Vous êtes sur la page 1sur 149

La politique de scurit des systmes dinformation

Bertrand GARS Ingnieur avant-vente


Tl. : 01 41 18 32 16 e-mail : bgars@ilion.fr

1999, Cisco Systems, Inc.

InformationWeek : Enqute sur la scurit de linformation


78% des socits interroges ont connu des pertes financires dues des problmes en matire de scurit de linformation dans les deux dernires annes Certaines socits ont ainsi perdu plus de 1 million de dollars
Les causes : Virus informatiques : 76% Acte malveillant interne : 42% Acte malveillant externe : 25% Erreurs par inadvertance : 70% Espionnage industriel : 10%

Source : Ernst & Young 1996 Information Security Survey

Le march de la scurit est estim plus de 2,5 milliards de dollars en Europe lhorizon 2001
Atelier technologique du 7 dcembre 1999 : La politique de scurit des systmes d information

Le march mondial du Firewall


En millions de dollars
$1,200
$1,000 $800 $600 $400 $200 $0
1997 1998 Source : Gartner Group 1999 2000 2001 2002
Atelier technologique du 7 dcembre 1999 : La politique de scurit des systmes d information

Appliance

Midrange
High Security

Le march mondial du VPN


En millions de dollars
$400 $350 $300
Extranet

$250 $200

Accs distant Internet

$150
$100 $50 $0
1997 1998 Source : Gartner Group 1999 2000 2001 2002
Atelier technologique du 7 dcembre 1999 : La politique de scurit des systmes d information

Agenda
Dfinir une politique de scurit Les technologies de la scurit Administration Scurit des accs Intgrit des changes Dtection dintrusion Evaluation de la vulnrabilit du rseau
Atelier technologique du 7 dcembre 1999 : La politique de scurit des systmes d information

Politique de Scurit

La dfinition dune Politique de Scurit


Une politique de scurit est lensemble des rgles formelles auxquelles doivent se conformer les personnes autorises accder l'information et aux ressources d'une organisation.

B. Fraser Site Security Handbook, RFC 2196

Atelier technologique du 7 dcembre 1999 : La politique de scurit des systmes d information

Politique de scurit

O se trouve linformation?
Quelle information doit tre protge?

Qui sont les utilisateurs? Quels sont leurs privilges

Atelier technologique du 7 dcembre 1999 : La politique de scurit des systmes d information

Roue de la scurit
Solution de scurit intgre globale, permettant lentreprise de minimiser et de grer le risque
2)

CONCEVOIR / SECURISER

GERER et AMELIORER
5)

1) POLITIQUE SECURITE DE LA SOCIETE

3)

TESTER

4)

SURVEILLER ET REPONDRE

Atelier technologique du 7 dcembre 1999 : La politique de scurit des systmes d information

La scurit cest
Intrusion Detection Sensor Intrusion Detection Sensor Scanner Intrusion Detection Director
Central de surveillance gardien Serrures traditionnelles Camra de surveillance

Intrusion Detection Sensor


IOS Firewall PIX Firewall

Card Key

CiscoSecure ACS

Atelier technologique du 7 dcembre 1999 : La politique de scurit des systmes d information

Une gamme complte de produits de Scurit : CiscoSecure


Identification/autorisation et intgrit des donnes
CiscoSecure IOS Integrated Solution CiscoSecure PIX Firewall

Authentification
CiscoSecure ACS pour NT ou Unix
Cisco Network Registrar

Audit Actif
CiscoSecure Scanner CiscoSecure Intrusion Detection System

Solutions VPN et chiffrement IP-Sec


CiscoSecure IP-Sec VPN Hardware Accelerator IOS

Politique de Scurit
CiscoSecure Policy Manager
Atelier technologique du 7 dcembre 1999 : La politique de scurit des systmes d information

Agenda
Dfinir une politique de scurit Les technologies de la scurit Administration Scurit des accs Intgrit des changes Dtection dintrusion Evaluation de la vulnrabilit du rseau
Atelier technologique du 7 dcembre 1999 : La politique de scurit des systmes d information

S adresser aux besoins actuels des entreprises


Concilier les performances, la disponibilit et la scurit
Clients Partenaires Sites distants Consommateurs

Connectivit dentreprise Internet Intranet Extranet

Voix / Images Applications en rseau


Atelier technologique du 7 dcembre 1999 : La politique de scurit des systmes d information

Commerce lectronique: objectifs


Saisie cdes Mfg. Systmes internes Assist. clients
Application transaction scurise

Util. Web/ navigateur

Internet
Pare-feu Serveurs externes Clients et associs

Rduire les erreurs de saisie des commandes Augmenter le bnfice net Amliorer le traitement des commandes Rduire les stocks

Atelier technologique du 7 dcembre 1999 : La politique de scurit des systmes d information

Commerce lectronique: services rseau


Saisie cdes Mfg. Systmes internes Assist. clients
Application transaction scurise

Util. Web / navigateur

Internet
Pare-feu Serveurs extrieurs Clients et associs

Cacher les adresses internes Filtrer et valider les informations de routage Filtrage et pare-feu des privilges des utilisateurs Audit de mise en uvre de la scurit Chiffrement des informations confidentielles Surveillance active des intrusions

Atelier technologique du 7 dcembre 1999 : La politique de scurit des systmes d information

Les lments de la scurit


Identit Identifier correctement les utilisateurs Dterminer ce quils ont le droit de faire Intgrit

Assurer la disponibilit du rseau


Etablir la scurit priphrique Assurer la confidentialit Audit actif

Dterminer les points faibles du rseau


Dtecter et contrer les intrus Gestion de la politique Gestion centralise des services de scurit
Policy

Atelier technologique du 7 dcembre 1999 : La politique de scurit des systmes d information

Identit
Identifier correctement et de manire unique les utilisateurs, les applications, les services et les ressources
Nom dutilisateur/mot de passe, PAP, CHAP, serveur AAA, mot de passe usage unique, RADIUS, TACACS+, Kerberos, MS-login, certificats , services dannuaire, translation des adresses rseau
Atelier technologique du 7 dcembre 1999 : La politique de scurit des systmes d information

IntgritScurit priphrique
Contrler laccs aux applications, donnes et services de rseau critiques
Listes de contrle daccs, technologies firewall, chiffrement, filtrage du contenu, CBAC
Atelier technologique du 7 dcembre 1999 : La politique de scurit des systmes d information

Importance d'un pare-feu


Permet un accs scuris aux ressources Protge les rseaux :
des intrusions commises par les sources externes et internes

des refus de service (Denial of Service DoS)


Atelier technologique du 7 dcembre 1999 : La politique de scurit des systmes d information

Cisco Secure Integrated Software


Context-based access control (CBAC) Filtrage scuris selon l'application Supporte les protocoles avancs (H.323, SQLnet, RealAudio, etc.) Contrle du tlchargement des applets Java Dtection et prvention des refus de service Dtection dintrusion (IDS) Authentication proxy Alertes en temps rel Journal des transactions TCP/UDP Configuration et gestion
Atelier technologique du 7 dcembre 1999 : La politique de scurit des systmes d information

Network Address Translation


SA 10.0.0.1 SA 171.69.58.8

Internet
10.0.0.1

Inside Local Inside Global IP Address IP Address

10.0.0.1 10.0.0.2

171.69.58.80 171.69.58.81

Permet la translation dynamique ou statique dadresses prives en adresses publiques Permet dviter la renumrotation Permet dconomiser les adresses publiques (PAT) Masque les adresses internes Translation la vole des requtes DNS A et PTR
Atelier technologique du 7 dcembre 1999 : La politique de scurit des systmes d information

Qu'est-ce que le contrle d'accs dpendant du contexte (CBAC) ?


Suit l'tat et le contexte des connexions du rseau pour scuriser le trafic Inspecte les donnes en entre et/ou en sortie

Permet l'tablissement des connexions en ouvrant temporairement les ports en fonction de l'inspection des donnes
Paquets de retour autoriss seulement pour des connexions particulires par une liste de contrle d'accs temporaire

Atelier technologique du 7 dcembre 1999 : La politique de scurit des systmes d information

Cisco IOS: Filtrage de paquets


Adresse Source/Destination Numro de Port Type de Protocole

Jai besoin dun rapport financier


Agence Locale

Backbone Campus

Frame Relay WAN

Serveur Finance

Filtre par listes daccs (ACL) Support par tous les routeurs Cisco

Atelier technologique du 7 dcembre 1999 : La politique de scurit des systmes d information

IOS Firewall : statefull inspection


Source Addr Destination Addr Source Port
192.34.56.8
200.150.50.111

TCP Header IP Header

1026

Destination Port 23 Intial Sequence# 49091 Ack Flag


Syn

# 2 : permit tcp 200.150.50.111 192.34.56.8 eq telnet

#1

Le routeur observe les connexions sortantes Cre dynamiquement des ACL entrantes pour les adresses IP et les N de port
Atelier technologique du 7 dcembre 1999 : La politique de scurit des systmes d information

Support d'applications du contrle d'accs dpendant du contexte (CBAC) de Cisco IOS


Support transparent pour les services Internet courants TCP/UDP, dont : WWW, Telnet, SNMP, finger, etc. FTP TFTP SMTP Blocage Java BSD R-cmds Oracle SQL Net Remote Procedure Call (RPC) Applications multimdia :

VDO Live de VDOnet


RealAudio de RealNetworks InternetVideo Phone (H.323) d'Intel

NetMeeting (H.323) de Microsoft


Streamworks de Xing Technologies CuSeeMe de Whitepine

Atelier technologique du 7 dcembre 1999 : La politique de scurit des systmes d information

Blocage Java
Requte HTTP
N

Rponse Inspect. serveur Inspect Port Command Pas signature JavaLaisser passer
Client Web

Serveur Web

Req. comp. prog. Java Signature Java Abandon du paquet

Atelier technologique du 7 dcembre 1999 : La politique de scurit des systmes d information

Dtection et prvention des attaques


Evnements

CBAC surveille les statistiques et conditions suivantes : Total des demi-connexions Taux de nouvelles connexions entrantes par minute Temps mis pour l'tablissement des connexions TCP Comptage des paquets pour recherche de paquets syn dupliqus Numros de squence des paquets
Atelier technologique du 7 dcembre 1999 : La politique de scurit des systmes d information

Cisco IOS Firewall : alertes en temps rel

Envoi de messages syslog la console de gestion centrale en cas de dtection d'activit suspecte Alertes d'attaques de refus de service, d'attaques de commande SMTP ou refus dapplets Java Alertes automatiques en cas d'activation de la prvention d'attaques Alertes configurables par l'outil de gestion syslog

Atelier technologique du 7 dcembre 1999 : La politique de scurit des systmes d information

Jeu de fonctions de Cisco IOS Firewall : journal de transactions TCP/UDP


Audit des transactions (CBAC audit_trail) Reconnaissance de la session et du port


Exemple :
Sep 10 13:02:19 sifi-5 124: %FW-6-SESS_AUDIT_TRAIL: tcp session initiator (192.168.1.13:33192) sent 22 bytesresponder (192.168.129.11:25) sent 208 bytes Sep 10 13:07:33 sifi-5 125: %FW-6-SESS_AUDIT_TRAIL: tcp session initiator (192.168.1.13:33194) sent 336 bytes responder (192.168.129.11:25) sent 325 bytes

Atelier technologique du 7 dcembre 1999 : La politique de scurit des systmes d information

Cisco IOS Firewall Feature Set


Backbone Campus

Internet Routeur Cisco 2500 Intrus

Intgr dans les routeurs : 8OO, 1600, 1700, 2500, 2600, 3600, et 7200

Atelier technologique du 7 dcembre 1999 : La politique de scurit des systmes d information

Cisco PIX Firewall


Pare-feu spcialis Appareil matriel/logiciel intgr OS spcialis Scurit forte Adaptive Security Algorithm (ASA) Cut-through Proxy Option rseau priv virtuel IPSec Performances Plus de 256 000 sessions simultanes Dbit de plus de 170 Mbits/s Plus de 6 500 connexions par seconde

Atelier technologique du 7 dcembre 1999 : La politique de scurit des systmes d information

PIX 515
Cot plus faible, caractristiques PIX minimales Pas de licence base sur la session Chssis simple rack Deux ports Ethernet 10/100 intgrs 64 Mo de RAM pour plus de 128.000 sessions simultanes Conu pour un petit bureau ou un environnement applications simples Logiciel version 4.4 PIX 515-R 32 Mo Restrictions Pas de failover automatique Interfaces max. limites Ethernet seul PIX 515-UR 64 Mo Pas de restrictions

Atelier technologique du 7 dcembre 1999 : La politique de scurit des systmes d information

Principales caractristiques de PIX


Intgration d'HP OpenView Ethernet 10/100 Mbits/s, Token Ring 4/16 Mbits/s Authentification et autorisation d'interfaces multiples avec cut through proxy Supporte VPN (rseau priv virtuel) Liaison prive : de LAN LAN, DES Filtrage URL Blocage des applets Java Protection contre les refus de service Mail Guard, DNS Guard, Flood Guard Failover automatique en cas de panne

Atelier technologique du 7 dcembre 1999 : La politique de scurit des systmes d information

Principales caractristiques de PIX


Translation d'adresse Port et adresse IP Protocoles multimdia H.323 (NetMeeting, Internet VideoPhone, etc.) Netshow, RealAudio, CUSeeMe, StreamWorks, VXtreme, etc. Oracle SQL*Net et autres bases de donnes Blocage URL Intgration WebSense Architecture hautement volutive Base de donnes externe et traitement de recherche pour minimiser les effets sur les performances du pare-feu et la scurit Support de serveurs multiples pour plus de capacit

Atelier technologique du 7 dcembre 1999 : La politique de scurit des systmes d information

Proxy Cut-Through = hautes performances


PIX
1. Utilisateur fait une demande auprs de la ressource
2. PIX Firewall intercepte la connexion

Utilisateur 3. PIX Firewall authentifie l'util. et interne ou vrifie la politique de externe


scurit

4. PIX Firewall initie la Ressource connexion entre PIX et la ressource destinataire

CiscoSecure
5. PIX Firewall connecte directement l'utilisateur la ressource
Atelier technologique du 7 dcembre 1999 : La politique de scurit des systmes d information

Agenda
Dfinir une politique de scurit Les technologies de la scurit Administration Scurit des accs Intgrit des changes Dtection dintrusion Evaluation de la vulnrabilit du rseau
Atelier technologique du 7 dcembre 1999 : La politique de scurit des systmes d information

Architecture Cisco Secure Policy Manager


Phase I Phase II Phase III
Policy Server(s)

Policy Process:
Policy Manager(s) Define Enforce Audit

Database

Directory
AAA Server

Certificate Authority

Perimeter Security IPSec VPNs IDS & Directory Services

VPN Clients

Routers

PIX Firewalls

Sensors

Access Servers

Atelier technologique du 7 dcembre 1999 : La politique de scurit des systmes d information

Cisco Secure Policy Manager


Gestion oriente politiques de scurit des primtres de scurit rseau Gestion jusqu 100 Cisco PIX firewalls Bas Windows Architecture clientserveur rapports Web

Atelier technologique du 7 dcembre 1999 : La politique de scurit des systmes d information

Cisco Secure
Larchitecture de scurit

1999, Cisco Systems, Inc.

www.cisco.fr

38

Schma du rseau
192.10.10.1 192.10.11.1 10.10.10.10 Windows NT 3640 172.10.11.1 192.10.11.2 192.10.10.10 Windows 95

1720

INSIDE

172.10.11.2

OUTSIDE
PIX Firewall 172.10.12.1

10.10.10.1 2600 10.10.10.2 10.1.6.1

DMZ

172.10.12.10 WWW Server

10.1.6.3 SUN Atelier technologique du 7 dcembre 1999 : La politique de scurit des systmes d information

Larchitecture de scurit
192.10.10.1 192.10.11.1 10.10.10.10 ACS / CSPM Scanner 3640 172.10.11.1 192.10.11.2 192.10.10.10 IPSEC 1720 VPN Client

INSIDE

172.10.11.2

OUTSIDE
PIX Firewall 172.10.12.1

10.10.10.1 IPSEC 2600 10.10.10.2 10.1.6.1

DMZ

172.10.12.10 WWW Server

10.1.6.15 Sensor

10.1.6.3 Director

Atelier technologique du 7 dcembre 1999 : La politique de scurit des systmes d information

Agenda
Dfinir une politique de scurit Les technologies de la scurit Administration Scurit des accs Intgrit des changes Dtection dintrusion Evaluation de la vulnrabilit du rseau
Atelier technologique du 7 dcembre 1999 : La politique de scurit des systmes d information

Authentification, Autorisation, Accounting (AAA)


Outil logiciel d'application de la politique de scurit Authentification
Vrifie lidentitqui tes-vous ?
123 456 789 0
123 456 789 0

Autorisation
Configure lintgrit quavezvous le droit de faire ?

Accounting
Facilite lauditquavez-vous fait ?
Atelier technologique du 7 dcembre 1999 : La politique de scurit des systmes d information

CiscoSecure ACS
Authentification, Autorisation, Accounting (AAA) Base de donnes centralise Rapport dactivit
Visualisation des utilisateurs connects et des essais infructueux.

Atelier technologique du 7 dcembre 1999 : La politique de scurit des systmes d information

CiscoSecure ACS
Authentification centrale et autorisation utilisateurs distants RADIUS et TACACS+ Permission heure du jour et jour de la semaine

intgration serveur jeton


Atelier technologique du 7 dcembre 1999 : La politique de scurit des systmes d information

Serveur AAA
Serveur daccs rseaux Rseau Public Utilisateur mobile
TACACS+ RADIUS

Serveur AAA
ID/User Profile ID/User Profile ID/User Profile

Intercept Connections

Campus

Internet
Utilisateur Internet Gateway Router Firewall

Lock and Key


Atelier technologique du 7 dcembre 1999 : La politique de scurit des systmes d information

Agenda
Dfinir une politique de scurit

Les technologies de la scurit


Administration

Scurit des accs


Intgrit des changes Dtection dintrusion Evaluation de la vulnrabilit du rseau
Atelier technologique du 7 dcembre 1999 : La politique de scurit des systmes d information

Audit actifSystme de dtection des intrusions


Dtecte et ragit aux intrusions ou anomalies reconnues ou suspectes du rseau
Surveillance croise, base de donnes des menaces et comportements suspects, infrastructure de communication, changements du contrle daccs
Atelier technologique du 7 dcembre 1999 : La politique de scurit des systmes d information

Cisco Secure Intrusion Detection System


Architecture Evolutive

Elments CSIDS
Sensor

Director

Haute Performance

Atelier technologique du 7 dcembre 1999 : La politique de scurit des systmes d information

Cisco Secure Intrusion Detection System


Director

Dtection active des intrusions


Surveille le comportement des utilisateurs pendant qu'ils sont sur le rseau Semblable aux gardes, cameras vido et dtecteurs de mouvement qui protgent les chambres fortes
Sensor Sensor

Atelier technologique du 7 dcembre 1999 : La politique de scurit des systmes d information

Caractristiques de CSIDS
Arrte immdiatement les utilisations abusives
Reconfiguration sur-le-champ des listes de contrle d'accs du routeur Cisco pour carter les intrus

Technologie la pointe de l'industrie


Installation et configuration rapides et aises Evolutivit, fonctionnement distribu Hautes performancesEthernet 100 Mbits/s, FDDI, Token Ring Un moteur avanc dtecte les attaques complexes (dtournement de TCP, e-mail, spam )

Exploite l'investissement ralis dans le rseau Cisco


Surveillance et alarmes des syslogs sur les routeurs Cisco
Atelier technologique du 7 dcembre 1999 : La politique de scurit des systmes d information

Architecture CSIDS
Director
* Logiciel *

Sensor
* Appareil *

Comm

Gestion des capteurs distants Traitement des alarmes Contrle de configuration Contrle de signature

Systme expert BD de signatures des attaques Dtection des attaques Gnration des alarmes Rponse Un par segment rseau

Atelier technologique du 7 dcembre 1999 : La politique de scurit des systmes d information

CSIDS Sensor
Hautes performances
Ethernet, Fast Ethernet, 100BaseT, Token Ring, FDDI Systme d'exploitation robuste, fiable

Plate-forme scurise Analyseur furtif de rseau


Aucune dgradation des performances du rseau

Appareil "Plug-and-play"
Pas de formation spciale, pas d'ennuis (vs SW/HW) Faible cot par rapport la dure de vie du produit Configuration par dfaut disponible Pas de licencedplaable volont

Vrifie chaque paquet

Atelier technologique du 7 dcembre 1999 : La politique de scurit des systmes d information

CSIDS Director
GUI orientation gographique BD scurit du rseau
Informations sur les attaques, liens autom., contre-mesures Personnalisable

Puissante capacit de signalisation


Solution volutive par utilisation de directeurs hirarchiss

Surveille des centaines de sensors Manager de configuration


Config. distante 'pointer-cliquer' Mise jour aise des signatures

applications third party (Telemate...)

Capacits supplmentaires d'alarmes


Alertes pager, e-mail ...

Atelier technologique du 7 dcembre 1999 : La politique de scurit des systmes d information

Magique

Atelier technologique du 7 dcembre 1999 : La politique de scurit des systmes d information

Cisco Secure
Scanner

Presentation_ID

1999, Cisco Systems, Inc.

www.cisco.fr

55

Audit actifEvaluation de la vulnrabilit du rseau


Evaluation et notification de ltat de scurit des lments du rseau
scanning (actif, passif), base de donnes de vulnrabilits

Atelier technologique du 7 dcembre 1999 : La politique de scurit des systmes d information

Cisco Secure Scanner

Identifie les attaques et les points de vulnrabilit du rseau dentreprise et recommande des solutions

Atelier technologique du 7 dcembre 1999 : La politique de scurit des systmes d information

Cisco Secure Scanner


Audit actif du profil de scurit rseau Fournit l'expertise de scurit aux non-experts

Atelier technologique du 7 dcembre 1999 : La politique de scurit des systmes d information

Pourquoi un audit actif ?


Le pirate peut tre un employ ou un partenaire insouponnable
Jusqu 80% des atteintes la scurit sont commises de lintrieur (Source: FBI)

La dfense peut tre inefficace


Une intrusion sur trois a lieu malgr la prsence de pare-feu (Source: Computer Security Institute)

Les employs peuvent se tromper


Erreur de configuration des pare-feu, serveurs, etc.

Le rseau sagrandit et change


Chaque changement augmente les risques

Les firewalls, autorisations et chiffrements nassurent pas la DETECTION de ces problmes


Atelier technologique du 7 dcembre 1999 : La politique de scurit des systmes d information

Comment fonctionne Cisco Secure Scanner


FTP Bounce Exploit

Dcouverte rseau

Test ping - Htes ID Test ports - Svcs ID


Routeur

Analyse vulnrabilit passive

Donnes dcouverte analyses par rgles

Actif
Email Svr Pare-feu Web Svr

SMTP FTP

Analyse vulnrabilit Ralis contre htes active cibles

Inactif
Postes de travail

Prsentation & dition d'tat

Communiquer les rsultats


Poste de travail : Windows NT v4.0 SMB Redbutton FTP anonyme

HTTP FTP Telnet

Atelier technologique du 7 dcembre 1999 : La politique de scurit des systmes d information

Caractristiques de Cisco Secure Scanner


Interface utilisateur intuitive Ordonnanceur Cartographie du rseau
Htes actifs Services actifs

Identification de vulnrabilit
Techniques passives et actives Vulnrabilit infrastructure et rseau Non-intrusive

Dtection des quipements


Postes de travail, routeurs, pare-feu, imprimantes, etc. Systme d'exploitation avec numro de version Systme d'exploitation non-An 2000

Prsentation innovante des donnes BD scurit rseau Sortie d'tats complets

Atelier technologique du 7 dcembre 1999 : La politique de scurit des systmes d information

IPSEC: architecture et solutions Cisco


1999, Cisco Systems, Inc.

62

Agenda
Introduction la terminologie et au techniques du chiffrement

Introduction IPSEC
Architecture du protocole IPSEC

Scnarios dimplmentation IPSEC


Troubleshooting IPSEC Plateformes Management
Atelier technologique du 7 dcembre 1999 : La politique de scurit des systmes d information

Quest ce que le chiffrement ?


Cest la conversion de texte en clair (plaintext) en texte cod (ciphertext) par un algorithme prdfini Gnralement le ciphertext la mme longueur que le plaintext
Souvent une cl est utilise pour gnrer le ciphertext partir dun plaintext
Atelier technologique du 7 dcembre 1999 : La politique de scurit des systmes d information

Algorithme et cl
Une cl est un paramtre utilis par un algorithme de chiffrement pour chiffrer les donnes Aprs chiffrement, soit la mme cl (chiffrement symtrique) soit une cl complmentaire (algorithme asymtrique) est utilise pour dcrypter le ciphertext.

Atelier technologique du 7 dcembre 1999 : La politique de scurit des systmes d information

Cl publique, cl prive
Une cl prive est une cl qui est seulement connue de celui qui la possde Une cl publique est connue de tous mais appartient un unique individu Les donnes chiffres avec ma cl publique peuvent uniquement tre dcrypte avec ma cl prive . Les donnes chiffres avec ma cl prive peuvent uniquement tre dcrypte avec ma cl publique . Quand Alice envoie des donnes Bob et ne veut pas que quelquun dautre en prenne connaissance, elle chiffre avec la cl public de Bob puis chiffre le rsultat avec sa propre cl prive. Bob reoit le ciphertext, le decrypte avec la cl publique dAlice (ce qui confirme que les donnes viennent bien dAlice) et dcrypte nouveau avec sa propre cl prive.

Atelier technologique du 7 dcembre 1999 : La politique de scurit des systmes d information

Confidentialit de lalgorithme versus key space


Confidentialit de lalgorithme: Si le pirate ne connait pas lalgorithme il ne peut dchiffrer les donnes

large key space: le pirate connait lalgorithme mais lespace des cls est trop grand pour pouvoir trouver la cl et dchiffrer lalgorithme
Le Key space pour un chiffrement de 56 bits est 2^56 soit 72 millions de milliards de cls
Atelier technologique du 7 dcembre 1999 : La politique de scurit des systmes d information

Utilisation du chiffrement pour lauthentification: la signature numrique

Hash Function Alice

Hash
Hash recipient

Alices Private Key

Atelier technologique du 7 dcembre 1999 : La politique de scurit des systmes d information

Utilisation du chiffrement pour lauthentification: la signature numrique


Message

Decrypt the Received Signature


Alic e

Hash the Received Message

Publi c Key

Ha sh

Has Message h with Appended Signature Hash Functio n

Ha sh

? ?

Ha sh

Atelier technologique du 7 dcembre 1999 : La politique de scurit des systmes d information

Le serveur de Certificats: Comment obtenir une cl publique en toute scurit ?


Risque de lattaque man in the middle, le pirate remplace une cl publique par sa propre cl publique Les Certificate authority (CA) servers sont utiliss pour certifier la validit et lappartenance des cls publiques Le serveur CA peut vrifier une cl publique en envoyant cette cl signe par sa propre cl prive la personne demandant la vrification.
Atelier technologique du 7 dcembre 1999 : La politique de scurit des systmes d information

Processus de certification
Get signed Public key for Bob from CA

CA Server

Get signed Public key for Alice from CA

Internet

Alice

Bob

Atelier technologique du 7 dcembre 1999 : La politique de scurit des systmes d information

Certificats
peer name peer public key expiration date other info
signature by the CA

Les certificats ne sont pas secrets structure ITU X.509 v3 ou PKCS#6 (S/MIME, SSL, EAP-TLS, )
Atelier technologique du 7 dcembre 1999 : La politique de scurit des systmes d information

Agenda
Introduction la terminologie et au techniques du chiffrement Introduction IPSEC Architecture du protocole IPSEC

Scnarios dimplmentation IPSEC


Troubleshooting IPSEC Plateformes Management
Atelier technologique du 7 dcembre 1999 : La politique de scurit des systmes d information

Quest-ce quIPSEC
IPSEC pour IP Security Protocol de niveau 3 dvelopp pour la securit A security protocol in the network layer will be developed to provide cryptographic security services that will flexibly support combinations of authentication, integrity, access control, and confidentiality (IETF)
Atelier technologique du 7 dcembre 1999 : La politique de scurit des systmes d information

Pourquoi IPSEC?
intranet

internet

Etendre le rseau dentreprise travers lInternet


Mettre en place du business sur lInternet Reduire le cot des accs distants
Atelier technologique du 7 dcembre 1999 : La politique de scurit des systmes d information

Pourquoi IPSEC? (....)


Standard pour confidentialit , intgrit et authenticit Implment de faon transparente dans une infrastructure rseau Solution de scurit de bout en bout (routeurs, firewalls, PCs, serveurs)

Atelier technologique du 7 dcembre 1999 : La politique de scurit des systmes d information

Agenda
Introduction la terminologie et au techniques du chiffrement Introduction IPSEC Architecture du protocole IPSEC Scnarios dimplmentation IPSEC Troubleshooting IPSEC Plateformes Management
Atelier technologique du 7 dcembre 1999 : La politique de scurit des systmes d information

Architecture du protocole IPSEC


IPSEC est une combinaison de 3 protocoles (ESP, AH et IKE) Authentification - Intgrit - Confidentialit Authentication Header (AH)

Encapsulating Security Payload (ESP)


Internet key Exchange (IKE)

Atelier technologique du 7 dcembre 1999 : La politique de scurit des systmes d information

Comment fonctionne IPSEC


IPSEC est implement en 5 tapes: Dcision dutilisation IPSEC entre deux points sur lInternet Configuration des deux gateways entre les deux end points pour supporter IPSEC Initiation dun tunnel IPSEC entre les deux gateways pour le trafic intressant

Negociation des paramtres IPSEC/IKE entre les deux gateways


Passage du trafic chiffr
Atelier technologique du 7 dcembre 1999 : La politique de scurit des systmes d information

IKE
Internet key Exchange protocol
ngociation des paramtres du protocole change cls (Diffie Hellman) authentification des deux cots gestion des cls aprs change

Atelier technologique du 7 dcembre 1999 : La politique de scurit des systmes d information

IKE (....)
4. Paquet mis de Alice vers 1. Paquet sortant de Alice vers Bob. sans IPSec SA Bob protg par SA IPSec IPSec
Alices router

IPSec
Bobs router

IKE

IKE Tunnel

IKE

2. IKE Alice commence la negociation avec Bob

3. Negociation termine. Alice et Bob ont un jeu complet de SAs

Atelier technologique du 7 dcembre 1999 : La politique de scurit des systmes d information

Ngociation IKE
Algorithme de chiffrement, Algorithme dauthentification, et Mthode d Authentication
3DES, MD5, et RSA Signatures, OU IDEA, SHA, et DSS Signatures, OU Blowfish, SHA, et RSA Encryption IDEA, SHA, et DSS Signatures

Alice

Bob

IKE Policy Tunnel


Atelier technologique du 7 dcembre 1999 : La politique de scurit des systmes d information

IKE a besoin de cl publique pour lauthentification


Cle publique alice Cle publique Bob

Pour authentifier IKE Bob Protocole IKE

Pour authentifier IKE Alice

IKE

IKE
l protocole IPSEC: ESP, AH

Alice

Les SA IPSEC doivent connaitre pour chaque peer - transform Bob - cl

Atelier technologique du 7 dcembre 1999 : La politique de scurit des systmes d information

Echange des cls publiques


Chaque peer:
gnre sa paire de cls publique/priv
stocke sa cl prive dans un endroit sr

transmet en clair sa cl publique

celui qui reoit la cl:


DOIT authentifer la cl reue
Atelier technologique du 7 dcembre 1999 : La politique de scurit des systmes d information

Echange de cls manuel


Le processus a besoin dune intervention humaine chaque change de cl non scalable: n peers => n*(n-1) changes

key exchanges + authentication

Atelier technologique du 7 dcembre 1999 : La politique de scurit des systmes d information

Echange de cl automatique

Certification Authority le peer doit prouver son authenticit devant le CA le CA signe le certificat

Atelier technologique du 7 dcembre 1999 : La politique de scurit des systmes d information

Echange de cl automatique
scalable: n peers => n authentification et n certificats
Certification Authority authentications

automatic certificate exchanges

Atelier technologique du 7 dcembre 1999 : La politique de scurit des systmes d information

AH Authentication Header
Datagramme IP dorigine
IP header other headers and payloads

secret key

Digital signature (RFC 1828 = MD5)

IP header

Auth. header

other headers and payloads

Datagramme IP authentifi
Atelier technologique du 7 dcembre 1999 : La politique de scurit des systmes d information

ESP

Encapsulating Security payload


Chiffrement du payload Transport du paquet sur IP

Authentification de la source

Atelier technologique du 7 dcembre 1999 : La politique de scurit des systmes d information

IPsec ESP Transport


Datagramme IP dorigine
IP header other headers and payloads

secret key

chiffrement

IP header

ESP header

other headers and payloads

Datagramme IP avec transport ESP


Atelier technologique du 7 dcembre 1999 : La politique de scurit des systmes d information

IPsec ESP Transport (.)


Utilisable de bout en bout, entre hosts ESP Transport tunnel

Atelier technologique du 7 dcembre 1999 : La politique de scurit des systmes d information

IPsec ESP Tunnel


Datagramme IP dorigine
IP header other headers and payloads

Mouveau header IP
new IP header

secret key

chiffrement
new IP header ESP header

IP header

other headers and payloads

Datagramme IP avec tunnel ESP


Atelier technologique du 7 dcembre 1999 : La politique de scurit des systmes d information

IPsec ESP Tunnel (.)


Souvent entre routeurs ou Firewall pour VPN

ESP Transport tunnel

Sniffing possible

Sniffing possible

Sniffing impossible
Atelier technologique du 7 dcembre 1999 : La politique de scurit des systmes d information

IPsec ESP Tunnel (.)


Ou entre client et firewall/router principalement VPDN ESP Transport tunnel

Sniffing possible

Sniffing impossible
Atelier technologique du 7 dcembre 1999 : La politique de scurit des systmes d information

Format du paquet ESP


IP Header Security parameter Index (SPI) Sequence Number Payload Data (variable length)
encrypted Authenticated

Padding (0-255 bytes) Pad Length Next header Authentication Data


Atelier technologique du 7 dcembre 1999 : La politique de scurit des systmes d information

Agenda
Introduction la terminologie et au techniques du chiffrement

Introduction IPSEC
Architecture du protocole IPSEC Scnari dimplmentation IPSEC Troubleshooting IPSEC Plateformes

Management
Atelier technologique du 7 dcembre 1999 : La politique de scurit des systmes d information

Scnari de design
Router vers Firewall

Router vers Router PC vers Firewall

PC vers Router

une Router vers Atelier technologique du 7 dcembre 1999 : La politique de scurit des systmes d information plusieurs

Comment lire une configuration IPSEC


Routage du trafic vers linterface de sortie

Si cette interfacea une crypto map configure, aller vers cette crypto map
Aller laccess list spcifie dans la crypto map Si le trafic matche laccess list alors ngocier le tunnel IPSEC avec le peer spcifi dans la crypto map base sur le transform set et la politique ISAKMP

Envoyer le trafic travers le tunnel

Atelier technologique du 7 dcembre 1999 : La politique de scurit des systmes d information

VPN Router vers Router

100.126.125.53

100.126.125

internet

172.16.1.30

172.21.1.30

Encrypt

Atelier technologique du 7 dcembre 1999 : La politique de scurit des systmes d information

VPN Router vers Router VPN : Router 1


crypto isakmp policy 1 hash md5 authentication pre-share crypto isakmp key 123a34GDE1 address 100.126.125.54 crypto ipsec transform-set TACSet ah-md5-hmac espdes crypto map TACMap 1 ipsec-isakmp set peer 100.126.125.54 set security-association lifetime seconds 86400 set transform-set TACSet match address 101 interface Ethernet0 description connected to EthernetLAN ip address 172.16.1.30 255.255.0.0 no ip directed-broadcast ip nat inside no ip route-cache no ip mroute-cache interface ethernet1 description connected to Internet ip address 100.126.125.53 255.255.255.252 no ip directed-broadcast ip nat outside no ip route-cache no ip mroute-cache crypto map TACMap ip nat inside source route-map 16map pool CT16nat overload ip route 0.0.0.0 0.0.0.0 100.126.125.54

access-list 101 permit ip 172.16.0.0 0.0.255.255 172.21.0.0 0.0.255.255 access-list 116 deny ip 172.16.0.0 0.0.255.255 172.21.0.0 0.0.255.255 access-list 116 permit ip 172.16.0.0 0.0.255.255 any
route-map 16map permit 10 match ip address 116 1 2 (please not that we are not doing NAT for the traffic going to the IPSEC tunnel, but only to the rest of the internet)

Atelier technologique du 7 dcembre 1999 : La politique de scurit des systmes d information

VPN Router vers Router VPN : Router 2


crypto isakmp policy 1 hash md5 authentication pre-share crypto isakmp key 123a34GDE1 address 100.126.125.53 crypto ipsec transform-set TACSet ah-md5-hmac espdes crypto map TACMap 1 ipsec-isakmp set peer 100.126.125.53 set security-association lifetime seconds 86400 set transform-set TACSet match address 101 interface Ethernet0 description connected to EthernetLAN ip address 172.21.1.30 255.255.0.0 ip nat inside interface ethernet1 description connected to Internet ip address 100.126.125.54 255.255.255.252 ip nat outside crypto map TACMap interface serial 1 description connected to Internet ip address 100.126.125.54 255.255.255.252 no ip directed-broadcast ip nat outside crypto map TACMap ip nat pool 21nat 200.1.2.1 200.1.2.253 netmask 255.255.255.0 ip nat inside source route-map remote21 pool 21nat overload ip route 0.0.0.0 0.0.0.0 100.126.125.53

access-list 101 permit ip 172.21.0.0 0.0.255.255 172.16.0.0 0.0.255.255 access-list 121 deny ip 172.21.0.0 0.0.255.255 172.16.0.0 0.0.255.255 access-list 121 permit ip 172.21.0.0 0.0.255.255 any
route-map remote21 permit 10 match ip address 121

4 3

Atelier technologique du 7 dcembre 1999 : La politique de scurit des systmes d information

Router vers Router: cls rsa

20.20.20.21

20.20.20.20

internet

50.50.50.50

60.60.60.60

Encrypt

Atelier technologique du 7 dcembre 1999 : La politique de scurit des systmes d information

Router vers Router cl RSA config: Router 1


wan2511(config)#crypto key generate rsa The name for the keys will be: wan2511.cisco.com Choose the size of the key modulus in the range of 360 to 2048 for your General Purpose Keys. Choosing a key modulus greater than 512 may take a few minutes. How many bits in the modulus [512]: Generating RSA keys [OK] wan2511#sh crypto key mypubkey rsa % Key pair was generated at: 00:09:04 UTC Mar 1 1993 Key name: wan2511.cisco.com Usage: General Purpose Key Key Data: 305C300D 06092A86 4886F70D 01010105 00034B00 30480241 00E9007B E5CD7DC8 6E1C0423 92044254 92C972AD 0CCE9796 86797EAA B6C4EFF0 0F0A5378 6AFAE43B 3A2BD92F 98039DAC 08741E82 5D9053C4 D9CFABC1 AB54E0E2 BB020301 0001 1

wan2511# wan2511(config)#crypto key pubkey-chain rsa wan2511(config-pubkey-chain)#named-key wan2516.cisco.com wan2511(config-pubkey-key)#key-string Enter a public key as a hexidecimal number .... wan2511(config-pubkey)#$86F70D 01010105 00034B00 30480241 00DC3DDC 59885F14 wan2511(config-pubkey)#$D918DE FC7ADB76 B0B9DD1A ABAF4884 009E758C 4064C699 wan2511(config-pubkey)#$220CB9 31E267F8 0259C640 F8DE4169 1F020301 0001 wan2511(config-pubkey)#quit wan2511(config-pubkey-key)#^Z wan2511# wan2511#sh crypto key pubkey-chain rsa Key name: wan2516.cisco.com Key usage: general purpose Key source: manually entered Key data: 305C300D 06092A86 4886F70D 01010105 00034B00 30480241 00DC3DDC 59885F14 1AB30DCB 794AB5C7 82D918DE FC7ADB76 B0B9DD1A 2

Atelier technologique du 7 dcembre 1999 : La politique de scurit des systmes d information

Router vers Route Router vers Router cl RSA config: Router


ABAF4884 009E758C 4064C699 3BC9D17E C47581DC 50220CB9 31E267F8 0259C640 F8DE4169 1F020301 0001 wan2511#wr t hostname wan2511 ip host wan2516.cisco.com 20.20.20.20 ip domain-name cisco.com crypto isakmp policy 1 authentication rsa-encr group 2 lifetime 240 crypto isakmp identity hostname crypto ipsec transform-set auth2 ah-sha-hmac esp-des esp-sha-hmac crypto map test 10 ipsec-isakmp set peer 20.20.20.20 set transform-set auth2 match address 133 crypto key pubkey-chain rsa named-key wan2516.cisco.com key-string 305C300D 06092A86 4886F70D 01010105 00034B00 30480241 00DC3DDC 59885F14 1AB30DCB 794AB5C7 82D918DE FC7ADB76 B0B9DD1A ABAF4884 009E758C 4064C699 3BC9D17E C47581DC 50220CB9 31E267F8 0259C640 F8DE4169 1F020301 0001 quit interface Ethernet0 ip address 50.50.50.50 255.255.255.0 interface Serial0 ip address 20.20.20.21 255.255.255.0 encapsulation ppp no ip mroute-cache crypto map test

ip classless ip route 0.0.0.0 0.0.0.0 10.11.19.254 ip route 60.0.0.0 255.0.0.0 20.20.20.20 access-list 133 permit ip 50.50.50.0 0.0.0.255 60.60.60.0 0.0.0.255 4 3

Atelier technologique du 7 dcembre 1999 : La politique de scurit des systmes d information

Router vers Router cl RSA config: Router 2


wan2516(config)#crypto key generate rsa The name for the keys will be: wan2516.cisco.com Choose the size of the key modulus in the range of 360 to 2048 for your General Purpose Keys. Choosing a key modulus greater than 512 may take a few minutes. How many bits in the modulus [512]: Generating RSA keys ... [OK] wan2516#sh crypto key mypubkey rsa % Key pair was generated at: 00:06:35 UTC Mar 1 1993 Key name: wan2516.cisco.com Usage: General Purpose Key Key Data: 305C300D 06092A86 4886F70D 01010105 00034B00 30480241 00DC3DDC 59885F14 1AB30DCB 794AB5C7 82D918DE FC7ADB76 B0B9DD1A ABAF4884 009E758C 4064C699 3BC9D17E C47581DC 50220CB9 31E267F8 0259C640 F8DE4169 1F020301 0001 wan2516(config)#crypto key pubkey-chain rsa wan2516(config-pubkey-chain)#named-key wan2511.cisco.com wan2516(config-pubkey-key)#key-string 1

Enter a public key as a hexidecimal number .... wan2516(config-pubkey)#$86F70D 01010105 00034B00 30480241 00E9007B E5CD7DC8 wan2516(config-pubkey)#$C972AD 0CCE9796 86797EAA B6C4EFF0 0F0A5378 6AFAE43B wan2516(config-pubkey)#$741E82 5D9053C4 D9CFABC1 AB54E0E2 BB020301 0001 wan2516(config-pubkey)#quit wan2516(config-pubkey-key)#^Z wan2516#sh crypto key pubkey rsa Key name: wan2511.cisco.com Key usage: general purpose Key source: manually entered Key data: 305C300D 06092A86 4886F70D 01010105 00034B00 30480241 00E9007B E5CD7DC8 6E1C0423 92044254 92C972AD 0CCE9796 86797EAA B6C4EFF0 0F0A5378 6AFAE43B 3A2BD92F 98039DAC 08741E82 5D9053C4 D9CFABC1 AB54E0E2 BB020301 0001

Atelier technologique du 7 dcembre 1999 : La politique de scurit des systmes d information

Router vers Router cl RSA config: Router 2


wan2516#wr t hostname wan2516 ip host wan2511.cisco.com 20.20.20.21 ip domain-name cisco.com crypto isakmp policy 1 authentication rsa-encr group 2 lifetime 240 crypto isakmp identity hostname crypto ipsec transform-set auth2 ah-sha-hmac esp-des esp-sha-hmac crypto map test 10 ipsec-isakmp set peer 20.20.20.21 set transform-set auth2 match address 144 crypto key pubkey-chain rsa named-key wan2511.cisco.com key-string 305C300D 06092A86 4886F70D 01010105 00034B00 30480241 00E9007B E5CD7DC8

6E1C0423 92044254 92C972AD 0CCE9796 86797EAA B6C4EFF0 0F0A5378 6AFAE43B 3A2BD92F 98039DAC 08741E82 5D9053C4 D9CFABC1 AB54E0E2 BB020301 0001 quit

interface Loopback0 ip address 70.70.70.1 255.255.255.0 no ip route-cache no ip mroute-cache interface Ethernet0 ip address 60.60.60.60 255.255.255.0 interface Serial0 ip address 20.20.20.20 255.255.255.0 encapsulation ppp clockrate 2000000 crypto map test ip default-gateway 20.20.20.21 ip classless ip route 0.0.0.0 0.0.0.0 20.20.20.21 access-list 144 permit ip 60.60.60.0 0.0.0.255 50.50.50.0 0.0.0.255 3

Atelier technologique du 7 dcembre 1999 : La politique de scurit des systmes d information

Router vers Router: config CA

CA Server 12.12.12.13 12.12.12.12

internet
lab-isdn1 40.40.40.40 lab-isdn 20.20.20.20

Encrypt

Atelier technologique du 7 dcembre 1999 : La politique de scurit des systmes d information

hostname lab-isdn1

Router vers Router: config CA lab-isdn1


[Removed]

ip host ciscoca-ultra 171.69.54.46 ip host lab-isdn 12.12.12.12

ca certificate chain bubba certificate 3E1ED472BDA2CE0163FB6B0B004E5EEE 308201BC 30820166 A0030201 0202103E 1ED472BD A2CE0163 FB6B0B00 4E5EEE30

ip domain-name cisco.com
interface Ethernet0 ip name-server 171.68.10.70 ip address 40.40.40.40 255.255.255.0 ip name-server 171.68.122.99 crypto ipsec transform-set mypolicy ah-sha-hmac espdes esp-sha-hmac crypto map test 10 ipsec-isakmp set peer 12.12.12.12 set transform-set mypolicy match address 144 crypto ca identity bubba enrollment url http://ciscoca-ultra crl optional crypto 1 Interface BRI0 ip address 12.12.12.13 255.255.255.0 encapsulation ppp no ip mroute-cache dialer idle-timeout 99999 dialer map ip 12.12.12.12 name lab-isdn 4724171 dialer hold-queue 40 dialer-group 1 isdn spid1 919472411800 4724118 isdn spid2 919472411901 4724119 2

Atelier technologique du 7 dcembre 1999 : La politique de scurit des systmes d information

Router vers Router: CA config lab-isdn1 (....)


ppp authentication chap crypto map test ip classless ip route 0.0.0.0 0.0.0.0 12.12.12.12

access-list 144 permit ip 40.40.40.0 0.0.0.255


20.20.20.0 0.0.0.255 dialer-list 1 protocol ip permit

4 3

Atelier technologique du 7 dcembre 1999 : La politique de scurit des systmes d information

hostname lab-isdn

Router vers Router: CA config lab-isdn


[Removed]

ip host ciscoca-ultra 171.69.54.46 ip host lab-isdn1 12.12.12.13

FC6C531F C3446927 E4EE307A 806B2030 0D06092A 864886F7 0D010104 05003042 31163014 06035504 0A130D43 6973636F 20537973 74656D73 3110300E 06035504 0B130744

ip domain-name cisco.com
ip name-server 171.68.10.70 ip name-server 171.68.122.99 crypto ipsec transform-set mypolicy ah-sha-hmac espdes esp-sha-hmac crypto map test 10 ipsec-isakmp set peer 12.12.12.13 set transform-set mypolicy match address 133 crypto ca identity lab enrollment url http://ciscoca-ultra crl optional crypto ca certificate chain lab certificate 44FC6C531FC3446927E4EE307A806B20 308201E0 3082018A A0030201 02021044 1

interface Ethernet0 ip address 20.20.20.20 255.255.255.0

interface BRI0 ip address 12.12.12.12 255.255.255.0 no ip proxy-arp encapsulation ppp no ip mroute-cache bandwidth 128 load-interval 30 dialer idle-timeout 99999 dialer hold-queue 40 dialer- group 1 2

Atelier technologique du 7 dcembre 1999 : La politique de scurit des systmes d information

isdn spid1 919472417100 4724171 isdn spid2 919472417201 4724172 ppp authentication chap

Router vers Router: CA config lab-isdn (....)

crypto map test


ip classless ip route 0.0.0.0 0.0.0.0 12.12.12.13 access-list 133 permit ip 20.20.20.0 0.0.0.255 40.40.40.0 0.0.0.255 dialer-list 1 protocol ip permit

Atelier technologique du 7 dcembre 1999 : La politique de scurit des systmes d information

Router vers Multiple routers


192.168.50.1 Charlie 172.21.114.1 172.21.115.1 172.21.116.1

internet
Famous Detective 192.168.150.1

192.168.100.1

Encrypt

Atelier technologique du 7 dcembre 1999 : La politique de scurit des systmes d information

Multiple Peers: Router charlie


hostname charlie crypto isakmp policy 10 authentication pre-share crypto isakmp key orientexpress address 172.21.115.1 crypto isakmp key fortunecookie address 172.21.116.1 interface Ethernet1 ip address 172.21.114.1 255.255.255.0 crypto map charlie2peer router eigrp 100 network 172.21.0.0 network 192.168.50.0 access-list 110 permit ip host 192.168.50.1 host 192.168.100.1 access-list 111 permit ip host 192.168.50.1 host 192.168.150.1

crypto ipsec transform-set encrypt-des esp-des


crypto map charlie2peer 10 ipsec-isakmp set peer 172.21.115.1 set transform-set encrypt-des match address 110 crypto map charlie2peer 20 ipsec-isakmp set peer 172.21.116.1 set transform-set encrypt-des match address 111 interface ethernet 0 ip address 192.168.50.1 255.255.255.0

Atelier technologique du 7 dcembre 1999 : La politique de scurit des systmes d information

Multiple Peers: Router famous


hostname famous crypto isakmp policy 10 authentication pre-share crypto isakmp key orientexpress address 172.21.114.1 crypto ipsec transform-set encrypt-des esp-des crypto map famous2peer 10 ipsec-isakmp set peer 172.21.114.1 set transform-set encrypt-des match address 101 interface ethernet0 ip address 192.168.100.1 255.255.255.0 interface Ethernet1 ip address 172.21.115.1 255.255.255.0 crypto map famous2peer router eigrp 100 network 172.21.0.0 network 192.168.100.0 access-list 101 permit ip host 192.168.100.1 host 192.168.50.1

Atelier technologique du 7 dcembre 1999 : La politique de scurit des systmes d information

Multiple Peers: Router detective


hostname detective crypto isakmp policy 10 authentication pre-share crypto isakmp key fortunecookie address 172.21.114.1 crypto ipsec transform-set encrypt-des esp-des crypto map detective2peer 10 ipsec-isakmp set peer 172.21.114.1 set transform-set encrypt-des match address 110 interface ethernet0 ip address 192.168.150.1 255.255.255.0 interface Ethernet1 ip address 172.21.116.1 255.255.255.0 crypto map detective2peer router eigrp 100 network 172.21.0.0 network 192.168.150.0 access-list 110 permit ip host 192.168.150.1 host 192.168.50.1

Atelier technologique du 7 dcembre 1999 : La politique de scurit des systmes d information

Router vers PC Client

200.200.200.1

200.200.200.100

internet

10.10.1.1

Encrypt

Atelier technologique du 7 dcembre 1999 : La politique de scurit des systmes d information

Router vers PC Client: Client


Policy Name: Cisco Remote Party ID: ID: Subnet Subnet: 10.0.0.0 Mask: 255.0.0.0 Hash Algorithm: SHA-1 SA Life: Unspecified Key Group: DH-1 Key Exchange (Phase 2) ESP Encryption Algorithm: DES Hash Algorithm: MD5 Encapsulation: Tunnel SA Life: Unspecified

Connect Using Secure Gateway Tunnel ID Type: IP Address 200.200.200.1


My Identity: Certificate: None ID type: IP Address Pre-shared Key: 12345678 Security Policy: Authentication (Phase 1): Pre-shared Key Authentication Algorithm: DES

Atelier technologique du 7 dcembre 1999 : La politique de scurit des systmes d information

Router vers PC Client: Router


crypto isakmp policy 2 authentication pre-share crypto isakmp key 12345678 address 200.200.200.100 crypto ipsec security-association lifetime kilobytes 100000 interface ethernet1 ip address 10.10.1.1 255.255.255.0 router rip network 10.0.0.0 network 200.200.200.0 access-list 105 permit ip 10.0.0.0 0.255.255.255 host 200.200.200.100

crypto ipsec transform-set esp-des esp-md5-hmac


crypto dynamic-map localmap 10 set transform-set esp-des-md5 match address 105 crypto map toPeer 30 ipsec-isakmp dynamic localmap interface Ethernet0 ip address 200.200.200.1 255.255.255.0 crypto map toPeer

Atelier technologique du 7 dcembre 1999 : La politique de scurit des systmes d information

Agenda
Introduction la terminologie et au techniques du chiffrement
Introduction IPSEC

Architecture du protocole IPSEC


Scnarii dimplmentation IPSEC Troubleshooting IPSEC Plateformes Management
Atelier technologique du 7 dcembre 1999 : La politique de scurit des systmes d information

Troubleshooting

debug crypto ipsec debug crypto isakmp debug crypto engine show crypto isakmp sa show crypto ipsec sa sh crypto engine connections active

Atelier technologique du 7 dcembre 1999 : La politique de scurit des systmes d information

Trace lors dun fonctionnement correct


irmg.cayman#sh debug Cryptographic Subsystem: Crypto ISAKMP debugging is on Crypto Engine debugging is on Crypto IPSEC debugging is on irmg.cayman#ping Protocol [ip]: Target IP address: 10.146.1.1 Repeat count [5]: 10 Datagram size [100]: Timeout in seconds [2]: Extended commands [n]: y Source address or interface: 205.136.238.33 Type of service [0]: Set DF bit in IP header? [no]: Validate reply data? [no]: Data pattern [0xABCD]: Loose, Strict, Record, Timestamp, Verbose[none]: Sweep range of sizes [n]: Type escape sequence to abort. Sending 10, 100-byte ICMP Echos to 10.146.1.1, timeout is 2 seconds: 1d09h: IPSEC(sa_request): , 1 (key eng. msg.) src= 205.136.238.33, dest= 209.146.47.206, src_proxy= 205.136.238.0/255.255.255.0/0/0 (type=4), dest_proxy= 10.146.1.0/255.255.255.0/0/0 (type=4), protocol= ESP, transform= esp-des , lifedur= 3600s and 4608000kb, spi= 0x0(0), conn_id= 0, keysize= 0, flags= 0x4004 1d09h: ISAKMP (16): beginning Main Mode exchange 1d09h: ISAKMP (16): processing SA payload. message ID = 0 1d09h: ISAKMP (16): Checking ISAKMP transform 1 against priority 1 policy 1d09h: ISAKMP: encryption DES-CBC 1d09h: ISAKMP: hash MD5 1d09h: ISAKMP: default group 1 1d09h: ISAKMP: auth pre-share. 1d09h: ISAKMP (16): atts are acceptable. Next payload is 0 1d09h: Crypto engine 0: generate alg param

1d09h: CRYPTO_ENGINE: Dh phase 1 status: 0 1d09h: ISAKMP (16): SA is doing pre-shared key authentication

Atelier technologique du 7 dcembre 1999 : La politique de scurit des systmes d information

1d09h: ISAKMP (16): processing KE payload. message ID = 0 1d09h: Crypto engine 0: generate alg param

Trace lors dun fonctionnement correct

1d09h: ISAKMP (16): processing NONCE payload. message ID = 0 1d09h: Crypto engine 0: create ISAKMP SKEYID for conn id 16 1d09h: ISAKMP (16): SKEYID state generated 1d09h: ISAKMP (16): processing vendor id payload 1d09h: ISAKMP (16): speaking to another IOS box! 1d09h: generate hmac context for conn id 16 1d09h: ISAKMP (16): processing ID payload. message ID = 0 1d09h: ISAKMP (16): processing HASH payload. message ID = 0 1d09h: generate hmac context for conn id 16 1d09h: ISAKMP (16): SA has been authenticated with 209.146.47.206 1d09h: ISAKMP (16): beginning Quick Mode exchange, M-ID of 102008272 1d09h: IPSEC(key_engine): got a queue event... 1d09h: IPSEC(spi_response): getting spi 207749755ld for SA 3 from 209.146.47.206 to 205.136.238.33 for prot 3

1d09h: generate hmac context for conn id 16 1d09h: generate hmac context for conn id 16 1d09h: ISAKMP (16): processing SA payload. message ID = 102008272 1d09h: ISAKMP (16): Checking IPSec proposal 1 1d09h: ISAKMP: transform 1, ESP_DES 1d09h: ISAKMP: attributes in transform: 1d09h: ISAKMP: encaps is 1 1d09h: ISAKMP: SA life type in seconds 1d09h: ISAKMP: SA life duration (basic) of 3600 1d09h: ISAKMP: SA life type in kilobytes 1d09h: ISAKMP: SA life duration (VPI) of 0x0 0x46 0x50 0x0 1d09h: ISAKMP (16): atts are acceptable. 1d09h: IPSEC(validate_proposal_request): proposal part #1, (key eng. msg.) dest= 209.146.47.206, src= 205.136.238.33, dest_proxy= 10.146.1.0/255.255.255.0/0/0 (type=4), src_proxy= 205.136.238.0/255.255.255.0/0/0 (type=4), protocol= ESP, transform= esp-des , lifedur= 0s and 0kb, spi= 0x0(0), conn_id= 0, keysize= 0, flags= 0x4 4

Atelier technologique du 7 dcembre 1999 : La politique de scurit des systmes d information

1d09h: ISAKMP (16): processing NONCE payload. message ID = 102008272 1d09h: ISAKMP (16): processing ID payload. message ID = 102008272 1d09h: ISAKMP (16): processing ID payload. message ID = 102008272 1d09h: generate hmac context for conn id 16 1d09h: ISAKMP (16): Creating IPSec SAs 1d09h: inbound SA from 209.146.47.206 to 205.136.238.33 (proxy 10.146. 1.0 to 205.136.238.0 ) 1d09h: has spi 207749755 and conn_id 17 and flags 4 1d09h: lifetime of 3600 seconds 1d09h: lifetime of 4608000 kilobytes 1d09h: outbound SA from 205.136.238.33 to 209.146.47.206 (proxy 205.13 6.238.0 to 10.146.1.0 ) 1d09h: has spi 440535111 and conn_id 18 and flags 4 1d09h: lifetime of 3600 seconds 1d09h: lifetime of 4608000 kilobytes 1d09h: IPSEC(key_engine): got a queue event... 1d09h: IPSEC(initialize_sas): , (key eng. msg.) dest= 205.136.238.33, src= 5 209.146.47.206,

Trace lors dun fonctionnement correct

dest_proxy= 205.136.238.0/255.255.255.0/0/0 (type=4), src_proxy= 10.146.1.0/255.255.255.0/0/0 (type=4), protocol= ESP, transform= esp-des , lifedur= 3600s and 4608000kb, spi= 0xC62027B(207749755), conn_id= 17, keysize= 0, flags= 0x4 1d09h: IPSEC(initialize_sas): , (key eng. msg.) src= 205.136.238.33, dest= 209.146.47.206, src_proxy= 205.136.238.0/255.255.255.0/0/0 (type=4), dest_proxy= 10.146.1.0/255.255.255.0/0/0 (type=4), protocol= ESP, .transform= esp-des , lifedur= 3600s and 4608000kb, spi= 0x1A420847(440535111), conn_id= 18, keysize= 0, flags= 0x4 1d09h: IPSEC(create_sa): sa created, (sa) sa_dest= 205.136.238.33, sa_prot= 50, sa_spi= 0xC62027B(207749755), sa_trans= esp-des , sa_conn_id= 17 1d09h: IPSEC(create_sa): sa created, (sa) sa_dest= 209.146.47.206, sa_prot= 50, sa_spi= 0x1A420847(440535111), sa_trans= esp-des , sa_conn_id= 18!!!!!!!! Success rate is 80 percent (8/10), round-trip 6

Atelier technologique du 7 dcembre 1999 : La politique de scurit des systmes d information

min/avg/max = 180/185/205 ms irmg.cayman#sh crypto engine conn ac

Trace lors dun fonctionnement correct

ID Interface IP-Address State Algorithm Encrypt decrypt 16 no idb no address set DES_56_CBC 0 0 17 Se0/0.1 205.136.238.33 set DES_56_CBC 0 8 18 Se0/0.1 205.136.238.33 set DES_56_CBC 8 0 irmg.cayman#sh crypto isa sa dst src state conn-id slot 209.146.47.206 205.136.238.33 QM_IDLE irmg.cayman#sh crypto ipsec sa

remote ident (addr/mask/prot/port): (10.146.1.0/255.255.255.0/0/0) current_peer: 209.146.47.206 PERMIT, flags={origin_is_acl,} #pkts encaps: 8, #pkts encrypt: 8, #pkts digest 0 #pkts decaps: 8, #pkts decrypt: 8, #pkts verify 0 #send errors 2, #recv errors 0 local crypto endpt.: 205.136.238.33, remote crypto endpt.: 209.146.47.206 path mtu 1500, media mtu 1500 current outbound spi: 1A420847 inbound esp sas: spi: 0xC62027B(207749755) transform: esp-des , in use settings ={Tunnel, } slot: 0, conn id: 17, crypto map: charlie2peer sa timing: remaining key lifetime (k/sec): (4607998/3455) IV size: 8 bytes replay detection support: N inbound ah sas: 8

16

interface: Serial0/0.1 Crypto map tag: charlie2peer, local addr. 205.136.238.33


local ident (addr/mask/prot/port): (205.136.238.0/255.255.255.0/0/0)

Atelier technologique du 7 dcembre 1999 : La politique de scurit des systmes d information

outbound esp sas: spi: 0x1A420847(440535111) transform: esp-des , in use settings ={Tunnel, } slot: 0, conn id: 18, crypto map: charlie2peer sa timing: remaining key lifetime (k/sec): (4607999/3446) IV size: 8 bytes replay detection support: N

Trace lors dun fonctionnement correct

crypto map charlie2peer local-address Ethernet0/0 crypto map charlie2peer 10 ipsec-isakmp set peer 209.146.47.206 set transform-set encrypt-des match address 110 interface Ethernet0/0 description connected to EthernetLAN ip address 205.136.238.33 255.255.255.224 no ip directed-broadcast no keepalive interface Serial0/0 no ip address no ip directed-broadcast encapsulation frame-relay no ip route-cache no ip mroute-cache frame-relay lmi-type ansi ! interface Serial0/0.1 point-to-point description connected to Internet ip unnumbered Ethernet0/0 no ip directed-broadcast no ip route-cache

outbound ah sas: irmg.cayman#sh ru Building configuration... Current configuration: hostname irmg.cayman crypto isakmp policy 1 hash md5 authentication pre-share crypto isakmp key orientexpress address 9 209.146.47.206 crypto ipsec transform-set encrypt-des esp-des

10

Atelier technologique du 7 dcembre 1999 : La politique de scurit des systmes d information

no ip mroute-cache bandwidth 64 frame-relay interface-dlci 16 IETF crypto map charlie2peer ip classless ip route 0.0.0.0 0.0.0.0 Serial0/0.1

Trace lors dun fonctionnement correct

access-list 110 permit ip 205.136.238.0 0.0.0.255 10.146.1.0 0.0.0.255

11

Atelier technologique du 7 dcembre 1999 : La politique de scurit des systmes d information

Agenda
Introduction la terminologie et au techniques du chiffrement Introduction IPSEC Architecture du protocole IPSEC Scnarios dimplmentation IPSEC Troubleshooting IPSEC Plateformes

Management
Atelier technologique du 7 dcembre 1999 : La politique de scurit des systmes d information

Routeurs entreprise optimiss VPN


Core

VPN Optimized Routers


Cisco 7500 Cisco 7200 VXR Cisco 7200

Cisco 3600

Density

VPN-Optimized Routers High density , modularity & flexibility Scalable VPN Services For hybrid private/VPN environments
Cisco 7100 Series VPN Router

Cisco 2600

Dedicated VPN
Cisco 1720

Cisco 800

Cisco 7100 Series Integrated VPN Router High-End, Focused platform Scalable VPN services For Dedicated VPN Environments

Branch
Atelier technologique du 7 dcembre 1999 : La politique de scurit des systmes d information

Services Performance

Agenda
Introduction la terminologie et au techniques du chiffrement Introduction IPSEC Architecture du protocole IPSEC Scnarii dimplmentation IPSEC Troubleshooting IPSEC Plateformes

Management
Atelier technologique du 7 dcembre 1999 : La politique de scurit des systmes d information

Cisco Security Manager


Phase I: Gestion des Firewalls PIX . Gestion oriente politique de scurit.
Phase II: Gestion des VPN et du chiffrement
IPSec, Routeurs IOS & IOS firewalls, Cisco VPN devices Cisco Secure Policy Manager 2.x - (Q4 CY99)

Phase III: Gestion complte de la scurit


Intgration : Directories, CiscoWorks2000, IDS, etc
Cisco Secure Policy Manager 3.x - (Q2 CY00)

Atelier technologique du 7 dcembre 1999 : La politique de scurit des systmes d information

Security Manager v1.0


Gestion oriente politiques de scurit du primtre de scurit rseau Gestion jusqu 100 Cisco PIX firewalls Bas Windows Architecture clientserveur rapports Web

Atelier technologique du 7 dcembre 1999 : La politique de scurit des systmes d information

Specification du Security Manager 1.0


Policy Manager
Window 95/98 ou NT 4.0 Service Pack 4 (File system NTFS ) Internet Explorer 4.01 Policy server Windows NT 4.0, SP 4 Licences : 1 PIX, 10 PIXs, 100 PIXs

Atelier technologique du 7 dcembre 1999 : La politique de scurit des systmes d information

Architecture : Security Manager


Policy Manager Functions
IE 4.01 Policy Reporting NS 4.x
Report Generation

Policy Server Functions


Policy Monitoring
Event Collection

Network Infrastructure
Policy Enforcement Points (i.e. network devices) PIX Firewall Router

Policy Distribution
PIX Control Agent Cisco IOS Control Agent

Policy Server

Policy Administration
Central Policy Database Policy Generation

NetRanger Sensor
IDS Control Agent

Policy

Config

Networks

Directory
Atelier technologique du 7 dcembre 1999 : La politique de scurit des systmes d information

Positionnement : Security Manager v1.0


Telecommuters Campus Mobile Users

Security & QoS


Enterprise Policy
Partners

Branch Offices

Composant de scuit de larchitecture CiscoAssure

Complmente & coexiste avec QoS Policy Manager v1.0


A terme, remplacement du PIX Firewall Manager (PFM)
Atelier technologique du 7 dcembre 1999 : La politique de scurit des systmes d information

Security Manager Cration de la topologie


Premire tape Wizards pour aide la cration de la topologie rseau
Network

Interface
Service

Atelier technologique du 7 dcembre 1999 : La politique de scurit des systmes d information

Security Manager Dfinition des politiques


Crations des politiques en terme dobjectifs business Dfinition des politiques de bout en bout Indpendent du nombre de devices et de leurs emplacements Contrle de cohrence
Atelier technologique du 7 dcembre 1999 : La politique de scurit des systmes d information

Security Manager Mise en place des politiques


Distribution des politiques plusieurs PIXs simultanment Translation des politiques en configurations spcifiques aux devices

Atelier technologique du 7 dcembre 1999 : La politique de scurit des systmes d information

Architecture Security Manager


Phase I Phase II Phase III
Policy Server(s)

Policy Process:
Policy Manager(s) Define Enforce Audit

Database

Directory
AAA Server

Certificat e Authority

Perimeter Security IPSec IDS &VPNs Directory Services

VPN Clients

Routers

Access PIX NetRanger SensorsServers Firewalls

Atelier technologique du 7 dcembre 1999 : La politique de scurit des systmes d information

Merci !!!

Atelier technologique du 7 dcembre 1999 : La politique de scurit des systmes d information

Synthse finale
Ingnierie Finance Serveur Web Serveur e-mail

CiscoSecure

Rseau de socit

Configurer routeur
Commutateur groupe de travail

ok ?
Routeur

Internet

Administrateur Autorit de certification

Bureau distant

Routeur

Atelier technologique du 7 dcembre 1999 : La politique de scurit des systmes d information

Synthse
Routeur Ingnierie Finance PC distant CiscoSecure

Rseau de socit
TUNNEL TUNNEL

Internet

Administrateur

( ((

Scanner Etat de vulnrabilit Autorit de certification

Atelier technologique du 7 dcembre 1999 : La politique de scurit des systmes d information

(( (

Commutateur groupe travail

PIX Firewall

TUNNEL Routeur

Utilisateur mobile

Bureau distant

IOS Firewall

Synthse finale
Ingnierie Finance

Sensor

CiscoSecure

Rseau de socit

Internet
Administrateur Sensor Commutateur groupe travail PIX Firewall Routeur

Scanner Sensor

Alerte !
Autorit de certification Utilisateur mobile Director Bureau distant IOS Firewall

Atelier technologique du 7 dcembre 1999 : La politique de scurit des systmes d information

Synthse finale
Finance Sensor CiscoSecure

Ingnierie

Rseau de socit

Mise jour politique


Commutateur groupe travail PIX Firewall Routeur

Internet

Administrateur

Sensor

Scanner Sensor

Manager de scurit
Utilisateur mobile

Atelier technologique du 7 dcembre 1999 : La politique de scurit des systmes d information

Director

Bureau distant

IOS Firewall

Conclusion
Vision globale de la scurit:
un firewall ne suffit pas scurit de bout en bout, interne et externe le niveau de la chaine de scurit est celui du maillon le plus faible

Administration centralise Transparence de la solution mise en place


limitation des contraintes imposes aux utilisateurs
faible impact en terme de performance

Conservation de la matrise de la solution de scurit


Atelier technologique du 7 dcembre 1999 : La politique de scurit des systmes d information

Quelques URLs Cisco (1/2)


Security Overview http://www.cisco.com/warp/customer/778/security/

VPN Material
Enterprise http://www.cisco.com/warp/customer/779/largeent/learn/technologies/VPNs. html Service Prov http://www.cisco.com/warp/customer/779/servpro/solutions/vpn/ http://www.cisco.com/warp/customer/728/Secure/literature.shtml http://www.cisco.com/warp/customer/778/security/pix/pie_ds.htm http://www.cisco.com/warp/customer/778/security/pix/nat_wp.htm Cisco Secure PIX

Security Consulting http://www.cisco.com/warp/customer/778/security/scs/ Atelier technologique du 7 dcembre 1999 : La politique de scurit des systmes d information

Quelques URLs Cisco (2/2)


IOS Firewall http://www.cisco.com/warp/customer/778/security/firewall/fire_ds.htm http://www.cisco.com/warp/customer/732/Security/IPsec_wp.htm http://www.cisco.com/warp/customer/778/security/NetSonar/netso_ds.htm http://www.cisco.com/warp/customer/778/security/NetRanger/netra_ds.htm http://www.cisco.com/warp/customer/778/security/scs/ IPSec NetSonar NetRanger Security Consulting Security Manager http://www.cisco.com/warp/customer/778/security/csm/

Atelier technologique du 7 dcembre 1999 : La politique de scurit des systmes d information

Rfrences produits tierce (1/2)


Certificate Authorities

http://www.verisign.com/
http://www.entrust.com/ Firewall Reporting

http://www.opensystems.com
http://www.telemate.net/ One Time Password Servers

http://www.cryptocard.com/
http://www.securitydynamics.com URL Filtering http://www.netpartners.com/
Atelier technologique du 7 dcembre 1999 : La politique de scurit des systmes d information

Rfrences produits tierce (2/2)


IPsec Clients http://www.ire.com/ http://www.timestep.com/ http://www.datafellows.com/

Atelier technologique du 7 dcembre 1999 : La politique de scurit des systmes d information

Merci!

1999, Cisco Systems, Inc.

www.cisco.com

149

Vous aimerez peut-être aussi