LA SECURITE

back.jpg (996 octets)

 

Il existePlusieurs solutions CISCO pour protéger votre réseau :

Le CISCO PIX FIREWALL

L'IOS FIREWALL SOFTWARE

LES OUTILS DE MONITORING

 

 

ban_ciscopix.gif (3148 octets)

 

La gamme Cisco Secure PIX® Firewall (ex-PIX Firewall) est une ligne d'appareils de sécurisation à hautes performances, faciles à installer et intégrant composants matériels et logiciels. Elle vous permet de protéger votre réseau interne du monde extérieur et offre toutes les garanties de sécurité d'un pare-feu de réseau.

Sécurité inégalée pour les réseaux d'entreprise

La gamme Cisco Secure PIX Firewall est une gamme d'appareils de sécurisation à hautes performances, faciles à installer et intégrant composants matériels et logiciels. Elle vous permet de protéger votre réseau interne du monde extérieur et offre toutes les garanties de sécurité d'un pare-feu de réseau. Contrairement aux serveurs proxy permanents, gros consommateurs de ressources système, qui appliquent des procédures de sécurité à chaque paquet de données au niveau applicatif, les pare-feu Cisco Secure PIX utilisent un système dédié de sécurisation en temps réel (non UNIX). Ces pare-feu PIX sont exceptionnellement performants : ils prennent en charge plus de 256 000 connexions simultanées, traitent plus de 6 500 connexions par seconde et atteignent des débits de près de 170 Mbits/s. Ces capacités dépassent de loin celles des autres équipements pare-feu dédiés ou des pare-feu logiciels basés sur des systèmes d'exploitation centraux.

 

Spécifications Techniques


Caractéristiques PIX Firewall 515R PIX Firewall 515UR PIX Firewall 520

Sessions simultanées 50 000 100 000 128, 1 024
ou 250 000

Interfaces 2 ports Ethernet 4-6 ports Ethernet 2-6 ports Ethernet
3 ports TR
2 ports FDDI
Combo Ethernet et TR

Slots PCI
2 2 4

Connexions 10/100 2 2 0

RAM 32 MB 64 MB 128 MB

Vitesse du processeur
200 Mhz 200 Mhz 350 Mhz

Dimensions (cm)
(H x L x P)
4,37x42,72x29,97 4,37x42,72x29,97 13,3x42,72x44,5

Catégorie de service 12 12 12


Présentation du FIREWALL PIX515

pix515_2eth.gif (3205 octets)

 

Présentation des interfaces

1 port ethernet 10/100 inside = port 1
1 port ethernet 10/100 outside = port 2

pix515_io.gif (6559 octets)

 

 

LA REDONDANCE: le failover

failover.gif (9129 octets)

 

 

Exemples de configurations

2 Interfaces sans  NAT - (configuration basique)

When you first add a PIX Firewall to an existing network, it is easiest to implement its use if you do not have to renumber all the inside and outside IP addresses. The configuration in Figure 5-1 illustrates this scenario. Syslog is enabled to facilitate troubleshooting. All inside hosts can start connections. All external hosts are blocked from initiating connections or sessions on inside hosts. If you use Inter-NIC registered IP addresses, only use those addresses that you own.

2interface_sansnat.gif (3807 octets)

 


2 Interfaces sans  NAT
Configuration Description
nameif ethernet0 outside security0

nameif ethernet1 inside security100

interface ethernet0 auto

interface ethernet1 auto

 
PIX Firewall provides nameif and interface command statements for the interfaces in the default configuration.
ip address outside 192.150.50.3 255.255.255.0

ip address inside 172.31.2.100 255.255.255.0
Identify the IP addresses for both interfaces.
hostname pixfirewall
Specifies the host name for the PIX Firewall. This name appears in the command line prompt.
arp timeout 14400
Sets the ARP timeout to 14,400 seconds (four hours). Entries are kept in the ARP table for four hours before they are flushed. Four hours is the standard default value for ARP timeouts.
no failover
Disables failover access.
names
Enables use of text strings instead of IP addresses. This makes your configuration files more readable.
pager lines 24
Enables paging so that if when 24 lines of information display, PIX Firewall pauses the listing and prompts you to continue.
logging buffered debugging
Enables syslog messages, which provide diagnostic information and status for the PIX Firewall. PIX Firewall makes it easy to view syslog messages with the show logging command.
nat (inside) 0 172.31.2.0 255.255.255.0
Lets inside IP addresses be recognized on the outside network and lets inside users start outbound connections.
rip inside default

no rip inside passive

no rip outside default

no rip outside passive
Sets RIP listening attributes. The first command causes the PIX Firewall to broadcast a default route on the inside interface. Broadcasting a default route sends network traffic to the PIX Firewall if your internal network is running RIP. The next command disables passive RIP listening on the inside. The next command disables broadcasting a default route on the outside. This is desirable when the network is attached to the Internet, but not when on an intranet. The last command disables passive RIP listening on the outside.
route outside 0.0.0.0 0.0.0.0 192.150.50.1 1
Sets the outside default route to the router attached to the Internet.
timeout xlate 3:00:00 conn 1:00:00 
half-closed0:10:00 udp 0:02:00

timeout rpc 0:10:00 h323 0:05:00 

timeout uauth 0:05:00 absolute
Default values for the maximum duration that PIX Firewall resources can remain idle until being freed. Additional users cannot make connections until a connection resource is freed either by a user dropping a connection or by an xlate and conn timer time out.
no snmp-server location

no snmp-server contact

snmp-server community public
Specifies that SNMP information may be accessed by internal hosts that know the community string, but PIX Firewall does not send trap information to any host.
mtu outside 1500

mtu inside 1500
Sets the maximum transmission unit value for Ethernet access.

 

 

2 Interfaces avec NAT

This configuration shows the use of PAT (Port Address Translation), denying Java applets, using the AAA commands, creating a mail server, permitting NFS, initializing SNMP, and setting console access with Telnet.

2int_avecnat.gif (6746 octets)



2 Interfaces avec NAT
Configuration Description
nameif ethernet0 outside security0

nameif ethernet1 inside security100

interface ethernet0 auto

interface ethernet1 auto
PIX Firewall provides nameif and interface command statements for the interfaces in the default configuration.
ip address inside 10.1.1.1 255.255.255.0

ip address outside 204.31.17.10 255.255.255.0
Identify the IP addresses for both interfaces.
logging on

logging host 10.1.1.11

logging trap 7

logging facility 20

no logging console
The logging host command statement specifies which host runs a syslog server. This command also causes the PIX Firewall to start sending syslog messages to that host. The logging trap command statement sets syslog to send all possible messages to the syslog host. The no logging console command statement disables displaying messages to the console.
arp timeout 600
Set an ARP timeout to 600 seconds (10 minutes). Use this arp timeout command statement when you set up a network and change inside and outside host addresses often.
nat (inside) 1 0.0.0.0 0.0.0.0

nat (inside) 2 192.168.3.0 255.255.255.0
Permit all inside users to start outbound connections using the translated IP addresses from the global pool.
global (outside) 1 204.31.17.25-204.31.17.27

global (outside) 1 204.31.17.24

global (outside) 2 192.159.1.1-192.159.1.254
Create two pools of global addresses to let the nat command statements use the address pools for translating internal IP addresses to external addresses. Each pool is designated by the number from the nat command statement, in this case, 1 and 2.
conduit permit icmp any any
Allow inbound and outbound pings.
outbound 10 deny 192.168.3.3 255.255.255.255 1720

outbound 10 deny 0 0 80

outbound 10 permit 192.168.3.3 255.255.255.255 80

outbound 10 deny 192.168.3.3 255.255.255.255 java

outbound 10 permit 10.1.1.11 255.255.255.255 80
Create access lists to determine which hosts can access services. The first outbound command statement denies host 192.168.3.3from accessing H.323 (port 1720) services such as MS NetMeeting or InternetPhone. The next command statement denies all hosts from accessing the Web (port 80). The next two command statements permits host 192.168.3.3 to use the Web, but denies its users from downloading Java applets. The last outbound command statement permits host 10.1.1.11 access to the Web (at port 80) and to download Java applets. This permit command statement outweighs the previous deny regardless of the order in which the command statements are entered into the configuration.
apply (inside) 10 outgoing_src

 
Specify that the outbound group regulates the activities of inside hosts starting outbound connections.
no rip outside passive

no rip outside default

 
rip inside passive

rip inside default
The first command disables RIP listening on the outside interface. The second command disables broadcasting a default route on the outside.

The third command enables RIP listening on the inside and the last command causes PIX Firewall to broadcast a default route on the inside interface.

route outside 0 0 204.31.17.1 1

 
Set the default route on the outside network to be 204.31.17.1. This is the IP address of the host connecting to the Internet.
aaa-server TACACS+ (inside) host 10.1.1.12 1q2w3e

aaa authentication any inside 192.168.3.0 

255.255.255.0 0 0 TACACS+

aaa authorization any inside 192.168.3.0

255.255.255.0 0 0
The aaa-server command specifies the IP address of the TACACS+ authentication server. The aaa authentication command statement specifies that users on network 192.168.3.0 starting FTP, HTTP, and Web connections from the inside interface be prompted for their usernames and passwords before being permitted to access these servers on other interfaces. The aaa authorization command statement lets the users on 192.168.3.0 access FTP, HTTP, or Telnet, and any TCP connections to anywhere as authorized by the AAA server. Even though it appears that the aaa commands let the PIX Firewall set security policy, the authentication server actually does the work to decide which users are authenticated and what services they can access when authentication is permitted.
static (inside, outside) 204.31.19.0 192.168.3.0 
netmask 255.255.255.0

conduit permit tcp 204.31.19.0 255.255.255.0 

eq h323 any
The static command statement creates a net static command statement, which is a static command statement for a Class IP address, in this case for IP addresses 204.31.19.1 through 204.31.19.254. The static command shows the use of the connection limit and the embryonic limit arguments. The maximum number of connections limits the number of connections a host can use. This command permits access to only 10 users and up to 30 SYNs (embryonic connections). Note that the static command's maximum connections option applies to both inbound and outbound connections.

The conduit command statement lets users on the Internet send InternetPhone (port h323) requests to users on 192.168.3.x while addressing them as 204.31.19.x.

static (inside, outside) 204.31.17.29 10.1.1.11 

conduit permit tcp host 204.31.17.29 eq 80 any
The static command statement with the conduit command statement establishes an externally visible IP address for Web access (port 80 in the conduit command statement).
conduit permit udp host 204.31.17.29 eq rpc 

host 204.31.17.17

 
Refine the accessibility of the static command by permitting Sun RPC over the UDP portmapper on port 111. Refer to the UNIX /etc/rpc file and the UNIX rpc(3N) command page for more information. Once you create a conduit for RPC, you can use the following command from outside host 204.31.17.17 to track down the activity of a PCNFSD on RPC 150001:

rpcinfo -u 204.31.17.29 150001

Another use of RPC is with the following command to see the exports of 204.31.17.29 if you want to allow NFS mounting from outside in:

showmount -e 204.31.17.29

Many protocols based on RPC, as well as NFS, are insecure and should be used with caution. Review your security policies carefully before permitting access to RPC.

conduit permit udp host 204.31.17.29 eq 2049 

host 204.31.17.17
Permit NFS access, which occurs at port 2049 and provides access between the outside and inside, such that 204.31.17.17can mount 10.1.1.11.
static (inside, outside) 204.31.17.30 10.1.1.3

netmask 255.255.255.255 10 10

conduit permit tcp host 204.31.17.30 eq smtp any

 
Identify access to the 10.1.1.3 mail server through global address 204.31.17.30. The conduit permits any outside host access to the static via SMTP (port 25). By default, PIX Firewall restricts all access to mail servers to RFC 821 section 4.5.1 commands of DATA, HELO, MAIL, NOOP, QUIT, RCPT, and RSET. This occurs via the Mail Guard service which is set with the following default configuration command:

fixup protocol smtp 25

Another aspect of providing access to a mail server is setting being sure that you have a DNS MX record for the static's global address, which outside users access when sending mail to your site.

conduit permit tcp host 204.31.17.30 eq 113 any
Create access to port 113, the IDENT protocol. If the mail server has to talk to many mail servers on the outside which connect back with the now obsolete and highly criticized IDENT protocol, use this conduit command statement to speed up mail transmission.
snmp-server host 192.168.3.2

snmp-server location building 42

snmp-server contact polly hedra

snmp-server community ohwhatakeyisthee
These commands specify that host 192.168.3.2 can receive SNMP events, which the PIX Firewall sends via syslog. The location and contact commands identify where the host is and who administers it. The community command describes the password in use at the SNMP server for verifying network access with the server.
telnet 10.1.1.11 255.255.255.255

telnet 192.168.3.0 255.255.255.0
These commands permit host access to the PIX Firewall console. The first telnet command permits a single host, 10.1.1.11 to access the PIX Firewall console with Telnet. The 255 value in the last octet of the netmask means that only the specified host can access the console.

The second telnet command permits PIX Firewall console access from all hosts on the 192.168.3.0 network. The 0 value in the last octet of the netmask permits all hosts in that network access. However, Telnet only permits 16 hosts simultaneous access to the PIX Firewall console over Telnet.

 

Outils de configurations

Il existe plusieurs moyens de configurer le PIX:

   - Le pix Wizard Setup   (Attention il faut la version 5.0(3) de l'ios ).

   - Par interface CLI (via l'hyperterminal).

 

 

REFLASHAGE

MISE A JOUR d'un ios à partir du routeur (sans unité floppy)


PIX BIOS (4.0) #0: Tue May 18 16:29:54 PDT 1999
Platform PIX-515
Flash=i28F640J5 @ 0x300

Use BREAK or ESC to interrupt flash boot.
Use SPACE to begin flash boot immediately.
Flash boot interrupted.
0: i8255X @ PCI(bus:0 dev:13 irq:10)
1: i8255X @ PCI(bus:0 dev:14 irq:7 )

Using 1: i82559 @ PCI(bus:0 dev:14 irq:7 ), MAC: 0050.54ff.1004
Use ? for help.
monitor>
monitor>
monitor> help
? this help message
address [addr] set IP address
file [name] set boot file name
gateway [addr] set IP gateway
help this help message
interface [num] select TFTP interface
ping <addr> send ICMP echo
reload halt and reload system
server [addr] set server IP address
tftp TFTP download
timeout TFTP timeout
trace toggle packet tracing
monitor>
monitor>
monitor> address 172.31.112.35
address 172.31.112.35
monitor> interface 1
0: i8255X @ PCI(bus:0 dev:13 irq:10)
1: i8255X @ PCI(bus:0 dev:14 irq:7 )

Using 1: i82559 @ PCI(bus:0 dev:14 irq:7 ), MAC: 0050.54ff.1004
monitor> server 172.31.112.1
server 172.31.112.1
monitor>
monitor> file pixFWbin503.bin
file pixFWbin503.bin
monitor>
monitor> tftp
tftp pixFWbin503.bin@172.31.112.1

et la nouvelle version d'ios s'installe

Plus de documentation sur le Cisco PIX Firewall :
http://www.cisco.com/univercd/cc/td/doc/product/iaabu/pix/index.htm


 

 

iosfirewall_ban.gif (3168 octets)

 

Présentation Générale

Le logiciel Cisco IOS Firewall étend et renforce les capacités de sécurité de la plate-forme logicielle Cisco IOS® en intégrant des fonctionnalités de pare-feu et de détection d'intrusions pour protéger votre périmètre réseau.
Le Cisco IOS Firewall ajoute des solutions de pointe, à la fois plus souples et plus drastiques, aux dispositifs classiques d'authentification, de cryptage et de correction : filtrage en fonction des applications, authentification et habilitation dynamiques des utilisateurs, parade des attaques de réseau, blocage Java et alarmes en temps réel. Combiné au logiciel Cisco IOS IPSec et à d'autres technologies Cisco IOS comme le fractionnement en canaux L2TP et la qualite de service (QoS), le Cisco IOS Firewall constitue une solution complète pour la création de réseaux privés virtuels (VPN).

Le Cisco IOS Firewall est disponible sur les routeurs Cisco des gammes 800, 1600, 1700, 2500, 2600, 3600, 7100 et 7200.

 

Les opérations commerciales passant de plus en plus par les réseaux des entreprises, il devient indispensable d'intégrer des systèmes de sécurité à leur structure même. C'est à cette seule condition que les politiques de sécurité sont efficaces.

La plate-forme logicielle Cisco IOS® équipe plus de 80 % des routeurs de fédérateurs Internet ; à ce titre, elle constitue l'élément le plus fondamental des infrastructures de réseau. Elle est la base de prédilection de toute solution de sécurité des réseaux de bout en bout Internet, intranet et à accès distant.

Il est possible de protéger cette plate-forme grâce à une option de sécurisation parfaitement adaptée, le logiciel Cisco Secure Integrated Software (ex-panoplie de fonctions Cisco IOS Firewall). Cette solution, qui offre de très solides fonctions de pare-feu et de détection des intrusions, s'allie aux fonctions traditionnelles de sécurité de Cisco IOS pour protéger votre périmètre réseau. Elle ajoute des solutions de pointe, à la fois plus souples et plus drastiques, aux dispositifs classiques d'authentification, de cryptage et de correction : filtrage en fonction des applications, authentification et habilitation dynamiques des utilisateurs, parade des attaques de réseau, blocage Java et alarmes en temps réel. Combinées au logiciel Cisco IOS IPSec et à d'autres technologies Cisco IOS comme le fractionnement en canaux L2TP et la qualité de service (QoS), le Cisco Secure Integrated Software constitue une solution complète et intégrée pour réseau privé virtuel.

Pour quels besoins ?


Cisco IOS Firewall - Sécurisation d'extranet, d'intranet et de connectivité Internet des bureaux et agences distants
- Sécurisation d'accès distant ou de transfert de données via une solution de VPN basée sur Cisco IOS
- Système intégré de détection d'intrusion en temps réel en complément d'un pare-feu existant ou d'un autre système de détection d'intrusions (NetRanger)
- Politique de sécurité et d'accès au réseau par utilisateur

 

 

 

Principales caractéristiques

La panoplie de fonctions Cisco Secure IS constitue un pare-feu idéal pour les réseaux Cisco ; pour les routeurs, il s'agit d'un moyen d'assouplissement et de sécurisation. Les caractéristiques essentielles sont décrites dans le tableau 1.


Tableau 1 - Présentation du Cisco Secure Integrated Software

Caractéristiques Description
CBAC (Context-Based Access Control)
  • Fournit aux utilisateurs internes un contrôle d'accès sécurisé par application, pour tout le trafic traversant par exemple les périmètres entre les réseaux d'entreprise privés et Internet.
Détection des intrusions (Intrusion Detection)
  • Cette fonction sentinelle détecte, intercepte et corrige en temps réel la majorité des tentatives d'intrusion.
Proxy d'authentification (Authentication Proxy)
  • Authentification et habilitation dynamiques des utilisateurs pour les communications via LAN et par numérotation. Les administrateurs peuvent établir des politiques de sécurité distinctes pour chaque utilisateur grâce à la vérification des données par comparaison avec celles des protocoles normalisés TACACS+ et RADIUS.
Détection/prévention de refus de service
  • Défend et protège les ressources du routeur contre les attaques courantes. Vérifie l'en-tête des paquets et supprime les paquets douteux.
Mappage dynamique des ports (Dynamic Port Mapping)
  • Cette fonction permet l'utilisation d'applications compatibles CBAC sur des ports non normalisés
Blocage des appliquettes Java
  • Protection contre les appliquettes Java hostiles et non identifiées
Support des VPN, du cryptage IPSec et de la QoS
  • Association au cryptage, au fractionnement en canaux et à la qualité de service de Cisco IOS, pour sécurisation des VPN.
  • Canaux cryptés sur le routeur, puissante sécurité de périmètre, administration avancée de la bande passante, détection des intrusions et validation au niveau service
  • Interopérabilité garantie par la conformité aux normes
Messages d'alerte en temps réel
  • Consignation avec alarme des refus de service (ou autres cas critiques préconfigurés) ; la configuration est désormais possible pour chaque application et chaque fonction
Analyse rétrospective
  • Détail des opérations ; transmission de l'horodate des enregistrements, de l'identité des hôtes source et destination, des ports, des durées et des nombres totaux d'octets transférés ; fonctions désormais configurables individuellement et par application
Historiques d'événements
  • Permet aux administrateurs d'analyser en temps réel les menaces potentielles ou les activités inhabituelles, en consignant sur un terminal de console ou sur un serveur syslog les messages d'erreur système, avec indication du niveau de gravité et enregistrement de paramètres supplémentaires.
Administration du Cisco Secure IOS
  • L'outil de configuration est de type « Assistant » et guide l'utilisateur au cours de toutes les étapes de conception de réseau, d'adressage et de configuration des politiques de sécurités ; il s'applique aux routeurs Cisco 1600, 1720, 2500, 2600 et 3600 ; il prend également en charge les configurations de NAT et d'IPSec.
Intégration à la plate forme logicielle Cisco IOS
  • Interopérabilité avec les fonctions de la plate-forme logicielle Cisco IOS, avec application de politiques sécuritaires au niveau du réseau
Filtrage de trafic, niveau de base et niveau avancé
  • Listes de contrôle d'accès (ACL) standards et étendues - contrôle de l'accès à des segments particuliers du réseau et définition du trafic autorisé à traverser ces segments.
  • Verrou et clé-ACL dynamiques : accordent un accès temporaire, après identification (nom d'utilisateur/mot de passe), à travers les pares-feu.
Support multi-interface selon politique
  • Permet de contrôler l'accès utilisateur par adresse et interface IP, selon la politique de sécurité.
Redondance et résilience
  • Détournement automatique du trafic vers un routeur de secours en cas de panne
Traduction des adresses réseau
  • Renforcement de la sécurité par masquage du réseau interne
Listes d'accès temporisés
  • Définition de la politique de sécurité par heure et par jour
Authentification de routeur
  • Réception assurée par les routeurs d'informations de routage fiables provenant de sources dignes de confiance

 

 

CBAC (Context-Based Access Control)

Le moteur CBAC du Cisco Secure IS assure un contrôle par application sur tout le périmètre réseau. Le contrôle d'accès CBAC renforce la sécurité des applications sur TCP et UDP qui exploitent des ports bien connus (notamment pour le transfert FTP et le courrier électronique), en inspectant les adresses d'origine et de destination. Avec la technologie CBAC, les administrateurs disposent d'une solution intégrée de mise en uvre du pare-feu.

Ceci permet d'éliminer les portes d'accès fragilisantes pour les réseaux des partenaires extranet (applications Internet, multimédia et accès aux bases de données Oracle). CBAC sécurise les réseaux tout en assurant le routage du trafic applicatif, multimédia et de visioconférence.

Impact de CBAC sur la sécurité réseau

CBAC est un dispositif de contrôle du trafic IP qui fonctionne application par application, et supporte les applications Internet classiques sur TCP et UDP, les applications multimédia (y compris les applications H.323 et autres) et les bases de données Oracle. CBAC analyse les paquets TCP et UDP et consigne leur « état », ou état de connexion.

TCP est un protocole en mode connecté. Avant de transmettre les données, l'hôte source négocie une connexion avec le destinataire selon ce que l'on appelle « three way handshake » (négociation tripartite). Ce processus d'établissement de connexion garantit des connexions TCP valides et une transmission sans erreur. Pendant l'établissement de la connexion, TCP passe par plusieurs « états » ou phases, qui sont facilement identifiables au niveau des en-têtes de paquets. Les ACL standard et étendues s'informent de l'état dans ces en-têtes et déterminent si le trafic est autorisé sur une liaison.

Le contrôle d'accès CBAC ajoute aux services des listes ACL la fonction d'inspection intelligente, par recherche des informations d'état de l'application dans tout le paquet. Avec ces données, CBAC crée une entrée ACL temporaire pour la session, autorisant le trafic de retour sur le réseau sécurisé. L'ACL temporaire ouvre une porte dans le pare-feu et lorsqu'une session est terminée ou interrompue, l'entrée ACL est supprimée et la porte est refermée, empêchant le passage de tout autre trafic. Les listes ACL standard et étendues ne peuvent pas créer d'entrées ACL temporaires ; jusqu'à présent, l'administrateur devait donc définir un compromis entre risques et exigences d'accès à l'information. Avec les listes ACL standard ou étendues, il était difficile de sécuriser les applications avancées qui sont capables de choisir entre plusieurs canaux pour transférer le trafic de retour.

Le contrôle CBAC est plus sûr que les solutions actuelles de listes ACL : pour laisser passer une session à travers un pare-feu, il se base sur le type de l'application et détermine si elle choisit entre plusieurs canaux pour acheminer le trafic de retour. Auparavant, pour autoriser le trafic d'applications avancées, les administrateurs devaient écrire des listes ACL permanentes ; celles-ci laissant les portes des pare-feu ouvertes en permanence, la plupart des administrateurs préféraient interdire ce type de trafic. Désormais, avec le contrôle d'accès CBAC, ils peuvent autoriser le trafic d'applications multimédia et autres en ouvrant le pare feu uniquement lorsque cela est nécessaire. Par exemple, si le contrôle CBAC est configuré pour autoriser Microsoft NetMeeting et qu'un utilisateur interne ouvre une connexion, le pare-feu laisse passer le trafic de retour. Mais si une source NetMeeting externe ouvre une connexion vers un utilisateur interne, le CBAC refuse l'accès et supprime les paquets.

Détection des intrusions (Intrusion Detection)

Les IDS (Intrusion Detection Systems) sont un second rempart qui s'ajoute au pare-feu et protège le réseau des attaques internes et externes. La technologie IDS du Cisco Secure Integrated Software renforce la protection du périmètre en invalidant les paquets et les flux qui violent les règles de sécurité ou procèdent d'actes de malveillance.

Elle accroît l'éclairage et la transparence nécessaires à la bonne surveillance des périmètres au niveau des intranets, des extranets et des connexions Internet des succursales. L'administrateur réseau dispose avec elle d'une protection et d'une parade efficaces contre les menaces externes ou internes.

Détection et contre-mesures (Detection and Response)

L'IDS du Cisco Secure IS reconnaît la marque de 59 des types d'attaque les plus courants. Les signatures de détection d'intrusions comprises dans la nouvelle version du Cisco Secure IS ont été sélectionnées parmi un grand choix de signatures. Ces signatures correspondent aux infractions de sécurité graves, aux attaques de réseau les plus courantes et aux analyses de collecte de données.

Le Cisco Secure IS joue le rôle de capteur de détection des intrusions en ligne, en surveillant les paquets et les sessions à mesure qu'ils transitent par un routeur et en les analysant afin de contrôler leurs signatures IDS. En cas de détection d'une activité suspecte, il réagit avant que la sécurité du réseau ne soit mise en danger et consigne l'événement via le Syslog du Cisco IOS. L'administrateur réseau à le choix des contre-mesures, et peut adapter l'action du système IDS en fonction de la menace. Lorsque les paquets d'une session correspondent à une signature, le système IDS peut être configuré pour effectuer les opérations suivantes :

Cisco à conçu les fonctions de détection logicielle des intrusions de Cisco Secure IS dans une optique d'adaptabilité, et a donc prévu une possibilité de désactivation des signatures qui se révéleraient être de « fausses ennemies ». Par ailleurs, l'administrateur a la possibilité de dissocier le moteur de sécurité CBAC, en installant les fonctions de détection des intrusions sur un routeur et les fonctions pare-feu sur un autre (bien qu'il soit en principe préférable qu'elles résident sur la même interface). La détection logicielle des intrusions de Cisco est intégrée aux pare-feu Cisco Secure IS livrés avec les routeurs Cisco des gammes 1720, 2600, 3600, 7100 et 7200. Toutes les plates-formes de routage équipées des fonctions Cisco Secure IS reconnaissent cinq des types d'attaque SMTP les plus courants.

Cisco Secure : Logiciel intégré et système de détection des intrusions

Les utilisateurs du Cisco Secure Intrusion Detection System peuvent ajouter les signatures des systèmes IDS de Cisco IOS à leur base, et étendre ainsi leur système de protection à des zones non couvertes par NetRanger Sensor. Les empreintes des systèmes IDS de Cisco sont utilisables indépendamment du pare-feu Cisco Secure IS.

La fonction de détection des intrusions du Cisco Secure IS est incorporable à l'écran Cisco Secure Intrusion Detection System Director sous forme d'icône (permettant la visualisation de tous les capteurs d'intrusion du réseau). Le Cisco Secure IS comporte un mécanisme permettant de consigner les événements non seulement dans le journal système (syslog) de Cisco IOS mais aussi au niveau de la console Cisco Secure Intrusion Detection System Director.

Proxy d'authentification (Authentication Proxy)

Grâce aux fonctions d'authentification et d'habilitation dynamiques par LAN de Cisco Secure IS, l'administrateur réseau peut créer des stratégies sécuritaires spécifiques à chaque utilisateur. Auparavant, il n'existait que deux méthodes de sécurisation : soit l'identité et les droits afférents de chaque utilisateur étaient déterminés par son adresse (fixe) IP, soit il fallait appliquer en bloc une stratégie sécuritaire aux groupes d'utilisateurs ou aux sous-réseaux. Désormais, grâce aux services AAA (Authentication, Authorization, Accounting) de la plate-forme logicielle Cisco IOS, il est possible d'appliquer une stratégie distincte à chaque utilisateur, par chargement dynamique dans le routeur des données de serveurs d'authentification TACACS+ or RADIUS.

Dès qu'un utilisateur se connecte au réseau directement ou par HTTP, son profil et ses droits d'accès sont automatiquement chargés. Ses droits d'accès sont lus et vérifiés, et le réseau est protégé de toute imposture. De plus, les procédures d'authentification et d'habilitation s'appliquent en entrée comme en sortie.

Détection/prévention de refus de service

Grâce à leur capacité d'analyse des nombres de paquets de chaque connexion TCP, la détection et la prévention avancées des refus de service protègent les réseaux des attaques les plus courantes, telles que les déluges de signaux SYN (synchronize/start), le criblage des ports et l'injection de paquets. Si ces nombres excèdent ou n'atteignent pas les valeurs admissibles, le routeur supprime les paquets douteux. Lorsque le routeur détecte des nombres anormaux de nouvelles connexions, il émet un message d'alerte et met un terme aux connexions TCP à moitié établies, protégeant le système de tout accaparement.

Lorsqu'il soupçonne une attaque, le pare-feu Cisco Secure IS se met à pister l'accédant en repérant tous les couples de ports et d'adresses source-destination utilisés. De plus, il consigne tous les détails de l'opération en vue d'une future investigation.

Mappage dynamique des ports (Dynamic Port Mapping)

Le mappage des ports est adaptatif, et permet le fonctionnement sur des ports non-standard des applications supportées par CBAC. Grâce à cela, l'administrateur réseau est en mesure de personnaliser le contrôle de l'accès aux applications et aux services en fonction de ses besoins.

Blocage des appliquettes Java

Avec la prolifération des appliquettes Java sur Internet, la protection contre les programmes hostiles est une préoccupation majeure des administrateurs réseau. Le blocage Java peut être configuré pour filtrer ou refuser totalement l'accès aux appliquettes Java ne faisant pas partie d'un fichier d'archive ou d'un fichier compressé.

VPN, cryptage IPSec et QoS

Associé à la technologie Cisco IPSec, le Cisco Secure IS assure une fonctionnalité VPN intégrée. Le développement des VPN assure la sécurité des transferts sur lignes publiques (Internet), la réduction des frais de communication pour les utilisateurs éloignés, les succursales et les extranets, ainsi que le renforcement de la qualité de service et de la fiabilité.

Le Cisco Secure IS est conçu pour sécuriser les VPN grâce aux fonctions de cryptage, de fractionnement en canaux et de QoS de la plate-forme logicielle Cisco IOS. Le cryptage au niveau de la couche réseau empêche toute écoute ou modification des données lors de leur transmission sur réseau. Avec son cryptage, le Cisco Secure IS assure la confidentialité des données même sur les supports IPSec (Internet Protocol Security) 56 bits (DES) et 168 bits (3DES), considérés comme non fiables.

Complètement ouverte, la plate-forme Cisco IOS supporte de nombreuses normes de protocole de fractionnement en canaux, avec encapsulation GRE (Generic Routing Encapsulation), L2F (Layer 2 Forwarding), et L2TP (Layer 2 Tunneling Protocol). Les fonctions QoS permettent de classer le trafic, d'administrer les congestions et de définir les priorités par application.

Le Cisco Secure IS peut être employé avec des plates-formes VPN préconfigurées, notamment les routeurs des gammes Cisco 1720, 2600, 3600 et 7100, qui transforment les réseaux anciens en authentiques VPN. Cisco est conscient que les solutions VPN doivent offrir plus que des canaux sécurisés permettant de franchir les réseaux publics. Elles doivent également assurer la livraison en temps voulu et en toute fiabilité des données, et garantir la sécurité du périmètre séparant le réseau de l'entreprise du réseau public. Ainsi, associé à un routeur de type 7100, le Cisco Secure IS offre des canaux cryptés adaptables tout en assurant une sécurité de périmètre renforcée, l'administration de la bande passante, la détection des intrusions et la validation au niveau services.

La fonction d'authentification par proxy du Cisco Secure IS permet en outre l'authentification et l'habilitation pour les logiciels Cisco VPN clients.

Alarmes en temps réel configurables, analyse rétrospective et consignation des événements

Les alarmes en temps réel envoient des messages d'erreur syslog aux consoles d'administration centrales dès qu'une activité suspecte est détectée, ce qui permet aux administrateurs réseau de réagir immédiatement aux intrusions. Les fonctions évoluées d'analyse rétrospective utilisent le journal syslog pour consigner toutes les transactions : les heures d'enregistrement, l'hôte source, l'hôte de destination, les ports utilisés, la durée de la session et le nombre total d'octets transmis pour un reporting par session évolué.

Les fonctions d'alarme et d'analyse rétrospective du Cisco Secure IS sont désormais configurables, permettant une signalisation et un suivi des erreurs plus souples. Les fonctions configurables d'analyse rétrospective supportent le suivi modulaire des applications compatibles CBAC et du blocage Java. Les alarmes en temps réel et l'analyse rétrospective sont supportées par un grand nombre d'outils de reporting de fournisseurs tiers.

Dès qu'un événement se produit sur le réseau, l'alarme est donnée à l'hôte connecteur via le mécanisme syslog de la plate-forme logicielle Cisco IOS. Ceci permet aux administrateurs d'analyser en temps réel les menaces potentielles ou les activités inhabituelles, en consignant sur un terminal de console ou sur un serveur syslog les messages d'erreur système, avec indication du niveau de gravité et enregistrement de paramètres supplémentaires.

Administration du Cisco Secure IS

L'application des politiques de sécurité et l'administration du Cisco Secure IS se font très simplement, sur une interface graphique centrale. Les versions 2.1 et ultérieures de Cisco ConfigMaker comportent un assistant grâce auquel il est facile de configurer la stratégie de sécurité du Cisco Secure IS. Elles supportent également la configuration de la NAT et d'IPSec.

Cisco ConfigMaker est un assistant logiciel pour Microsoft Windows 95, Windows 98 et Windows NT 4.0, capable de configurer un petit réseau de routeurs, de commutateurs, de concentrateurs et autres composants de réseau Cisco à partir d'un PC unique. Il est également disponible avec les routeurs des gammes Cisco 800, 1600, 1720, 2500, 2600 et 3600.

Intégration à la plate forme logicielle Cisco IOS

Le Cisco Secure IS est une solution de sécurisation intégrable aux réseaux à l'aide de la plate-forme logicielle Cisco IOS. Pour se protéger efficacement, il ne suffit pas de disposer d'une stratégie de sécurité par pare-feu et protection de périmètre ; il faut que ces éléments soient intégrés au réseau lui-même. La plate-forme logicielle Cisco IOS est l'outil idéal pour mettre en oeuvre une politique de sécurité globale. Les solutions de sécurité de Cisco suivent l'évolution de votre réseau.

Le Cisco Secure IS est entièrement compatible avec les fonctions de la plate-forme logicielle Cisco IOS :NAT, protocoles de fractionnement en canaux VPN, CEF (Cisco Express Forwarding), extensions AAA, cryptage Cisco et Cisco IOS IPSec.

À qui le logiciel Cisco Secure Integrated Software s'adresse-t-il ?

 

Plus de documentation sur le Cisco IOS Firewall :
http://www.cisco.com/univercd/cc/td/doc/product/software/ios120/120newft/120t/120t5/iosfw2/index.htm