Académique Documents
Professionnel Documents
Culture Documents
Le march de la scurit est estim plus de 2,5 milliards de dollars en Europe lhorizon 2001
Atelier technologique du 7 dcembre 1999 : La politique de scurit des systmes d information
Appliance
Midrange
High Security
$250 $200
$150
$100 $50 $0
1997 1998 Source : Gartner Group 1999 2000 2001 2002
Atelier technologique du 7 dcembre 1999 : La politique de scurit des systmes d information
Agenda
Dfinir une politique de scurit Les technologies de la scurit Administration Scurit des accs Intgrit des changes Dtection dintrusion Evaluation de la vulnrabilit du rseau
Atelier technologique du 7 dcembre 1999 : La politique de scurit des systmes d information
Politique de Scurit
Politique de scurit
O se trouve linformation?
Quelle information doit tre protge?
Roue de la scurit
Solution de scurit intgre globale, permettant lentreprise de minimiser et de grer le risque
2)
CONCEVOIR / SECURISER
GERER et AMELIORER
5)
3)
TESTER
4)
SURVEILLER ET REPONDRE
La scurit cest
Intrusion Detection Sensor Intrusion Detection Sensor Scanner Intrusion Detection Director
Central de surveillance gardien Serrures traditionnelles Camra de surveillance
Card Key
CiscoSecure ACS
Authentification
CiscoSecure ACS pour NT ou Unix
Cisco Network Registrar
Audit Actif
CiscoSecure Scanner CiscoSecure Intrusion Detection System
Politique de Scurit
CiscoSecure Policy Manager
Atelier technologique du 7 dcembre 1999 : La politique de scurit des systmes d information
Agenda
Dfinir une politique de scurit Les technologies de la scurit Administration Scurit des accs Intgrit des changes Dtection dintrusion Evaluation de la vulnrabilit du rseau
Atelier technologique du 7 dcembre 1999 : La politique de scurit des systmes d information
Internet
Pare-feu Serveurs externes Clients et associs
Rduire les erreurs de saisie des commandes Augmenter le bnfice net Amliorer le traitement des commandes Rduire les stocks
Internet
Pare-feu Serveurs extrieurs Clients et associs
Cacher les adresses internes Filtrer et valider les informations de routage Filtrage et pare-feu des privilges des utilisateurs Audit de mise en uvre de la scurit Chiffrement des informations confidentielles Surveillance active des intrusions
Identit
Identifier correctement et de manire unique les utilisateurs, les applications, les services et les ressources
Nom dutilisateur/mot de passe, PAP, CHAP, serveur AAA, mot de passe usage unique, RADIUS, TACACS+, Kerberos, MS-login, certificats , services dannuaire, translation des adresses rseau
Atelier technologique du 7 dcembre 1999 : La politique de scurit des systmes d information
IntgritScurit priphrique
Contrler laccs aux applications, donnes et services de rseau critiques
Listes de contrle daccs, technologies firewall, chiffrement, filtrage du contenu, CBAC
Atelier technologique du 7 dcembre 1999 : La politique de scurit des systmes d information
Internet
10.0.0.1
10.0.0.1 10.0.0.2
171.69.58.80 171.69.58.81
Permet la translation dynamique ou statique dadresses prives en adresses publiques Permet dviter la renumrotation Permet dconomiser les adresses publiques (PAT) Masque les adresses internes Translation la vole des requtes DNS A et PTR
Atelier technologique du 7 dcembre 1999 : La politique de scurit des systmes d information
Permet l'tablissement des connexions en ouvrant temporairement les ports en fonction de l'inspection des donnes
Paquets de retour autoriss seulement pour des connexions particulires par une liste de contrle d'accs temporaire
Backbone Campus
Serveur Finance
Filtre par listes daccs (ACL) Support par tous les routeurs Cisco
1026
#1
Le routeur observe les connexions sortantes Cre dynamiquement des ACL entrantes pour les adresses IP et les N de port
Atelier technologique du 7 dcembre 1999 : La politique de scurit des systmes d information
Blocage Java
Requte HTTP
N
Rponse Inspect. serveur Inspect Port Command Pas signature JavaLaisser passer
Client Web
Serveur Web
CBAC surveille les statistiques et conditions suivantes : Total des demi-connexions Taux de nouvelles connexions entrantes par minute Temps mis pour l'tablissement des connexions TCP Comptage des paquets pour recherche de paquets syn dupliqus Numros de squence des paquets
Atelier technologique du 7 dcembre 1999 : La politique de scurit des systmes d information
Envoi de messages syslog la console de gestion centrale en cas de dtection d'activit suspecte Alertes d'attaques de refus de service, d'attaques de commande SMTP ou refus dapplets Java Alertes automatiques en cas d'activation de la prvention d'attaques Alertes configurables par l'outil de gestion syslog
Intgr dans les routeurs : 8OO, 1600, 1700, 2500, 2600, 3600, et 7200
PIX 515
Cot plus faible, caractristiques PIX minimales Pas de licence base sur la session Chssis simple rack Deux ports Ethernet 10/100 intgrs 64 Mo de RAM pour plus de 128.000 sessions simultanes Conu pour un petit bureau ou un environnement applications simples Logiciel version 4.4 PIX 515-R 32 Mo Restrictions Pas de failover automatique Interfaces max. limites Ethernet seul PIX 515-UR 64 Mo Pas de restrictions
CiscoSecure
5. PIX Firewall connecte directement l'utilisateur la ressource
Atelier technologique du 7 dcembre 1999 : La politique de scurit des systmes d information
Agenda
Dfinir une politique de scurit Les technologies de la scurit Administration Scurit des accs Intgrit des changes Dtection dintrusion Evaluation de la vulnrabilit du rseau
Atelier technologique du 7 dcembre 1999 : La politique de scurit des systmes d information
Policy Process:
Policy Manager(s) Define Enforce Audit
Database
Directory
AAA Server
Certificate Authority
VPN Clients
Routers
PIX Firewalls
Sensors
Access Servers
Cisco Secure
Larchitecture de scurit
www.cisco.fr
38
Schma du rseau
192.10.10.1 192.10.11.1 10.10.10.10 Windows NT 3640 172.10.11.1 192.10.11.2 192.10.10.10 Windows 95
1720
INSIDE
172.10.11.2
OUTSIDE
PIX Firewall 172.10.12.1
DMZ
10.1.6.3 SUN Atelier technologique du 7 dcembre 1999 : La politique de scurit des systmes d information
Larchitecture de scurit
192.10.10.1 192.10.11.1 10.10.10.10 ACS / CSPM Scanner 3640 172.10.11.1 192.10.11.2 192.10.10.10 IPSEC 1720 VPN Client
INSIDE
172.10.11.2
OUTSIDE
PIX Firewall 172.10.12.1
DMZ
10.1.6.15 Sensor
10.1.6.3 Director
Agenda
Dfinir une politique de scurit Les technologies de la scurit Administration Scurit des accs Intgrit des changes Dtection dintrusion Evaluation de la vulnrabilit du rseau
Atelier technologique du 7 dcembre 1999 : La politique de scurit des systmes d information
Autorisation
Configure lintgrit quavezvous le droit de faire ?
Accounting
Facilite lauditquavez-vous fait ?
Atelier technologique du 7 dcembre 1999 : La politique de scurit des systmes d information
CiscoSecure ACS
Authentification, Autorisation, Accounting (AAA) Base de donnes centralise Rapport dactivit
Visualisation des utilisateurs connects et des essais infructueux.
CiscoSecure ACS
Authentification centrale et autorisation utilisateurs distants RADIUS et TACACS+ Permission heure du jour et jour de la semaine
Serveur AAA
Serveur daccs rseaux Rseau Public Utilisateur mobile
TACACS+ RADIUS
Serveur AAA
ID/User Profile ID/User Profile ID/User Profile
Intercept Connections
Campus
Internet
Utilisateur Internet Gateway Router Firewall
Agenda
Dfinir une politique de scurit
Elments CSIDS
Sensor
Director
Haute Performance
Caractristiques de CSIDS
Arrte immdiatement les utilisations abusives
Reconfiguration sur-le-champ des listes de contrle d'accs du routeur Cisco pour carter les intrus
Architecture CSIDS
Director
* Logiciel *
Sensor
* Appareil *
Comm
Gestion des capteurs distants Traitement des alarmes Contrle de configuration Contrle de signature
Systme expert BD de signatures des attaques Dtection des attaques Gnration des alarmes Rponse Un par segment rseau
CSIDS Sensor
Hautes performances
Ethernet, Fast Ethernet, 100BaseT, Token Ring, FDDI Systme d'exploitation robuste, fiable
Appareil "Plug-and-play"
Pas de formation spciale, pas d'ennuis (vs SW/HW) Faible cot par rapport la dure de vie du produit Configuration par dfaut disponible Pas de licencedplaable volont
CSIDS Director
GUI orientation gographique BD scurit du rseau
Informations sur les attaques, liens autom., contre-mesures Personnalisable
Magique
Cisco Secure
Scanner
Presentation_ID
www.cisco.fr
55
Identifie les attaques et les points de vulnrabilit du rseau dentreprise et recommande des solutions
Dcouverte rseau
Actif
Email Svr Pare-feu Web Svr
SMTP FTP
Inactif
Postes de travail
Identification de vulnrabilit
Techniques passives et actives Vulnrabilit infrastructure et rseau Non-intrusive
62
Agenda
Introduction la terminologie et au techniques du chiffrement
Introduction IPSEC
Architecture du protocole IPSEC
Algorithme et cl
Une cl est un paramtre utilis par un algorithme de chiffrement pour chiffrer les donnes Aprs chiffrement, soit la mme cl (chiffrement symtrique) soit une cl complmentaire (algorithme asymtrique) est utilise pour dcrypter le ciphertext.
Cl publique, cl prive
Une cl prive est une cl qui est seulement connue de celui qui la possde Une cl publique est connue de tous mais appartient un unique individu Les donnes chiffres avec ma cl publique peuvent uniquement tre dcrypte avec ma cl prive . Les donnes chiffres avec ma cl prive peuvent uniquement tre dcrypte avec ma cl publique . Quand Alice envoie des donnes Bob et ne veut pas que quelquun dautre en prenne connaissance, elle chiffre avec la cl public de Bob puis chiffre le rsultat avec sa propre cl prive. Bob reoit le ciphertext, le decrypte avec la cl publique dAlice (ce qui confirme que les donnes viennent bien dAlice) et dcrypte nouveau avec sa propre cl prive.
large key space: le pirate connait lalgorithme mais lespace des cls est trop grand pour pouvoir trouver la cl et dchiffrer lalgorithme
Le Key space pour un chiffrement de 56 bits est 2^56 soit 72 millions de milliards de cls
Atelier technologique du 7 dcembre 1999 : La politique de scurit des systmes d information
Hash
Hash recipient
Publi c Key
Ha sh
Ha sh
? ?
Ha sh
Processus de certification
Get signed Public key for Bob from CA
CA Server
Internet
Alice
Bob
Certificats
peer name peer public key expiration date other info
signature by the CA
Les certificats ne sont pas secrets structure ITU X.509 v3 ou PKCS#6 (S/MIME, SSL, EAP-TLS, )
Atelier technologique du 7 dcembre 1999 : La politique de scurit des systmes d information
Agenda
Introduction la terminologie et au techniques du chiffrement Introduction IPSEC Architecture du protocole IPSEC
Quest-ce quIPSEC
IPSEC pour IP Security Protocol de niveau 3 dvelopp pour la securit A security protocol in the network layer will be developed to provide cryptographic security services that will flexibly support combinations of authentication, integrity, access control, and confidentiality (IETF)
Atelier technologique du 7 dcembre 1999 : La politique de scurit des systmes d information
Pourquoi IPSEC?
intranet
internet
Agenda
Introduction la terminologie et au techniques du chiffrement Introduction IPSEC Architecture du protocole IPSEC Scnarios dimplmentation IPSEC Troubleshooting IPSEC Plateformes Management
Atelier technologique du 7 dcembre 1999 : La politique de scurit des systmes d information
IKE
Internet key Exchange protocol
ngociation des paramtres du protocole change cls (Diffie Hellman) authentification des deux cots gestion des cls aprs change
IKE (....)
4. Paquet mis de Alice vers 1. Paquet sortant de Alice vers Bob. sans IPSec SA Bob protg par SA IPSec IPSec
Alices router
IPSec
Bobs router
IKE
IKE Tunnel
IKE
Ngociation IKE
Algorithme de chiffrement, Algorithme dauthentification, et Mthode d Authentication
3DES, MD5, et RSA Signatures, OU IDEA, SHA, et DSS Signatures, OU Blowfish, SHA, et RSA Encryption IDEA, SHA, et DSS Signatures
Alice
Bob
IKE
IKE
l protocole IPSEC: ESP, AH
Alice
Echange de cl automatique
Certification Authority le peer doit prouver son authenticit devant le CA le CA signe le certificat
Echange de cl automatique
scalable: n peers => n authentification et n certificats
Certification Authority authentications
AH Authentication Header
Datagramme IP dorigine
IP header other headers and payloads
secret key
IP header
Auth. header
Datagramme IP authentifi
Atelier technologique du 7 dcembre 1999 : La politique de scurit des systmes d information
ESP
Authentification de la source
secret key
chiffrement
IP header
ESP header
Mouveau header IP
new IP header
secret key
chiffrement
new IP header ESP header
IP header
Sniffing possible
Sniffing possible
Sniffing impossible
Atelier technologique du 7 dcembre 1999 : La politique de scurit des systmes d information
Sniffing possible
Sniffing impossible
Atelier technologique du 7 dcembre 1999 : La politique de scurit des systmes d information
Agenda
Introduction la terminologie et au techniques du chiffrement
Introduction IPSEC
Architecture du protocole IPSEC Scnari dimplmentation IPSEC Troubleshooting IPSEC Plateformes
Management
Atelier technologique du 7 dcembre 1999 : La politique de scurit des systmes d information
Scnari de design
Router vers Firewall
PC vers Router
une Router vers Atelier technologique du 7 dcembre 1999 : La politique de scurit des systmes d information plusieurs
Si cette interfacea une crypto map configure, aller vers cette crypto map
Aller laccess list spcifie dans la crypto map Si le trafic matche laccess list alors ngocier le tunnel IPSEC avec le peer spcifi dans la crypto map base sur le transform set et la politique ISAKMP
100.126.125.53
100.126.125
internet
172.16.1.30
172.21.1.30
Encrypt
access-list 101 permit ip 172.16.0.0 0.0.255.255 172.21.0.0 0.0.255.255 access-list 116 deny ip 172.16.0.0 0.0.255.255 172.21.0.0 0.0.255.255 access-list 116 permit ip 172.16.0.0 0.0.255.255 any
route-map 16map permit 10 match ip address 116 1 2 (please not that we are not doing NAT for the traffic going to the IPSEC tunnel, but only to the rest of the internet)
access-list 101 permit ip 172.21.0.0 0.0.255.255 172.16.0.0 0.0.255.255 access-list 121 deny ip 172.21.0.0 0.0.255.255 172.16.0.0 0.0.255.255 access-list 121 permit ip 172.21.0.0 0.0.255.255 any
route-map remote21 permit 10 match ip address 121
4 3
20.20.20.21
20.20.20.20
internet
50.50.50.50
60.60.60.60
Encrypt
wan2511# wan2511(config)#crypto key pubkey-chain rsa wan2511(config-pubkey-chain)#named-key wan2516.cisco.com wan2511(config-pubkey-key)#key-string Enter a public key as a hexidecimal number .... wan2511(config-pubkey)#$86F70D 01010105 00034B00 30480241 00DC3DDC 59885F14 wan2511(config-pubkey)#$D918DE FC7ADB76 B0B9DD1A ABAF4884 009E758C 4064C699 wan2511(config-pubkey)#$220CB9 31E267F8 0259C640 F8DE4169 1F020301 0001 wan2511(config-pubkey)#quit wan2511(config-pubkey-key)#^Z wan2511# wan2511#sh crypto key pubkey-chain rsa Key name: wan2516.cisco.com Key usage: general purpose Key source: manually entered Key data: 305C300D 06092A86 4886F70D 01010105 00034B00 30480241 00DC3DDC 59885F14 1AB30DCB 794AB5C7 82D918DE FC7ADB76 B0B9DD1A 2
ip classless ip route 0.0.0.0 0.0.0.0 10.11.19.254 ip route 60.0.0.0 255.0.0.0 20.20.20.20 access-list 133 permit ip 50.50.50.0 0.0.0.255 60.60.60.0 0.0.0.255 4 3
Enter a public key as a hexidecimal number .... wan2516(config-pubkey)#$86F70D 01010105 00034B00 30480241 00E9007B E5CD7DC8 wan2516(config-pubkey)#$C972AD 0CCE9796 86797EAA B6C4EFF0 0F0A5378 6AFAE43B wan2516(config-pubkey)#$741E82 5D9053C4 D9CFABC1 AB54E0E2 BB020301 0001 wan2516(config-pubkey)#quit wan2516(config-pubkey-key)#^Z wan2516#sh crypto key pubkey rsa Key name: wan2511.cisco.com Key usage: general purpose Key source: manually entered Key data: 305C300D 06092A86 4886F70D 01010105 00034B00 30480241 00E9007B E5CD7DC8 6E1C0423 92044254 92C972AD 0CCE9796 86797EAA B6C4EFF0 0F0A5378 6AFAE43B 3A2BD92F 98039DAC 08741E82 5D9053C4 D9CFABC1 AB54E0E2 BB020301 0001
6E1C0423 92044254 92C972AD 0CCE9796 86797EAA B6C4EFF0 0F0A5378 6AFAE43B 3A2BD92F 98039DAC 08741E82 5D9053C4 D9CFABC1 AB54E0E2 BB020301 0001 quit
interface Loopback0 ip address 70.70.70.1 255.255.255.0 no ip route-cache no ip mroute-cache interface Ethernet0 ip address 60.60.60.60 255.255.255.0 interface Serial0 ip address 20.20.20.20 255.255.255.0 encapsulation ppp clockrate 2000000 crypto map test ip default-gateway 20.20.20.21 ip classless ip route 0.0.0.0 0.0.0.0 20.20.20.21 access-list 144 permit ip 60.60.60.0 0.0.0.255 50.50.50.0 0.0.0.255 3
internet
lab-isdn1 40.40.40.40 lab-isdn 20.20.20.20
Encrypt
hostname lab-isdn1
ca certificate chain bubba certificate 3E1ED472BDA2CE0163FB6B0B004E5EEE 308201BC 30820166 A0030201 0202103E 1ED472BD A2CE0163 FB6B0B00 4E5EEE30
ip domain-name cisco.com
interface Ethernet0 ip name-server 171.68.10.70 ip address 40.40.40.40 255.255.255.0 ip name-server 171.68.122.99 crypto ipsec transform-set mypolicy ah-sha-hmac espdes esp-sha-hmac crypto map test 10 ipsec-isakmp set peer 12.12.12.12 set transform-set mypolicy match address 144 crypto ca identity bubba enrollment url http://ciscoca-ultra crl optional crypto 1 Interface BRI0 ip address 12.12.12.13 255.255.255.0 encapsulation ppp no ip mroute-cache dialer idle-timeout 99999 dialer map ip 12.12.12.12 name lab-isdn 4724171 dialer hold-queue 40 dialer-group 1 isdn spid1 919472411800 4724118 isdn spid2 919472411901 4724119 2
4 3
hostname lab-isdn
FC6C531F C3446927 E4EE307A 806B2030 0D06092A 864886F7 0D010104 05003042 31163014 06035504 0A130D43 6973636F 20537973 74656D73 3110300E 06035504 0B130744
ip domain-name cisco.com
ip name-server 171.68.10.70 ip name-server 171.68.122.99 crypto ipsec transform-set mypolicy ah-sha-hmac espdes esp-sha-hmac crypto map test 10 ipsec-isakmp set peer 12.12.12.13 set transform-set mypolicy match address 133 crypto ca identity lab enrollment url http://ciscoca-ultra crl optional crypto ca certificate chain lab certificate 44FC6C531FC3446927E4EE307A806B20 308201E0 3082018A A0030201 02021044 1
interface BRI0 ip address 12.12.12.12 255.255.255.0 no ip proxy-arp encapsulation ppp no ip mroute-cache bandwidth 128 load-interval 30 dialer idle-timeout 99999 dialer hold-queue 40 dialer- group 1 2
isdn spid1 919472417100 4724171 isdn spid2 919472417201 4724172 ppp authentication chap
internet
Famous Detective 192.168.150.1
192.168.100.1
Encrypt
200.200.200.1
200.200.200.100
internet
10.10.1.1
Encrypt
Agenda
Introduction la terminologie et au techniques du chiffrement
Introduction IPSEC
Troubleshooting
debug crypto ipsec debug crypto isakmp debug crypto engine show crypto isakmp sa show crypto ipsec sa sh crypto engine connections active
1d09h: CRYPTO_ENGINE: Dh phase 1 status: 0 1d09h: ISAKMP (16): SA is doing pre-shared key authentication
1d09h: ISAKMP (16): processing KE payload. message ID = 0 1d09h: Crypto engine 0: generate alg param
1d09h: ISAKMP (16): processing NONCE payload. message ID = 0 1d09h: Crypto engine 0: create ISAKMP SKEYID for conn id 16 1d09h: ISAKMP (16): SKEYID state generated 1d09h: ISAKMP (16): processing vendor id payload 1d09h: ISAKMP (16): speaking to another IOS box! 1d09h: generate hmac context for conn id 16 1d09h: ISAKMP (16): processing ID payload. message ID = 0 1d09h: ISAKMP (16): processing HASH payload. message ID = 0 1d09h: generate hmac context for conn id 16 1d09h: ISAKMP (16): SA has been authenticated with 209.146.47.206 1d09h: ISAKMP (16): beginning Quick Mode exchange, M-ID of 102008272 1d09h: IPSEC(key_engine): got a queue event... 1d09h: IPSEC(spi_response): getting spi 207749755ld for SA 3 from 209.146.47.206 to 205.136.238.33 for prot 3
1d09h: generate hmac context for conn id 16 1d09h: generate hmac context for conn id 16 1d09h: ISAKMP (16): processing SA payload. message ID = 102008272 1d09h: ISAKMP (16): Checking IPSec proposal 1 1d09h: ISAKMP: transform 1, ESP_DES 1d09h: ISAKMP: attributes in transform: 1d09h: ISAKMP: encaps is 1 1d09h: ISAKMP: SA life type in seconds 1d09h: ISAKMP: SA life duration (basic) of 3600 1d09h: ISAKMP: SA life type in kilobytes 1d09h: ISAKMP: SA life duration (VPI) of 0x0 0x46 0x50 0x0 1d09h: ISAKMP (16): atts are acceptable. 1d09h: IPSEC(validate_proposal_request): proposal part #1, (key eng. msg.) dest= 209.146.47.206, src= 205.136.238.33, dest_proxy= 10.146.1.0/255.255.255.0/0/0 (type=4), src_proxy= 205.136.238.0/255.255.255.0/0/0 (type=4), protocol= ESP, transform= esp-des , lifedur= 0s and 0kb, spi= 0x0(0), conn_id= 0, keysize= 0, flags= 0x4 4
1d09h: ISAKMP (16): processing NONCE payload. message ID = 102008272 1d09h: ISAKMP (16): processing ID payload. message ID = 102008272 1d09h: ISAKMP (16): processing ID payload. message ID = 102008272 1d09h: generate hmac context for conn id 16 1d09h: ISAKMP (16): Creating IPSec SAs 1d09h: inbound SA from 209.146.47.206 to 205.136.238.33 (proxy 10.146. 1.0 to 205.136.238.0 ) 1d09h: has spi 207749755 and conn_id 17 and flags 4 1d09h: lifetime of 3600 seconds 1d09h: lifetime of 4608000 kilobytes 1d09h: outbound SA from 205.136.238.33 to 209.146.47.206 (proxy 205.13 6.238.0 to 10.146.1.0 ) 1d09h: has spi 440535111 and conn_id 18 and flags 4 1d09h: lifetime of 3600 seconds 1d09h: lifetime of 4608000 kilobytes 1d09h: IPSEC(key_engine): got a queue event... 1d09h: IPSEC(initialize_sas): , (key eng. msg.) dest= 205.136.238.33, src= 5 209.146.47.206,
dest_proxy= 205.136.238.0/255.255.255.0/0/0 (type=4), src_proxy= 10.146.1.0/255.255.255.0/0/0 (type=4), protocol= ESP, transform= esp-des , lifedur= 3600s and 4608000kb, spi= 0xC62027B(207749755), conn_id= 17, keysize= 0, flags= 0x4 1d09h: IPSEC(initialize_sas): , (key eng. msg.) src= 205.136.238.33, dest= 209.146.47.206, src_proxy= 205.136.238.0/255.255.255.0/0/0 (type=4), dest_proxy= 10.146.1.0/255.255.255.0/0/0 (type=4), protocol= ESP, .transform= esp-des , lifedur= 3600s and 4608000kb, spi= 0x1A420847(440535111), conn_id= 18, keysize= 0, flags= 0x4 1d09h: IPSEC(create_sa): sa created, (sa) sa_dest= 205.136.238.33, sa_prot= 50, sa_spi= 0xC62027B(207749755), sa_trans= esp-des , sa_conn_id= 17 1d09h: IPSEC(create_sa): sa created, (sa) sa_dest= 209.146.47.206, sa_prot= 50, sa_spi= 0x1A420847(440535111), sa_trans= esp-des , sa_conn_id= 18!!!!!!!! Success rate is 80 percent (8/10), round-trip 6
ID Interface IP-Address State Algorithm Encrypt decrypt 16 no idb no address set DES_56_CBC 0 0 17 Se0/0.1 205.136.238.33 set DES_56_CBC 0 8 18 Se0/0.1 205.136.238.33 set DES_56_CBC 8 0 irmg.cayman#sh crypto isa sa dst src state conn-id slot 209.146.47.206 205.136.238.33 QM_IDLE irmg.cayman#sh crypto ipsec sa
remote ident (addr/mask/prot/port): (10.146.1.0/255.255.255.0/0/0) current_peer: 209.146.47.206 PERMIT, flags={origin_is_acl,} #pkts encaps: 8, #pkts encrypt: 8, #pkts digest 0 #pkts decaps: 8, #pkts decrypt: 8, #pkts verify 0 #send errors 2, #recv errors 0 local crypto endpt.: 205.136.238.33, remote crypto endpt.: 209.146.47.206 path mtu 1500, media mtu 1500 current outbound spi: 1A420847 inbound esp sas: spi: 0xC62027B(207749755) transform: esp-des , in use settings ={Tunnel, } slot: 0, conn id: 17, crypto map: charlie2peer sa timing: remaining key lifetime (k/sec): (4607998/3455) IV size: 8 bytes replay detection support: N inbound ah sas: 8
16
outbound esp sas: spi: 0x1A420847(440535111) transform: esp-des , in use settings ={Tunnel, } slot: 0, conn id: 18, crypto map: charlie2peer sa timing: remaining key lifetime (k/sec): (4607999/3446) IV size: 8 bytes replay detection support: N
crypto map charlie2peer local-address Ethernet0/0 crypto map charlie2peer 10 ipsec-isakmp set peer 209.146.47.206 set transform-set encrypt-des match address 110 interface Ethernet0/0 description connected to EthernetLAN ip address 205.136.238.33 255.255.255.224 no ip directed-broadcast no keepalive interface Serial0/0 no ip address no ip directed-broadcast encapsulation frame-relay no ip route-cache no ip mroute-cache frame-relay lmi-type ansi ! interface Serial0/0.1 point-to-point description connected to Internet ip unnumbered Ethernet0/0 no ip directed-broadcast no ip route-cache
outbound ah sas: irmg.cayman#sh ru Building configuration... Current configuration: hostname irmg.cayman crypto isakmp policy 1 hash md5 authentication pre-share crypto isakmp key orientexpress address 9 209.146.47.206 crypto ipsec transform-set encrypt-des esp-des
10
no ip mroute-cache bandwidth 64 frame-relay interface-dlci 16 IETF crypto map charlie2peer ip classless ip route 0.0.0.0 0.0.0.0 Serial0/0.1
11
Agenda
Introduction la terminologie et au techniques du chiffrement Introduction IPSEC Architecture du protocole IPSEC Scnarios dimplmentation IPSEC Troubleshooting IPSEC Plateformes
Management
Atelier technologique du 7 dcembre 1999 : La politique de scurit des systmes d information
Cisco 3600
Density
VPN-Optimized Routers High density , modularity & flexibility Scalable VPN Services For hybrid private/VPN environments
Cisco 7100 Series VPN Router
Cisco 2600
Dedicated VPN
Cisco 1720
Cisco 800
Cisco 7100 Series Integrated VPN Router High-End, Focused platform Scalable VPN services For Dedicated VPN Environments
Branch
Atelier technologique du 7 dcembre 1999 : La politique de scurit des systmes d information
Services Performance
Agenda
Introduction la terminologie et au techniques du chiffrement Introduction IPSEC Architecture du protocole IPSEC Scnarii dimplmentation IPSEC Troubleshooting IPSEC Plateformes
Management
Atelier technologique du 7 dcembre 1999 : La politique de scurit des systmes d information
Network Infrastructure
Policy Enforcement Points (i.e. network devices) PIX Firewall Router
Policy Distribution
PIX Control Agent Cisco IOS Control Agent
Policy Server
Policy Administration
Central Policy Database Policy Generation
NetRanger Sensor
IDS Control Agent
Policy
Config
Networks
Directory
Atelier technologique du 7 dcembre 1999 : La politique de scurit des systmes d information
Branch Offices
Interface
Service
Policy Process:
Policy Manager(s) Define Enforce Audit
Database
Directory
AAA Server
Certificat e Authority
VPN Clients
Routers
Merci !!!
Synthse finale
Ingnierie Finance Serveur Web Serveur e-mail
CiscoSecure
Rseau de socit
Configurer routeur
Commutateur groupe de travail
ok ?
Routeur
Internet
Bureau distant
Routeur
Synthse
Routeur Ingnierie Finance PC distant CiscoSecure
Rseau de socit
TUNNEL TUNNEL
Internet
Administrateur
( ((
(( (
PIX Firewall
TUNNEL Routeur
Utilisateur mobile
Bureau distant
IOS Firewall
Synthse finale
Ingnierie Finance
Sensor
CiscoSecure
Rseau de socit
Internet
Administrateur Sensor Commutateur groupe travail PIX Firewall Routeur
Scanner Sensor
Alerte !
Autorit de certification Utilisateur mobile Director Bureau distant IOS Firewall
Synthse finale
Finance Sensor CiscoSecure
Ingnierie
Rseau de socit
Internet
Administrateur
Sensor
Scanner Sensor
Manager de scurit
Utilisateur mobile
Director
Bureau distant
IOS Firewall
Conclusion
Vision globale de la scurit:
un firewall ne suffit pas scurit de bout en bout, interne et externe le niveau de la chaine de scurit est celui du maillon le plus faible
VPN Material
Enterprise http://www.cisco.com/warp/customer/779/largeent/learn/technologies/VPNs. html Service Prov http://www.cisco.com/warp/customer/779/servpro/solutions/vpn/ http://www.cisco.com/warp/customer/728/Secure/literature.shtml http://www.cisco.com/warp/customer/778/security/pix/pie_ds.htm http://www.cisco.com/warp/customer/778/security/pix/nat_wp.htm Cisco Secure PIX
Security Consulting http://www.cisco.com/warp/customer/778/security/scs/ Atelier technologique du 7 dcembre 1999 : La politique de scurit des systmes d information
http://www.verisign.com/
http://www.entrust.com/ Firewall Reporting
http://www.opensystems.com
http://www.telemate.net/ One Time Password Servers
http://www.cryptocard.com/
http://www.securitydynamics.com URL Filtering http://www.netpartners.com/
Atelier technologique du 7 dcembre 1999 : La politique de scurit des systmes d information
Merci!
www.cisco.com
149