Académique Documents
Professionnel Documents
Culture Documents
scurit et VPN
Cisco Systems
Sommaire
Pourquoi Cisco ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1
Section 1 - VPN
Rseaux privs virtuels (VPN) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .5
VPN site--site . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .5
VPN Cisco accs distant . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .10
Easy VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .16
Section 2 - FIREWALLS
Firewalls . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .21
Cisco PIX Firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .21
Cisco IOS Firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .24
Section 8 - GLOSSAIRE
Terminologie VPN et scurit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .65
Pourquoi Cisco ?
Depuis son origine, Cisco Systems a pour objectif de permettre ses clients de
dvelopper leur activit en sappuyant sur des rseaux performants. Or un rseau non
scuris noffre pas toutes les garanties ncessaires une entreprise pour le
dveloppement de son activit, pire il peut mettre en pril lintgralit de lentreprise.
Assurer la scurit des rseaux des entreprises, quelle que soit leur taille, est donc
devenu un des objectifs majeurs de Cisco. Et qui mieux que le leader du march des
solutions rseaux peut garantir la scurit, linteroprabilit et la cohrence des
rseaux ?
Fort de son expertise rseau, Cisco Systems a ainsi dvelopp la gamme de solutions de
scurit et de rseaux privs virtuels (VPN) la plus complte du march.
Reconnu comme le leader du march de la scurit, Cisco Systems propose aujourdhui
ses clients et partenaires de bnficier des avantages suivants :
Leadership et expertise du secteur : selon le groupe dexperts IDC, les firewalls ddis
de la gamme Cisco PIX, occupent aujourdhui la premire place du march mondial
et, selon le cabinet Frost & Sullivan, il en est de mme pour le systme scuris de
dtection dintrusion Cisco (IDS). De plus, les listes de contrle daccs Cisco (ACL)
sont la technologie de scurit la plus largement utilise dans le monde, et le magazine
Network Computing a lu le concentrateur Cisco VPN 3060 "Produit matriel de
lanne".
1
Pourquoi Cisco ?
2
VPN
Section 1
VPN
Section 1
VPN
VPN
VPN site--site
Les VPN site--site sont un autre type dinfrastructure WAN (rseau tendu). Ils
remplacent et amliorent les rseaux privs existants utilisant les lignes loues, les
protocoles de relais de trame ou le mode ATM (mode de transfert asynchrone) pour
connecter les sites distants et les succursales la ou aux maisons mres. Les VPN site-
-site ne modifient pas en profondeur les exigences des rseaux tendus privs, telles que
la prise en charge des divers protocoles, une grande fiabilit ou une volutivit optimale.
Au contraire, ils rpondent ces exigences tout en diminuant les cots inhrents ces
infrastructures et en offrant une flexibilit accrue. Les VPN site--site peuvent utiliser
les technologies de transport les plus rpandues aujourdhui, telles que le rseau public
Internet ou les rseaux des fournisseurs daccs, via la tunnellisation et le cryptage afin
dassurer la confidentialit des donnes et la qualit de service (QoS) pour la fiabilit du
transport.
5
VPN site--site Cisco
Produits
Les VPN site--site sont plus performants sils utilisent les routeurs optimiss VPN
Cisco. Ces derniers garantissent lvolutivit du systme face aux progrs continus du
cryptage matriel. De plus, les routeurs VPN de Cisco intgrent les fonctions de routage,
de scurit et de qualit de service inhrentes au logiciel IOS Cisco garantissant un
dploiement VPN site--site scuris, volutif et fiable. Cisco a cr une large gamme de
routeurs VPN pour permettre de rpondre aux diffrents besoins des configurations
dentreprises, quelles souhaitent connecter des sites de 10 personnes ou de plus de 200
personnes et ce, quelle que soit la technologie utilise (ADSL).
6
VPN
Diffrents interfaages avec le rseau local (LAN) ou tendu (WAN) pour laccs
Internet ou au rseau priv virtuel et la connectivit du rseau local.
Solution VPN globale avec intgration des priphriques : les solutions VPN site--
site de Cisco regroupent dans un quipement unique toutes les fonctions essentielles
aux dploiements VPN scuriss, volutifs et fiables. Ainsi, les architectures de
rseaux sont simplifies et linvestissement total limit. La plupart des offres
concurrentes disponibles sur le march sont dautant plus complexes quelles
ncessitent lutilisation de plusieurs quipements pour mettre en uvre une solution
VPN site--site globale.
Evolutivit des performances : grce une gamme tendue de routeurs optimiss
VPN, Cisco rpond tous les cas de figures en matire de dploiement VPN, quelle
quen soit la taille, avec une ligne RNIS ou OC-3.
7
VPN site--site Cisco
Compatibilit des fonctions : les routeurs VPN de Cisco offrent une solution VPN site-
-site globale dans un quipement unique, et assurent une meilleure interoprabilit
des fonctions VPN, telles que le firewall, la qualit de service, la tunnellisation et le
cryptage.
Auto-rtablissement du rseau : les routeurs VPN de Cisco utilisent les capacits de
rsilience du rseau inhrentes au systme dexploitation inter-rseau (IOS) Cisco,
telles que lindication du maintien du tunnel, le TED (Tunnel Endpoint Discovery) et
la dcouverte dynamique du routage via les tunnels GRE (encapsulage gnrique du
protocole de routage), pour assurer une redondance du VPN et une rcupration
dynamique ingales.
Optimisation de linvestissement matriel : les solutions VPN site--site de Cisco
offrent une interface LAN/WAN et une grande souplesse dadaptation aux volutions
matrielles, ainsi que de nombreuses options dentre-sortie (E/S). Cette modularit
vous aide optimiser votre investissement matriel en vous permettant dadapter les
routeurs VPN de Cisco aux nouvelles technologies de rseaux.
Questions-rponses
Q. Quelle est la diffrence entre les routeurs optimiss VPN et les autres routeurs
Cisco ?
R. Les routeurs VPN optimiss de Cisco proposent une acclration matrielle du
cryptage en option et sont compatibles IPsec, offrant ainsi lvolutivit ncessaire aux
applications VPN site--site.
Q. Les routeurs optimiss VPN de Cisco peuvent-ils tre utiliss dans des VPN accs
distant ?
R. Oui, les routeurs optimiss VPN de Cisco peuvent assurer la connectivit des VPN
accs distant telle quelle est dclare dans les environnements VPN hybrides accs
distant/site--site. Toutefois, le concentrateur Cisco VPN srie 3000 est spcialement
conu pour les VPN accs distant ; il est donc parfaitement adapt aux
environnements dont lapplication principale repose sur la connectivit du VPN accs
distant (reportez-vous au chapitre "VPN Cisco accs distant" ci-aprs).
Q. Les routeurs optimiss VPN de Cisco peuvent-ils tre utiliss si un firewall est dj
install sur le rseau ?
R. Oui, les routeurs optimiss VPN de Cisco peuvent tre installs en amont, en aval ou
au mme niveau que le firewall existant.
Q. Quels sont les avantages des routeurs optimiss VPN de Cisco par rapport aux
solutions VPN avec firewall ?
R. Certains firewalls peuvent assurer la tunnellisation et le cryptage ; toutefois, ils ne
sont pas quips des fonctions indispensables au dploiement VPN site--site, telles que
la prise en charge multi-protocoles, la qualit de service ou les fonctions de routage.
8
VPN
Types de rseaux
Tous les types. La gamme tendue des routeurs optimiss VPN de Cisco permet de
rpondre tous les types de dploiement, quel que soit le mode daccs au rseau.
Mise en uvre
Ces routeurs peuvent tre installs la limite physique du rseau tendu (WAN) ou en
aval, gnralement au niveau de la couche daccs Internet.
Pour de plus amples informations sur les solutions VPN site--site de Cisco :
www.cisco.com/go/evpn
9
VPN Cisco accs distant
Le concentrateur Cisco VPN srie 3000 comprend un client VPN simple dutilisation et
conforme aux normes, ainsi que des plate-formes de terminaisons de tunnel volutive et
un systme de gestion facilitant linstallation, la configuration et la surveillance de vos
VPN accs distant. Indit sur le march, ce concentrateur est la seule plate-forme
volutive offrant des composants extractibles et pouvant facilement tre mis niveau.
Afin de prendre en charge tout type darchitecture, le concentrateur Cisco VPN srie
3000 est dclin dans diffrentes versions, dont le Cisco VPN srie 3060, lu "Produit
matriel de lanne" par le magazine Network Computing.
10
VPN
Haute disponibilit : le concentrateur Cisco VPN srie 3000 est une plate-forme stable
avec un temps moyen entre les pannes (MTBF) suprieur 200 000 heures (soit plus
de 22 ans). Lquipement est muni de sous-systmes redondants (ventilateurs,
alimentations, modules SEP) et de fonctionnalits dquilibrage de charges et VRRP
(Virtual Router Redundancy Protocol) assurant un temps de fonctionnement optimal.
Grce aux fonctions de surveillance tendues du concentrateur Cisco VPN srie 3000,
les administrateurs rseau connaissent ltat du systme en temps rel et reoivent des
avertissements sans dlai.
11
VPN Cisco accs distant
Gestion scurise : la gestion du concentrateur Cisco VPN srie 3000 peut tre assure
via un navigateur Web standard (Hypertext Transfer Protocol [HTTP] ou Secure
HTTP [HTTPS]), via telnet, telnet scuris ou un port de console. La mise en place et
la maintenance des politiques de scurit sont simplifies grce une configuration
des niveaux daccs par utilisateur et par groupe.
Questions-rponses
Q. Quelles diffrences existe-t-il entre les cinq modles du concentrateur Cisco VPN
srie 3000 disponibles ?
12
VPN
Q. Le VPN Cisco Client srie 3000 fonctionne-t-il lorsque des dispositifs quips de
NAT/PAT (Network/Port Address Translation) sont installs ?
R. Oui. Une intervention de l'utilisateur est ncessaire pour faire fonctionner le
NAT/PAT de manire transparente avec le concentrateur VPN Cisco srie 3000. Un
administrateur peut centraliser le contrle lorsquun utilisateur doit employer IPsec ou
NAT/PAT Transparent IPsec. Si le NAT/PAT Transparent IPsec est activ pour un
utilisateur spcifique, une ngociation est automatiquement enclenche et la
transmission des donnes via le NAT/PAT peut aboutir.
13
VPN Cisco accs distant
Types de rseaux
Tous les types. La gamme des concentrateurs VPN Cisco srie 3000 prend en charge
toutes les tailles dentreprises et de rseaux.
Mise en uvre
Le concentrateur VPN Cisco srie 3000 et le firewall sont gnralement placs derrire
le routeur daccs Internet. Le concentrateur peut tre plac paralllement, en amont
ou en aval du firewall. Loption la plus simple dans un rseau existant est de brancher
le concentrateur en parallle du firewall ; aucune modification de configuration du
firewall nest alors requise et le concentrateur accde directement aux services internes
du rseau (Dynamic Host Configuration Protocol [DHCP] ou RADIUS, par exemple).
Vous pouvez renforcer la scurit en verrouillant toutes les interfaces des priphriques
rseau dclars dans le chemin du VPN. Lorsque le concentrateur est install en amont
du firewall, ce dernier filtre le trafic entrant, mais laccs aux services du rseau est plus
compliqu. Si le concentrateur est protg (derrire) le firewall, il convient dinstaller un
conduit travers le firewall pour permettre au concentrateur daccder au trafic du
VPN. Il est possible dimplmenter des variantes avec les interfaces DMZ places en
aval du firewall, mais les configurations dcrites ci-dessus sont les plus rpandues.
14
VPN
Pour de plus amples informations sur les concentrateurs VPN et Client Cisco :
www.cisco.com/go/evpn
15
Easy VPN
Easy VPN
Lors du dploiement de VPN pour les tltravailleurs, les itinrants et les petites
agences, la facilit de mise en uvre est indispensable car les ressources techniques sont
rarement disponibles sur les sites distants. Le dploiement de VPN accs distants et
site--site na jamais t aussi simple pour les petites, moyennes et grandes entreprises
grce au produits Cisco. Les fonctionnalits Cisco Easy VPN Remote et Cisco Easy
VPN Server offrent flexibilit, volutivit, et simplicit dutilisation aux VPNs accs
distants et site--site.
Produits
La fonctionnalit Cisco Easy VPN Remote permet aux routeurs ayant pour version
dIOS la version 12.2(4)YA (ou une version plus rcente) et les firewalls Cisco PIX
dagir comme des clients VPN distants. Cette fonctionnalit est disponible sur les
routeurs Cisco 800, uBR900, et Cisco 1700, et sur le PIX 501.
La fonctionnalit Cisco Easy VPN Server, disponible dans la version dIOS 12.2(8)T
(ou plus rcente), augmente la compatibilit des produits VPNs et permet aux
concentrateurs VPN Cisco, aux firewalls PIX Cisco et aux routeurs Cisco dagir comme
des quipements de terminaisons VPN dans les architectures de VPN site--site et
accs distant. Cette fonctionnalit est disponible sur les routeurs uBR900, Cisco 1700,
Cisco 2600XM, Cisco 3600, Cisco 7100 et Cisco 7200, ainsi que sur les concentrateurs
VPN 3000 et sur les firewalls PIX.
Principaux avantages
Dploiement simplifi : Le but de Cisco Easy VPN est de simplifier le dploiement des
VPNs site--site et accs distant en faisant agir les quipements VPN des sites
distants comme des clients VPN. Cela consiste en une configuration et une
administration depuis le site central et en majeure partie sur lquipement de
terminaison VPN du site central.
Utilisation facilit : Les quipements VPN des sites distants agissent comme des clients
VPN. Il suffit donc de leur indiquer vers quel quipement de terminaison VPN ils
doivent aller (adresse IP), le nom de groupe auquel ils appartiennent et le mot de passe
correspondant. Cela est aussi simple que de se connecter un rseau en fournissant
un nom dutilisateur et un mot de passe.
16
VPN
Questions-rponses
Q. Quest-ce que Cisco Easy VPN Remote ?
R. Pour les connexions distantes, Cisco Easy VPN Remote permet aux routeurs et aux
quipements de scurit dtablir et de maintenir un tunnel VPN sur un quipement de
terminaison Cisco Easy VPN Server sans avoir faire de configuration complexe sur le
site distant.
Q. Quels feature sets du logiciel Cisco IOS incluent la fonctionnalit Cisco Easy VPN
Remote ?
R. Tous les feature sets avec une image IP Security (IPSec), c'est--dire DES et 3DES,
incluent la fonctionnalit Cisco Easy VPN Remote.
17
Easy VPN
Types de rseaux
Tous les types. Les fonctionnalits Cisco Easy VPN sappuient sur les gammes de
routeur, de firewall et concentrateur VPN qui sadaptent tous les types de rseau.
Mise en uvre
Les communications Cisco Easy VPN Remote sont ralises avec les extensions IKE
(Internet Key Exchange), connues sous le nom de Mode-Config. Les attributs Mode-
Config sont dlivrs par lquipement de terminaison VPN central. En poussant les
paramtres aux clients, les changements dadresses (adresses temporaires sur connexion
ADSL par exemple) peuvent tre grs facilement car chaque site distant peut obtenir
les mises jour lors de linitiation du tunnel VPN. Les paramtres pousss sont ladresse
IP interne, le subnet mask interne, ladresse du serveur DHCP, ladresse du serveur
WINS et les informations du split tunneling.
18
FIREWALLS
Section 2
FIREWALLS
Section 2
FIREWALLS
Firewalls
Firewalls
Un firewall est une solution mise en place dans une architecture rseau afin de renforcer
la politique de scurit de lentreprise et de restreindre laccs aux ressources du rseau.
Le schma ci-dessous illustrant un systme de scurit physique compare le firewall un
verrou bloquant laccs un primtre ou lentre dun btiment. Seuls certains
utilisateurs (dtenant une cl ou un badge) sont autoriss entrer.
21
Cisco PIX Firewall
22
Firewalls
Questions-rponses
Q. Quel est limpact du Cisco PIX Firewall sur les performances du rseau ?
R. Aucun rseau ntant identique un autre, il est difficile de quantifier limpact du
firewall dune manire globale et prcise. Toutefois, les performances du rseau sont peu
voire pas affectes. Le PIX ne ralentit pas le trafic et traite les paquets de donnes le plus
rapidement possible. En conclusion, il affecte moins les performances du rseau que les
autres dispositifs de firewall.
Types de rseaux
La gamme PIX tant disponible dans de nombreux formats, ce produit peut sadapter
tous les types de rseaux.
Mise en uvre
Le PIX est mis en place au niveau des passerelles du rseau. Il est gnralement install
sur le primtre du rseau, entre le rseau et lintranet dune autre entreprise ou le rseau
public Internet.
23
Cisco IOS Firewall
Flexibilit : Cisco IOS Firewall peut tre dploy sur divers types de routeurs et
commutateurs Cisco, ses fonctions de scurit avances pouvant tre places en
diffrents points du rseau.
Utilisation de linfrastructure existante : Cisco IOS Firewall est conu pour les
quipements de mise en rseau Cisco et vous permet de convertir la plupart des
routeurs ou commutateurs Cisco en une plate-forme de scurit.
IDS intgr : les solutions Cisco IOS et PIX Firewall comprennent un systme de
dtection dintrusion (IDS) garantissant une scurit renforce de linfrastructure du
rseau.
24
Firewalls
Questions-rponses
Q. Quel est limpact de Cisco IOS Firewall sur les performances du rseau ?
R. Dans la plupart des cas, Cisco IOS Firewall a un faible impact sur le routeur. Pour
minimiser encore cet impact, il est conseill dajouter un processeur ou des modules de
mmoire au routeur.
Q. Cisco IOS Firewall propose-t-il autant de fonctions de scurit que les versions
matrielles ddies ?
R. Les dispositifs ddis proposent sans doute des fonctions de scurit plus compltes
dans leur domaine dapplication spcifique ; par contre, les solutions intgres, telles
que Cisco IOS Firewall, ont davantage de fonctions rseau. Un rseau quip dune
passerelle VPN ddie, dun firewall ddi et dun systme IDS ddi, coupl un
routeur, offrent plus de fonctions et de meilleures performances un prix bien suprieur
celui dun routeur quip de Cisco IOS Firewall.
Cisco IOS Firewall est une solution intgre dote de toutes les fonctionnalits dun
routeur Cisco, ainsi quune fonction supplmentaire de scurit dans plusieurs
domaines (cryptage, application dun firewall et systme IDS).
Types de rseaux
Ce produit convient tous les types de rseaux car il est propos sur une gamme
tendue de routeurs, des plate-formes Cisco srie 800 aux Cisco srie 7500, ainsi que
sur certains commutateurs.
25
Cisco IOS Firewall
Mise en uvre
Cisco IOS Firewall sadapte sur quasiment tout routeur ou commutateur Cisco. Il est
principalement utilis dans les succursales des entreprises, les passerelles des PME, les
rseaux internes, lors des dploiements des services et dans les architectures extranet
pour lesquels prix et performances sont une priorit mais pour lesquels la globalit des
fonctions nest pas une ncessit.
26
DINTRUSION
DETECTION
Section 3
DETECTION
D'INTRUSION
Section 3
DETECTION
D'INTRUSION
Dtection dintrusion
Dtection d'intrusion
La plupart des entreprises continue mettre en place des firewalls comme moyen de
protection principal afin d'empcher les utilisateurs non autoriss d'accder leurs
rseaux. Toutefois, la scurit rseau s'apparente beaucoup la scurit "physique",
dans la mesure o une seule technologie ne peut rpondre tous les besoins, mais
qu'une dfense plusieurs niveaux donne les meilleurs rsultats. Les entreprises se
tournent de plus de plus vers des technologies de scurit supplmentaires, pour se
protger des risques et vulnrabilits auxquels les firewalls ne peuvent faire face. Les
solutions IDS (Intrusion Detection System) pour rseaux garantissent une surveillance
du rseau permanente. Ces systmes analysent le flux de paquets de donnes du rseau,
la recherche de toute activit non autorise, telle que les attaques menes par les
pirates informatiques (hackers), permettant de ce fait d'y remdier rapidement.
Lorsqu'une activit non autorise est dtecte, un systme IDS peut envoyer une
console de gestion des alertes accompagnes d'informations dtailles concernant
l'activit suspecte. Un IDS peut galement ordonner d'autres quipements, tels que des
routeurs, d'arrter les sessions non autorises. Dans l'exemple de scurit physique
illustr ci-dessous, les solutions IDS sont l'quivalent des camras vido et des dtecteurs
de mouvement. Ces systmes dtectent les activits non autorises ou suspectes et sont
associs des systmes de rponse automatique, tels que les sentinelles, pour mettre un
terme l'activit incrimine.
29
Systme de dtection dintrusion scuris Cisco
Cisco est le fabricant d'IDS leader du march selon le cabinet d'analystes Frost &
Sullivan.
30
Dtection dintrusion
Technologie intgre : Cisco est idalement plac pour intgrer sa technologie IDS,
leader du march, aux quipements rseaux, tels que les routeurs et les commutateurs.
Evolutivit importante : Cisco Secure IDS est conu pour pouvoir tre dploy dans
des environnements trs diffrents, des PME aux grandes entreprises.
Visibilit rseau : la technologie Cisco offre une trs grande "visibilit" permettant
d'observer le flux de donnes du rseau en temps rel et de dtecter toute activit non
autorise.
31
Systme de dtection dintrusion scuris Cisco
Questions-rponses
Q. A quoi sert IDS ?
R. IDS vient complter d'autres quipements de scurit, tels que les firewalls, en
dtectant et en empchant toute activit non autorise sur le rseau. Contrairement aux
firewalls permettant d'autoriser ou de refuser le trafic de donnes en fonction des
politiques dfinies, IDS inspecte le contenu du trafic "autoris". Ceci permet d'identifier
toute activit malveillante non dtecte par le firewall, dont les dbordements de pile
(buffer overflow), les interruptions de service et d'autres types d'attaques similaires. Les
solutions IDS permettent galement l'entreprise de faire face aux menaces internes
pouvant compromettre la scurit du rseau.
Q. Quelle diffrence existe-t-il entre la sonde Cisco Secure IDS et le composant IDS du
firewall Cisco IOS/PIX ?
R. Les sondes Cisco Secure IDS sont plus performantes et peuvent traiter environ quatre
fois plus de signatures que l'IDS des firewalls Cisco IOS ou PIX. Actuellement intgr
aux routeurs, le firewall Cisco IOS dispose de fonctionnalits de traitement et d'une
mmoire limites. Pour cette raison, son action se concentre sur les signatures les plus
courantes, dans un souci d'optimisation des performances. Les quipements Cisco
Secure IDS combins aux firewalls Cisco IOS / PIX et la carte de dtection d'intrusion
pour Catalyst 6000 IDS permettent de couvrir une vaste gamme d'attaques. Les
entreprises peuvent par exemple placer un quipement au niveau de leurs passerelles et
liens hauts dbits principaux et utiliser un firewall Cisco PIX ou IOS dans les bureaux
et services internes distants. Les alarmes mises par n'importe quelle solution IDS Cisco
peuvent tre envoyes au mme Director.
32
Dtection dintrusion
Il complte d'autres dispositifs de scurit (les firewalls et les VPN par exemple) afin
de garantir une architecture rseau scurise. Les firewalls travaillent principalement
sur la couche rseau et transport de la pile OSI (Open System Interconnection).
L'acceptation ou le rejet du trafic se base sur les informations relatives l'adresse ou
au port (application) utilis par le trafic concern. La charge utile est rarement
inspecte par les firewalls, tandis que le Cisco Secure IDS inspecte le contenu du trafic
la recherche de signatures de dbordements de pile (buffer overflow), d'interruptions
de service et d'autres types d'attaques. Le Cisco Secure IDS combin des firewalls
reprsente une solution solide, complmentaire et intgre.
33
Systme de dtection dintrusion scuris Cisco
Types de rseau
Les systmes de dtection d'intrusion reprsentent des composants de scurit
indispensables pour tous les environnements rseau sur lesquels transitent des
informations sensibles ou vitales. Pour les entreprises, il est conseill d'installer le Cisco
Secure IDS pour la protection des quipements et des donnes informatiques. Ce
produit est galement appropri pour les fournisseurs d'accs proposant des services
valeur ajoute de gestion de la scurit. L'IDS intgr aux firewalls Cisco IOS et PIX est
adapt aux petites entreprises ou aux succursales utilisant un quipement non rentable
ou comme logiciel de test pour dterminer les zones du rseau o l'activit est
importante, et o l'installation d'un quipement est justifie.
Mise en uvre
Sur les passerelles rseau se trouvant devant le firewall afin d'effectuer une analyse des
attaques menes contre le rseau.
Derrire le firewall pour examiner le trafic accept par le firewall et le trafic sortant
du rseau de l'entreprise.
Sur les intersections rseau internes vitales, permettant ainsi aux sondes d'analyser une
grande quantit de trafic rseau interne.
Sur les connexions WAN/extranet pour examiner les activits de/vers les connexions
des partenaires commerciaux.
En amont des systmes sensibles et vitaux, tels que les serveurs contenant des donnes
financires ou de recherche/dveloppement (le risque que ces systmes soient hacks
est rduit si des dispositifs de scurit sont situs proximit).
34
CONTROLE DACCES
Section 4
CONTROLE D'ACCES
Section 4
CONTROLE D'ACCES
Contrle daccs
Contrle d'accs
Les serveurs de contrle d'accs dterminent les personnes autorises accder un
rseau et les services qu'elles peuvent utiliser. Ils ont en mmoire un profil comprenant
les informations d'authentification et d'autorisation relatives chaque utilisateur. Les
informations d'authentification valident l'identit des utilisateurs et les informations
d'autorisation dterminent les lments accessibles. Par analogie un systme de
scurit physique, les serveurs de contrle d'accs sont quivalents aux badges d'accs,
aux cls et aux gardiens responsables de la scurit.
37
Serveur de contrle daccs Cisco Secure ACS
Cisco Secure ACS s'appuie sur une architecture volutive, ce qui lui permet de rpondre
aux besoins des environnements distribus tout en prenant en charge des milliers de
ports utilisant simultanment les protocoles TACACS+ et RADIUS. La centralisation
des services AAA complte le dveloppement de n'importe quelle infrastructure d'accs.
Evolutivit : Cisco Secure ACS est conu de manire prendre en charge de trs
grands rseaux intgrant des serveurs redondants et la sauvegarde des bases de
donnes utilisateurs.
Gestion : la prise en charge des bases de donnes Windows 2000 utilise et consolide
la gestion des noms utilisateurs et mots de passe de Windows 2000 et la prise en
charge de l'application Performance Monitor de Windows 2000 afin de disposer de
statistiques en temps rel.
Flexibilit du produit : le logiciel Cisco IOS prenant en charge des services AAA, Cisco
Secure ACS peut tre utilis sur quasiment tous les serveurs d'accs rseau NAS
(Network Access Server) vendus par Cisco (la version IOS doit prendre en charge le
protocole RADIUS ou TACACS+).
Flexibilit des protocoles : Cisco Secure ACS est compatible avec les deux protocoles
TACACS+ et RADIUS, garantissant ainsi une flexibilit optimale. Un VPN d'accs
distance peut tre pris en charge en amont et en aval des tunnels IPsec et PPTP.
Authentification : Cisco Secure ACS peut tre intgr la plupart des systmes
d'authentification connus, tels que les solutions mot de passe unique de RSA
Security SecurID et CRYPTOCard.
38
Contrle daccs
Questions-rponses
Q. Pourquoi aurais-je besoin d'un Cisco Secure ACS ?
R. Cisco Secure ACS offre une structure de gestion des services AAA commune
l'utilisateur et aux entits charges de protger et de surveiller les accs utilisateurs et
entits sur le rseau.
Types de rseaux
Principalement aux rseaux d'entreprise ayant besoin de contrler les accs
utilisateurs et de vrifier les utilisateurs et les administrateurs du rseau.
Cisco Secure ACS prend en charge diffrentes infrastructures Cisco (Cisco 1700,
2600, 3600, 7200 et 7500 par exemple), ainsi que PIX Firewall. Cisco Secure ACS
permet d'authentifier les utilisateurs en vrifiant s'ils figurent sur les bases de donnes
utilisateurs de Windows 2000, de Cisco Secure ACS, d'ODBC (Open Database
Connectivity), de NDS (Novell Domain Server) ou sur une base de donnes de serveur
de carte jeton.
39
Serveur de contrle daccs Cisco Secure ACS
Mise en uvre
Aux points d'accs au rseau destins aux utilisateurs distants ou en accs interne
commut.
Sur les connexions WAN/extranet pour surveiller les activits sur le rseau et contrler
l'authentification et l'autorisation des connexions des partenaires commerciaux.
En amont des systmes sensibles et vitaux dont la configuration ncessite les contrles
d'autorisation TACACS+ (le protocole TACACS+ permet de contrler, au niveau des
commandes, l'autorisation d'apporter des modifications la configuration des
routeurs et de PIX Firewall).
40
GESTION DE LA POLITIQUE
DE SECURITE
Section 5
ADMINISTRATION
DE LA SOLUTION
DE SECURITE
Section 5
ADMINISTRATION
DE LA SOLUTION
DE SECURITE
Administration de la solution de scurit
Administrer la scurit
Un systme de gestion de la scurit permet de dployer simplement et uniformment
sur un rseau une politique de scurit ou des rgles isoles. Ces politiques peuvent
prendre en charge divers services de rseau, tels que la scurit, la qualit de service et
la voix. Les services de scurit, plus particulirement, peuvent inclure divers produits
et technologies : les firewalls, les passerelles VPN, des sondes de dtection d'intrusion,
par exemple, ainsi que des dispositifs d'authentification et de cryptage. Le dispositif de
scurit d'un rseau est comparable un systme de scurit physique, o le
gestionnaire de la scurit s'apparente un poste centralis de contrle de la scurit
depuis laquelle le personnel qualifi peut activer et surveiller les alarmes et les
ouvertures du btiment ou du campus.
43
Administration de la solution de scurit
Ladministrateur scurit dispose, pour chaque domaine, dun outil spcialis qui lui
permet la plus grande efficacit avec un minimum defforts.
44
Administration de la solution de scurit
45
Administration de la solution de scurit
Questions-rponses
Q. De quoi est compose CiscoWorks VMS 2.1 ?
R. CiscoWorks VMS inclut les modules suivants :
- Management and Monitoring Centers.
- CiscoWorks Management Center for Cisco PIX Firewalls (nouveau).
- CiscoWorks Management Center for IDS Sensors (nouveau).
- CiscoWorks Management Center for VPN Routers (nouveau).
- CiscoWorks Monitoring Center for Security (nouveau).
- CiscoWorks Auto Update Server (nouveau).
- CiscoWorks Common Services (nouveau).
- Cisco Secure Policy Manager (CSPM).
- CiscoWorks VPN Monitor.
- CiscoWorks Resource Manager Essentials (RME).
- CiscoView (CD-One).
Q. Quelles sont les nouvelles fonctionnalits de VMS 2.1 compares celles de VMS 2.0 ?
R. CiscoWorks VMS 2.1 est une release importante, et inclut six nouveaux
Management/Monitoring Centers. De nouvelles fonctionnalits ont galement t
ajoutes aux modules existants comme CSPM, Cisco IDS Host Sensor/Console, VPN
Monitor, CiscoView/CD-One, et RME.
La nouvelle architecture de VMS fournit aux utilisateurs une interface, un workflow,
des dfinitions de rles (pouvant tre grs par ACS) communs. Une fonctionnalit
fondamentale est galement lAuto Update Server, qui permet de nombreux PIX
dtre grs et mis jour facilement et rapidement, ceci mme sils sont en adressage
dynamique (ex : plusieurs 501&506 derrire des liens ADSL) : Ce sont les PIX remote
qui vont rgulirement appeler lUpdate Server afin de vrifier si leur politique de
scurit, leur OS, doit tre updat. Si cest le cas, ils se mettront jour automatiquement.
La notion de hirarchisation des rgles permet aux administrateurs de dfinir des
groupes dquipement et dimplmenter des politiques de scurit avec une notion
dhritage, autorisant les politiques de scurit tre rpliques rapidement sur tous les
quipements dun groupe, par exemple.
Un workflow complet permet de contrler les changements et de les auditer, et sera
particulirement utile pour les clients ayant par exemple des groupes dadministrateurs
diffrents pour la scurit et le rseau. Role Based Access Control (RBAC) permet de
grer intelligemment les privilges des utilisateurs de VMS de telle sorte que diffrents
groupes peuvent avoir diffrents niveaux daccs certains quipements et/ou applications.
Il est important de noter les limitations suivantes des Management Centers en premire
version :
- PIX MC ne supporte pas la configuration des VPN
- Router MC ne supporte pas la configuration de lIOS Firewall
Management and Monitoring Centers
46
Administration de la solution de scurit
Q. Si un client doit grer un parc de firewall PIX, que doit-il utiliser : PIX Management
Center, ou Cisco Secure Policy Manager ?
R. Nous encourageons les nouveaux clients de Cisco PIX Firewall utiliser le Management
Center for Cisco PIX Firewalls pour grer leur parc de PIX.
Types de rseau
L'utilisation de VMS peut s'avrer un atout prcieux pour les entreprises, moyennes ou
grandes, qui dploient les produits de scurit rseau Cisco, de mme que pour les
utilisateurs de firewalls Cisco Secure PIX, de sondes Cisco Secure IDS ou de routeurs
utilisant le firewall Cisco IOS.
Mise en uvre
VMS doit tre plac un point stratgique du rseau interne disposant d'un accs vers
toutes les units de scurit devant tre supervises. Ce produit doit disposer d'une
connexion IP avec toutes les units supervises.
47
Administration de la solution de scurit
48
PROGRAMME SECURITY
ASSOCIATES
Section 6
PROGRAMME
SECURITY ASSOCIATES
Section 6
PROGRAMME
SECURITY ASSOCIATES
Programme Security Associates
Cisco associe ses produits de scurit de grande qualit aux solutions logicielles
proposes par les grands noms du march. Ces produits associs ont fait l'objet de tests
par Cisco et ont t reconnus non seulement compatibles avec les produits Cisco Secure,
mais galement aptes produire une valeur ajoute spcifique aux rseaux Cisco. La
combinaison des produits Cisco Secure et des produits de Security Associates vous
permet de mettre en uvre les stratgies de scurit de dfense en profondeur les plus
compltes possibles, grce auxquelles vous assurez votre activit et vos informations
une protection optimale.
Explorons la manire dont les solutions de scurit globale proposes par Cisco et les
produits Security Associates vous permettent de scuriser entirement et efficacement un
rseau professionnel.
Authentification.
Filtre sur le contenu/Recherche de virus.
Outils de gestion/de rapport.
Infrastructure de cl publique.
Gestion distance.
Solution VPN.
Application de scurit.
Authentification
Le systme CRYPTOCard CRYPTOAdmin complte l'ACS CiscoSecure pour assurer
des services d'identification volus intgrant, par exemple, des mots de passe usage
unique afin d'amliorer la scurit au niveau de l'authentification.
Les systmes RSA Security ACE/Server et RSA Security ACE/SecurID scurisent l'accs
aux produits Cisco en relation avec l'ACS CiscoSecure, assurant ainsi des services
centraliss d'authentification deux cls.
Secure Computing SafeWord est associ avec l'ACS CiscoSecure pour scuriser les
transactions d'e-business l'aide de services d'authentification, d'autorisation et de
vrification.
51
Programme Cisco Security Associates
Websense pour firewalls Cisco Secure PIX associ aux firewalls PIX permet un filtrage
d'URL intgr et hautes performances du trafic Internet des employs.
52
Programme Security Associates
Aladdin, travers sa gamme eToken, propose des quipements compacts USB qui
stockent les informations d'authentification des utilisateurs de VPN, leur permettant de
les emmener partout avec eux de manire scurise.
Solutions VPN
MovianVPN v1.1 a t conu pour rpondre aux exigences de scurit des accs
wireless et mobile aux VPN. Le client Certicom fonctionne avec une large gamme de
gateways VPN, permettant ainsi aux entreprises dintgrer facilement et de manire
scurise, des solutions wireless et mobile aux intranets.
Application de scurit
Le logiciel Tripewire for Servers s'assure de l'intgrit et de la scurit des donnes en
indiquant aux utilisateurs, si, quand et comment le fichiers ont t modifis d'un tat
reconnu bon un tat inconnu.
53
Programme Cisco Security Associates
Pour de plus amples informations sur les produits Cisco Security Associates :
www.cisco.com/go/securityassociate
Remarque : consultez le site Internet Security Associates pour connatre les versions
certifies par le programme Security Associates.
54
REPRESENTATION GRAPHIQUE
DES SOLUTIONS
Section 7
REPRESENTATION
GRAPHIQUE DES
SOLUTIONS
Section 7
REPRESENTATION
GRAPHIQUE DES
SOLUTIONS
Reprsentation graphique des solutions
Les reprsentations graphiques des solutions Cisco exposes dans cette section vous
donnent les bases permettant de dvelopper les produits et technologies Cisco en
fonction du type d'entreprise. Ces produits et technologies vous permettent de raliser
des transactions d'e-business en toute scurit, grce une stratgie de dfense en
profondeur.
Grandes entreprises,
Petites entreprises,
Fournisseurs de services.
57
Solutions pour les grandes entreprises
Le point d'entre de notre exemple utilise les sondes IDS de Cisco pour visualiser le flux
de donnes et les routeurs VPN pour permettre la communication avec les bureaux des
diffrents services et avec les partenaires commerciaux via Internet et IPsec. Les points
de terminaison VPN et IPsec ne remettent pas en cause le respect des rgles d'activit
car le firewall PIX est volutif et dot de la fonction de basculement. Grce la
combinaison du firewall Cisco IOS et des technologies IDS, les bureaux des diffrents
services bnficient d'une protection de dfense en profondeur. L'IDS est galement
positionn autour des dispositifs firewall pour renforcer et tester les rgles de scurit
de l'entreprise. Les concentrateurs VPN 3000 de Cisco sont utiliss pour accder
distance aux services VPN.
58
Reprsentation graphique des solutions
59
Solutions pour les petites entreprises
Les routeurs VPN Cisco 1700, solutions idales pour les PME, prennent en charge la
voix et IPsec, entre autres technologies de scurit. Le firewall PIX 506E ou 515E assure
une puissance de traitement amplement suffisante aux petites entreprises. Grce
l'intgration d'un IDS la sortie, la visibilit du flux de donnes indique aux
responsables du rseau les ventuelles violations du systme de scurit. L'analyse de la
vulnrabilit permet d'valuer la scurit du rseau de manire proactive et continue.
60
Reprsentation graphique des solutions
61
Solutions pour les fournisseurs de services
Le fait de dvelopper Cisco IOS et de connecter des routeurs VPN partir de leurs POP
permet aux htes de transporter des donnes sur d'autres rseaux et de proposer leurs
clients des firewalls et des systmes de dtection d'intrusion pour protger les services
offerts leurs clients.
62
GLOSSAIRE
Section 8
GLOSSAIRE
Section 8
GLOSSAIRE
Glossaire
A
AAA (Authentication, authorization, and accounting) :
Elments de scurit gnralement utiliss pour offrir un accs scuris aux ressources :
Authentication (Authentification) : validation de l'identit d'un utilisateur ou d'un
systme (hte, serveur, commutateur ou routeur).
Authorization (Autorisation) : moyen permettant d'accorder l'accs un rseau un
utilisateur, un groupe d'utilisateurs, un systme ou un programme.
Accounting (Gestion) : processus permettant d'identifier l'auteur ou la cause d'une
action spcifique, tel que le pistage des connexions d'un utilisateur et la journalisation
des utilisateurs du systme.
Analyse de risque :
Processus comprenant l'identification des risques en matire de scurit, leur impact et
l'identification des zones ncessitant une protection.
65
Terminologie VPN et scurit
C
CBAC (Context-Based Access Control) :
Fonction intgre au logiciel IOS de Cisco offrant le filtrage avanc de session de
paquets pour tout le trafic routable. En configurant des ACL, il est possible d'autoriser
ou de refuser le traitement ou le transfert du trafic.
Certificat :
Message sign numriquement au moyen d'une cl prive d'une tierce partie de
confiance (voir autorit de certification) et indiquant qu'une cl publique spcifique
appartient une personne ou un systme possdant un nom et un ensemble d'attributs
prcis.
Cl cryptographique :
Code numrique servant au cryptage, au dcryptage et la signature d'informations.
Cl prive :
Code numrique utilis pour dcrypter les donnes et vrifier les signatures numriques.
Cette cl doit demeurer secrte et ne doit tre connue que de son propritaire.
Cl publique :
Code numrique utilis pour dcrypter les donnes et vrifier les signatures numriques.
Cette cl peut tre diffuse librement.
Compromission :
Dans le domaine de la scurit informatique, ce terme signifie l'attaque d'un rseau par
la violation de la politique de scurit.
Concentrateur VPN :
Plate-forme matrielle permettant la mise en place de connexions rseaux prives bout-
en-bout via une infrastructure rseau publique et offrant un accs distant ou une
connectivit site site.
66
Glossaire
Concentrateur VPN :
Plate-forme matrielle permettant la mise en place de connexions rseaux prives bout-
en-bout via une infrastructure rseau publique et offrant un accs distant ou une
connectivit site site.
Contrle d'accs :
Limitation du flux de donnes des ressources d'un systme uniquement vers les
personnes, programmes, processus autoriss ou vers d'autres systmes du rseau. Les
ensembles de rgles de contrle d'accs des routeurs Cisco sont appeles listes de
contrle d'accs ou ACL.
Contrle de la scurit :
Procdure de scurisation du rseau au moyen de tests rguliers et de SPA (Security
Posture Assessments).
Cryptage :
Codage des donnes empchant leur lecture par une autre personne que le destinataire
prvu. De plus, les donnes sont uniquement lisibles aprs avoir t correctement
dcryptes.
Cryptographie :
Science de l'criture et de la lecture de messages cods.
67
Terminologie VPN et scurit
D
DES (Data Encryption Standard) :
Systme de cryptage cl secrte normalis par le National Institute of Standards and
Technology (voir NIST et Triple DES).
Diffie Hellman :
Systme cl publique permettant deux utilisateurs ou quipements rseau d'changer
des cls publiques via un support non scuris.
EH
En-tte d'authentification :
En-tte IPsec permettant de vrifier que le contenu d'un paquet n'a pas t modifi
pendant le transport.
Filtrage :
Recherche dans le trafic rseau de certaines caractristiques, telles que l'adresse source,
l'adresse de destination ou le protocole, afin de dterminer, selon les critres dfinis, si
le trafic de donnes concern est accept ou bloqu.
Filtrage de paquets :
Mcanisme de contrle paquet par paquet du trafic routable.
Hack :
Mthode utilise pour obtenir l'accs illgal et non autoris un rseau, en vue de
drober des documents ou des donnes confidentielles ou par simple dmonstration
technique.
68
Glossaire
IJ
Identit :
Identification prcise des utilisateurs, htes, applications, services et ressources du
rseau. Les nouvelles technologies, telles que les certificats numriques, les cartes
puces, les services rpertoire jouent un rle de plus en plus important dans les solutions
d'identification.
Intgrit :
Moyen permettant de garantir que les donnes n'ont pas t modifies, si ce n'est par
les personnes explicitement autorises le faire. Le terme "intgrit du rseau" signifie
qu'aucun service ou aucune activit contraire la politique de scurit n'est permise.
IP (Internet Protocol) :
Protocole bas sur l'utilisation de paquets permettant l'change de donnes via des
rseaux informatiques.
IPsec :
Ensemble de normes de scurit offrant des services de confidentialit et de
d'authentification au niveau de la couche IP (Internet Protocol).
69
Terminologie VPN et scurit
KN
Kerberos :
Protocole d'authentification rseau cl secrte dvelopp par le MIT (Massachusetts
Institute of Technology), bas sur l'utilisation de l'algorithme de cryptage DES pour le
cryptage et une base de donnes de cls centralise pour l'authentification.
Non-rpudiation :
Caractristique d'un systme cryptographique permettant d'empcher qu'un expditeur
puisse nier ultrieurement avoir envoy un message ou effectu une action spcifique.
70
Glossaire
P
PAP (Password Authentication Protocol) :
Protocole d'authentification permettant des postes PPP de s'authentifier les uns auprs
des autres. Le routeur distant qui effectue une tentative de connexion sur le routeur
local doit envoyer une requte d'authentification. Contrairement CHAP, PAP ne
crypte pas le mot de passe et le nom d'hte ou d'utilisateur. PAP dtermine si un mot de
passe est valide ou non.
Firewall :
Systme matriel ou logiciel utilis pour contrler le trafic de donnes entre deux
rseaux.
Primtre de scurit :
Primtre dans lequel des contrles de scurit sont effectus afin de protger les
quipements rseau.
Ping :
Commande permettant de dterminer la prsence et l'tat de fonctionnement d'un autre
systme.
Politique de scurit :
Ensemble de directives de haut niveau permettant de contrler le dploiement des
services rseau. La maintenance et l'audit du rseau font galement partie de la politique
de scurit.
71
Terminologie VPN et scurit
Proxy :
Equipement (mandataire) effectuant une tche la place d'un autre quipement. Dans
le domaine des firewalls, le proxy est un processus effectuant un certain nombre de
contrles sur le trafic entrant. Ce mcanisme peut nuire aux performances du firewall.
R
RADIUS (Remote Access Dial-In User Service) :
Protocole dvelopp par Livingston Enterprises Inc., utilis comme protocole
d'authentification et de gestion de serveur d'accs.
Rinitialisation TCP :
Rponse possible une attaque de hacker d'une sonde Cisco Secure IDS ou d'un routeur
Cisco IOS Firewall. Une commande est mise par ces quipements afin d'arrter la
connexion par laquelle l'attaque est effectue, obligeant ainsi l'attaquant tablir une
nouvelle connexion.
Routeur VPN :
Routeur destin tre install dans les locaux du client. Ce type de routeur prend en
charge la fonctionnalit VPN et offre des performances VPN optimales sur diffrents
types de supports physiques et densits de ports.
S
Scanneur :
Application professionnelle permettant l'utilisateur d'identifier et de corriger les failles
dans la scurit du rseau avant qu'un hacker ne le dcouvre.
Shunning :
Reconfiguration dynamique par un routeur Cisco de ses ACL afin de stopper toute
attaque dtecte et de bloquer toute nouvelle transmission de donnes de/vers l'adresse
IP "attaquante", pour un laps de temps donn.
Signature d'attaque :
Systme d'identification d'activit malveillante sur le rseau. Les paquets de donnes
entrants sont examins en dtail la recherche de modles logarithmiques identiques.
Signature numrique :
Chane de bits ajoute un message lectronique (hachage crypt) permettant
l'authentification et l'intgrit des donnes.
Spoofing (usurpation) :
Tentative d'accs un systme rseau par usurpation (utilisateur, systme ou
programme autoriss).
TV
TACACS+ (Terminal Access Controller Access Control System Plus) :
Protocole AAA principalement utilis pour la gestion des connexions commutes.
Triple DES :
Algorithme DES combin une, deux ou trois cls pour le cryptage/dcryptage de
paquets de donnes.
Tunnel :
Connexion scurise et crypte entre deux points passant par un rseau public ou tiers.
73
Terminologie VPN et scurit
Vulnrabilit :
Faille au niveau des procdures de scurit, de la conception ou la mise en uvre du
rseau, pouvant tre exploite pour contourner la politique de scurit d'une entreprise.
74
Cisco Systems Europe
11, rue Camille Desmoulins
92782 Issy les Moulineaux Cedex 9 - France
Tl. : +33 (0)1 58 04 60 00
Fax : +33 (0)1 58 04 61 00
www.cisco.fr
Copyright 2000 Cisco Systems, Inc. Tous droits rservs. NetSonar et PIX sont des marques, et Catalyst, IOS, NetRanger, Cisco,
Cisco IOS, Cisco Systems, ainsi que le logo Cisco Systems sont des marques commerciales de Cisco Systems, Inc. ou de ses
reprsentants aux Etats-Unis et dans dautres pays. Toutes les autres marques commerciales mentionnes dans le prsent
document sont la proprit de leur propritaire respectif. Lutilisation du terme "partenaire" ne fait pas rfrence un partenariat
commercial entre Cisco et toute autre entreprise.
(0005R) N doc. : 954913 ETMG-LW 08/00