quelles souhaitent connecter des sites de 10 personnes ou de plus de 200
personnes et ce, quelle que soit la technologie utilise (ADSL).
Principaux avantages et fonctionnalits des solutions VPN Cisco

Prise en charge de la tunnellisation et du cryptage en utilisant les protocoles standard
du march, tels que IPsec (Internet Protocol Security), 3DES (Digital Encryption
Standard 3) et AES.
Primtre de scurit absolue du rseau priv virtuel, avec fonction de filtrage de

session et dtection dintrusion assure par le logiciel Cisco IOS.
Qualit de service sensible lapplication et gestion de la bande passante garantissant

la fiabilit du transfert VPN.
6
VPN
Segment Vitesse Mode daccs VPN Produit

Micro-entreprise DSL avec interface Ethernet SOHO 91
DSL avec modem DSL SOHO 97
Jusqu 144 Kbits/sec RNIS Cisco srie 800
PME DSL avec interfaces Ethernet Cisco 831
Cisco 1710
DSL avec modem DSL Cisco 837
Cisco 1700 - WIC ADSL
Jusqu T1/E Cisco srie 1700
Succursale Jusqu T1/E1 double Cisco srie 2600XM
Filiale n x T1/E1 Cisco srie 3600
Cisco srie 3700
Cisco 7120
Maison mre Jusqu OC-3 Cisco srie 7100
Cisco srie 7200
Routage intgral jusqu la couche 3, y compris les protocoles de routage externes,

tels que BGP (Border Gateway Protocol) pour laccs Internet ou au rseau priv
virtuel.
Diffrents interfaages avec le rseau local (LAN) ou tendu (WAN) pour laccs
Internet ou au rseau priv virtuel et la connectivit du rseau local.
La solution VPN de Cisco offre les avantages suivants :
Solution VPN globale avec intgration des priphriques : les solutions VPN site--
site de Cisco regroupent dans un quipement unique toutes les fonctions essentielles
aux dploiements VPN scuriss, volutifs et fiables. Ainsi, les architectures de
rseaux sont simplifies et linvestissement total limit. La plupart des offres
concurrentes disponibles sur le march sont dautant plus complexes quelles
ncessitent lutilisation de plusieurs quipements pour mettre en uvre une solution
VPN site--site globale.
Evolutivit des performances : grce une gamme tendue de routeurs optimiss
VPN, Cisco rpond tous les cas de figures en matire de dploiement VPN, quelle
quen soit la taille, avec une ligne RNIS ou OC-3.
7
VPN site--site Cisco
Compatibilit des fonctions : les routeurs VPN de Cisco offrent une solution VPN site-
-site globale dans un quipement unique, et assurent une meilleure interoprabilit
des fonctions VPN, telles que le firewall, la qualit de service, la tunnellisation et le
cryptage.
Auto-rtablissement du rseau : les routeurs VPN de Cisco utilisent les capacits de
rsilience du rseau inhrentes au systme dexploitation inter-rseau (IOS) Cisco,
telles que lindication du maintien du tunnel, le TED (Tunnel Endpoint Discovery) et
la dcouverte dynamique du routage via les tunnels GRE (encapsulage gnrique du
protocole de routage), pour assurer une redondance du VPN et une rcupration
dynamique ingales.
Optimisation de linvestissement matriel : les solutions VPN site--site de Cisco
offrent une interface LAN/WAN et une grande souplesse dadaptation aux volutions
matrielles, ainsi que de nombreuses options dentre-sortie (E/S). Cette modularit
vous aide optimiser votre investissement matriel en vous permettant dadapter les
routeurs VPN de Cisco aux nouvelles technologies de rseaux.
Questions-rponses
Q. Quelle est la diffrence entre les routeurs optimiss VPN et les autres routeurs
Cisco ?
R. Les routeurs VPN optimiss de Cisco proposent une acclration matrielle du
cryptage en option et sont compatibles IPsec, offrant ainsi lvolutivit ncessaire aux
applications VPN site--site.
Q. Les routeurs optimiss VPN de Cisco peuvent-ils tre utiliss dans des VPN accs
distant ?
R. Oui, les routeurs optimiss VPN de Cisco peuvent assurer la connectivit des VPN
accs distant telle quelle est dclare dans les environnements VPN hybrides accs
distant/site--site. Toutefois, le concentrateur Cisco VPN srie 3000 est spcialement
conu pour les VPN accs distant ; il est donc parfaitement adapt aux
environnements dont lapplication principale repose sur la connectivit du VPN accs
distant (reportez-vous au chapitre "VPN Cisco accs distant" ci-aprs).
Q. Les routeurs optimiss VPN de Cisco peuvent-ils tre utiliss si un firewall est dj
install sur le rseau ?
R. Oui, les routeurs optimiss VPN de Cisco peuvent tre installs en amont, en aval ou
au mme niveau que le firewall existant.
Q. Quels sont les avantages des routeurs optimiss VPN de Cisco par rapport aux
solutions VPN avec firewall ?
R. Certains firewalls peuvent assurer la tunnellisation et le cryptage ; toutefois, ils ne
sont pas quips des fonctions indispensables au dploiement VPN site--site, telles que
la prise en charge multi-protocoles, la qualit de service ou les fonctions de routage.
8
VPN
Pourquoi mettre en uvre ce produit ?

Les VPN site--site permettent de mettre niveau, moindre cot, les architectures
multi-points utilisant le rseau commut limit en bande passante et gnralement
obsoltes, employes par la plupart des chanes de magasins, les tablissements
financiers et les rseaux dagences. La mise niveau vers un VPN vous permet de
distribuer un accs Internet et des applications Web depuis leurs emplacements. Les
VPN site--site tendent le WAN moindre cot et en toute scurit vers des entits
non desservies, telles que des filiales internationales, des succursales et des partenaires
commerciaux (extranet).
Les solutions VPN site--site de Cisco, totalement intgres et composes dun

quipement unique, peuvent tre dployes et configures en toute simplicit.
Types de rseaux
Tous les types. La gamme tendue des routeurs optimiss VPN de Cisco permet de
rpondre tous les types de dploiement, quel que soit le mode daccs au rseau.
Mise en uvre
Ces routeurs peuvent tre installs la limite physique du rseau tendu (WAN) ou en
aval, gnralement au niveau de la couche daccs Internet.
Equipements associs/ncessaires la mise en uvre

Pour suivre lvolution de la technologie du cryptage, certains routeurs Cisco (Cisco
sries 1700, 2600, 3600, 7100 et 7200) sont quips de cartes supplmentaires
dacclration du cryptage. Chacune de ces plate-formes offre des interfaces LAN et
WAN modulaires adaptables aux exigences de chaque site. Aucun quipement
supplmentaire nest ncessaire pour faire fonctionner le routeur.
Pour de plus amples informations sur les solutions VPN site--site de Cisco :
www.cisco.com/go/evpn
9
VPN Cisco accs distant

Aujourdhui, les VPN sont la solution incontournable pour assurer les connexions accs
distant moindre cot. En effet, en permettant aux entreprises dutiliser Internet via des
fournisseurs daccs pour favoriser lchange dinformations entre des PC distants et le
sige de lentreprise par exemple, le dploiement dune solution VPN vite des
connexions tlphoniques point point coteuses. Cest la solution idale pour offrir
aux personnes en dplacement, aux travailleurs distants ou effectuant des heures
supplmentaires de bnficier dune connectivit scurise et haut dbit via le cble et
les lignes DSL.
Concentrateur VPN Cisco srie 3000

Le concentrateur Cisco VPN srie 3000, solution VPN pour accs distant, intgre des
fonctions avances haute disponibilit dans une architecture ddie unique. Il permet
ainsi aux entreprises dimplmenter des infrastructures VPN performantes, volutives et
fiables pour grer leurs applications critiques depuis un accs distant.
Le concentrateur Cisco VPN srie 3000 comprend un client VPN simple dutilisation et
conforme aux normes, ainsi que des plate-formes de terminaisons de tunnel volutive et
un systme de gestion facilitant linstallation, la configuration et la surveillance de vos
VPN accs distant. Indit sur le march, ce concentrateur est la seule plate-forme
volutive offrant des composants extractibles et pouvant facilement tre mis niveau.
Afin de prendre en charge tout type darchitecture, le concentrateur Cisco VPN srie
3000 est dclin dans diffrentes versions, dont le Cisco VPN srie 3060, lu "Produit
matriel de lanne" par le magazine Network Computing.
10
VPN
Principaux avantages et fonctionnalits

Dploiement et utilisation simplifis : le concentrateur Cisco VPN srie 3000 est
conu de manire sintgrer linfrastructure du rseau sans quaucune modification
ne soit ncessaire. Il sadapte galement au protocole RADIUS (Remote Access Dial-
In User Service) existant, aux serveurs de domaine NT et 2000 ou aux serveurs
Security Dynamics ACE. Cette grande souplesse dauthentification propose une
interface didentification visuelle semblable celle dont vous disposiez en utilisant
directement le rseau commut. En outre, il nest plus ncessaire de crer une seconde
base de donnes dauthentification. Si larchitecture nen prvoit pas, le concentrateur
Cisco VPN srie 3000 dispose dun serveur dauthentification intgr, permettant
didentifier les utilisateurs. Le concentrateur Cisco VPN srie 3000 est compatible
avec Cisco VPN 3000 Client, Microsoft Windows 2000 L2TP/IPsec Client ou PPTP
(protocole de tunnellisation point--point), vous garantissant ainsi une flexibilit
optimale.
Performances et volutivit : le concentrateur Cisco VPN srie 3000 fournit le niveau

de performances le plus lev du march. La plate-forme prend actuellement en
charge un dbit des donnes cryptes 3DES maximal de 100 Mbits/sec, et jusqu
10 000 tunnels simultans. Pour augmenter le dbit des donnes cryptes, vous
pouvez ajouter au concentrateur Cisco VPN srie 3000 des modules SEP ( traitement
volutif du cryptage) bass sur un ASIC ddi.
Scurit : le concentrateur Cisco VPN srie 3000 prend totalement en charge un

certain nombre de systmes dauthentification, tels que RADIUS, lidentification de
domaine Microsoft NT/2000, RSA SecurID et les certificats numriques. De plus, le
concentrateur Cisco VPN srie 3000 peut tre gr en toute scurit laide de SSL
(Secure Sockets Layer) ou via telnet scuris.
Haute disponibilit : le concentrateur Cisco VPN srie 3000 est une plate-forme stable
avec un temps moyen entre les pannes (MTBF) suprieur 200 000 heures (soit plus
de 22 ans). Lquipement est muni de sous-systmes redondants (ventilateurs,
alimentations, modules SEP) et de fonctionnalits dquilibrage de charges et VRRP
(Virtual Router Redundancy Protocol) assurant un temps de fonctionnement optimal.
Grce aux fonctions de surveillance tendues du concentrateur Cisco VPN srie 3000,
les administrateurs rseau connaissent ltat du systme en temps rel et reoivent des
avertissements sans dlai.
11
Gestion scurise : la gestion du concentrateur Cisco VPN srie 3000 peut tre assure
via un navigateur Web standard (Hypertext Transfer Protocol [HTTP] ou Secure
HTTP [HTTPS]), via telnet, telnet scuris ou un port de console. La mise en place et
la maintenance des politiques de scurit sont simplifies grce une configuration
des niveaux daccs par utilisateur et par groupe.
Logiciel VPN Cisco Client

Le logiciel VPN Cisco Client est simple dployer et mettre en uvre. Il est utilis
pour garantir la scurit au niveau des tunnels crypts de bout-en-bout du concentrateur
Cisco VPN srie 3000. Le concentrateur Cisco VPN srie 3000, idalement conu et
offrant une implmentation compatible IPsec, est livr avec une licence pour un nombre
illimit dutilisateurs. Le client peut tre prconfigur pour les dploiements de masse et
les premires ouvertures de sessions se font en toute simplicit. Les politiques daccs au
VPN sont labores, centralises et appliques au niveau du client lorsque la connexion
est tablie.
Questions-rponses
Q. Quelles diffrences existe-t-il entre les cinq modles du concentrateur Cisco VPN
srie 3000 disponibles ?
Concentrateur Cisco Cisco Cisco Cisco Cisco

3005 3015 3030 3060 3080
Nb dutilisateurs 100 100 1 500 5 000 10 000
Type de cryptage Logiciel Logiciel Matriel Matriel Matriel
SEP pris en ch. 0 0 1 2 4
Dbit crypt 4 Mbits/sec 4 Mbits/sec 50 Mbits/sec 100 100

maximum Mbits/sec Mbits/sec
Mmoire (Mo) 32 64 128 256 256
Alimentation Non En option En option En option Standard

redondante
12
VPN
Q. Comment les concentrateurs Cisco VPN srie 3000 intgrent-ils le cryptage ?

Les ressources du systme sont-elles affectes ? Est-ce volutif ?
R. Les concentrateurs Cisco des sries 3005 et 3015 procdent au cryptage au niveau
logiciel. Les concentrateurs Cisco milieu et haut de gamme des sries 3030, 3060 et
3080 utilisent les modules SEP pour exploiter leurs fonctions de cryptage. Lutilisation
dun quipement ddi, de type SEP, les sries 3030, 3060 et 3080 peuvent prendre en
charge un grand nombre de tunnels crypts et sadapter sans que les performances
globales du systme nen soient affectes.
Q. Quelles sont les caractristiques de haute disponibilit ou de tolrance aux pannes

des concentrateurs VPN Cisco ?
R. Les concentrateurs Cisco VPN srie 3000 prennent en charge les modules SEP, les
alimentations et les ventilateurs redondants. De plus, ils intgrent le protocole VRRP
pour assurer la redondance et le basculement multi-chssis, ainsi quun mcanisme
dquilibrage de charge entre concentrateurs.
Q. Quest-ce que la tunnellisation fractionne ? Est-elle prise en charge par les

concentrateurs VPN Cisco ?
R. La tunnellisation fractionne garantit un accs scuris aux donnes de lentreprise
tout en offrant un accs direct Internet via les ressources du FAI (allgeant ainsi laccs
Internet du rseau interne lentreprise). Ladministrateur active et contrle la prise
en charge de la tunnellisation fractionne via le concentrateur.
Q. Le VPN Cisco Client srie 3000 fonctionne-t-il lorsque des dispositifs quips de
NAT/PAT (Network/Port Address Translation) sont installs ?
R. Oui. Une intervention de l'utilisateur est ncessaire pour faire fonctionner le
NAT/PAT de manire transparente avec le concentrateur VPN Cisco srie 3000. Un
administrateur peut centraliser le contrle lorsquun utilisateur doit employer IPsec ou
NAT/PAT Transparent IPsec. Si le NAT/PAT Transparent IPsec est activ pour un
utilisateur spcifique, une ngociation est automatiquement enclenche et la
transmission des donnes via le NAT/PAT peut aboutir.

Grce aux connexions Internet accs distant de qualit professionnelle via le
concentrateur VPN Cisco srie 3000, vous ralisez des conomies sans prcdent,
bnficiez dune flexibilit et dune fiabilit ingales pour un excellent niveau de
performances. La mise en uvre du concentrateur VPN Cisco srie 3000 est une
alternative rentable aux serveurs distants numrotation directe. Il permet aux
entreprises de rduire le nombre dappels longue distance et doublier les problmes lis
leur modem. Les personnes en dplacement, travaillant distance ou effectuant des
heures supplmentaires remplacent les appels longue distance par des appels locaux via
des modems cble ou ADSL pour accder leur FAI.
13
Types de rseaux
Tous les types. La gamme des concentrateurs VPN Cisco srie 3000 prend en charge
toutes les tailles dentreprises et de rseaux.
Mise en uvre
Le concentrateur VPN Cisco srie 3000 et le firewall sont gnralement placs derrire
le routeur daccs Internet. Le concentrateur peut tre plac paralllement, en amont
ou en aval du firewall. Loption la plus simple dans un rseau existant est de brancher
le concentrateur en parallle du firewall ; aucune modification de configuration du
firewall nest alors requise et le concentrateur accde directement aux services internes
du rseau (Dynamic Host Configuration Protocol [DHCP] ou RADIUS, par exemple).
Vous pouvez renforcer la scurit en verrouillant toutes les interfaces des priphriques
rseau dclars dans le chemin du VPN. Lorsque le concentrateur est install en amont
du firewall, ce dernier filtre le trafic entrant, mais laccs aux services du rseau est plus
compliqu. Si le concentrateur est protg (derrire) le firewall, il convient dinstaller un
conduit travers le firewall pour permettre au concentrateur daccder au trafic du
VPN. Il est possible dimplmenter des variantes avec les interfaces DMZ places en
aval du firewall, mais les configurations dcrites ci-dessus sont les plus rpandues.

Le concentrateur VPN Cisco srie 3000 est un priphrique Ethernet--Ethernet
pouvant tre branch derrire tout routeur Internet. Toutefois, il nest pas ncessaire
dinstaller une interface Ethernet dauthentification client sur le routeur.
Lauthentification client peut tre gre par des bases de donnes dauthentification
utilisateur externes compatibles ou par une base de donnes interne (100 utilisateurs
maximum).
14
VPN
Pour de plus amples informations sur les concentrateurs VPN et Client Cisco :
15
Easy VPN
Easy VPN
Lors du dploiement de VPN pour les tltravailleurs, les itinrants et les petites
agences, la facilit de mise en uvre est indispensable car les ressources techniques sont
rarement disponibles sur les sites distants. Le dploiement de VPN accs distants et
site--site na jamais t aussi simple pour les petites, moyennes et grandes entreprises
grce au produits Cisco. Les fonctionnalits Cisco Easy VPN Remote et Cisco Easy
VPN Server offrent flexibilit, volutivit, et simplicit dutilisation aux VPNs accs
distants et site--site.
Produits
La fonctionnalit Cisco Easy VPN Remote permet aux routeurs ayant pour version
dIOS la version 12.2(4)YA (ou une version plus rcente) et les firewalls Cisco PIX
dagir comme des clients VPN distants. Cette fonctionnalit est disponible sur les
routeurs Cisco 800, uBR900, et Cisco 1700, et sur le PIX 501.
La fonctionnalit Cisco Easy VPN Server, disponible dans la version dIOS 12.2(8)T
(ou plus rcente), augmente la compatibilit des produits VPNs et permet aux
concentrateurs VPN Cisco, aux firewalls PIX Cisco et aux routeurs Cisco dagir comme
des quipements de terminaisons VPN dans les architectures de VPN site--site et
accs distant. Cette fonctionnalit est disponible sur les routeurs uBR900, Cisco 1700,
Cisco 2600XM, Cisco 3600, Cisco 7100 et Cisco 7200, ainsi que sur les concentrateurs
VPN 3000 et sur les firewalls PIX.
Principaux avantages
Dploiement simplifi : Le but de Cisco Easy VPN est de simplifier le dploiement des
VPNs site--site et accs distant en faisant agir les quipements VPN des sites
distants comme des clients VPN. Cela consiste en une configuration et une
administration depuis le site central et en majeure partie sur lquipement de
terminaison VPN du site central.
Utilisation facilit : Les quipements VPN des sites distants agissent comme des clients
VPN. Il suffit donc de leur indiquer vers quel quipement de terminaison VPN ils
doivent aller (adresse IP), le nom de groupe auquel ils appartiennent et le mot de passe
correspondant. Cela est aussi simple que de se connecter un rseau en fournissant
un nom dutilisateur et un mot de passe.
Intgration lexistant : La fonctionnalit Cisco Easy VPN est conue de manire

sintgrer linfrastructure du rseau sans quaucune modification ne soit ncessaire.
Elle peut donc sintgrer facilement dans tous les environnements existants et venir
de rseau VPN.
16
VPN
Questions-rponses
Q. Quest-ce que Cisco Easy VPN Remote ?
R. Pour les connexions distantes, Cisco Easy VPN Remote permet aux routeurs et aux
quipements de scurit dtablir et de maintenir un tunnel VPN sur un quipement de
terminaison Cisco Easy VPN Server sans avoir faire de configuration complexe sur le
site distant.
Q. Quest-ce que Cisco Easy VPN Server ?

R. Cisco Easy VPN Server accepte les appels entrants des quipements Cisco Easy VPN
Remote et des clients logiciels VPN et sassure que les rgles de connexion sont jour
avant la mise en place du tunnel VPN.
Q. Quels feature sets du logiciel Cisco IOS incluent la fonctionnalit Cisco Easy VPN
Remote ?
R. Tous les feature sets avec une image IP Security (IPSec), c'est--dire DES et 3DES,
incluent la fonctionnalit Cisco Easy VPN Remote.
Q. Combien de tunnels supporte Cisco Easy VPN Remote ?

R. Cisco Easy VPN Remote supporte un tunnel jusqu lquipement de terminaison
VPN.
Q. Combien de tunnels supporte Cisco Easy VPN Server ?

R. Cisco Easy VPN Server supporte autant de tunnels que la plateforme dans laquelle il
tourne.
17
Easy VPN

Car toutes les entreprises souhaitant dployer et administrer des VPNs site--site ou
accs distant peuvent bnficier de la simplicit de configuration et dinstallation des
VPNs grce aux fonctionnalits Cisco Easy VPN Remote et Cisco Easy VPN Server.
Types de rseaux
Tous les types. Les fonctionnalits Cisco Easy VPN sappuient sur les gammes de
routeur, de firewall et concentrateur VPN qui sadaptent tous les types de rseau.
Mise en uvre
Les communications Cisco Easy VPN Remote sont ralises avec les extensions IKE
(Internet Key Exchange), connues sous le nom de Mode-Config. Les attributs Mode-
Config sont dlivrs par lquipement de terminaison VPN central. En poussant les
paramtres aux clients, les changements dadresses (adresses temporaires sur connexion
ADSL par exemple) peuvent tre grs facilement car chaque site distant peut obtenir
les mises jour lors de linitiation du tunnel VPN. Les paramtres pousss sont ladresse
IP interne, le subnet mask interne, ladresse du serveur DHCP, ladresse du serveur
WINS et les informations du split tunneling.

Pour Cisco Easy VPN Remote : routeurs Cisco 800, uBR900, et Cisco 1700, firewall
PIX 501.
Pour Cisco Easy VPN Remote : routeurs uBR900, Cisco 1700, Cisco 2600XM, Cisco
3600, Cisco 7100 et Cisco 7200, concentrateurs VPN 3000 et firewalls PIX.
Pour de plus amples informations sur Cisco Easy VPN :

18
FIREWALLS
Section 2
FIREWALLS
Section 2
FIREWALLS
Firewalls
Firewalls
Un firewall est une solution mise en place dans une architecture rseau afin de renforcer
la politique de scurit de lentreprise et de restreindre laccs aux ressources du rseau.
Le schma ci-dessous illustrant un systme de scurit physique compare le firewall un
verrou bloquant laccs un primtre ou lentre dun btiment. Seuls certains
utilisateurs (dtenant une cl ou un badge) sont autoriss entrer.
Cisco PIX Firewall

Cisco PIX Firewall, considr comme le produit le plus performant, occupe la premire
place du march. A ce titre, il est le produit phare de Cisco en matire de scurit depuis
1996. Install sur un rseau, le PIX dtermine si le trafic est autoris, dans un sens ou
dans lautre. Le cas chant, il active la connexion ; celle-ci aura un impact quasiment
nul sur les performances du rseau. Les donnes dun trafic non autoris sont dtruites.
21
Cisco PIX Firewall
Produits de la gamme Cisco PIX Firewall

Modle PIX 501 PIX 506E PIX 515E-UR PIX 525-UR PIX 535-UR
March Micro-entreprise PME PME Entreprise Entreprise
Nb utilisateurs
par licence 10 ou 50 Illimit Illimit Illimit Illimit
Nb max
de tunnels VPN 5 25 2000* 2000* 2000*
Taille (RU) <1 1 1 3 3
Processeur 133 300 433 600 1 GHz
RAM (MB) 16 32 64 256 1 GB
Max. 1 10BaseT 2 10BaseT 6 8 10
Interfaces + switch 4 ports
10/100
Redondance Non Non Oui Oui Oui
Dbit texte
clair (Mbps) 10 20 188 360 1,7 Gbps
Dbit 3DES 3 16 63* 70* 95*
*Utilisant une carte acclratrice VPN

Scurit : Cisco PIX Firewall utilise un systme dexploitation scuris ddi la
protection du routeur et des rseaux. La plupart des autres firewalls non Cisco
reposant sur de gros systmes dexploitation gnralistes destins diverses fonctions,
sont, par consquent, plus vulnrables aux menaces provenant dInternet.
Performances : le PIX prend en charge plusieurs fois la capacit des routeurs
concurrents et assure un niveau de scurit sans gal, avec un impact minimum sur les
performances du rseau.
Stabilit : le PIX tant ddi un objectif unique, la scurit, il est particulirement
stable. La stabilit est un point essentiel pour un dispositif dune telle importance dans
larchitecture du rseau. Le temps moyen entre les dfaillances d'un PIX est suprieur
six ans.
Evolutivit : les plate-formes PIX sont disponibles dans de nombreux formats afin de
sadapter parfaitement aux divers contextes possibles, de la PME ou succursale au
sige social. Toutes les plate-formes PIX sont quipes du mme logiciel et utilisent les
mmes solutions de gestion, disposant ainsi dune volutivit et dune intgration
optimales.
Installation et maintenance simplifies : Cisco a cr Pix Device Manager, un utilitaire
web intgr et scuris pour configurer simplement et graphiquement votre firewall.
VPN conforme aux normes : la fonctionnalit VPN selon les normes IPsec compte
parmi les fonctions de scurit du PIX Firewall. Outre ses performances hors de
commun, le PIX est dot des fonctions VPN site--site et accs distant.
22
Firewalls
Questions-rponses
Q. Quel est limpact du Cisco PIX Firewall sur les performances du rseau ?
R. Aucun rseau ntant identique un autre, il est difficile de quantifier limpact du
firewall dune manire globale et prcise. Toutefois, les performances du rseau sont peu
voire pas affectes. Le PIX ne ralentit pas le trafic et traite les paquets de donnes le plus
rapidement possible. En conclusion, il affecte moins les performances du rseau que les
autres dispositifs de firewall.
Q. Le PIX est-il un serveur filtrant ou un serveur proxy ?

R. Le PIX utilise une technologie de filtrage de session, ainsi que linteraction avec les
applications en cours, et offre les avantages des deux approches. En revanche, les
utilisateurs du PIX ne subissent aucun des inconvnients des serveurs proxy, tels que des
performances limites et une configuration complexe. Cisco PIX Firewall est rput
pour assurer une scurit inviolable et une fiabilit sans faille pour une base client
consquente.

Les firewalls sont des dispositifs de scurit classiques installs sur les rseaux. Si le
rseau de lentreprise se connecte un rseau public comme Internet, celle-ci doit tre
quipe de firewalls.
Les performances du rseau tant cruciales pour le bon fonctionnement de lentreprise,

Cisco PIX Firewall saura parfaitement assurer la scurit des donnes sans ralentir pour
autant leur transfert grce son systme de fonctionnement ddi et de codage scuris
garantissant une scurit et une disponibilit absolues.
Types de rseaux
La gamme PIX tant disponible dans de nombreux formats, ce produit peut sadapter
tous les types de rseaux.
Mise en uvre
Le PIX est mis en place au niveau des passerelles du rseau. Il est gnralement install
sur le primtre du rseau, entre le rseau et lintranet dune autre entreprise ou le rseau
public Internet.

Aucun quipement supplmentaire nest ncessaire au bon fonctionnement de ce
produit. Pour la gestion de plusieurs units, reportez-vous la section "Gestion de la
scurit".
Pour de plus amples informations sur Cisco PIX Firewall :

www.cisco.com/go/pix
23
Cisco IOS Firewall
Cisco IOS Firewall

Cisco IOS Firewall offre des fonctionnalits avances de firewall et intgre diverses
techniques de scurit, telles que le cryptage IPsec DES pour VPN, la dtection de
lintrusion et lauthentification. Ce module est un ajout au logiciel Cisco IOS. Il est
disponible pour la plupart des routeurs et commutateurs Cisco. Il permet damliorer
les fonctions de scurit existantes du logiciel Cisco IOS en y intgrant des fonctions
plus avances et labore un systme de scurit dynamique partir de linfrastructure
Cisco de lentreprise.

Scurit intgre au rseau : en intgrant cette technologie au systme dexploitation
du rseau, Cisco renforce la scurit la base du rseau. De ce fait, Cisco IOS Firewall
innove sur le march de la scurit rseau et propose une intgration sans prcdent.
Flexibilit : Cisco IOS Firewall peut tre dploy sur divers types de routeurs et
commutateurs Cisco, ses fonctions de scurit avances pouvant tre places en
diffrents points du rseau.
Utilisation de linfrastructure existante : Cisco IOS Firewall est conu pour les
quipements de mise en rseau Cisco et vous permet de convertir la plupart des
routeurs ou commutateurs Cisco en une plate-forme de scurit.
IDS intgr : les solutions Cisco IOS et PIX Firewall comprennent un systme de
dtection dintrusion (IDS) garantissant une scurit renforce de linfrastructure du
rseau.
24
Firewalls
Questions-rponses
Q. Quel est limpact de Cisco IOS Firewall sur les performances du rseau ?
R. Dans la plupart des cas, Cisco IOS Firewall a un faible impact sur le routeur. Pour
minimiser encore cet impact, il est conseill dajouter un processeur ou des modules de
mmoire au routeur.
Q. Cisco IOS Firewall propose-t-il autant de fonctions de scurit que les versions
matrielles ddies ?
R. Les dispositifs ddis proposent sans doute des fonctions de scurit plus compltes
dans leur domaine dapplication spcifique ; par contre, les solutions intgres, telles
que Cisco IOS Firewall, ont davantage de fonctions rseau. Un rseau quip dune
passerelle VPN ddie, dun firewall ddi et dun systme IDS ddi, coupl un
routeur, offrent plus de fonctions et de meilleures performances un prix bien suprieur
celui dun routeur quip de Cisco IOS Firewall.
Cisco IOS Firewall est une solution intgre dote de toutes les fonctionnalits dun
routeur Cisco, ainsi quune fonction supplmentaire de scurit dans plusieurs
domaines (cryptage, application dun firewall et systme IDS).

Les firewalls sont des dispositifs de scurit classiques installs sur les rseaux. Si la
stabilit et la scurit sont des critres essentiels au bon fonctionnement du rseau de
lentreprise, installez autant de firewalls que ncessaire.
Cisco IOS Firewall tend la scurit au-del dun primtre physique autour du rseau
et la garantit moindre cot. Des points de contrle de scurit installs sur le rseau
assurent une scurit globale et optimale du rseau.
Quil sagisse de diriger le trafic via une petite, une moyenne ou une grande passerelle,
un PIX alli IOS Firewall vous fournissent les solutions firewalls idales. PIX est
un firewall ddi, extrmement rapide et particulirement fiable. IOS Firewall
fonctionne avec le routeur en tout point du rseau, garantissant ainsi une solution
flexible et peu onreuse.
Pour la plupart des rseaux, linstallation de systmes de firewalls ddis et intgrs
en diffrents points du rseau permet dassurer une scurit optimale.
Types de rseaux
Ce produit convient tous les types de rseaux car il est propos sur une gamme
tendue de routeurs, des plate-formes Cisco srie 800 aux Cisco srie 7500, ainsi que
sur certains commutateurs.
25
Cisco IOS Firewall
Mise en uvre
Cisco IOS Firewall sadapte sur quasiment tout routeur ou commutateur Cisco. Il est
principalement utilis dans les succursales des entreprises, les passerelles des PME, les
rseaux internes, lors des dploiements des services et dans les architectures extranet
pour lesquels prix et performances sont une priorit mais pour lesquels la globalit des
fonctions nest pas une ncessit.

Les routeurs et commutateurs Cisco, quils soient bas de gamme ou haut de gamme,
prennent en charge cette solution. Pour obtenir des informations sur la gestion de
plusieurs Cisco IOS Firewall, reportez-vous la section "Gestion de la scurit".
Pour de plus amples informations sur Cisco IOS Firewall :

www.cisco.com/go/csis
26
DINTRUSION
DETECTION
Section 3
DETECTION
D'INTRUSION
Section 3
DETECTION
D'INTRUSION
Dtection dintrusion
Dtection d'intrusion
La plupart des entreprises continue mettre en place des firewalls comme moyen de
protection principal afin d'empcher les utilisateurs non autoriss d'accder leurs
rseaux. Toutefois, la scurit rseau s'apparente beaucoup la scurit "physique",
dans la mesure o une seule technologie ne peut rpondre tous les besoins, mais
qu'une dfense plusieurs niveaux donne les meilleurs rsultats. Les entreprises se
tournent de plus de plus vers des technologies de scurit supplmentaires, pour se
protger des risques et vulnrabilits auxquels les firewalls ne peuvent faire face. Les
solutions IDS (Intrusion Detection System) pour rseaux garantissent une surveillance
du rseau permanente. Ces systmes analysent le flux de paquets de donnes du rseau,
la recherche de toute activit non autorise, telle que les attaques menes par les
pirates informatiques (hackers), permettant de ce fait d'y remdier rapidement.
Lorsqu'une activit non autorise est dtecte, un systme IDS peut envoyer une
console de gestion des alertes accompagnes d'informations dtailles concernant
l'activit suspecte. Un IDS peut galement ordonner d'autres quipements, tels que des
routeurs, d'arrter les sessions non autorises. Dans l'exemple de scurit physique
illustr ci-dessous, les solutions IDS sont l'quivalent des camras vido et des dtecteurs
de mouvement. Ces systmes dtectent les activits non autorises ou suspectes et sont
associs des systmes de rponse automatique, tels que les sentinelles, pour mettre un
terme l'activit incrimine.
29
Systme de dtection dintrusion scuris Cisco
Systme de dtection d'intrusion scuris Cisco

Cisco Systems propose deux systmes de dtection dintrusion complmentaires :
- les HIDS (Host Intrusion Detection Systems). Ces sondes host-based sinsrent
entre les applications et le cur du systme dexploitation pour protger des
applications ou des serveurs critiques. Le host sensor Cisco permet de dtecter des
attaques connues, mais galement protge dattaques non encore connues en
empchant un appel malicieux (non autoris) au systme dexploitation, offrant
ainsi une prvention contre les attaques futures.
- les NIDS (Network Intrusion Detection Systems). Ces sondes rseau en temps rel
peuvent tre dployes dans de nombreux environnements rseau sensibles, des
institutions financires majeures aux environnements militaires secret dfense. La
gamme Cisco Secure IDS est compose de sondes et d'une console de gestion
centrale. Les sondes totalement indtectables de l'intrieur comme de l'extrieur de
par la technologie -furtive- utilise, dtectent toute activit non autorise sur le
rseau, rpondent ces vnements en mettant un terme la session incrimine et
envoient une alerte la console de gestion centrale. La console de gestion IDS (IDS
Event Viewer ou VMS) offre une prsentation visuelle des alarmes et comprend un
utilitaire de configuration distante du systme ainsi quune fonctionnalit unique
offerte aux rseaux quips de routeurs d'accs Cisco : le "shunning" autrement
appel reconfiguration dynamique des listes de contrle d'accs (ACL) des
routeurs, directement par la sonde de dtection d'intrusion lors d'vnements
ncessitant une telle action".
Cisco est le fabricant d'IDS leader du march selon le cabinet d'analystes Frost &
Sullivan.
Le kit sonde Cisco Secure IDS comprend les lments suivants :

Carte de dtection d'intrusion pour Catalyst 6000 IDS.
Sondes IDS ddies.
Fonctionnalit IDS intgre au firewall Cisco IOS et PIX Firewall.
Le kit de gestion Cisco Secure IDS comprend les lments suivants :

Security Monitor (VMS).
IEV (gratuit, intgr aux sondes).
Partenaires cosystme IDS.
30
Dtection dintrusion

Gamme de sondes : Cisco offre la plus vaste gamme de sondes du march. Des
applications rseau ddies aux cartes de lignes IDS pour commutateurs Catalyst en
passant par les fonctionnalits IDS intgres au logiciel IOS de Cisco, l'ensemble de
ces produits permet de rpondre aux besoins de chaque entreprise.
Technologie intgre : Cisco est idalement plac pour intgrer sa technologie IDS,
leader du march, aux quipements rseaux, tels que les routeurs et les commutateurs.
Technologie avance : en associant son savoir-faire reconnu en matire de rseau et de

sondes, Cisco dveloppe rapidement des produits la pointe de la technologie en
matire de dtection d'intrusion.
Evolutivit importante : Cisco Secure IDS est conu pour pouvoir tre dploy dans
des environnements trs diffrents, des PME aux grandes entreprises.
Visibilit rseau : la technologie Cisco offre une trs grande "visibilit" permettant
d'observer le flux de donnes du rseau en temps rel et de dtecter toute activit non
autorise.
31
Questions-rponses
Q. A quoi sert IDS ?
R. IDS vient complter d'autres quipements de scurit, tels que les firewalls, en
dtectant et en empchant toute activit non autorise sur le rseau. Contrairement aux
firewalls permettant d'autoriser ou de refuser le trafic de donnes en fonction des
politiques dfinies, IDS inspecte le contenu du trafic "autoris". Ceci permet d'identifier
toute activit malveillante non dtecte par le firewall, dont les dbordements de pile
(buffer overflow), les interruptions de service et d'autres types d'attaques similaires. Les
solutions IDS permettent galement l'entreprise de faire face aux menaces internes
pouvant compromettre la scurit du rseau.
Q. Quelle est l'orientation principale de la technologie IDS ?

R. La majorit des produits de dtection sont des dispositifs ou des logiciels
fonctionnant sur des quipements rseau ddis. Cisco a intgr cette technologie aux
quipements fonctionnant sous Cisco IOS via le firewall Cisco IOS et le PIX et dans le
matriel directement intgr aux commutateurs (carte de dtection d'intrusion pour
Catalyst 6000 IDS). Cette intgration permet la technologie IDS d'tre place
quasiment n'importe o sur le rseau, offrant une scurit et une granularit accrues.
Q. Quelle diffrence existe-t-il entre la sonde Cisco Secure IDS et le composant IDS du
firewall Cisco IOS/PIX ?
R. Les sondes Cisco Secure IDS sont plus performantes et peuvent traiter environ quatre
fois plus de signatures que l'IDS des firewalls Cisco IOS ou PIX. Actuellement intgr
aux routeurs, le firewall Cisco IOS dispose de fonctionnalits de traitement et d'une
mmoire limites. Pour cette raison, son action se concentre sur les signatures les plus
courantes, dans un souci d'optimisation des performances. Les quipements Cisco
Secure IDS combins aux firewalls Cisco IOS / PIX et la carte de dtection d'intrusion
pour Catalyst 6000 IDS permettent de couvrir une vaste gamme d'attaques. Les
entreprises peuvent par exemple placer un quipement au niveau de leurs passerelles et
liens hauts dbits principaux et utiliser un firewall Cisco PIX ou IOS dans les bureaux
et services internes distants. Les alarmes mises par n'importe quelle solution IDS Cisco
peuvent tre envoyes au mme Director.
32
Dtection dintrusion
Q. A quelle frquence les signatures d'attaques doivent-elles tre mises jour ?

R. Les signatures des sondes et des cartes de lignes Catalyst 6000 IDS sont mises jour
deux fois par mois, ou dans un dlai plus court si des vnements relatifs la scurit
l'exigent.
Q. Comment utiliser IDS dans un environnement commut ?

R. La carte de dtection d'intrusion pour Catalyst 6000 IDS est dote d'une sonde
matrielle s'insrant facilement dans le chssis du Catalyst 6000/6500. La carte de
dtection d'intrusion pour IDS traite le trafic directement partir du fond de panier du
commutateur. Pour les autres modles de commutateurs, les sondes peuvent tre
connectes un analyseur de ports commuts (SPAN) ou un port miroir.
Q. O les sondes doivent-elles tre installes ?

R. Les sondes sont gnralement installes au niveau des connexions Internet, extranet,
serveur d'accs distant et dans les centres vitaux de traitement de l'information des
entreprises. Il est conseill d'installer les sondes au niveau de tous les quipements
rseau ncessitant une protection.
Q. Les sondes affectent-elles les performances du rseau ?

R. Les sondes Cisco Secure IDS et la carte de dtection d'intrusion pour Catalyst 6000
IDS n'affectent pas du tout les performances du rseau. Elles fonctionnent de manire
passive et traitent des copies de paquets, la manire des "sniffeurs" rseau. Le firewall
Cisco IOS affecte les performances du routeur car il utilise le processeur principal et la
mmoire de celui-ci.

Ce produit permet d'observer le flux de paquets de donnes sur le rseau et de
dterminer les menaces pouvant affecter le rseau.
Il complte d'autres dispositifs de scurit (les firewalls et les VPN par exemple) afin
de garantir une architecture rseau scurise. Les firewalls travaillent principalement
sur la couche rseau et transport de la pile OSI (Open System Interconnection).
L'acceptation ou le rejet du trafic se base sur les informations relatives l'adresse ou
au port (application) utilis par le trafic concern. La charge utile est rarement
inspecte par les firewalls, tandis que le Cisco Secure IDS inspecte le contenu du trafic
la recherche de signatures de dbordements de pile (buffer overflow), d'interruptions
de service et d'autres types d'attaques. Le Cisco Secure IDS combin des firewalls
reprsente une solution solide, complmentaire et intgre.
33
Types de rseau
Les systmes de dtection d'intrusion reprsentent des composants de scurit
indispensables pour tous les environnements rseau sur lesquels transitent des
informations sensibles ou vitales. Pour les entreprises, il est conseill d'installer le Cisco
Secure IDS pour la protection des quipements et des donnes informatiques. Ce
produit est galement appropri pour les fournisseurs d'accs proposant des services
valeur ajoute de gestion de la scurit. L'IDS intgr aux firewalls Cisco IOS et PIX est
adapt aux petites entreprises ou aux succursales utilisant un quipement non rentable
ou comme logiciel de test pour dterminer les zones du rseau o l'activit est
importante, et o l'installation d'un quipement est justifie.
Mise en uvre
Sur les passerelles rseau se trouvant devant le firewall afin d'effectuer une analyse des
attaques menes contre le rseau.
Derrire le firewall pour examiner le trafic accept par le firewall et le trafic sortant
du rseau de l'entreprise.
Sur les intersections rseau internes vitales, permettant ainsi aux sondes d'analyser une
grande quantit de trafic rseau interne.
Sur les connexions WAN/extranet pour examiner les activits de/vers les connexions
des partenaires commerciaux.
En amont des systmes sensibles et vitaux, tels que les serveurs contenant des donnes
financires ou de recherche/dveloppement (le risque que ces systmes soient hacks
est rduit si des dispositifs de scurit sont situs proximit).

Les sondes sont livres prtes tre installes. La carte de dtection d'intrusion pour
Catalyst 6000 est un module matriel autonome occupant un seul connecteur dans le
chssis du commutateur. Le firewall Cisco IOS est une image logicielle d'IOS que vous
pouvez commander pour de nombreux routeurs Cisco.
Pour de plus amples informations sur le systme de dtection d'intrusion

scuris Cisco :
www.cisco.com/go/ids
34
CONTROLE DACCES
Section 4
CONTROLE D'ACCES
Section 4
CONTROLE D'ACCES
Contrle daccs
Contrle d'accs
Les serveurs de contrle d'accs dterminent les personnes autorises accder un
rseau et les services qu'elles peuvent utiliser. Ils ont en mmoire un profil comprenant
les informations d'authentification et d'autorisation relatives chaque utilisateur. Les
informations d'authentification valident l'identit des utilisateurs et les informations
d'autorisation dterminent les lments accessibles. Par analogie un systme de
scurit physique, les serveurs de contrle d'accs sont quivalents aux badges d'accs,
aux cls et aux gardiens responsables de la scurit.
Serveur de contrle d'accs Cisco Secure ACS

Le serveur de contrle d'accs Cisco Secure ACS (Access Control Server) pour Windows
2000 est l'une des nombreuses solutions logicielles de scurit proposes dans la suite
Cisco. Il permet l'authentification, l'autorisation et la gestion du trafic et des utilisateurs ;
ce service est aussi appel AAA : (authentication, authorization, and accounting).
Cisco Secure ACS pour Windows 2000 facilite l'application de services AAA tous les
environnements d'accs, petits et grands. Ce service parfaitement intgr Windows
2000 facilite le dploiement et la mise en uvre de diffrents services, tels que l'accs
distance des rseaux privs virtuels (VPN), le contrle de l'accs selon l'heure et divers
degrs possibles de communications scurises. Cisco Secure ACS convient la mise en
place initiale d'un systme de scurit et peut ultrieurement tre mis jour pour
prendre en compte des environnements plus complexes et l'volution des politiques de
scurit.
37
Serveur de contrle daccs Cisco Secure ACS
Cisco Secure ACS s'appuie sur une architecture volutive, ce qui lui permet de rpondre
aux besoins des environnements distribus tout en prenant en charge des milliers de
ports utilisant simultanment les protocoles TACACS+ et RADIUS. La centralisation
des services AAA complte le dveloppement de n'importe quelle infrastructure d'accs.

Facilit d'utilisation : l'interface utilisateur HTML, de part son omniprsence,
simplifie et rpartit la configuration des profils d'utilisateurs, de groupes et la
configuration ACS.
Intgration : l'association avec le logiciel Cisco IOS facilite l'utilisation de

fonctionnalits telles que le protocole MMP (Multichassis Multilink Point-to-Point)
et l'utilisation des commandes de Cisco IOS.
Evolutivit : Cisco Secure ACS est conu de manire prendre en charge de trs
grands rseaux intgrant des serveurs redondants et la sauvegarde des bases de
donnes utilisateurs.
Gestion : la prise en charge des bases de donnes Windows 2000 utilise et consolide
la gestion des noms utilisateurs et mots de passe de Windows 2000 et la prise en
charge de l'application Performance Monitor de Windows 2000 afin de disposer de
statistiques en temps rel.
Administration : diffrents niveaux d'accs possibles selon l'administrateur Cisco

Secure ACS et la possibilit de rassembler des entits de rseau facilitent la gestion de
ces entits.
Flexibilit du produit : le logiciel Cisco IOS prenant en charge des services AAA, Cisco
Secure ACS peut tre utilis sur quasiment tous les serveurs d'accs rseau NAS
(Network Access Server) vendus par Cisco (la version IOS doit prendre en charge le
protocole RADIUS ou TACACS+).
Flexibilit des protocoles : Cisco Secure ACS est compatible avec les deux protocoles
TACACS+ et RADIUS, garantissant ainsi une flexibilit optimale. Un VPN d'accs
distance peut tre pris en charge en amont et en aval des tunnels IPsec et PPTP.
Authentification : Cisco Secure ACS peut tre intgr la plupart des systmes
d'authentification connus, tels que les solutions mot de passe unique de RSA
Security SecurID et CRYPTOCard.
38
Contrle daccs
Questions-rponses
Q. Pourquoi aurais-je besoin d'un Cisco Secure ACS ?
R. Cisco Secure ACS offre une structure de gestion des services AAA commune
l'utilisateur et aux entits charges de protger et de surveiller les accs utilisateurs et
entits sur le rseau.
Q. Et qu'en est-il de Cisco Secure ACS pour UNIX ?

R. Cisco vend sparment un produit pour Cisco Secure ACS sous UNIX, labor
partir d'un code diffrent (prsentant d'autres fonctionnalits, telles que les bases de
donnes utilisateurs, une interface utilisateur graphique [GUI], etc.). Nous conseillons
aux utilisateurs destinant Cisco Secure ACS un environnement UNIX de considrer la
solution Cisco Access Registrar. Ce produit offre une solution AAA hautes
performances dote d'une grande capacit d'extension et adapte aux environnements
UNIX.

Pour les socits dsireuses de matriser l'authentification et l'autorisation des
utilisateurs et des entits, Cisco Secure ACS constitue un lment cl pouvant tre
utilis simultanment avec des serveurs d'accs commut, des routeurs et des firewalls.
Grce la compatibilit du logiciel Cisco IOS avec les protocoles RADIUS et
TACACS+, toutes les entits d'un rseau peuvent tre paramtres pour communiquer
avec un ACS. Une socit ou un fournisseur de services peut alors centraliser le
contrle des accs commuts.
Types de rseaux
Principalement aux rseaux d'entreprise ayant besoin de contrler les accs
utilisateurs et de vrifier les utilisateurs et les administrateurs du rseau.
Cisco Secure ACS prend en charge diffrentes infrastructures Cisco (Cisco 1700,
2600, 3600, 7200 et 7500 par exemple), ainsi que PIX Firewall. Cisco Secure ACS
permet d'authentifier les utilisateurs en vrifiant s'ils figurent sur les bases de donnes
utilisateurs de Windows 2000, de Cisco Secure ACS, d'ODBC (Open Database
Connectivity), de NDS (Novell Domain Server) ou sur une base de donnes de serveur
de carte jeton.
39
Serveur de contrle daccs Cisco Secure ACS
Mise en uvre
Aux points d'accs au rseau destins aux utilisateurs distants ou en accs interne
commut.
Sur les connexions WAN/extranet pour surveiller les activits sur le rseau et contrler
l'authentification et l'autorisation des connexions des partenaires commerciaux.
En amont des systmes sensibles et vitaux dont la configuration ncessite les contrles
d'autorisation TACACS+ (le protocole TACACS+ permet de contrler, au niveau des
commandes, l'autorisation d'apporter des modifications la configuration des
routeurs et de PIX Firewall).

Le serveur sur lequel est install le logiciel Cisco Secure ACS doit prsenter la
configuration matrielle minimale suivante :
Processeur Pentium III, 550 MHz ou suprieur.
Version anglaise de Windows 2000 Serveur avec le Service Pack 3 d'install.
256 Mo de mmoire RAM.
250 Mo d'espace disque disponible au minimum, et davantage si votre base de
donnes est sur la mme machine.
Rsolution minimale de 256 couleurs 800 x 600 lignes.
Configuration logicielle minimale requise

Votre serveur Windows 2000 doit prsenter la configuration logicielle minimale suivante :
Le serveur NAS doit utiliser Cisco IOS version 11.2 ou suprieure, ou une application
d'un constructeur tiers pouvant tre configure pour TACACS+ ou RADIUS.
Pour de plus amples informations sur le serveur de contrle d'accs Cisco

Secure ACS :
www.cisco.com/go/acs
40
GESTION DE LA POLITIQUE
DE SECURITE
Section 5
ADMINISTRATION
DE LA SOLUTION
DE SECURITE
Section 5
ADMINISTRATION
DE LA SOLUTION
DE SECURITE
Administration de la solution de scurit
Administrer la scurit
Un systme de gestion de la scurit permet de dployer simplement et uniformment
sur un rseau une politique de scurit ou des rgles isoles. Ces politiques peuvent
prendre en charge divers services de rseau, tels que la scurit, la qualit de service et
la voix. Les services de scurit, plus particulirement, peuvent inclure divers produits
et technologies : les firewalls, les passerelles VPN, des sondes de dtection d'intrusion,
par exemple, ainsi que des dispositifs d'authentification et de cryptage. Le dispositif de
scurit d'un rseau est comparable un systme de scurit physique, o le
gestionnaire de la scurit s'apparente un poste centralis de contrle de la scurit
depuis laquelle le personnel qualifi peut activer et surveiller les alarmes et les
ouvertures du btiment ou du campus.
CiscoWorks VPN/Security Management Solution (VMS)

CiscoWorks VPN/Security Management Solution (VMS) est une suite doutils de
supervision, de configuration et de dpistage de panne, ddis aux technologies de
scurit dployes dans les rseaux dentreprises. Ces technologies incluent les rseaux
privs virtuels dentreprises (VPN - Virtual Private Network), la scurit priphrique
fournie par les firewalls ainsi que les technologies de dtection dintrusion de type "host
based" ou "network based".
Composant majeur de loffre Cisco SAFE (Secure Archictecture For E-Business),
CiscoWorks VMS est une solution dadministration conue pour rpondre lensemble
des problmatiques poses par le dploiement de politiques de scurit sur des rseaux
de moyennes et grandes tailles. Ce produit a t conu dans lobjectif de maximiser la
43
robustesse et dvolutivit du rseau en matire de scurit en fournissant aux quipes

scurit un puissant outil dadministration de bout en bout, capable de dmultiplier
chaque action au sein des quipes.
CiscoWorks VPN/Security Management Solution est un produit de la famille CiscoWorks.
Vritables outils de productivit, les applications CiscoWorks interviennent sur le plan
de lautomatisation des tches dadministration, lautomatisation des procdures
dalertes et de traitements de celles-ci.

Augmentation de la productivit dans tous les domaines dadministration : CiscoWorks
VPN/Security Management Solution est constitue dune suite de composants logiciels
spcifiquement conus pour augmenter lefficacit oprationnelle des quipes scurits
dans les domaines dadministration suivants :
- Gestion de parc matriel.
- Gestion des systmes dexploitation.
- Gestion des configurations (configuration, sauvegarde, diffusion).
- Gestion des rgles de scurit.
- Alerte en cas de dfaillance ou malveillance sur un des quipements du rseau.
- Alerte en cas dattaque rseau ou systme.
- Surveillance du bon fonctionnement des quipements.
- Planification et automatisation des modifications de configuration du rseau.
Ladministrateur scurit dispose, pour chaque domaine, dun outil spcialis qui lui
permet la plus grande efficacit avec un minimum defforts.
Solution complte : Lapplication CiscoWorks VPN/Security Management Solution est

distribue sous forme dun package logiciel qui comprend les lments suivants :
- CiscoView - Correspond la brique de base de lapplication CiscoWorks VMS.
Cette brique correspond lapplication serveur sur laquelle viennent sintgrer les
autres outils de VMS. Ceci inclut lapplication Web, la base de donne, les moteurs
dinterrogation, etc Elle gre linterface graphique utilisateur et permet galement
ladministration du serveur lui-mme. Cest travers CiscoView quest dfinit la
prsentation graphique de lenvironnement dadministration. Cest galement
travers CiscoView que sont dfinis les administrateurs et leurs droits dadministration.
CiscoView fournit notamment laccs en administration SNMP aux quipements
surveills par le biais dune vue graphique.
- Resource Manager Essentials (RME) - Outil fournissant des services dinventaires
du parc, de gestions (sauvegarde) des configurations dquipements, de gestion
centralise des Operating Systems dploys, ainsi que des services de reporting
automatique de changement ayant eu lieu dans le rseau, tant sur le plan hardware
que sur les plans software et configurations dquipements.
44
- CiscoWorks VPN Monitor - Outil de collecte, de stockage et de reporting de

statistiques des connexions VPN site--site ou accs distants.
- CiscoWorks Monitoring Center for Security - Outil de collecte et de reporting des
informations de dtection dintrusion remontes par lensemble des quipements
Cisco dots de fonctions IDS : sondes de dtection dintrusion, modules IDS du
Catalyst 6500, fonctions IDS de lIOS (routeurs), fonctions IDS des firewall PIX,
fonctions IDS des Cisco host IDS.
- CiscoWorks Management Center for VPN Router - Outil dindustrialisation des
configurations et du dploiement des rseaux privs virtuels supports par des
routeurs (IOS).
- CiscoWorks Management Center for PIX Firewall - Outil dindustrialisation des
configurations et du dploiement des rgles de scurit et des rseaux privs virtuels
supports par des firewalls PIX.
- CiscoWorks Management Center for IDS Sensor - Outil dindustrialisation des
configurations et du dploiement des sondes de dtection dintrusion Cisco.
- CiscoWorks Auto Update Server - Cet outil assure lautomatisation du maintient
niveau aux versions les plus rcentes des configurations courantes et des systmes
dexploitation des firewall PIX.
- Cisco Secure Policy Manager (CSPM) - Outils de gestion et de distribution des
politiques de scurit du rseau. Cet outil permet galement la dfinition des
tunnels VPN.
- CiscoWorks Inventory Services - VMS fournit un sous-ensemble de RME qui
permet seulement des oprations de gestion de parc. Cet outil est une alternative
RME dans le cas o lensemble des services RME ne sont pas utiles
ladministrateur.
45
Questions-rponses
Q. De quoi est compose CiscoWorks VMS 2.1 ?
R. CiscoWorks VMS inclut les modules suivants :
- Management and Monitoring Centers.
- CiscoWorks Management Center for Cisco PIX Firewalls (nouveau).
- CiscoWorks Management Center for IDS Sensors (nouveau).
- CiscoWorks Management Center for VPN Routers (nouveau).
- CiscoWorks Monitoring Center for Security (nouveau).
- CiscoWorks Auto Update Server (nouveau).
- CiscoWorks Common Services (nouveau).
- Cisco Secure Policy Manager (CSPM).
- CiscoWorks VPN Monitor.
- CiscoWorks Resource Manager Essentials (RME).
- CiscoView (CD-One).
Q. Quelles sont les nouvelles fonctionnalits de VMS 2.1 compares celles de VMS 2.0 ?
R. CiscoWorks VMS 2.1 est une release importante, et inclut six nouveaux
Management/Monitoring Centers. De nouvelles fonctionnalits ont galement t
ajoutes aux modules existants comme CSPM, Cisco IDS Host Sensor/Console, VPN
Monitor, CiscoView/CD-One, et RME.
La nouvelle architecture de VMS fournit aux utilisateurs une interface, un workflow,
des dfinitions de rles (pouvant tre grs par ACS) communs. Une fonctionnalit
fondamentale est galement lAuto Update Server, qui permet de nombreux PIX
dtre grs et mis jour facilement et rapidement, ceci mme sils sont en adressage
dynamique (ex : plusieurs 501&506 derrire des liens ADSL) : Ce sont les PIX remote
qui vont rgulirement appeler lUpdate Server afin de vrifier si leur politique de
scurit, leur OS, doit tre updat. Si cest le cas, ils se mettront jour automatiquement.
La notion de hirarchisation des rgles permet aux administrateurs de dfinir des
groupes dquipement et dimplmenter des politiques de scurit avec une notion
dhritage, autorisant les politiques de scurit tre rpliques rapidement sur tous les
quipements dun groupe, par exemple.
Un workflow complet permet de contrler les changements et de les auditer, et sera
particulirement utile pour les clients ayant par exemple des groupes dadministrateurs
diffrents pour la scurit et le rseau. Role Based Access Control (RBAC) permet de
grer intelligemment les privilges des utilisateurs de VMS de telle sorte que diffrents
groupes peuvent avoir diffrents niveaux daccs certains quipements et/ou applications.
Il est important de noter les limitations suivantes des Management Centers en premire
version :
- PIX MC ne supporte pas la configuration des VPN
- Router MC ne supporte pas la configuration de lIOS Firewall
Management and Monitoring Centers
46
Q. Si un client doit grer un parc de firewall PIX, que doit-il utiliser : PIX Management
Center, ou Cisco Secure Policy Manager ?
R. Nous encourageons les nouveaux clients de Cisco PIX Firewall utiliser le Management
Center for Cisco PIX Firewalls pour grer leur parc de PIX.
Q. Les Management Centers peuvent-il tre achets indpendamment de VMS ?

R. Non, les Management Centers sont exclusivement disponibles au sein de VMS.
Q. Quels quipements sont supports par CiscoWorks VMS 2.1 ?

R. CiscoWorks VMS supporte les Cisco PIX Firewall, Cisco IOS routers, Cisco VPN
Concentrator 3000, et Cisco IDS devices.
Q. Quels sont les changements en terme de licence ?

R. Cisco a simplifi la licence Restricted de VMS 2.1. La restriction est maintenant de 20
quipements rseau (firewalls, routeurs, VoN, et network IDS) pour tout VMS. Par
exemple, il est possible de grer cinq PIX, sept routeurs IOS, deux concentrateurs VPN, et
six sondes IDS.

Grer de nombreuses units de rseau diffrentes est susceptible de gnrer un conflit de
configurations, entranant un effet ngatif sur l'intgrit du rseau et sur les oprations
s'y droulant. En outre, les configurations de masse ncessitent gnralement un temps
prcieux et le rsultat peut s'avrer dcevant, tout particulirement lorsque plusieurs
types d'units et diverses technologies entrent en jeu. VMS centralise la configuration
des services de scurit d'un rseau en appliquant des rgles dfinies. Cette technique
pargne du temps en liminant le besoin de grer individuellement chaque unit. Elle
ncessite moins d'efforts et de connaissances car sa mthode cohrente et uniforme de
configuration de plusieurs types d'units ne ncessite aucune comptence particulire en
terme de ligne de commande.
Types de rseau
L'utilisation de VMS peut s'avrer un atout prcieux pour les entreprises, moyennes ou
grandes, qui dploient les produits de scurit rseau Cisco, de mme que pour les
utilisateurs de firewalls Cisco Secure PIX, de sondes Cisco Secure IDS ou de routeurs
utilisant le firewall Cisco IOS.
Mise en uvre
VMS doit tre plac un point stratgique du rseau interne disposant d'un accs vers
toutes les units de scurit devant tre supervises. Ce produit doit disposer d'une
connexion IP avec toutes les units supervises.
47

PC avec Windows 2000 Professional ou Windows 2000 Server (les services Packs 2 et
3 sont supports) pour CiscoWorks Common Services, Cisco Secure Policy Manager,
CiscoWorks Management Center for IDS Sensors, CiscoWorks Monitoring Center for
Security, CiscoWorks Management Center for Cisco PIX Firewalls, CiscoWorks
Management Center for VPN Routers et CiscoWorks Auto Update Server.
Produits de scurit Cisco associs au logiciel appropri.
Pour de plus amples informations sur CiscoWorks VPN/Security Management

Solution (VMS) :
www.cisco.com/go/vms
48
PROGRAMME SECURITY
ASSOCIATES
Section 6
PROGRAMME
SECURITY ASSOCIATES
Section 6
PROGRAMME
SECURITY ASSOCIATES
Programme Security Associates
Produits complmentaires Cisco Security Associates

Nous avons dvelopp le programme de marketing Security Associates dans le but
d'assurer nos clients le plein potentiel de scurit des rseaux Cisco.
Cisco associe ses produits de scurit de grande qualit aux solutions logicielles
proposes par les grands noms du march. Ces produits associs ont fait l'objet de tests
par Cisco et ont t reconnus non seulement compatibles avec les produits Cisco Secure,
mais galement aptes produire une valeur ajoute spcifique aux rseaux Cisco. La
combinaison des produits Cisco Secure et des produits de Security Associates vous
permet de mettre en uvre les stratgies de scurit de dfense en profondeur les plus
compltes possibles, grce auxquelles vous assurez votre activit et vos informations
une protection optimale.
Explorons la manire dont les solutions de scurit globale proposes par Cisco et les
produits Security Associates vous permettent de scuriser entirement et efficacement un
rseau professionnel.
Les catgories de solutions Cisco Security Associates traitent des principales

proccupations actuelles des entreprises utilisant un rseau :
Authentification.
Filtre sur le contenu/Recherche de virus.
Outils de gestion/de rapport.
Infrastructure de cl publique.
Gestion distance.
Solution VPN.
Application de scurit.
Authentification
Le systme CRYPTOCard CRYPTOAdmin complte l'ACS CiscoSecure pour assurer
des services d'identification volus intgrant, par exemple, des mots de passe usage
unique afin d'amliorer la scurit au niveau de l'authentification.
Les systmes RSA Security ACE/Server et RSA Security ACE/SecurID scurisent l'accs
aux produits Cisco en relation avec l'ACS CiscoSecure, assurant ainsi des services
centraliss d'authentification deux cls.
Secure Computing SafeWord est associ avec l'ACS CiscoSecure pour scuriser les
transactions d'e-business l'aide de services d'authentification, d'autorisation et de
vrification.
51
Programme Cisco Security Associates
Filtre sur le contenu / recherche de virus

Trend Micro InterScan VirusWall assure une protection anti-virus pour le trafic
SMTP, HTTP et FTP (File Transfer Protocol) sur les rseaux protgs par les firewalls
Cisco Secure.
Websense pour firewalls Cisco Secure PIX associ aux firewalls PIX permet un filtrage
d'URL intgr et hautes performances du trafic Internet des employs.
ZoneAlarm Pro tends la scurit du VPN jusquaux PC destinataires assurant ainsi la

scurit totale de laccs distant. ZoneAlarm Pro propose des firewalls, des solutions de
protection dintrusion et de gestion de la politique de scurit ainsi que des capacits
dexcution tous les PC terminaux de lentreprise tendue.
52
Programme Security Associates
Outils de gestion / de rapport

NetCom Systems netForensics est associ au systme IDS Cisco Secure pour assurer
une analyse volue du journal et des alarmes, amliorant ainsi la visibilit des
attaques du rseau.
Solsoft NP est une solution d'administration visuelle qui simplifie la configuration de la

scurit et des VPNs dans les rseaux htrognes.
Aladdin, travers sa gamme eToken, propose des quipements compacts USB qui
stockent les informations d'authentification des utilisateurs de VPN, leur permettant de
les emmener partout avec eux de manire scurise.
Solutions VPN
MovianVPN v1.1 a t conu pour rpondre aux exigences de scurit des accs
wireless et mobile aux VPN. Le client Certicom fonctionne avec une large gamme de
gateways VPN, permettant ainsi aux entreprises dintgrer facilement et de manire
scurise, des solutions wireless et mobile aux intranets.
Application de scurit
Le logiciel Tripewire for Servers s'assure de l'intgrit et de la scurit des donnes en
indiquant aux utilisateurs, si, quand et comment le fichiers ont t modifis d'un tat
reconnu bon un tat inconnu.
53
Programme Cisco Security Associates
Pour de plus amples informations sur les produits Cisco Security Associates :
www.cisco.com/go/securityassociate
Remarque : consultez le site Internet Security Associates pour connatre les versions
certifies par le programme Security Associates.
54
REPRESENTATION GRAPHIQUE
DES SOLUTIONS
Section 7
REPRESENTATION
GRAPHIQUE DES
SOLUTIONS
Section 7
REPRESENTATION
GRAPHIQUE DES
SOLUTIONS
Reprsentation graphique des solutions
Les reprsentations graphiques des solutions Cisco exposes dans cette section vous
donnent les bases permettant de dvelopper les produits et technologies Cisco en
fonction du type d'entreprise. Ces produits et technologies vous permettent de raliser
des transactions d'e-business en toute scurit, grce une stratgie de dfense en
profondeur.
Cette section prsente des exemples schmatiss de solutions de

scurit de rseau pour les types d'entreprises suivants :
Grandes entreprises,
Entreprises de taille moyenne,
Petites entreprises,
Entreprises de la nouvelle conomie,
Fournisseurs de services.
57
Solutions pour les grandes entreprises
Le point d'entre de notre exemple utilise les sondes IDS de Cisco pour visualiser le flux
de donnes et les routeurs VPN pour permettre la communication avec les bureaux des
diffrents services et avec les partenaires commerciaux via Internet et IPsec. Les points
de terminaison VPN et IPsec ne remettent pas en cause le respect des rgles d'activit
car le firewall PIX est volutif et dot de la fonction de basculement. Grce la
combinaison du firewall Cisco IOS et des technologies IDS, les bureaux des diffrents
services bnficient d'une protection de dfense en profondeur. L'IDS est galement
positionn autour des dispositifs firewall pour renforcer et tester les rgles de scurit
de l'entreprise. Les concentrateurs VPN 3000 de Cisco sont utiliss pour accder
distance aux services VPN.
58
Solutions pour les entreprises de taille moyenne

La plupart des intervenants sur site de nos clients accdent au rseau via des routeurs
VPN, ce qui leur confre un accs intgral aux rseaux internes. Ceux-ci peuvent tre
grs par le VMS. Une solution de firewall milieu de gamme (le firewall PIX 515E par
exemple) assure une scurit de primtre une entreprise de taille moyenne.
59
Solutions pour les petites entreprises
Les routeurs VPN Cisco 1700, solutions idales pour les PME, prennent en charge la
voix et IPsec, entre autres technologies de scurit. Le firewall PIX 506E ou 515E assure
une puissance de traitement amplement suffisante aux petites entreprises. Grce
l'intgration d'un IDS la sortie, la visibilit du flux de donnes indique aux
responsables du rseau les ventuelles violations du systme de scurit. L'analyse de la
vulnrabilit permet d'valuer la scurit du rseau de manire proactive et continue.
60
Solutions pour les entreprises de la nouvelle conomie

Les start up sont une cible privilgie des pirates informatiques et, de plus, leur activit
repose entirement sur la disponibilit des rseaux. Elles doivent, en loccurence,
laborer une structure de dfense en profondeur. C'est pourquoi nous leur proposons de
protger leurs transactions l'aide d'un firewall double associ un systme d'IDS. Les
rseaux utiliss par les start-up internet tant un lment crucial de leur activit, les
solutions de firewall PIX et d'IDS Cisco Secure reprsentent des lments de scurit
fondamentaux. Les intervenants sur site peuvent utiliser un VPN client pour accder
aux rseaux des entreprises, des clients et se connecter un partenaire commercial.
61
Solutions pour les fournisseurs de services
Le fait de dvelopper Cisco IOS et de connecter des routeurs VPN partir de leurs POP
permet aux htes de transporter des donnes sur d'autres rseaux et de proposer leurs
clients des firewalls et des systmes de dtection d'intrusion pour protger les services
offerts leurs clients.
62
GLOSSAIRE
Section 8
GLOSSAIRE
Section 8
GLOSSAIRE
Glossaire
Terminologie VPN et scurit
A
AAA (Authentication, authorization, and accounting) :
Elments de scurit gnralement utiliss pour offrir un accs scuris aux ressources :
Authentication (Authentification) : validation de l'identit d'un utilisateur ou d'un
systme (hte, serveur, commutateur ou routeur).
Authorization (Autorisation) : moyen permettant d'accorder l'accs un rseau un
utilisateur, un groupe d'utilisateurs, un systme ou un programme.
Accounting (Gestion) : processus permettant d'identifier l'auteur ou la cause d'une
action spcifique, tel que le pistage des connexions d'un utilisateur et la journalisation
des utilisateurs du systme.
Analyse de risque :
Processus comprenant l'identification des risques en matire de scurit, leur impact et
l'identification des zones ncessitant une protection.
Attaque par interruption de service (DoS) :

Action malveillante visant empcher le fonctionnement normal de tout ou partie d'un
rseau ou d'un systme hte. Cette attaque peut tre compare une personne qui
composerait sans arrt le mme numro de tlphone pour saturer cette ligne.
Attaque SMURF (camouflage) :

Attaque malveillante consistant envoyer un grand nombre de paquets ping "spoofs"
vers des adresses broadcast, afin d'amplifier le nombre de paquets par la rponse vers
les adresses "spoofes". Cette technique offre des possibilits de saturation
exponentielles, selon le nombre d'htes rpondant la requte.
Autorit de certification (CA) :

Entit de confiance charge de signer les certificats numriques et d'attester de l'identit
d'autres utilisateurs autoriss.
65
C
CBAC (Context-Based Access Control) :
Fonction intgre au logiciel IOS de Cisco offrant le filtrage avanc de session de
paquets pour tout le trafic routable. En configurant des ACL, il est possible d'autoriser
ou de refuser le traitement ou le transfert du trafic.
CERT (Computer Emergency Response Team) :

Organisation officielle d'administrateurs systme s'occupant essentiellement de
problmes lis la scurit des systmes et des rseaux informatiques.
Certificat :
Message sign numriquement au moyen d'une cl prive d'une tierce partie de
confiance (voir autorit de certification) et indiquant qu'une cl publique spcifique
appartient une personne ou un systme possdant un nom et un ensemble d'attributs
prcis.
CHAP (Challenge Handshake Authentication Protocol) :

Protocole d'authentification permettant d'empcher les accs non autoriss. Le
protocole CHAP authentifie et identifie l'entit distante. Le routeur ou le serveur d'accs
dtermine ensuite si l'utilisateur peut tre autoris accder au rseau.
Cl cryptographique :
Code numrique servant au cryptage, au dcryptage et la signature d'informations.
Cl prive :
Code numrique utilis pour dcrypter les donnes et vrifier les signatures numriques.
Cette cl doit demeurer secrte et ne doit tre connue que de son propritaire.
Cl publique :
Code numrique utilis pour dcrypter les donnes et vrifier les signatures numriques.
Cette cl peut tre diffuse librement.
Compromission :
Dans le domaine de la scurit informatique, ce terme signifie l'attaque d'un rseau par
la violation de la politique de scurit.
Concentrateur VPN :
Plate-forme matrielle permettant la mise en place de connexions rseaux prives bout-
en-bout via une infrastructure rseau publique et offrant un accs distant ou une
connectivit site site.
66
Glossaire
Concentrateur VPN :
Plate-forme matrielle permettant la mise en place de connexions rseaux prives bout-
en-bout via une infrastructure rseau publique et offrant un accs distant ou une
connectivit site site.
Confidentialit des donnes :

Moyen permettant de garantir que seules les entits autorises peuvent voir les paquets
de donnes dans un format intelligible.
Processus de protection des donnes d'un rseau contre l'espionnage ou l'altration.
Dans certains cas, la sparation des donnes l'aide de technologies de tunnellisation,
telles que GRE (generic routing encapsulation) ou le L2TP (Layer 2 Tunneling
Protocol), offre une confidentialit des donnes efficace. Toutefois, il est parfois
ncessaire d'augmenter la confidentialit l'aide de technologies de cryptage numrique
et de protocoles tels que Ipsec, en particulier lors de la mise en uvre de VPN.
Contrle d'accs :
Limitation du flux de donnes des ressources d'un systme uniquement vers les
personnes, programmes, processus autoriss ou vers d'autres systmes du rseau. Les
ensembles de rgles de contrle d'accs des routeurs Cisco sont appeles listes de
contrle d'accs ou ACL.
Contrle de la scurit :
Procdure de scurisation du rseau au moyen de tests rguliers et de SPA (Security
Posture Assessments).
Cryptage :
Codage des donnes empchant leur lecture par une autre personne que le destinataire
prvu. De plus, les donnes sont uniquement lisibles aprs avoir t correctement
dcryptes.
Cryptographie :
Science de l'criture et de la lecture de messages cods.
67
D
DES (Data Encryption Standard) :
Systme de cryptage cl secrte normalis par le National Institute of Standards and
Technology (voir NIST et Triple DES).
Diffie Hellman :
Systme cl publique permettant deux utilisateurs ou quipements rseau d'changer
des cls publiques via un support non scuris.
DSS (Digital Signature Standard) :

Algorithme de signature numrique dvelopp par la National Security Agency (voir
NSA).
EH
En-tte d'authentification :
En-tte IPsec permettant de vrifier que le contenu d'un paquet n'a pas t modifi
pendant le transport.
Filtrage :
Recherche dans le trafic rseau de certaines caractristiques, telles que l'adresse source,
l'adresse de destination ou le protocole, afin de dterminer, selon les critres dfinis, si
le trafic de donnes concern est accept ou bloqu.
Filtrage de paquets :
Mcanisme de contrle paquet par paquet du trafic routable.
GRE (Generic Routing Encapsulation) :

Protocole de tunnellisation dvelopp par Cisco permettant d'encapsuler des paquets
utilisant de nombreux protocoles diffrents dans des tunnels IP, afin de crer un lien
point point virtuel entre des points distants et des routeurs Cisco via un rseau IP.
Hack :
Mthode utilise pour obtenir l'accs illgal et non autoris un rseau, en vue de
drober des documents ou des donnes confidentielles ou par simple dmonstration
technique.
HSRP (Hot Standby Router Protocol) :

Permet aux stations de travail utilisant IP de communiquer sur l'interrseau mme si
leurs routeurs par dfaut sont indisponibles. Ce protocole garantit une disponibilit
leve du rseau et un changement de topologie rseau totalement transparent.
68
Glossaire
IJ
Identit :
Identification prcise des utilisateurs, htes, applications, services et ressources du
rseau. Les nouvelles technologies, telles que les certificats numriques, les cartes
puces, les services rpertoire jouent un rle de plus en plus important dans les solutions
d'identification.
IDS (Intrusion Detection System) :

Sentinelle de scurit en temps rel (semblable un dtecteur de mouvement) protgeant
le primtre du rseau, les extranets et les rseaux internes de plus en plus vulnrables.
Les systmes IDS analysent le flux de donnes du rseau la recherche de signatures
d'attaques ou d'activits considres comme non autorises, dclenchent l'alarme et
lancent les actions ncessaires face cette activit.
IETF (Internet Engineering Task Force) :

Organisme de normalisation responsable de la conception de protocoles pour Internet.
Les publications mises par l'IETF s'intitulent des RFC (Request for Comments).
Intgrit :
Moyen permettant de garantir que les donnes n'ont pas t modifies, si ce n'est par
les personnes explicitement autorises le faire. Le terme "intgrit du rseau" signifie
qu'aucun service ou aucune activit contraire la politique de scurit n'est permise.
Intgrit des donnes :

Processus permettant de garantir que les donnes n'ont pas t modifies ou dtruites
lors du transport via le rseau.
IP (Internet Protocol) :
Protocole bas sur l'utilisation de paquets permettant l'change de donnes via des
rseaux informatiques.
IPsec :
Ensemble de normes de scurit offrant des services de confidentialit et de
d'authentification au niveau de la couche IP (Internet Protocol).
ISAKMP (Internet Security Association and Key Management Protocol) :

Protocole de gestion de cls pour IPsec. Ce protocole, ncessaire la mise en uvre
complte de IPsec, est galement appel IKE (Internet Key Management).
69
KN
Kerberos :
Protocole d'authentification rseau cl secrte dvelopp par le MIT (Massachusetts
Institute of Technology), bas sur l'utilisation de l'algorithme de cryptage DES pour le
cryptage et une base de donnes de cls centralise pour l'authentification.
L2F (Layer 2 Forwarding Protocol) :

Protocole grant la mise en place de rseaux virtuels privs commuts via Internet.
L2TP (Layer 2 Tunneling Protocol) :

Norme IETF combinant les caractristiques du protocole L2F de Cisco (Layer 2
Forwarding Protocol) et le protocole PPTP de Microsoft (Point-to-Point Tunneling
Protocol) pour la mise en uvre des VPN.
L2TP/IPsec (Layer 2 Tunneling Protocol over IPsec) :

Protocole VPN de Windows 2000 combinant accs distant (L2TP) et scurit (IPsec).
MD5 (Message Digest 5) :

Algorithme de hachage utilis pour l'authentification de donnes et la vrification de
l'intgrit des communications.
NAT (Network Address Translation) :

Mcanisme consistant convertir une adresse IP en une autre. Le NAT est
essentiellement utilis pour connecter un espace d'adressage interne utilisant un
protocole diffrent d'un autre rseau, tel qu'Internet.
NDS (Novell Directory Services) :

Systme de nommage gnral pour les environnements Novell contenant des
informations relatives un rseau, en particulier les objets de ce rseau.
NIST (National Institute of Standards and Technology) :

Agence gouvernementale amricaine tablissant des normes techniques l'chelle
nationale.
Non-rpudiation :
Caractristique d'un systme cryptographique permettant d'empcher qu'un expditeur
puisse nier ultrieurement avoir envoy un message ou effectu une action spcifique.
70
Glossaire
NSA (National Security Agency) :

Agence gouvernementale amricaine charge de contrler et de dcoder toutes les
communications manant de pays trangers et susceptibles de concerner la scurit des
Etats-Unis.
P
PAP (Password Authentication Protocol) :
Protocole d'authentification permettant des postes PPP de s'authentifier les uns auprs
des autres. Le routeur distant qui effectue une tentative de connexion sur le routeur
local doit envoyer une requte d'authentification. Contrairement CHAP, PAP ne
crypte pas le mot de passe et le nom d'hte ou d'utilisateur. PAP dtermine si un mot de
passe est valide ou non.
Firewall :
Systme matriel ou logiciel utilis pour contrler le trafic de donnes entre deux
rseaux.
Primtre de scurit :
Primtre dans lequel des contrles de scurit sont effectus afin de protger les
quipements rseau.
Ping :
Commande permettant de dterminer la prsence et l'tat de fonctionnement d'un autre
systme.
Ping of Death (Ping de la mort) :

Attaque par interruption de service (DoS) consistant en l'envoi d'un paquet ping de
taille surdimensionne, dans le but d'entraner le blocage de la machine rceptrice lors
de la tentative de rassemblage du paquet de donnes surdimensionn.
PKI (Public Key Infrastructure) :

Infrastructure de gestion de cls offrant un environnement sr et fiable.
Politique de scurit :
Ensemble de directives de haut niveau permettant de contrler le dploiement des
services rseau. La maintenance et l'audit du rseau font galement partie de la politique
de scurit.
71
PPP (Point-to-Point Protocol) :

Protocole normalis d'encapsulation de paquets IP via des liens point point.
PPTP (Point-to-Point Tunneling Protocol) :

Norme IETF soutenue par Microsoft pour la mise en uvre des VPN partir du
systme d'exploitation Windows 95/98 vers une passerelle VPN.
Proxy :
Equipement (mandataire) effectuant une tche la place d'un autre quipement. Dans
le domaine des firewalls, le proxy est un processus effectuant un certain nombre de
contrles sur le trafic entrant. Ce mcanisme peut nuire aux performances du firewall.
R
RADIUS (Remote Access Dial-In User Service) :
Protocole dvelopp par Livingston Enterprises Inc., utilis comme protocole
d'authentification et de gestion de serveur d'accs.
Rinitialisation TCP :
Rponse possible une attaque de hacker d'une sonde Cisco Secure IDS ou d'un routeur
Cisco IOS Firewall. Une commande est mise par ces quipements afin d'arrter la
connexion par laquelle l'attaque est effectue, obligeant ainsi l'attaquant tablir une
nouvelle connexion.
Routeur VPN :
Routeur destin tre install dans les locaux du client. Ce type de routeur prend en
charge la fonctionnalit VPN et offre des performances VPN optimales sur diffrents
types de supports physiques et densits de ports.
RSA (Rivest, Shamir, Adelman) :

Algorithme de cryptage cl publique permettant de crypter ou de dcrypter des
donnes et d'appliquer ou de vrifier une signature numrique.
S
Scanneur :
Application professionnelle permettant l'utilisateur d'identifier et de corriger les failles
dans la scurit du rseau avant qu'un hacker ne le dcouvre.
SHA (Secure Hash Algorithm) :

Algorithme de hachage utilis pour l'authentification et la vrification de l'intgrit des
communications.
72
Glossaire
Shunning :
Reconfiguration dynamique par un routeur Cisco de ses ACL afin de stopper toute
attaque dtecte et de bloquer toute nouvelle transmission de donnes de/vers l'adresse
IP "attaquante", pour un laps de temps donn.
Signature d'attaque :
Systme d'identification d'activit malveillante sur le rseau. Les paquets de donnes
entrants sont examins en dtail la recherche de modles logarithmiques identiques.
Signature numrique :
Chane de bits ajoute un message lectronique (hachage crypt) permettant
l'authentification et l'intgrit des donnes.
Spoofing (usurpation) :
Tentative d'accs un systme rseau par usurpation (utilisateur, systme ou
programme autoriss).
TV
TACACS+ (Terminal Access Controller Access Control System Plus) :
Protocole AAA principalement utilis pour la gestion des connexions commutes.
Triple DES :
Algorithme DES combin une, deux ou trois cls pour le cryptage/dcryptage de
paquets de donnes.
Tunnel :
Connexion scurise et crypte entre deux points passant par un rseau public ou tiers.
VPN (Rseau priv virtuel) :

Rseau garantissant un trafic IP scuris via un rseau TCP/IP public grce au cryptage
des donnes entre les deux rseaux concerns. Le VPN utilise la tunnellisation pour
crypter les informations au niveau IP.
VRRP (Virtual Router Redundancy Protocol) :

Gre le basculement automatique d'une plate-forme une autre au sein d'une
installation redondante.
73
Vulnrabilit :
Faille au niveau des procdures de scurit, de la conception ou la mise en uvre du
rseau, pouvant tre exploite pour contourner la politique de scurit d'une entreprise.
WINS (Windows Internet Naming Service) :

Permet des clients de sous-rseaux IP diffrents de s'enregistrer dynamiquement et de
naviguer sur le rseau sans recourir au broadcast.
Pour de plus amples informations :

Scurit : www.cisco.com/go/security
VPN pour l'entreprise : www.cisco.com/go/evpn
74
Cisco Systems Europe
11, rue Camille Desmoulins
92782 Issy les Moulineaux Cedex 9 - France
Tl. : +33 (0)1 58 04 60 00
Fax : +33 (0)1 58 04 61 00
www.cisco.fr
Copyright 2000 Cisco Systems, Inc. Tous droits rservs. NetSonar et PIX sont des marques, et Catalyst, IOS, NetRanger, Cisco,
Cisco IOS, Cisco Systems, ainsi que le logo Cisco Systems sont des marques commerciales de Cisco Systems, Inc. ou de ses
reprsentants aux Etats-Unis et dans dautres pays. Toutes les autres marques commerciales mentionnes dans le prsent
document sont la proprit de leur propritaire respectif. Lutilisation du terme "partenaire" ne fait pas rfrence un partenariat
commercial entre Cisco et toute autre entreprise.
(0005R) N doc. : 954913 ETMG-LW 08/00

Master 1386 PDF

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Master 1386 PDF

Transféré par

Droits d'auteur :

Formats disponibles

Guide des solutions

Section 3 - DETECTION DINTRUSION

Section 4 - CONTROLE DACCES

Section 5 - GESTION DE LA POLITIQUE DE SECURITE

Section 6 - PROGRAMME SECURITY ASSOCIATES

Section 7 - REPRESENTATION GRAPHIQUE DES SOLUTIONS

Pourquoi faire appel Cisco en matire de scurit et de

Gamme de solutions : Cisco propose un large ventail de produits VPN et de scurit

Assistance technique 7 j/7 et 24 h/24 : les produits de scurit et VPN Cisco

Interoprabilit garantie : Cisco vous garantit la compatibilit de tous ses produits

Formation et certification : au-del de son expertise technologique, Cisco Systems a

Sensibilisation des Entreprises : La scurit des rseaux informatiques est un domaine

Rseaux privs virtuels (VPN)

Principaux avantages et fonctionnalits des solutions VPN Cisco

Primtre de scurit absolue du rseau priv virtuel, avec fonction de filtrage de

Qualit de service sensible lapplication et gestion de la bande passante garantissant

Segment Vitesse Mode daccs VPN Produit

Routage intgral jusqu la couche 3, y compris les protocoles de routage externes,

La solution VPN de Cisco offre les avantages suivants :

Pourquoi mettre en uvre ce produit ?

Les solutions VPN site--site de Cisco, totalement intgres et composes dun

Equipements associs/ncessaires la mise en uvre

VPN Cisco accs distant

Concentrateur VPN Cisco srie 3000

Principaux avantages et fonctionnalits

Performances et volutivit : le concentrateur Cisco VPN srie 3000 fournit le niveau

Scurit : le concentrateur Cisco VPN srie 3000 prend totalement en charge un

Logiciel VPN Cisco Client

Concentrateur Cisco Cisco Cisco Cisco Cisco

Nb dutilisateurs 100 100 1 500 5 000 10 000

Type de cryptage Logiciel Logiciel Matriel Matriel Matriel

SEP pris en ch. 0 0 1 2 4

Dbit crypt 4 Mbits/sec 4 Mbits/sec 50 Mbits/sec 100 100

Mmoire (Mo) 32 64 128 256 256

Alimentation Non En option En option En option Standard

Q. Comment les concentrateurs Cisco VPN srie 3000 intgrent-ils le cryptage ?

Q. Quelles sont les caractristiques de haute disponibilit ou de tolrance aux pannes

Q. Quest-ce que la tunnellisation fractionne ? Est-elle prise en charge par les

Pourquoi mettre en uvre ce produit ?

Equipements associs/ncessaires la mise en uvre

Intgration lexistant : La fonctionnalit Cisco Easy VPN est conue de manire

Q. Quest-ce que Cisco Easy VPN Server ?

Q. Combien de tunnels supporte Cisco Easy VPN Remote ?

Q. Combien de tunnels supporte Cisco Easy VPN Server ?

Pourquoi mettre en uvre ce produit ?

Equipements associs/ncessaires la mise en uvre

Pour de plus amples informations sur Cisco Easy VPN :

Cisco PIX Firewall

Produits de la gamme Cisco PIX Firewall

Principaux avantages et fonctionnalits

Q. Le PIX est-il un serveur filtrant ou un serveur proxy ?

Pourquoi mettre en uvre ce produit ?

Les performances du rseau tant cruciales pour le bon fonctionnement de lentreprise,

Equipements associs/ncessaires la mise en uvre

Pour de plus amples informations sur Cisco PIX Firewall :

Cisco IOS Firewall

Principaux avantages et fonctionnalits

Pourquoi mettre en uvre ce produit ?

Equipements associs/ncessaires la mise en uvre

Pour de plus amples informations sur Cisco IOS Firewall :

Systme de dtection d'intrusion scuris Cisco

Le kit sonde Cisco Secure IDS comprend les lments suivants :

Le kit de gestion Cisco Secure IDS comprend les lments suivants :