Vous êtes sur la page 1sur 80

Guide des solutions scurit et VPN Cisco Systems

Sommaire
Pourquoi Cisco ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1 Section 1 - VPN Rseaux privs virtuels (VPN) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .5 VPN site--site . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .5 VPN Cisco accs distant . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .10 Easy VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .16 Section 2 - FIREWALLS Firewalls . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .21 Cisco PIX Firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .21 Cisco IOS Firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .24 Section 3 - DETECTION DINTRUSION Dtection dintrusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .29 Systme de dtection dintrusion scuris Cisco . . . . . . . . . . . . . . . . . . . . . . . . . . .30 Section 4 - CONTROLE DACCES Contrle daccs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .37 Serveur de contrle daccs Cisco Secure ACS . . . . . . . . . . . . . . . . . . . . . . . . . . . .37 Section 5 - GESTION DE LA POLITIQUE DE SECURITE Administrer la scurit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .43 CiscoWorks VPN/Security Management Solution (VMS) . . . . . . . . . . . . . . . . . . . .43 Section 6 - PROGRAMME SECURITY ASSOCIATES Produits complmentaires Cisco Security Associates . . . . . . . . . . . . . . . . . . . . . . . .51 Section 7 - REPRESENTATION GRAPHIQUE DES SOLUTIONS Solutions pour les grandes entreprises . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .58 Solutions pour les entreprises de taille moyenne . . . . . . . . . . . . . . . . . . . . . . . . . . .59 Solutions pour les petites entreprises . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .60 Solutions pour les entreprises de la nouvelle conomie . . . . . . . . . . . . . . . . . . . . . .61 Solutions pour les fournisseurs de services . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .62 Section 8 - GLOSSAIRE Terminologie VPN et scurit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .65

Pourquoi Cisco ?
Pourquoi faire appel Cisco en matire de scurit et de rseaux privs virtuels ?
Depuis son origine, Cisco Systems a pour objectif de permettre ses clients de dvelopper leur activit en sappuyant sur des rseaux performants. Or un rseau non scuris noffre pas toutes les garanties ncessaires une entreprise pour le dveloppement de son activit, pire il peut mettre en pril lintgralit de lentreprise. Assurer la scurit des rseaux des entreprises, quelle que soit leur taille, est donc devenu un des objectifs majeurs de Cisco. Et qui mieux que le leader du march des solutions rseaux peut garantir la scurit, linteroprabilit et la cohrence des rseaux ? Fort de son expertise rseau, Cisco Systems a ainsi dvelopp la gamme de solutions de scurit et de rseaux privs virtuels (VPN) la plus complte du march. Reconnu comme le leader du march de la scurit, Cisco Systems propose aujourdhui ses clients et partenaires de bnficier des avantages suivants : Gamme de solutions : Cisco propose un large ventail de produits VPN et de scurit pour rpondre la diversit des problmatiques clients : firewalls, systmes de dtection dintrusion, concentrateurs VPN et routeurs et ce, quelle que soit leur taille et leur configuration. Leadership et expertise du secteur : selon le groupe dexperts IDC, les firewalls ddis de la gamme Cisco PIX, occupent aujourdhui la premire place du march mondial et, selon le cabinet Frost & Sullivan, il en est de mme pour le systme scuris de dtection dintrusion Cisco (IDS). De plus, les listes de contrle daccs Cisco (ACL) sont la technologie de scurit la plus largement utilise dans le monde, et le magazine Network Computing a lu le concentrateur Cisco VPN 3060 "Produit matriel de lanne". Assistance technique 7 j/7 et 24 h/24 : les produits de scurit et VPN Cisco bnficient du mme service dassistance technique performant que les autres quipements Cisco, comprenant un support 24 h/24. Les services dassistance et de maintenance Cisco incluent galement les outils, lexpertise et les ressources ncessaires linstallation, la maintenance et loptimisation rapides des produits de scurit et VPN Cisco de faon protger efficacement le rseau dentreprise.

Pourquoi Cisco ?
Interoprabilit garantie : Cisco vous garantit la compatibilit de tous ses produits VPN et de scurit. De plus, la compatibilit des produits tiers avec les produits Cisco est dsormais garantie par le test officiel et indpendant du programme Security Associates, et ne repose pas sur des slogans publicitaires ambigs. Formation et certification : au-del de son expertise technologique, Cisco Systems a dvelopp un programme complet de certification permettant ses partenaires de bnficier de son exprience et de devenir de vritables spcialistes de la scurit des rseaux Sensibilisation des Entreprises : La scurit des rseaux informatiques est un domaine qui touche lensemble de lentreprise, dirigeants comme employs. Quil sagisse de sensibiliser les directeurs informatiques sur la ncessit de dployer une vritable politique de scurit, ou les employs sur limportance de protger leurs outils de travail, Cisco Systems a dvelopp une gamme doutils de communication et de guides pour les informer sur lensemble des solutions mettre en uvre.

VPN

Section 1 VPN

Section 1 VPN

VPN
Rseaux privs virtuels (VPN)
Afin dassurer la scurit des connexions entre sites distants tout en utilisant le rseau public pour limiter les cots de communications, de plus en plus dentreprises dploient des rseaux privs virtuels. Les VPN ont deux applications principales : la connectivit site--site et la connectivit accs distant. Dans le schma ci-dessous illustrant un systme de scurit physique, les VPN sont compars des fourgons blinds, assurant la confidentialit et la scurit du transfert entre deux ou plusieurs entits dun rseau public. Cisco apporte une amlioration significative dans la gestion et le dploiement des VPN avec la fonctionnalit Cisco Easy VPN.

VPN site--site
Les VPN site--site sont un autre type dinfrastructure WAN (rseau tendu). Ils remplacent et amliorent les rseaux privs existants utilisant les lignes loues, les protocoles de relais de trame ou le mode ATM (mode de transfert asynchrone) pour connecter les sites distants et les succursales la ou aux maisons mres. Les VPN site-site ne modifient pas en profondeur les exigences des rseaux tendus privs, telles que la prise en charge des divers protocoles, une grande fiabilit ou une volutivit optimale. Au contraire, ils rpondent ces exigences tout en diminuant les cots inhrents ces infrastructures et en offrant une flexibilit accrue. Les VPN site--site peuvent utiliser les technologies de transport les plus rpandues aujourdhui, telles que le rseau public Internet ou les rseaux des fournisseurs daccs, via la tunnellisation et le cryptage afin dassurer la confidentialit des donnes et la qualit de service (QoS) pour la fiabilit du transport.
5

VPN site--site Cisco

Produits Les VPN site--site sont plus performants sils utilisent les routeurs optimiss VPN Cisco. Ces derniers garantissent lvolutivit du systme face aux progrs continus du cryptage matriel. De plus, les routeurs VPN de Cisco intgrent les fonctions de routage, de scurit et de qualit de service inhrentes au logiciel IOS Cisco garantissant un dploiement VPN site--site scuris, volutif et fiable. Cisco a cr une large gamme de routeurs VPN pour permettre de rpondre aux diffrents besoins des configurations dentreprises, quelles souhaitent connecter des sites de 10 personnes ou de plus de 200 personnes et ce, quelle que soit la technologie utilise (ADSL).

Principaux avantages et fonctionnalits des solutions VPN Cisco Prise en charge de la tunnellisation et du cryptage en utilisant les protocoles standard du march, tels que IPsec (Internet Protocol Security), 3DES (Digital Encryption Standard 3) et AES. Primtre de scurit absolue du rseau priv virtuel, avec fonction de filtrage de session et dtection dintrusion assure par le logiciel Cisco IOS. Qualit de service sensible lapplication et gestion de la bande passante garantissant la fiabilit du transfert VPN.

VPN
Segment Micro-entreprise Vitesse Mode daccs VPN DSL avec interface Ethernet DSL avec modem DSL Jusqu 144 Kbits/sec RNIS DSL avec interfaces Ethernet DSL avec modem DSL Jusqu T1/E Jusqu T1/E1 double n x T1/E1 Produit SOHO 91 SOHO 97 Cisco srie 800 Cisco 831 Cisco 1710 Cisco 837 Cisco 1700 - WIC ADSL Cisco srie 1700 Cisco srie 2600XM Cisco srie 3600 Cisco srie 3700 Cisco 7120 Cisco srie 7100 Cisco srie 7200

PME

Succursale Filiale

Maison mre

Jusqu OC-3

Routage intgral jusqu la couche 3, y compris les protocoles de routage externes, tels que BGP (Border Gateway Protocol) pour laccs Internet ou au rseau priv virtuel. Diffrents interfaages avec le rseau local (LAN) ou tendu (WAN) pour laccs Internet ou au rseau priv virtuel et la connectivit du rseau local. La solution VPN de Cisco offre les avantages suivants : Solution VPN globale avec intgration des priphriques : les solutions VPN site-site de Cisco regroupent dans un quipement unique toutes les fonctions essentielles aux dploiements VPN scuriss, volutifs et fiables. Ainsi, les architectures de rseaux sont simplifies et linvestissement total limit. La plupart des offres concurrentes disponibles sur le march sont dautant plus complexes quelles ncessitent lutilisation de plusieurs quipements pour mettre en uvre une solution VPN site--site globale. Evolutivit des performances : grce une gamme tendue de routeurs optimiss VPN, Cisco rpond tous les cas de figures en matire de dploiement VPN, quelle quen soit la taille, avec une ligne RNIS ou OC-3.

VPN site--site Cisco


Compatibilit des fonctions : les routeurs VPN de Cisco offrent une solution VPN site-site globale dans un quipement unique, et assurent une meilleure interoprabilit des fonctions VPN, telles que le firewall, la qualit de service, la tunnellisation et le cryptage. Auto-rtablissement du rseau : les routeurs VPN de Cisco utilisent les capacits de rsilience du rseau inhrentes au systme dexploitation inter-rseau (IOS) Cisco, telles que lindication du maintien du tunnel, le TED (Tunnel Endpoint Discovery) et la dcouverte dynamique du routage via les tunnels GRE (encapsulage gnrique du protocole de routage), pour assurer une redondance du VPN et une rcupration dynamique ingales. Optimisation de linvestissement matriel : les solutions VPN site--site de Cisco offrent une interface LAN/WAN et une grande souplesse dadaptation aux volutions matrielles, ainsi que de nombreuses options dentre-sortie (E/S). Cette modularit vous aide optimiser votre investissement matriel en vous permettant dadapter les routeurs VPN de Cisco aux nouvelles technologies de rseaux. Questions-rponses Q. Quelle est la diffrence entre les routeurs optimiss VPN et les autres routeurs Cisco ? R. Les routeurs VPN optimiss de Cisco proposent une acclration matrielle du cryptage en option et sont compatibles IPsec, offrant ainsi lvolutivit ncessaire aux applications VPN site--site. Q. Les routeurs optimiss VPN de Cisco peuvent-ils tre utiliss dans des VPN accs distant ? R. Oui, les routeurs optimiss VPN de Cisco peuvent assurer la connectivit des VPN accs distant telle quelle est dclare dans les environnements VPN hybrides accs distant/site--site. Toutefois, le concentrateur Cisco VPN srie 3000 est spcialement conu pour les VPN accs distant ; il est donc parfaitement adapt aux environnements dont lapplication principale repose sur la connectivit du VPN accs distant (reportez-vous au chapitre "VPN Cisco accs distant" ci-aprs). Q. Les routeurs optimiss VPN de Cisco peuvent-ils tre utiliss si un firewall est dj install sur le rseau ? R. Oui, les routeurs optimiss VPN de Cisco peuvent tre installs en amont, en aval ou au mme niveau que le firewall existant. Q. Quels sont les avantages des routeurs optimiss VPN de Cisco par rapport aux solutions VPN avec firewall ? R. Certains firewalls peuvent assurer la tunnellisation et le cryptage ; toutefois, ils ne sont pas quips des fonctions indispensables au dploiement VPN site--site, telles que la prise en charge multi-protocoles, la qualit de service ou les fonctions de routage.
8

VPN
Pourquoi mettre en uvre ce produit ? Les VPN site--site permettent de mettre niveau, moindre cot, les architectures multi-points utilisant le rseau commut limit en bande passante et gnralement obsoltes, employes par la plupart des chanes de magasins, les tablissements financiers et les rseaux dagences. La mise niveau vers un VPN vous permet de distribuer un accs Internet et des applications Web depuis leurs emplacements. Les VPN site--site tendent le WAN moindre cot et en toute scurit vers des entits non desservies, telles que des filiales internationales, des succursales et des partenaires commerciaux (extranet). Les solutions VPN site--site de Cisco, totalement intgres et composes dun quipement unique, peuvent tre dployes et configures en toute simplicit. Types de rseaux Tous les types. La gamme tendue des routeurs optimiss VPN de Cisco permet de rpondre tous les types de dploiement, quel que soit le mode daccs au rseau. Mise en uvre Ces routeurs peuvent tre installs la limite physique du rseau tendu (WAN) ou en aval, gnralement au niveau de la couche daccs Internet. Equipements associs/ncessaires la mise en uvre Pour suivre lvolution de la technologie du cryptage, certains routeurs Cisco (Cisco sries 1700, 2600, 3600, 7100 et 7200) sont quips de cartes supplmentaires dacclration du cryptage. Chacune de ces plate-formes offre des interfaces LAN et WAN modulaires adaptables aux exigences de chaque site. Aucun quipement supplmentaire nest ncessaire pour faire fonctionner le routeur.

Pour de plus amples informations sur les solutions VPN site--site de Cisco : www.cisco.com/go/evpn

VPN Cisco accs distant VPN Cisco accs distant


Aujourdhui, les VPN sont la solution incontournable pour assurer les connexions accs distant moindre cot. En effet, en permettant aux entreprises dutiliser Internet via des fournisseurs daccs pour favoriser lchange dinformations entre des PC distants et le sige de lentreprise par exemple, le dploiement dune solution VPN vite des connexions tlphoniques point point coteuses. Cest la solution idale pour offrir aux personnes en dplacement, aux travailleurs distants ou effectuant des heures supplmentaires de bnficier dune connectivit scurise et haut dbit via le cble et les lignes DSL. Concentrateur VPN Cisco srie 3000 Le concentrateur Cisco VPN srie 3000, solution VPN pour accs distant, intgre des fonctions avances haute disponibilit dans une architecture ddie unique. Il permet ainsi aux entreprises dimplmenter des infrastructures VPN performantes, volutives et fiables pour grer leurs applications critiques depuis un accs distant. Le concentrateur Cisco VPN srie 3000 comprend un client VPN simple dutilisation et conforme aux normes, ainsi que des plate-formes de terminaisons de tunnel volutive et un systme de gestion facilitant linstallation, la configuration et la surveillance de vos VPN accs distant. Indit sur le march, ce concentrateur est la seule plate-forme volutive offrant des composants extractibles et pouvant facilement tre mis niveau. Afin de prendre en charge tout type darchitecture, le concentrateur Cisco VPN srie 3000 est dclin dans diffrentes versions, dont le Cisco VPN srie 3060, lu "Produit matriel de lanne" par le magazine Network Computing.

10

VPN
Principaux avantages et fonctionnalits Dploiement et utilisation simplifis : le concentrateur Cisco VPN srie 3000 est conu de manire sintgrer linfrastructure du rseau sans quaucune modification ne soit ncessaire. Il sadapte galement au protocole RADIUS (Remote Access DialIn User Service) existant, aux serveurs de domaine NT et 2000 ou aux serveurs Security Dynamics ACE. Cette grande souplesse dauthentification propose une interface didentification visuelle semblable celle dont vous disposiez en utilisant directement le rseau commut. En outre, il nest plus ncessaire de crer une seconde base de donnes dauthentification. Si larchitecture nen prvoit pas, le concentrateur Cisco VPN srie 3000 dispose dun serveur dauthentification intgr, permettant didentifier les utilisateurs. Le concentrateur Cisco VPN srie 3000 est compatible avec Cisco VPN 3000 Client, Microsoft Windows 2000 L2TP/IPsec Client ou PPTP (protocole de tunnellisation point--point), vous garantissant ainsi une flexibilit optimale. Performances et volutivit : le concentrateur Cisco VPN srie 3000 fournit le niveau de performances le plus lev du march. La plate-forme prend actuellement en charge un dbit des donnes cryptes 3DES maximal de 100 Mbits/sec, et jusqu 10 000 tunnels simultans. Pour augmenter le dbit des donnes cryptes, vous pouvez ajouter au concentrateur Cisco VPN srie 3000 des modules SEP ( traitement volutif du cryptage) bass sur un ASIC ddi. Scurit : le concentrateur Cisco VPN srie 3000 prend totalement en charge un certain nombre de systmes dauthentification, tels que RADIUS, lidentification de domaine Microsoft NT/2000, RSA SecurID et les certificats numriques. De plus, le concentrateur Cisco VPN srie 3000 peut tre gr en toute scurit laide de SSL (Secure Sockets Layer) ou via telnet scuris. Haute disponibilit : le concentrateur Cisco VPN srie 3000 est une plate-forme stable avec un temps moyen entre les pannes (MTBF) suprieur 200 000 heures (soit plus de 22 ans). Lquipement est muni de sous-systmes redondants (ventilateurs, alimentations, modules SEP) et de fonctionnalits dquilibrage de charges et VRRP (Virtual Router Redundancy Protocol) assurant un temps de fonctionnement optimal. Grce aux fonctions de surveillance tendues du concentrateur Cisco VPN srie 3000, les administrateurs rseau connaissent ltat du systme en temps rel et reoivent des avertissements sans dlai.

11

VPN Cisco accs distant


Gestion scurise : la gestion du concentrateur Cisco VPN srie 3000 peut tre assure via un navigateur Web standard (Hypertext Transfer Protocol [HTTP] ou Secure HTTP [HTTPS]), via telnet, telnet scuris ou un port de console. La mise en place et la maintenance des politiques de scurit sont simplifies grce une configuration des niveaux daccs par utilisateur et par groupe. Logiciel VPN Cisco Client Le logiciel VPN Cisco Client est simple dployer et mettre en uvre. Il est utilis pour garantir la scurit au niveau des tunnels crypts de bout-en-bout du concentrateur Cisco VPN srie 3000. Le concentrateur Cisco VPN srie 3000, idalement conu et offrant une implmentation compatible IPsec, est livr avec une licence pour un nombre illimit dutilisateurs. Le client peut tre prconfigur pour les dploiements de masse et les premires ouvertures de sessions se font en toute simplicit. Les politiques daccs au VPN sont labores, centralises et appliques au niveau du client lorsque la connexion est tablie. Questions-rponses Q. Quelles diffrences existe-t-il entre les cinq modles du concentrateur Cisco VPN srie 3000 disponibles ? Concentrateur Cisco 3005 100 Cisco 3015 100 Logiciel 0 4 Mbits/sec Cisco 3030 1 500 Matriel 1 50 Mbits/sec Cisco 3060 5 000 Matriel 2 100 Mbits/sec 256 En option Cisco 3080 10 000 Matriel 4 100 Mbits/sec 256 Standard

Nb dutilisateurs

Type de cryptage Logiciel SEP pris en ch. Dbit crypt maximum Mmoire (Mo) Alimentation redondante 0 4 Mbits/sec

32 Non

64 En option

128 En option

12

VPN
Q. Comment les concentrateurs Cisco VPN srie 3000 intgrent-ils le cryptage ? Les ressources du systme sont-elles affectes ? Est-ce volutif ? R. Les concentrateurs Cisco des sries 3005 et 3015 procdent au cryptage au niveau logiciel. Les concentrateurs Cisco milieu et haut de gamme des sries 3030, 3060 et 3080 utilisent les modules SEP pour exploiter leurs fonctions de cryptage. Lutilisation dun quipement ddi, de type SEP, les sries 3030, 3060 et 3080 peuvent prendre en charge un grand nombre de tunnels crypts et sadapter sans que les performances globales du systme nen soient affectes. Q. Quelles sont les caractristiques de haute disponibilit ou de tolrance aux pannes des concentrateurs VPN Cisco ? R. Les concentrateurs Cisco VPN srie 3000 prennent en charge les modules SEP, les alimentations et les ventilateurs redondants. De plus, ils intgrent le protocole VRRP pour assurer la redondance et le basculement multi-chssis, ainsi quun mcanisme dquilibrage de charge entre concentrateurs. Q. Quest-ce que la tunnellisation fractionne ? Est-elle prise en charge par les concentrateurs VPN Cisco ? R. La tunnellisation fractionne garantit un accs scuris aux donnes de lentreprise tout en offrant un accs direct Internet via les ressources du FAI (allgeant ainsi laccs Internet du rseau interne lentreprise). Ladministrateur active et contrle la prise en charge de la tunnellisation fractionne via le concentrateur. Q. Le VPN Cisco Client srie 3000 fonctionne-t-il lorsque des dispositifs quips de NAT/PAT (Network/Port Address Translation) sont installs ? R. Oui. Une intervention de l'utilisateur est ncessaire pour faire fonctionner le NAT/PAT de manire transparente avec le concentrateur VPN Cisco srie 3000. Un administrateur peut centraliser le contrle lorsquun utilisateur doit employer IPsec ou NAT/PAT Transparent IPsec. Si le NAT/PAT Transparent IPsec est activ pour un utilisateur spcifique, une ngociation est automatiquement enclenche et la transmission des donnes via le NAT/PAT peut aboutir. Pourquoi mettre en uvre ce produit ? Grce aux connexions Internet accs distant de qualit professionnelle via le concentrateur VPN Cisco srie 3000, vous ralisez des conomies sans prcdent, bnficiez dune flexibilit et dune fiabilit ingales pour un excellent niveau de performances. La mise en uvre du concentrateur VPN Cisco srie 3000 est une alternative rentable aux serveurs distants numrotation directe. Il permet aux entreprises de rduire le nombre dappels longue distance et doublier les problmes lis leur modem. Les personnes en dplacement, travaillant distance ou effectuant des heures supplmentaires remplacent les appels longue distance par des appels locaux via des modems cble ou ADSL pour accder leur FAI.
13

VPN Cisco accs distant


Types de rseaux Tous les types. La gamme des concentrateurs VPN Cisco srie 3000 prend en charge toutes les tailles dentreprises et de rseaux. Mise en uvre Le concentrateur VPN Cisco srie 3000 et le firewall sont gnralement placs derrire le routeur daccs Internet. Le concentrateur peut tre plac paralllement, en amont ou en aval du firewall. Loption la plus simple dans un rseau existant est de brancher le concentrateur en parallle du firewall ; aucune modification de configuration du firewall nest alors requise et le concentrateur accde directement aux services internes du rseau (Dynamic Host Configuration Protocol [DHCP] ou RADIUS, par exemple). Vous pouvez renforcer la scurit en verrouillant toutes les interfaces des priphriques rseau dclars dans le chemin du VPN. Lorsque le concentrateur est install en amont du firewall, ce dernier filtre le trafic entrant, mais laccs aux services du rseau est plus compliqu. Si le concentrateur est protg (derrire) le firewall, il convient dinstaller un conduit travers le firewall pour permettre au concentrateur daccder au trafic du VPN. Il est possible dimplmenter des variantes avec les interfaces DMZ places en aval du firewall, mais les configurations dcrites ci-dessus sont les plus rpandues. Equipements associs/ncessaires la mise en uvre Le concentrateur VPN Cisco srie 3000 est un priphrique Ethernet--Ethernet pouvant tre branch derrire tout routeur Internet. Toutefois, il nest pas ncessaire dinstaller une interface Ethernet dauthentification client sur le routeur. Lauthentification client peut tre gre par des bases de donnes dauthentification utilisateur externes compatibles ou par une base de donnes interne (100 utilisateurs maximum).

14

VPN
Pour de plus amples informations sur les concentrateurs VPN et Client Cisco : www.cisco.com/go/evpn

15

Easy VPN Easy VPN


Lors du dploiement de VPN pour les tltravailleurs, les itinrants et les petites agences, la facilit de mise en uvre est indispensable car les ressources techniques sont rarement disponibles sur les sites distants. Le dploiement de VPN accs distants et site--site na jamais t aussi simple pour les petites, moyennes et grandes entreprises grce au produits Cisco. Les fonctionnalits Cisco Easy VPN Remote et Cisco Easy VPN Server offrent flexibilit, volutivit, et simplicit dutilisation aux VPNs accs distants et site--site. Produits La fonctionnalit Cisco Easy VPN Remote permet aux routeurs ayant pour version dIOS la version 12.2(4)YA (ou une version plus rcente) et les firewalls Cisco PIX dagir comme des clients VPN distants. Cette fonctionnalit est disponible sur les routeurs Cisco 800, uBR900, et Cisco 1700, et sur le PIX 501. La fonctionnalit Cisco Easy VPN Server, disponible dans la version dIOS 12.2(8)T (ou plus rcente), augmente la compatibilit des produits VPNs et permet aux concentrateurs VPN Cisco, aux firewalls PIX Cisco et aux routeurs Cisco dagir comme des quipements de terminaisons VPN dans les architectures de VPN site--site et accs distant. Cette fonctionnalit est disponible sur les routeurs uBR900, Cisco 1700, Cisco 2600XM, Cisco 3600, Cisco 7100 et Cisco 7200, ainsi que sur les concentrateurs VPN 3000 et sur les firewalls PIX. Principaux avantages Dploiement simplifi : Le but de Cisco Easy VPN est de simplifier le dploiement des VPNs site--site et accs distant en faisant agir les quipements VPN des sites distants comme des clients VPN. Cela consiste en une configuration et une administration depuis le site central et en majeure partie sur lquipement de terminaison VPN du site central. Utilisation facilit : Les quipements VPN des sites distants agissent comme des clients VPN. Il suffit donc de leur indiquer vers quel quipement de terminaison VPN ils doivent aller (adresse IP), le nom de groupe auquel ils appartiennent et le mot de passe correspondant. Cela est aussi simple que de se connecter un rseau en fournissant un nom dutilisateur et un mot de passe. Intgration lexistant : La fonctionnalit Cisco Easy VPN est conue de manire sintgrer linfrastructure du rseau sans quaucune modification ne soit ncessaire. Elle peut donc sintgrer facilement dans tous les environnements existants et venir de rseau VPN.

16

VPN
Questions-rponses Q. Quest-ce que Cisco Easy VPN Remote ? R. Pour les connexions distantes, Cisco Easy VPN Remote permet aux routeurs et aux quipements de scurit dtablir et de maintenir un tunnel VPN sur un quipement de terminaison Cisco Easy VPN Server sans avoir faire de configuration complexe sur le site distant. Q. Quest-ce que Cisco Easy VPN Server ? R. Cisco Easy VPN Server accepte les appels entrants des quipements Cisco Easy VPN Remote et des clients logiciels VPN et sassure que les rgles de connexion sont jour avant la mise en place du tunnel VPN. Q. Quels feature sets du logiciel Cisco IOS incluent la fonctionnalit Cisco Easy VPN Remote ? R. Tous les feature sets avec une image IP Security (IPSec), c'est--dire DES et 3DES, incluent la fonctionnalit Cisco Easy VPN Remote. Q. Combien de tunnels supporte Cisco Easy VPN Remote ? R. Cisco Easy VPN Remote supporte un tunnel jusqu lquipement de terminaison VPN. Q. Combien de tunnels supporte Cisco Easy VPN Server ? R. Cisco Easy VPN Server supporte autant de tunnels que la plateforme dans laquelle il tourne.

17

Easy VPN
Pourquoi mettre en uvre ce produit ? Car toutes les entreprises souhaitant dployer et administrer des VPNs site--site ou accs distant peuvent bnficier de la simplicit de configuration et dinstallation des VPNs grce aux fonctionnalits Cisco Easy VPN Remote et Cisco Easy VPN Server. Types de rseaux Tous les types. Les fonctionnalits Cisco Easy VPN sappuient sur les gammes de routeur, de firewall et concentrateur VPN qui sadaptent tous les types de rseau. Mise en uvre Les communications Cisco Easy VPN Remote sont ralises avec les extensions IKE (Internet Key Exchange), connues sous le nom de Mode-Config. Les attributs ModeConfig sont dlivrs par lquipement de terminaison VPN central. En poussant les paramtres aux clients, les changements dadresses (adresses temporaires sur connexion ADSL par exemple) peuvent tre grs facilement car chaque site distant peut obtenir les mises jour lors de linitiation du tunnel VPN. Les paramtres pousss sont ladresse IP interne, le subnet mask interne, ladresse du serveur DHCP, ladresse du serveur WINS et les informations du split tunneling. Equipements associs/ncessaires la mise en uvre Pour Cisco Easy VPN Remote : routeurs Cisco 800, uBR900, et Cisco 1700, firewall PIX 501. Pour Cisco Easy VPN Remote : routeurs uBR900, Cisco 1700, Cisco 2600XM, Cisco 3600, Cisco 7100 et Cisco 7200, concentrateurs VPN 3000 et firewalls PIX.

Pour de plus amples informations sur Cisco Easy VPN : www.cisco.com/go/evpn

18

FIREWALLS

Section 2 FIREWALLS

Section 2 FIREWALLS

Firewalls
Firewalls
Un firewall est une solution mise en place dans une architecture rseau afin de renforcer la politique de scurit de lentreprise et de restreindre laccs aux ressources du rseau. Le schma ci-dessous illustrant un systme de scurit physique compare le firewall un verrou bloquant laccs un primtre ou lentre dun btiment. Seuls certains utilisateurs (dtenant une cl ou un badge) sont autoriss entrer.

Cisco PIX Firewall


Cisco PIX Firewall, considr comme le produit le plus performant, occupe la premire place du march. A ce titre, il est le produit phare de Cisco en matire de scurit depuis 1996. Install sur un rseau, le PIX dtermine si le trafic est autoris, dans un sens ou dans lautre. Le cas chant, il active la connexion ; celle-ci aura un impact quasiment nul sur les performances du rseau. Les donnes dun trafic non autoris sont dtruites.

21

Cisco PIX Firewall


Produits de la gamme Cisco PIX Firewall
Modle PIX 501 PIX 506E PME Illimit 25 1 300 32 2 10BaseT Non 20 16 PIX 515E-UR PME Illimit 2000* 1 433 64 6 Oui 188 63* PIX 525-UR Entreprise Illimit 2000* 3 600 256 8 Oui 360 70* PIX 535-UR Entreprise Illimit 2000* 3 1 GHz 1 GB 10 Oui 1,7 Gbps 95*

March Micro-entreprise Nb utilisateurs par licence 10 ou 50 Nb max de tunnels VPN 5 Taille (RU) <1 Processeur 133 RAM (MB) 16 Max. 1 10BaseT Interfaces + switch 4 ports 10/100 Redondance Non Dbit texte clair (Mbps) 10 Dbit 3DES 3
*Utilisant une carte acclratrice VPN

Principaux avantages et fonctionnalits Scurit : Cisco PIX Firewall utilise un systme dexploitation scuris ddi la protection du routeur et des rseaux. La plupart des autres firewalls non Cisco reposant sur de gros systmes dexploitation gnralistes destins diverses fonctions, sont, par consquent, plus vulnrables aux menaces provenant dInternet. Performances : le PIX prend en charge plusieurs fois la capacit des routeurs concurrents et assure un niveau de scurit sans gal, avec un impact minimum sur les performances du rseau. Stabilit : le PIX tant ddi un objectif unique, la scurit, il est particulirement stable. La stabilit est un point essentiel pour un dispositif dune telle importance dans larchitecture du rseau. Le temps moyen entre les dfaillances d'un PIX est suprieur six ans. Evolutivit : les plate-formes PIX sont disponibles dans de nombreux formats afin de sadapter parfaitement aux divers contextes possibles, de la PME ou succursale au sige social. Toutes les plate-formes PIX sont quipes du mme logiciel et utilisent les mmes solutions de gestion, disposant ainsi dune volutivit et dune intgration optimales. Installation et maintenance simplifies : Cisco a cr Pix Device Manager, un utilitaire web intgr et scuris pour configurer simplement et graphiquement votre firewall. VPN conforme aux normes : la fonctionnalit VPN selon les normes IPsec compte parmi les fonctions de scurit du PIX Firewall. Outre ses performances hors de commun, le PIX est dot des fonctions VPN site--site et accs distant.
22

Firewalls
Questions-rponses Q. Quel est limpact du Cisco PIX Firewall sur les performances du rseau ? R. Aucun rseau ntant identique un autre, il est difficile de quantifier limpact du firewall dune manire globale et prcise. Toutefois, les performances du rseau sont peu voire pas affectes. Le PIX ne ralentit pas le trafic et traite les paquets de donnes le plus rapidement possible. En conclusion, il affecte moins les performances du rseau que les autres dispositifs de firewall. Q. Le PIX est-il un serveur filtrant ou un serveur proxy ? R. Le PIX utilise une technologie de filtrage de session, ainsi que linteraction avec les applications en cours, et offre les avantages des deux approches. En revanche, les utilisateurs du PIX ne subissent aucun des inconvnients des serveurs proxy, tels que des performances limites et une configuration complexe. Cisco PIX Firewall est rput pour assurer une scurit inviolable et une fiabilit sans faille pour une base client consquente. Pourquoi mettre en uvre ce produit ? Les firewalls sont des dispositifs de scurit classiques installs sur les rseaux. Si le rseau de lentreprise se connecte un rseau public comme Internet, celle-ci doit tre quipe de firewalls. Les performances du rseau tant cruciales pour le bon fonctionnement de lentreprise, Cisco PIX Firewall saura parfaitement assurer la scurit des donnes sans ralentir pour autant leur transfert grce son systme de fonctionnement ddi et de codage scuris garantissant une scurit et une disponibilit absolues. Types de rseaux La gamme PIX tant disponible dans de nombreux formats, ce produit peut sadapter tous les types de rseaux. Mise en uvre Le PIX est mis en place au niveau des passerelles du rseau. Il est gnralement install sur le primtre du rseau, entre le rseau et lintranet dune autre entreprise ou le rseau public Internet. Equipements associs/ncessaires la mise en uvre Aucun quipement supplmentaire nest ncessaire au bon fonctionnement de ce produit. Pour la gestion de plusieurs units, reportez-vous la section "Gestion de la scurit". Pour de plus amples informations sur Cisco PIX Firewall : www.cisco.com/go/pix
23

Cisco IOS Firewall Cisco IOS Firewall


Cisco IOS Firewall offre des fonctionnalits avances de firewall et intgre diverses techniques de scurit, telles que le cryptage IPsec DES pour VPN, la dtection de lintrusion et lauthentification. Ce module est un ajout au logiciel Cisco IOS. Il est disponible pour la plupart des routeurs et commutateurs Cisco. Il permet damliorer les fonctions de scurit existantes du logiciel Cisco IOS en y intgrant des fonctions plus avances et labore un systme de scurit dynamique partir de linfrastructure Cisco de lentreprise. Principaux avantages et fonctionnalits Scurit intgre au rseau : en intgrant cette technologie au systme dexploitation du rseau, Cisco renforce la scurit la base du rseau. De ce fait, Cisco IOS Firewall innove sur le march de la scurit rseau et propose une intgration sans prcdent. Flexibilit : Cisco IOS Firewall peut tre dploy sur divers types de routeurs et commutateurs Cisco, ses fonctions de scurit avances pouvant tre places en diffrents points du rseau. Utilisation de linfrastructure existante : Cisco IOS Firewall est conu pour les quipements de mise en rseau Cisco et vous permet de convertir la plupart des routeurs ou commutateurs Cisco en une plate-forme de scurit. IDS intgr : les solutions Cisco IOS et PIX Firewall comprennent un systme de dtection dintrusion (IDS) garantissant une scurit renforce de linfrastructure du rseau.

24

Firewalls
Questions-rponses Q. Quel est limpact de Cisco IOS Firewall sur les performances du rseau ? R. Dans la plupart des cas, Cisco IOS Firewall a un faible impact sur le routeur. Pour minimiser encore cet impact, il est conseill dajouter un processeur ou des modules de mmoire au routeur. Q. Cisco IOS Firewall propose-t-il autant de fonctions de scurit que les versions matrielles ddies ? R. Les dispositifs ddis proposent sans doute des fonctions de scurit plus compltes dans leur domaine dapplication spcifique ; par contre, les solutions intgres, telles que Cisco IOS Firewall, ont davantage de fonctions rseau. Un rseau quip dune passerelle VPN ddie, dun firewall ddi et dun systme IDS ddi, coupl un routeur, offrent plus de fonctions et de meilleures performances un prix bien suprieur celui dun routeur quip de Cisco IOS Firewall. Cisco IOS Firewall est une solution intgre dote de toutes les fonctionnalits dun routeur Cisco, ainsi quune fonction supplmentaire de scurit dans plusieurs domaines (cryptage, application dun firewall et systme IDS). Pourquoi mettre en uvre ce produit ? Les firewalls sont des dispositifs de scurit classiques installs sur les rseaux. Si la stabilit et la scurit sont des critres essentiels au bon fonctionnement du rseau de lentreprise, installez autant de firewalls que ncessaire. Cisco IOS Firewall tend la scurit au-del dun primtre physique autour du rseau et la garantit moindre cot. Des points de contrle de scurit installs sur le rseau assurent une scurit globale et optimale du rseau. Quil sagisse de diriger le trafic via une petite, une moyenne ou une grande passerelle, un PIX alli IOS Firewall vous fournissent les solutions firewalls idales. PIX est un firewall ddi, extrmement rapide et particulirement fiable. IOS Firewall fonctionne avec le routeur en tout point du rseau, garantissant ainsi une solution flexible et peu onreuse. Pour la plupart des rseaux, linstallation de systmes de firewalls ddis et intgrs en diffrents points du rseau permet dassurer une scurit optimale. Types de rseaux Ce produit convient tous les types de rseaux car il est propos sur une gamme tendue de routeurs, des plate-formes Cisco srie 800 aux Cisco srie 7500, ainsi que sur certains commutateurs.

25

Cisco IOS Firewall


Mise en uvre Cisco IOS Firewall sadapte sur quasiment tout routeur ou commutateur Cisco. Il est principalement utilis dans les succursales des entreprises, les passerelles des PME, les rseaux internes, lors des dploiements des services et dans les architectures extranet pour lesquels prix et performances sont une priorit mais pour lesquels la globalit des fonctions nest pas une ncessit. Equipements associs/ncessaires la mise en uvre Les routeurs et commutateurs Cisco, quils soient bas de gamme ou haut de gamme, prennent en charge cette solution. Pour obtenir des informations sur la gestion de plusieurs Cisco IOS Firewall, reportez-vous la section "Gestion de la scurit".

Pour de plus amples informations sur Cisco IOS Firewall : www.cisco.com/go/csis

26

DETECTION DINTRUSION

Section 3 DETECTION D'INTRUSION

Section 3 DETECTION D'INTRUSION

Dtection dintrusion
Dtection d'intrusion
La plupart des entreprises continue mettre en place des firewalls comme moyen de protection principal afin d'empcher les utilisateurs non autoriss d'accder leurs rseaux. Toutefois, la scurit rseau s'apparente beaucoup la scurit "physique", dans la mesure o une seule technologie ne peut rpondre tous les besoins, mais qu'une dfense plusieurs niveaux donne les meilleurs rsultats. Les entreprises se tournent de plus de plus vers des technologies de scurit supplmentaires, pour se protger des risques et vulnrabilits auxquels les firewalls ne peuvent faire face. Les solutions IDS (Intrusion Detection System) pour rseaux garantissent une surveillance du rseau permanente. Ces systmes analysent le flux de paquets de donnes du rseau, la recherche de toute activit non autorise, telle que les attaques menes par les pirates informatiques (hackers), permettant de ce fait d'y remdier rapidement. Lorsqu'une activit non autorise est dtecte, un systme IDS peut envoyer une console de gestion des alertes accompagnes d'informations dtailles concernant l'activit suspecte. Un IDS peut galement ordonner d'autres quipements, tels que des routeurs, d'arrter les sessions non autorises. Dans l'exemple de scurit physique illustr ci-dessous, les solutions IDS sont l'quivalent des camras vido et des dtecteurs de mouvement. Ces systmes dtectent les activits non autorises ou suspectes et sont associs des systmes de rponse automatique, tels que les sentinelles, pour mettre un terme l'activit incrimine.

29

Systme de dtection dintrusion scuris Cisco Systme de dtection d'intrusion scuris Cisco
Cisco Systems propose deux systmes de dtection dintrusion complmentaires : les HIDS (Host Intrusion Detection Systems). Ces sondes host-based sinsrent entre les applications et le cur du systme dexploitation pour protger des applications ou des serveurs critiques. Le host sensor Cisco permet de dtecter des attaques connues, mais galement protge dattaques non encore connues en empchant un appel malicieux (non autoris) au systme dexploitation, offrant ainsi une prvention contre les attaques futures. les NIDS (Network Intrusion Detection Systems). Ces sondes rseau en temps rel peuvent tre dployes dans de nombreux environnements rseau sensibles, des institutions financires majeures aux environnements militaires secret dfense. La gamme Cisco Secure IDS est compose de sondes et d'une console de gestion centrale. Les sondes totalement indtectables de l'intrieur comme de l'extrieur de par la technologie -furtive- utilise, dtectent toute activit non autorise sur le rseau, rpondent ces vnements en mettant un terme la session incrimine et envoient une alerte la console de gestion centrale. La console de gestion IDS (IDS Event Viewer ou VMS) offre une prsentation visuelle des alarmes et comprend un utilitaire de configuration distante du systme ainsi quune fonctionnalit unique offerte aux rseaux quips de routeurs d'accs Cisco : le "shunning" autrement appel reconfiguration dynamique des listes de contrle d'accs (ACL) des routeurs, directement par la sonde de dtection d'intrusion lors d'vnements ncessitant une telle action". Cisco est le fabricant d'IDS leader du march selon le cabinet d'analystes Frost & Sullivan. Le kit sonde Cisco Secure IDS comprend les lments suivants : Carte de dtection d'intrusion pour Catalyst 6000 IDS. Sondes IDS ddies. Fonctionnalit IDS intgre au firewall Cisco IOS et PIX Firewall. Le kit de gestion Cisco Secure IDS comprend les lments suivants : Security Monitor (VMS). IEV (gratuit, intgr aux sondes). Partenaires cosystme IDS.

30

Dtection dintrusion
Principaux avantages et fonctionnalits Gamme de sondes : Cisco offre la plus vaste gamme de sondes du march. Des applications rseau ddies aux cartes de lignes IDS pour commutateurs Catalyst en passant par les fonctionnalits IDS intgres au logiciel IOS de Cisco, l'ensemble de ces produits permet de rpondre aux besoins de chaque entreprise. Technologie intgre : Cisco est idalement plac pour intgrer sa technologie IDS, leader du march, aux quipements rseaux, tels que les routeurs et les commutateurs. Technologie avance : en associant son savoir-faire reconnu en matire de rseau et de sondes, Cisco dveloppe rapidement des produits la pointe de la technologie en matire de dtection d'intrusion. Evolutivit importante : Cisco Secure IDS est conu pour pouvoir tre dploy dans des environnements trs diffrents, des PME aux grandes entreprises. Visibilit rseau : la technologie Cisco offre une trs grande "visibilit" permettant d'observer le flux de donnes du rseau en temps rel et de dtecter toute activit non autorise.

31

Systme de dtection dintrusion scuris Cisco


Questions-rponses Q. A quoi sert IDS ? R. IDS vient complter d'autres quipements de scurit, tels que les firewalls, en dtectant et en empchant toute activit non autorise sur le rseau. Contrairement aux firewalls permettant d'autoriser ou de refuser le trafic de donnes en fonction des politiques dfinies, IDS inspecte le contenu du trafic "autoris". Ceci permet d'identifier toute activit malveillante non dtecte par le firewall, dont les dbordements de pile (buffer overflow), les interruptions de service et d'autres types d'attaques similaires. Les solutions IDS permettent galement l'entreprise de faire face aux menaces internes pouvant compromettre la scurit du rseau. Q. Quelle est l'orientation principale de la technologie IDS ? R. La majorit des produits de dtection sont des dispositifs ou des logiciels fonctionnant sur des quipements rseau ddis. Cisco a intgr cette technologie aux quipements fonctionnant sous Cisco IOS via le firewall Cisco IOS et le PIX et dans le matriel directement intgr aux commutateurs (carte de dtection d'intrusion pour Catalyst 6000 IDS). Cette intgration permet la technologie IDS d'tre place quasiment n'importe o sur le rseau, offrant une scurit et une granularit accrues. Q. Quelle diffrence existe-t-il entre la sonde Cisco Secure IDS et le composant IDS du firewall Cisco IOS/PIX ? R. Les sondes Cisco Secure IDS sont plus performantes et peuvent traiter environ quatre fois plus de signatures que l'IDS des firewalls Cisco IOS ou PIX. Actuellement intgr aux routeurs, le firewall Cisco IOS dispose de fonctionnalits de traitement et d'une mmoire limites. Pour cette raison, son action se concentre sur les signatures les plus courantes, dans un souci d'optimisation des performances. Les quipements Cisco Secure IDS combins aux firewalls Cisco IOS / PIX et la carte de dtection d'intrusion pour Catalyst 6000 IDS permettent de couvrir une vaste gamme d'attaques. Les entreprises peuvent par exemple placer un quipement au niveau de leurs passerelles et liens hauts dbits principaux et utiliser un firewall Cisco PIX ou IOS dans les bureaux et services internes distants. Les alarmes mises par n'importe quelle solution IDS Cisco peuvent tre envoyes au mme Director.

32

Dtection dintrusion
Q. A quelle frquence les signatures d'attaques doivent-elles tre mises jour ? R. Les signatures des sondes et des cartes de lignes Catalyst 6000 IDS sont mises jour deux fois par mois, ou dans un dlai plus court si des vnements relatifs la scurit l'exigent. Q. Comment utiliser IDS dans un environnement commut ? R. La carte de dtection d'intrusion pour Catalyst 6000 IDS est dote d'une sonde matrielle s'insrant facilement dans le chssis du Catalyst 6000/6500. La carte de dtection d'intrusion pour IDS traite le trafic directement partir du fond de panier du commutateur. Pour les autres modles de commutateurs, les sondes peuvent tre connectes un analyseur de ports commuts (SPAN) ou un port miroir. Q. O les sondes doivent-elles tre installes ? R. Les sondes sont gnralement installes au niveau des connexions Internet, extranet, serveur d'accs distant et dans les centres vitaux de traitement de l'information des entreprises. Il est conseill d'installer les sondes au niveau de tous les quipements rseau ncessitant une protection. Q. Les sondes affectent-elles les performances du rseau ? R. Les sondes Cisco Secure IDS et la carte de dtection d'intrusion pour Catalyst 6000 IDS n'affectent pas du tout les performances du rseau. Elles fonctionnent de manire passive et traitent des copies de paquets, la manire des "sniffeurs" rseau. Le firewall Cisco IOS affecte les performances du routeur car il utilise le processeur principal et la mmoire de celui-ci. Pourquoi mettre en uvre ce produit ? Ce produit permet d'observer le flux de paquets de donnes sur le rseau et de dterminer les menaces pouvant affecter le rseau. Il complte d'autres dispositifs de scurit (les firewalls et les VPN par exemple) afin de garantir une architecture rseau scurise. Les firewalls travaillent principalement sur la couche rseau et transport de la pile OSI (Open System Interconnection). L'acceptation ou le rejet du trafic se base sur les informations relatives l'adresse ou au port (application) utilis par le trafic concern. La charge utile est rarement inspecte par les firewalls, tandis que le Cisco Secure IDS inspecte le contenu du trafic la recherche de signatures de dbordements de pile (buffer overflow), d'interruptions de service et d'autres types d'attaques. Le Cisco Secure IDS combin des firewalls reprsente une solution solide, complmentaire et intgre.

33

Systme de dtection dintrusion scuris Cisco


Types de rseau Les systmes de dtection d'intrusion reprsentent des composants de scurit indispensables pour tous les environnements rseau sur lesquels transitent des informations sensibles ou vitales. Pour les entreprises, il est conseill d'installer le Cisco Secure IDS pour la protection des quipements et des donnes informatiques. Ce produit est galement appropri pour les fournisseurs d'accs proposant des services valeur ajoute de gestion de la scurit. L'IDS intgr aux firewalls Cisco IOS et PIX est adapt aux petites entreprises ou aux succursales utilisant un quipement non rentable ou comme logiciel de test pour dterminer les zones du rseau o l'activit est importante, et o l'installation d'un quipement est justifie. Mise en uvre Sur les passerelles rseau se trouvant devant le firewall afin d'effectuer une analyse des attaques menes contre le rseau. Derrire le firewall pour examiner le trafic accept par le firewall et le trafic sortant du rseau de l'entreprise. Sur les intersections rseau internes vitales, permettant ainsi aux sondes d'analyser une grande quantit de trafic rseau interne. Sur les connexions WAN/extranet pour examiner les activits de/vers les connexions des partenaires commerciaux. En amont des systmes sensibles et vitaux, tels que les serveurs contenant des donnes financires ou de recherche/dveloppement (le risque que ces systmes soient hacks est rduit si des dispositifs de scurit sont situs proximit). Equipements associs/ncessaires la mise en uvre Les sondes sont livres prtes tre installes. La carte de dtection d'intrusion pour Catalyst 6000 est un module matriel autonome occupant un seul connecteur dans le chssis du commutateur. Le firewall Cisco IOS est une image logicielle d'IOS que vous pouvez commander pour de nombreux routeurs Cisco.

Pour de plus amples informations sur le systme de dtection d'intrusion scuris Cisco : www.cisco.com/go/ids

34

CONTROLE DACCES

Section 4 CONTROLE D'ACCES

Section 4 CONTROLE D'ACCES

Contrle daccs
Contrle d'accs
Les serveurs de contrle d'accs dterminent les personnes autorises accder un rseau et les services qu'elles peuvent utiliser. Ils ont en mmoire un profil comprenant les informations d'authentification et d'autorisation relatives chaque utilisateur. Les informations d'authentification valident l'identit des utilisateurs et les informations d'autorisation dterminent les lments accessibles. Par analogie un systme de scurit physique, les serveurs de contrle d'accs sont quivalents aux badges d'accs, aux cls et aux gardiens responsables de la scurit.

Serveur de contrle d'accs Cisco Secure ACS


Le serveur de contrle d'accs Cisco Secure ACS (Access Control Server) pour Windows 2000 est l'une des nombreuses solutions logicielles de scurit proposes dans la suite Cisco. Il permet l'authentification, l'autorisation et la gestion du trafic et des utilisateurs ; ce service est aussi appel AAA : (authentication, authorization, and accounting). Cisco Secure ACS pour Windows 2000 facilite l'application de services AAA tous les environnements d'accs, petits et grands. Ce service parfaitement intgr Windows 2000 facilite le dploiement et la mise en uvre de diffrents services, tels que l'accs distance des rseaux privs virtuels (VPN), le contrle de l'accs selon l'heure et divers degrs possibles de communications scurises. Cisco Secure ACS convient la mise en place initiale d'un systme de scurit et peut ultrieurement tre mis jour pour prendre en compte des environnements plus complexes et l'volution des politiques de scurit.

37

Serveur de contrle daccs Cisco Secure ACS


Cisco Secure ACS s'appuie sur une architecture volutive, ce qui lui permet de rpondre aux besoins des environnements distribus tout en prenant en charge des milliers de ports utilisant simultanment les protocoles TACACS+ et RADIUS. La centralisation des services AAA complte le dveloppement de n'importe quelle infrastructure d'accs. Principaux avantages et fonctionnalits Facilit d'utilisation : l'interface utilisateur HTML, de part son omniprsence, simplifie et rpartit la configuration des profils d'utilisateurs, de groupes et la configuration ACS. Intgration : l'association avec le logiciel Cisco IOS facilite l'utilisation de fonctionnalits telles que le protocole MMP (Multichassis Multilink Point-to-Point) et l'utilisation des commandes de Cisco IOS. Evolutivit : Cisco Secure ACS est conu de manire prendre en charge de trs grands rseaux intgrant des serveurs redondants et la sauvegarde des bases de donnes utilisateurs. Gestion : la prise en charge des bases de donnes Windows 2000 utilise et consolide la gestion des noms utilisateurs et mots de passe de Windows 2000 et la prise en charge de l'application Performance Monitor de Windows 2000 afin de disposer de statistiques en temps rel. Administration : diffrents niveaux d'accs possibles selon l'administrateur Cisco Secure ACS et la possibilit de rassembler des entits de rseau facilitent la gestion de ces entits. Flexibilit du produit : le logiciel Cisco IOS prenant en charge des services AAA, Cisco Secure ACS peut tre utilis sur quasiment tous les serveurs d'accs rseau NAS (Network Access Server) vendus par Cisco (la version IOS doit prendre en charge le protocole RADIUS ou TACACS+). Flexibilit des protocoles : Cisco Secure ACS est compatible avec les deux protocoles TACACS+ et RADIUS, garantissant ainsi une flexibilit optimale. Un VPN d'accs distance peut tre pris en charge en amont et en aval des tunnels IPsec et PPTP. Authentification : Cisco Secure ACS peut tre intgr la plupart des systmes d'authentification connus, tels que les solutions mot de passe unique de RSA Security SecurID et CRYPTOCard.

38

Contrle daccs
Questions-rponses Q. Pourquoi aurais-je besoin d'un Cisco Secure ACS ? R. Cisco Secure ACS offre une structure de gestion des services AAA commune l'utilisateur et aux entits charges de protger et de surveiller les accs utilisateurs et entits sur le rseau. Q. Et qu'en est-il de Cisco Secure ACS pour UNIX ? R. Cisco vend sparment un produit pour Cisco Secure ACS sous UNIX, labor partir d'un code diffrent (prsentant d'autres fonctionnalits, telles que les bases de donnes utilisateurs, une interface utilisateur graphique [GUI], etc.). Nous conseillons aux utilisateurs destinant Cisco Secure ACS un environnement UNIX de considrer la solution Cisco Access Registrar. Ce produit offre une solution AAA hautes performances dote d'une grande capacit d'extension et adapte aux environnements UNIX. Pourquoi mettre en uvre ce produit ? Pour les socits dsireuses de matriser l'authentification et l'autorisation des utilisateurs et des entits, Cisco Secure ACS constitue un lment cl pouvant tre utilis simultanment avec des serveurs d'accs commut, des routeurs et des firewalls. Grce la compatibilit du logiciel Cisco IOS avec les protocoles RADIUS et TACACS+, toutes les entits d'un rseau peuvent tre paramtres pour communiquer avec un ACS. Une socit ou un fournisseur de services peut alors centraliser le contrle des accs commuts. Types de rseaux Principalement aux rseaux d'entreprise ayant besoin de contrler les accs utilisateurs et de vrifier les utilisateurs et les administrateurs du rseau. Cisco Secure ACS prend en charge diffrentes infrastructures Cisco (Cisco 1700, 2600, 3600, 7200 et 7500 par exemple), ainsi que PIX Firewall. Cisco Secure ACS permet d'authentifier les utilisateurs en vrifiant s'ils figurent sur les bases de donnes utilisateurs de Windows 2000, de Cisco Secure ACS, d'ODBC (Open Database Connectivity), de NDS (Novell Domain Server) ou sur une base de donnes de serveur de carte jeton.

39

Serveur de contrle daccs Cisco Secure ACS


Mise en uvre Aux points d'accs au rseau destins aux utilisateurs distants ou en accs interne commut. Sur les connexions WAN/extranet pour surveiller les activits sur le rseau et contrler l'authentification et l'autorisation des connexions des partenaires commerciaux. En amont des systmes sensibles et vitaux dont la configuration ncessite les contrles d'autorisation TACACS+ (le protocole TACACS+ permet de contrler, au niveau des commandes, l'autorisation d'apporter des modifications la configuration des routeurs et de PIX Firewall). Equipements associs/ncessaires la mise en uvre Le serveur sur lequel est install le logiciel Cisco Secure ACS doit prsenter la configuration matrielle minimale suivante : Processeur Pentium III, 550 MHz ou suprieur. Version anglaise de Windows 2000 Serveur avec le Service Pack 3 d'install. 256 Mo de mmoire RAM. 250 Mo d'espace disque disponible au minimum, et davantage si votre base de donnes est sur la mme machine. Rsolution minimale de 256 couleurs 800 x 600 lignes. Configuration logicielle minimale requise Votre serveur Windows 2000 doit prsenter la configuration logicielle minimale suivante : Le serveur NAS doit utiliser Cisco IOS version 11.2 ou suprieure, ou une application d'un constructeur tiers pouvant tre configure pour TACACS+ ou RADIUS. Pour de plus amples informations sur le serveur de contrle d'accs Cisco Secure ACS : www.cisco.com/go/acs

40

GESTION DE LA POLITIQUE DE SECURITE

Section 5 ADMINISTRATION DE LA SOLUTION DE SECURITE

Section 5 ADMINISTRATION DE LA SOLUTION DE SECURITE

Administration de la solution de scurit


Administrer la scurit
Un systme de gestion de la scurit permet de dployer simplement et uniformment sur un rseau une politique de scurit ou des rgles isoles. Ces politiques peuvent prendre en charge divers services de rseau, tels que la scurit, la qualit de service et la voix. Les services de scurit, plus particulirement, peuvent inclure divers produits et technologies : les firewalls, les passerelles VPN, des sondes de dtection d'intrusion, par exemple, ainsi que des dispositifs d'authentification et de cryptage. Le dispositif de scurit d'un rseau est comparable un systme de scurit physique, o le gestionnaire de la scurit s'apparente un poste centralis de contrle de la scurit depuis laquelle le personnel qualifi peut activer et surveiller les alarmes et les ouvertures du btiment ou du campus.

CiscoWorks VPN/Security Management Solution (VMS)


CiscoWorks VPN/Security Management Solution (VMS) est une suite doutils de supervision, de configuration et de dpistage de panne, ddis aux technologies de scurit dployes dans les rseaux dentreprises. Ces technologies incluent les rseaux privs virtuels dentreprises (VPN - Virtual Private Network), la scurit priphrique fournie par les firewalls ainsi que les technologies de dtection dintrusion de type "host based" ou "network based". Composant majeur de loffre Cisco SAFE (Secure Archictecture For E-Business), CiscoWorks VMS est une solution dadministration conue pour rpondre lensemble des problmatiques poses par le dploiement de politiques de scurit sur des rseaux de moyennes et grandes tailles. Ce produit a t conu dans lobjectif de maximiser la
43

Administration de la solution de scurit


robustesse et dvolutivit du rseau en matire de scurit en fournissant aux quipes scurit un puissant outil dadministration de bout en bout, capable de dmultiplier chaque action au sein des quipes. CiscoWorks VPN/Security Management Solution est un produit de la famille CiscoWorks. Vritables outils de productivit, les applications CiscoWorks interviennent sur le plan de lautomatisation des tches dadministration, lautomatisation des procdures dalertes et de traitements de celles-ci. Principaux avantages et fonctionnalits Augmentation de la productivit dans tous les domaines dadministration : CiscoWorks VPN/Security Management Solution est constitue dune suite de composants logiciels spcifiquement conus pour augmenter lefficacit oprationnelle des quipes scurits dans les domaines dadministration suivants : Gestion de parc matriel. Gestion des systmes dexploitation. Gestion des configurations (configuration, sauvegarde, diffusion). Gestion des rgles de scurit. Alerte en cas de dfaillance ou malveillance sur un des quipements du rseau. Alerte en cas dattaque rseau ou systme. Surveillance du bon fonctionnement des quipements. Planification et automatisation des modifications de configuration du rseau. Ladministrateur scurit dispose, pour chaque domaine, dun outil spcialis qui lui permet la plus grande efficacit avec un minimum defforts. Solution complte : Lapplication CiscoWorks VPN/Security Management Solution est distribue sous forme dun package logiciel qui comprend les lments suivants : CiscoView - Correspond la brique de base de lapplication CiscoWorks VMS. Cette brique correspond lapplication serveur sur laquelle viennent sintgrer les autres outils de VMS. Ceci inclut lapplication Web, la base de donne, les moteurs dinterrogation, etc Elle gre linterface graphique utilisateur et permet galement ladministration du serveur lui-mme. Cest travers CiscoView quest dfinit la prsentation graphique de lenvironnement dadministration. Cest galement travers CiscoView que sont dfinis les administrateurs et leurs droits dadministration. CiscoView fournit notamment laccs en administration SNMP aux quipements surveills par le biais dune vue graphique. Resource Manager Essentials (RME) - Outil fournissant des services dinventaires du parc, de gestions (sauvegarde) des configurations dquipements, de gestion centralise des Operating Systems dploys, ainsi que des services de reporting automatique de changement ayant eu lieu dans le rseau, tant sur le plan hardware que sur les plans software et configurations dquipements.

44

Administration de la solution de scurit


CiscoWorks VPN Monitor - Outil de collecte, de stockage et de reporting de statistiques des connexions VPN site--site ou accs distants. CiscoWorks Monitoring Center for Security - Outil de collecte et de reporting des informations de dtection dintrusion remontes par lensemble des quipements Cisco dots de fonctions IDS : sondes de dtection dintrusion, modules IDS du Catalyst 6500, fonctions IDS de lIOS (routeurs), fonctions IDS des firewall PIX, fonctions IDS des Cisco host IDS. CiscoWorks Management Center for VPN Router - Outil dindustrialisation des configurations et du dploiement des rseaux privs virtuels supports par des routeurs (IOS). CiscoWorks Management Center for PIX Firewall - Outil dindustrialisation des configurations et du dploiement des rgles de scurit et des rseaux privs virtuels supports par des firewalls PIX. CiscoWorks Management Center for IDS Sensor - Outil dindustrialisation des configurations et du dploiement des sondes de dtection dintrusion Cisco. CiscoWorks Auto Update Server - Cet outil assure lautomatisation du maintient niveau aux versions les plus rcentes des configurations courantes et des systmes dexploitation des firewall PIX. Cisco Secure Policy Manager (CSPM) - Outils de gestion et de distribution des politiques de scurit du rseau. Cet outil permet galement la dfinition des tunnels VPN. CiscoWorks Inventory Services - VMS fournit un sous-ensemble de RME qui permet seulement des oprations de gestion de parc. Cet outil est une alternative RME dans le cas o lensemble des services RME ne sont pas utiles ladministrateur.

45

Administration de la solution de scurit


Questions-rponses Q. De quoi est compose CiscoWorks VMS 2.1 ? R. CiscoWorks VMS inclut les modules suivants : Management and Monitoring Centers. CiscoWorks Management Center for Cisco PIX Firewalls (nouveau). CiscoWorks Management Center for IDS Sensors (nouveau). CiscoWorks Management Center for VPN Routers (nouveau). CiscoWorks Monitoring Center for Security (nouveau). CiscoWorks Auto Update Server (nouveau). CiscoWorks Common Services (nouveau). Cisco Secure Policy Manager (CSPM). CiscoWorks VPN Monitor. CiscoWorks Resource Manager Essentials (RME). CiscoView (CD-One). Q. Quelles sont les nouvelles fonctionnalits de VMS 2.1 compares celles de VMS 2.0 ? R. CiscoWorks VMS 2.1 est une release importante, et inclut six nouveaux Management/Monitoring Centers. De nouvelles fonctionnalits ont galement t ajoutes aux modules existants comme CSPM, Cisco IDS Host Sensor/Console, VPN Monitor, CiscoView/CD-One, et RME. La nouvelle architecture de VMS fournit aux utilisateurs une interface, un workflow, des dfinitions de rles (pouvant tre grs par ACS) communs. Une fonctionnalit fondamentale est galement lAuto Update Server, qui permet de nombreux PIX dtre grs et mis jour facilement et rapidement, ceci mme sils sont en adressage dynamique (ex : plusieurs 501&506 derrire des liens ADSL) : Ce sont les PIX remote qui vont rgulirement appeler lUpdate Server afin de vrifier si leur politique de scurit, leur OS, doit tre updat. Si cest le cas, ils se mettront jour automatiquement. La notion de hirarchisation des rgles permet aux administrateurs de dfinir des groupes dquipement et dimplmenter des politiques de scurit avec une notion dhritage, autorisant les politiques de scurit tre rpliques rapidement sur tous les quipements dun groupe, par exemple. Un workflow complet permet de contrler les changements et de les auditer, et sera particulirement utile pour les clients ayant par exemple des groupes dadministrateurs diffrents pour la scurit et le rseau. Role Based Access Control (RBAC) permet de grer intelligemment les privilges des utilisateurs de VMS de telle sorte que diffrents groupes peuvent avoir diffrents niveaux daccs certains quipements et/ou applications. Il est important de noter les limitations suivantes des Management Centers en premire version : - PIX MC ne supporte pas la configuration des VPN - Router MC ne supporte pas la configuration de lIOS Firewall Management and Monitoring Centers

46

Administration de la solution de scurit


Q. Si un client doit grer un parc de firewall PIX, que doit-il utiliser : PIX Management Center, ou Cisco Secure Policy Manager ? R. Nous encourageons les nouveaux clients de Cisco PIX Firewall utiliser le Management Center for Cisco PIX Firewalls pour grer leur parc de PIX. Q. Les Management Centers peuvent-il tre achets indpendamment de VMS ? R. Non, les Management Centers sont exclusivement disponibles au sein de VMS. Q. Quels quipements sont supports par CiscoWorks VMS 2.1 ? R. CiscoWorks VMS supporte les Cisco PIX Firewall, Cisco IOS routers, Cisco VPN Concentrator 3000, et Cisco IDS devices. Q. Quels sont les changements en terme de licence ? R. Cisco a simplifi la licence Restricted de VMS 2.1. La restriction est maintenant de 20 quipements rseau (firewalls, routeurs, VoN, et network IDS) pour tout VMS. Par exemple, il est possible de grer cinq PIX, sept routeurs IOS, deux concentrateurs VPN, et six sondes IDS. Pourquoi mettre en uvre ce produit ? Grer de nombreuses units de rseau diffrentes est susceptible de gnrer un conflit de configurations, entranant un effet ngatif sur l'intgrit du rseau et sur les oprations s'y droulant. En outre, les configurations de masse ncessitent gnralement un temps prcieux et le rsultat peut s'avrer dcevant, tout particulirement lorsque plusieurs types d'units et diverses technologies entrent en jeu. VMS centralise la configuration des services de scurit d'un rseau en appliquant des rgles dfinies. Cette technique pargne du temps en liminant le besoin de grer individuellement chaque unit. Elle ncessite moins d'efforts et de connaissances car sa mthode cohrente et uniforme de configuration de plusieurs types d'units ne ncessite aucune comptence particulire en terme de ligne de commande. Types de rseau L'utilisation de VMS peut s'avrer un atout prcieux pour les entreprises, moyennes ou grandes, qui dploient les produits de scurit rseau Cisco, de mme que pour les utilisateurs de firewalls Cisco Secure PIX, de sondes Cisco Secure IDS ou de routeurs utilisant le firewall Cisco IOS. Mise en uvre VMS doit tre plac un point stratgique du rseau interne disposant d'un accs vers toutes les units de scurit devant tre supervises. Ce produit doit disposer d'une connexion IP avec toutes les units supervises.

47

Administration de la solution de scurit


Equipements associs/ncessaires la mise en uvre PC avec Windows 2000 Professional ou Windows 2000 Server (les services Packs 2 et 3 sont supports) pour CiscoWorks Common Services, Cisco Secure Policy Manager, CiscoWorks Management Center for IDS Sensors, CiscoWorks Monitoring Center for Security, CiscoWorks Management Center for Cisco PIX Firewalls, CiscoWorks Management Center for VPN Routers et CiscoWorks Auto Update Server. Produits de scurit Cisco associs au logiciel appropri.

Pour de plus amples informations sur CiscoWorks VPN/Security Management Solution (VMS) : www.cisco.com/go/vms

48

PROGRAMME SECURITY ASSOCIATES

Section 6 PROGRAMME SECURITY ASSOCIATES

Section 6 PROGRAMME SECURITY ASSOCIATES

Programme Security Associates

Produits complmentaires Cisco Security Associates


Nous avons dvelopp le programme de marketing Security Associates dans le but d'assurer nos clients le plein potentiel de scurit des rseaux Cisco. Cisco associe ses produits de scurit de grande qualit aux solutions logicielles proposes par les grands noms du march. Ces produits associs ont fait l'objet de tests par Cisco et ont t reconnus non seulement compatibles avec les produits Cisco Secure, mais galement aptes produire une valeur ajoute spcifique aux rseaux Cisco. La combinaison des produits Cisco Secure et des produits de Security Associates vous permet de mettre en uvre les stratgies de scurit de dfense en profondeur les plus compltes possibles, grce auxquelles vous assurez votre activit et vos informations une protection optimale. Explorons la manire dont les solutions de scurit globale proposes par Cisco et les produits Security Associates vous permettent de scuriser entirement et efficacement un rseau professionnel. Les catgories de solutions Cisco Security Associates traitent des principales proccupations actuelles des entreprises utilisant un rseau : Authentification. Filtre sur le contenu/Recherche de virus. Outils de gestion/de rapport. Infrastructure de cl publique. Gestion distance. Solution VPN. Application de scurit.

Authentification Le systme CRYPTOCard CRYPTOAdmin complte l'ACS CiscoSecure pour assurer des services d'identification volus intgrant, par exemple, des mots de passe usage unique afin d'amliorer la scurit au niveau de l'authentification. Les systmes RSA Security ACE/Server et RSA Security ACE/SecurID scurisent l'accs aux produits Cisco en relation avec l'ACS CiscoSecure, assurant ainsi des services centraliss d'authentification deux cls. Secure Computing SafeWord est associ avec l'ACS CiscoSecure pour scuriser les transactions d'e-business l'aide de services d'authentification, d'autorisation et de vrification.
51

Programme Cisco Security Associates


Filtre sur le contenu / recherche de virus Trend Micro InterScan VirusWall assure une protection anti-virus pour le trafic SMTP, HTTP et FTP (File Transfer Protocol) sur les rseaux protgs par les firewalls Cisco Secure. Websense pour firewalls Cisco Secure PIX associ aux firewalls PIX permet un filtrage d'URL intgr et hautes performances du trafic Internet des employs. ZoneAlarm Pro tends la scurit du VPN jusquaux PC destinataires assurant ainsi la scurit totale de laccs distant. ZoneAlarm Pro propose des firewalls, des solutions de protection dintrusion et de gestion de la politique de scurit ainsi que des capacits dexcution tous les PC terminaux de lentreprise tendue.

52

Programme Security Associates


Outils de gestion / de rapport NetCom Systems netForensics est associ au systme IDS Cisco Secure pour assurer une analyse volue du journal et des alarmes, amliorant ainsi la visibilit des attaques du rseau. Solsoft NP est une solution d'administration visuelle qui simplifie la configuration de la scurit et des VPNs dans les rseaux htrognes. Aladdin, travers sa gamme eToken, propose des quipements compacts USB qui stockent les informations d'authentification des utilisateurs de VPN, leur permettant de les emmener partout avec eux de manire scurise. Solutions VPN MovianVPN v1.1 a t conu pour rpondre aux exigences de scurit des accs wireless et mobile aux VPN. Le client Certicom fonctionne avec une large gamme de gateways VPN, permettant ainsi aux entreprises dintgrer facilement et de manire scurise, des solutions wireless et mobile aux intranets. Application de scurit Le logiciel Tripewire for Servers s'assure de l'intgrit et de la scurit des donnes en indiquant aux utilisateurs, si, quand et comment le fichiers ont t modifis d'un tat reconnu bon un tat inconnu.

53

Programme Cisco Security Associates


Pour de plus amples informations sur les produits Cisco Security Associates : www.cisco.com/go/securityassociate Remarque : consultez le site Internet Security Associates pour connatre les versions certifies par le programme Security Associates.

54

REPRESENTATION GRAPHIQUE DES SOLUTIONS

Section 7 REPRESENTATION GRAPHIQUE DES SOLUTIONS

Section 7 REPRESENTATION GRAPHIQUE DES SOLUTIONS

Reprsentation graphique des solutions

Les reprsentations graphiques des solutions Cisco exposes dans cette section vous donnent les bases permettant de dvelopper les produits et technologies Cisco en fonction du type d'entreprise. Ces produits et technologies vous permettent de raliser des transactions d'e-business en toute scurit, grce une stratgie de dfense en profondeur.

Cette section prsente des exemples schmatiss de solutions de scurit de rseau pour les types d'entreprises suivants :
Grandes entreprises, Entreprises de taille moyenne, Petites entreprises, Entreprises de la nouvelle conomie, Fournisseurs de services.

57

Solutions pour les grandes entreprises


Le point d'entre de notre exemple utilise les sondes IDS de Cisco pour visualiser le flux de donnes et les routeurs VPN pour permettre la communication avec les bureaux des diffrents services et avec les partenaires commerciaux via Internet et IPsec. Les points de terminaison VPN et IPsec ne remettent pas en cause le respect des rgles d'activit car le firewall PIX est volutif et dot de la fonction de basculement. Grce la combinaison du firewall Cisco IOS et des technologies IDS, les bureaux des diffrents services bnficient d'une protection de dfense en profondeur. L'IDS est galement positionn autour des dispositifs firewall pour renforcer et tester les rgles de scurit de l'entreprise. Les concentrateurs VPN 3000 de Cisco sont utiliss pour accder distance aux services VPN.

58

Reprsentation graphique des solutions

Solutions pour les entreprises de taille moyenne


La plupart des intervenants sur site de nos clients accdent au rseau via des routeurs VPN, ce qui leur confre un accs intgral aux rseaux internes. Ceux-ci peuvent tre grs par le VMS. Une solution de firewall milieu de gamme (le firewall PIX 515E par exemple) assure une scurit de primtre une entreprise de taille moyenne.

59

Solutions pour les petites entreprises


Les routeurs VPN Cisco 1700, solutions idales pour les PME, prennent en charge la voix et IPsec, entre autres technologies de scurit. Le firewall PIX 506E ou 515E assure une puissance de traitement amplement suffisante aux petites entreprises. Grce l'intgration d'un IDS la sortie, la visibilit du flux de donnes indique aux responsables du rseau les ventuelles violations du systme de scurit. L'analyse de la vulnrabilit permet d'valuer la scurit du rseau de manire proactive et continue.

60

Reprsentation graphique des solutions

Solutions pour les entreprises de la nouvelle conomie


Les start up sont une cible privilgie des pirates informatiques et, de plus, leur activit repose entirement sur la disponibilit des rseaux. Elles doivent, en loccurence, laborer une structure de dfense en profondeur. C'est pourquoi nous leur proposons de protger leurs transactions l'aide d'un firewall double associ un systme d'IDS. Les rseaux utiliss par les start-up internet tant un lment crucial de leur activit, les solutions de firewall PIX et d'IDS Cisco Secure reprsentent des lments de scurit fondamentaux. Les intervenants sur site peuvent utiliser un VPN client pour accder aux rseaux des entreprises, des clients et se connecter un partenaire commercial.

61

Solutions pour les fournisseurs de services


Le fait de dvelopper Cisco IOS et de connecter des routeurs VPN partir de leurs POP permet aux htes de transporter des donnes sur d'autres rseaux et de proposer leurs clients des firewalls et des systmes de dtection d'intrusion pour protger les services offerts leurs clients.

62

GLOSSAIRE

Section 8 GLOSSAIRE

Section 8 GLOSSAIRE

Glossaire
Terminologie VPN et scurit A
AAA (Authentication, authorization, and accounting) : Elments de scurit gnralement utiliss pour offrir un accs scuris aux ressources : Authentication (Authentification) : validation de l'identit d'un utilisateur ou d'un systme (hte, serveur, commutateur ou routeur). Authorization (Autorisation) : moyen permettant d'accorder l'accs un rseau un utilisateur, un groupe d'utilisateurs, un systme ou un programme. Accounting (Gestion) : processus permettant d'identifier l'auteur ou la cause d'une action spcifique, tel que le pistage des connexions d'un utilisateur et la journalisation des utilisateurs du systme. Analyse de risque : Processus comprenant l'identification des risques en matire de scurit, leur impact et l'identification des zones ncessitant une protection. Attaque par interruption de service (DoS) : Action malveillante visant empcher le fonctionnement normal de tout ou partie d'un rseau ou d'un systme hte. Cette attaque peut tre compare une personne qui composerait sans arrt le mme numro de tlphone pour saturer cette ligne. Attaque SMURF (camouflage) : Attaque malveillante consistant envoyer un grand nombre de paquets ping "spoofs" vers des adresses broadcast, afin d'amplifier le nombre de paquets par la rponse vers les adresses "spoofes". Cette technique offre des possibilits de saturation exponentielles, selon le nombre d'htes rpondant la requte. Autorit de certification (CA) : Entit de confiance charge de signer les certificats numriques et d'attester de l'identit d'autres utilisateurs autoriss.

65

Terminologie VPN et scurit C


CBAC (Context-Based Access Control) : Fonction intgre au logiciel IOS de Cisco offrant le filtrage avanc de session de paquets pour tout le trafic routable. En configurant des ACL, il est possible d'autoriser ou de refuser le traitement ou le transfert du trafic. CERT (Computer Emergency Response Team) : Organisation officielle d'administrateurs systme s'occupant essentiellement de problmes lis la scurit des systmes et des rseaux informatiques. Certificat : Message sign numriquement au moyen d'une cl prive d'une tierce partie de confiance (voir autorit de certification) et indiquant qu'une cl publique spcifique appartient une personne ou un systme possdant un nom et un ensemble d'attributs prcis. CHAP (Challenge Handshake Authentication Protocol) : Protocole d'authentification permettant d'empcher les accs non autoriss. Le protocole CHAP authentifie et identifie l'entit distante. Le routeur ou le serveur d'accs dtermine ensuite si l'utilisateur peut tre autoris accder au rseau. Cl cryptographique : Code numrique servant au cryptage, au dcryptage et la signature d'informations. Cl prive : Code numrique utilis pour dcrypter les donnes et vrifier les signatures numriques. Cette cl doit demeurer secrte et ne doit tre connue que de son propritaire. Cl publique : Code numrique utilis pour dcrypter les donnes et vrifier les signatures numriques. Cette cl peut tre diffuse librement. Compromission : Dans le domaine de la scurit informatique, ce terme signifie l'attaque d'un rseau par la violation de la politique de scurit. Concentrateur VPN : Plate-forme matrielle permettant la mise en place de connexions rseaux prives bouten-bout via une infrastructure rseau publique et offrant un accs distant ou une connectivit site site.

66

Glossaire
Concentrateur VPN : Plate-forme matrielle permettant la mise en place de connexions rseaux prives bouten-bout via une infrastructure rseau publique et offrant un accs distant ou une connectivit site site. Confidentialit des donnes : Moyen permettant de garantir que seules les entits autorises peuvent voir les paquets de donnes dans un format intelligible. Processus de protection des donnes d'un rseau contre l'espionnage ou l'altration. Dans certains cas, la sparation des donnes l'aide de technologies de tunnellisation, telles que GRE (generic routing encapsulation) ou le L2TP (Layer 2 Tunneling Protocol), offre une confidentialit des donnes efficace. Toutefois, il est parfois ncessaire d'augmenter la confidentialit l'aide de technologies de cryptage numrique et de protocoles tels que Ipsec, en particulier lors de la mise en uvre de VPN. Contrle d'accs : Limitation du flux de donnes des ressources d'un systme uniquement vers les personnes, programmes, processus autoriss ou vers d'autres systmes du rseau. Les ensembles de rgles de contrle d'accs des routeurs Cisco sont appeles listes de contrle d'accs ou ACL. Contrle de la scurit : Procdure de scurisation du rseau au moyen de tests rguliers et de SPA (Security Posture Assessments). Cryptage : Codage des donnes empchant leur lecture par une autre personne que le destinataire prvu. De plus, les donnes sont uniquement lisibles aprs avoir t correctement dcryptes. Cryptographie : Science de l'criture et de la lecture de messages cods.

67

Terminologie VPN et scurit D


DES (Data Encryption Standard) : Systme de cryptage cl secrte normalis par le National Institute of Standards and Technology (voir NIST et Triple DES). Diffie Hellman : Systme cl publique permettant deux utilisateurs ou quipements rseau d'changer des cls publiques via un support non scuris. DSS (Digital Signature Standard) : Algorithme de signature numrique dvelopp par la National Security Agency (voir NSA).

EH
En-tte d'authentification : En-tte IPsec permettant de vrifier que le contenu d'un paquet n'a pas t modifi pendant le transport. Filtrage : Recherche dans le trafic rseau de certaines caractristiques, telles que l'adresse source, l'adresse de destination ou le protocole, afin de dterminer, selon les critres dfinis, si le trafic de donnes concern est accept ou bloqu. Filtrage de paquets : Mcanisme de contrle paquet par paquet du trafic routable. GRE (Generic Routing Encapsulation) : Protocole de tunnellisation dvelopp par Cisco permettant d'encapsuler des paquets utilisant de nombreux protocoles diffrents dans des tunnels IP, afin de crer un lien point point virtuel entre des points distants et des routeurs Cisco via un rseau IP. Hack : Mthode utilise pour obtenir l'accs illgal et non autoris un rseau, en vue de drober des documents ou des donnes confidentielles ou par simple dmonstration technique. HSRP (Hot Standby Router Protocol) : Permet aux stations de travail utilisant IP de communiquer sur l'interrseau mme si leurs routeurs par dfaut sont indisponibles. Ce protocole garantit une disponibilit leve du rseau et un changement de topologie rseau totalement transparent.
68

Glossaire
IJ
Identit : Identification prcise des utilisateurs, htes, applications, services et ressources du rseau. Les nouvelles technologies, telles que les certificats numriques, les cartes puces, les services rpertoire jouent un rle de plus en plus important dans les solutions d'identification. IDS (Intrusion Detection System) : Sentinelle de scurit en temps rel (semblable un dtecteur de mouvement) protgeant le primtre du rseau, les extranets et les rseaux internes de plus en plus vulnrables. Les systmes IDS analysent le flux de donnes du rseau la recherche de signatures d'attaques ou d'activits considres comme non autorises, dclenchent l'alarme et lancent les actions ncessaires face cette activit. IETF (Internet Engineering Task Force) : Organisme de normalisation responsable de la conception de protocoles pour Internet. Les publications mises par l'IETF s'intitulent des RFC (Request for Comments). Intgrit : Moyen permettant de garantir que les donnes n'ont pas t modifies, si ce n'est par les personnes explicitement autorises le faire. Le terme "intgrit du rseau" signifie qu'aucun service ou aucune activit contraire la politique de scurit n'est permise. Intgrit des donnes : Processus permettant de garantir que les donnes n'ont pas t modifies ou dtruites lors du transport via le rseau. IP (Internet Protocol) : Protocole bas sur l'utilisation de paquets permettant l'change de donnes via des rseaux informatiques. IPsec : Ensemble de normes de scurit offrant des services de confidentialit et de d'authentification au niveau de la couche IP (Internet Protocol). ISAKMP (Internet Security Association and Key Management Protocol) : Protocole de gestion de cls pour IPsec. Ce protocole, ncessaire la mise en uvre complte de IPsec, est galement appel IKE (Internet Key Management).

69

Terminologie VPN et scurit KN


Kerberos : Protocole d'authentification rseau cl secrte dvelopp par le MIT (Massachusetts Institute of Technology), bas sur l'utilisation de l'algorithme de cryptage DES pour le cryptage et une base de donnes de cls centralise pour l'authentification. L2F (Layer 2 Forwarding Protocol) : Protocole grant la mise en place de rseaux virtuels privs commuts via Internet. L2TP (Layer 2 Tunneling Protocol) : Norme IETF combinant les caractristiques du protocole L2F de Cisco (Layer 2 Forwarding Protocol) et le protocole PPTP de Microsoft (Point-to-Point Tunneling Protocol) pour la mise en uvre des VPN. L2TP/IPsec (Layer 2 Tunneling Protocol over IPsec) : Protocole VPN de Windows 2000 combinant accs distant (L2TP) et scurit (IPsec). MD5 (Message Digest 5) : Algorithme de hachage utilis pour l'authentification de donnes et la vrification de l'intgrit des communications. NAT (Network Address Translation) : Mcanisme consistant convertir une adresse IP en une autre. Le NAT est essentiellement utilis pour connecter un espace d'adressage interne utilisant un protocole diffrent d'un autre rseau, tel qu'Internet. NDS (Novell Directory Services) : Systme de nommage gnral pour les environnements Novell contenant des informations relatives un rseau, en particulier les objets de ce rseau. NIST (National Institute of Standards and Technology) : Agence gouvernementale amricaine tablissant des normes techniques l'chelle nationale. Non-rpudiation : Caractristique d'un systme cryptographique permettant d'empcher qu'un expditeur puisse nier ultrieurement avoir envoy un message ou effectu une action spcifique.

70

Glossaire
NSA (National Security Agency) : Agence gouvernementale amricaine charge de contrler et de dcoder toutes les communications manant de pays trangers et susceptibles de concerner la scurit des Etats-Unis.

P
PAP (Password Authentication Protocol) : Protocole d'authentification permettant des postes PPP de s'authentifier les uns auprs des autres. Le routeur distant qui effectue une tentative de connexion sur le routeur local doit envoyer une requte d'authentification. Contrairement CHAP, PAP ne crypte pas le mot de passe et le nom d'hte ou d'utilisateur. PAP dtermine si un mot de passe est valide ou non. Firewall : Systme matriel ou logiciel utilis pour contrler le trafic de donnes entre deux rseaux. Primtre de scurit : Primtre dans lequel des contrles de scurit sont effectus afin de protger les quipements rseau. Ping : Commande permettant de dterminer la prsence et l'tat de fonctionnement d'un autre systme. Ping of Death (Ping de la mort) : Attaque par interruption de service (DoS) consistant en l'envoi d'un paquet ping de taille surdimensionne, dans le but d'entraner le blocage de la machine rceptrice lors de la tentative de rassemblage du paquet de donnes surdimensionn. PKI (Public Key Infrastructure) : Infrastructure de gestion de cls offrant un environnement sr et fiable. Politique de scurit : Ensemble de directives de haut niveau permettant de contrler le dploiement des services rseau. La maintenance et l'audit du rseau font galement partie de la politique de scurit.

71

Terminologie VPN et scurit


PPP (Point-to-Point Protocol) : Protocole normalis d'encapsulation de paquets IP via des liens point point. PPTP (Point-to-Point Tunneling Protocol) : Norme IETF soutenue par Microsoft pour la mise en uvre des VPN partir du systme d'exploitation Windows 95/98 vers une passerelle VPN. Proxy : Equipement (mandataire) effectuant une tche la place d'un autre quipement. Dans le domaine des firewalls, le proxy est un processus effectuant un certain nombre de contrles sur le trafic entrant. Ce mcanisme peut nuire aux performances du firewall.

R
RADIUS (Remote Access Dial-In User Service) : Protocole dvelopp par Livingston Enterprises Inc., utilis comme protocole d'authentification et de gestion de serveur d'accs. Rinitialisation TCP : Rponse possible une attaque de hacker d'une sonde Cisco Secure IDS ou d'un routeur Cisco IOS Firewall. Une commande est mise par ces quipements afin d'arrter la connexion par laquelle l'attaque est effectue, obligeant ainsi l'attaquant tablir une nouvelle connexion. Routeur VPN : Routeur destin tre install dans les locaux du client. Ce type de routeur prend en charge la fonctionnalit VPN et offre des performances VPN optimales sur diffrents types de supports physiques et densits de ports. RSA (Rivest, Shamir, Adelman) : Algorithme de cryptage cl publique permettant de crypter ou de dcrypter des donnes et d'appliquer ou de vrifier une signature numrique.

S
Scanneur : Application professionnelle permettant l'utilisateur d'identifier et de corriger les failles dans la scurit du rseau avant qu'un hacker ne le dcouvre. SHA (Secure Hash Algorithm) : Algorithme de hachage utilis pour l'authentification et la vrification de l'intgrit des communications.
72

Glossaire
Shunning : Reconfiguration dynamique par un routeur Cisco de ses ACL afin de stopper toute attaque dtecte et de bloquer toute nouvelle transmission de donnes de/vers l'adresse IP "attaquante", pour un laps de temps donn. Signature d'attaque : Systme d'identification d'activit malveillante sur le rseau. Les paquets de donnes entrants sont examins en dtail la recherche de modles logarithmiques identiques. Signature numrique : Chane de bits ajoute un message lectronique (hachage crypt) permettant l'authentification et l'intgrit des donnes. Spoofing (usurpation) : Tentative d'accs un systme rseau par usurpation (utilisateur, systme ou programme autoriss).

TV
TACACS+ (Terminal Access Controller Access Control System Plus) : Protocole AAA principalement utilis pour la gestion des connexions commutes. Triple DES : Algorithme DES combin une, deux ou trois cls pour le cryptage/dcryptage de paquets de donnes. Tunnel : Connexion scurise et crypte entre deux points passant par un rseau public ou tiers. VPN (Rseau priv virtuel) : Rseau garantissant un trafic IP scuris via un rseau TCP/IP public grce au cryptage des donnes entre les deux rseaux concerns. Le VPN utilise la tunnellisation pour crypter les informations au niveau IP. VRRP (Virtual Router Redundancy Protocol) : Gre le basculement automatique d'une plate-forme une autre au sein d'une installation redondante.

73

Terminologie VPN et scurit


Vulnrabilit : Faille au niveau des procdures de scurit, de la conception ou la mise en uvre du rseau, pouvant tre exploite pour contourner la politique de scurit d'une entreprise. WINS (Windows Internet Naming Service) : Permet des clients de sous-rseaux IP diffrents de s'enregistrer dynamiquement et de naviguer sur le rseau sans recourir au broadcast.

Pour de plus amples informations :


Scurit : VPN pour l'entreprise : www.cisco.com/go/security www.cisco.com/go/evpn

74

Cisco Systems Europe 11, rue Camille Desmoulins 92782 Issy les Moulineaux Cedex 9 - France Tl. : +33 (0)1 58 04 60 00 Fax : +33 (0)1 58 04 61 00

www.cisco.fr

Copyright 2000 Cisco Systems, Inc. Tous droits rservs. NetSonar et PIX sont des marques, et Catalyst, IOS, NetRanger, Cisco, Cisco IOS, Cisco Systems, ainsi que le logo Cisco Systems sont des marques commerciales de Cisco Systems, Inc. ou de ses reprsentants aux Etats-Unis et dans dautres pays. Toutes les autres marques commerciales mentionnes dans le prsent document sont la proprit de leur propritaire respectif. Lutilisation du terme "partenaire" ne fait pas rfrence un partenariat commercial entre Cisco et toute autre entreprise. (0005R) N doc. : 954913 ETMG-LW 08/00