LA SECURITE
Il existePlusieurs solutions CISCO pour protéger votre réseau :
Le CISCO PIX FIREWALL
L'IOS FIREWALL SOFTWARE
LES OUTILS DE MONITORING
La gamme Cisco Secure PIX® Firewall (ex-PIX Firewall) est une ligne
d'appareils de sécurisation à hautes performances, faciles à installer
et intégrant composants matériels et logiciels. Elle vous permet de protéger votre
réseau interne du monde extérieur et offre toutes les garanties de sécurité d'un
pare-feu de réseau.
La gamme Cisco Secure PIX Firewall est une gamme d'appareils de sécurisation à hautes performances, faciles à installer et intégrant composants matériels et logiciels. Elle vous permet de protéger votre réseau interne du monde extérieur et offre toutes les garanties de sécurité d'un pare-feu de réseau. Contrairement aux serveurs proxy permanents, gros consommateurs de ressources système, qui appliquent des procédures de sécurité à chaque paquet de données au niveau applicatif, les pare-feu Cisco Secure PIX utilisent un système dédié de sécurisation en temps réel (non UNIX). Ces pare-feu PIX sont exceptionnellement performants : ils prennent en charge plus de 256 000 connexions simultanées, traitent plus de 6 500 connexions par seconde et atteignent des débits de près de 170 Mbits/s. Ces capacités dépassent de loin celles des autres équipements pare-feu dédiés ou des pare-feu logiciels basés sur des systèmes d'exploitation centraux.
Spécifications Techniques
| Caractéristiques | PIX Firewall 515R | PIX Firewall 515UR | PIX Firewall 520 |
| Sessions simultanées | 50 000 | 100 000 | 128, 1 024 ou 250 000 |
| Interfaces | 2 ports Ethernet | 4-6 ports Ethernet | 2-6 ports Ethernet 3 ports TR 2 ports FDDI Combo Ethernet et TR |
| Slots PCI |
2 | 2 | 4 |
| Connexions 10/100 | 2 | 2 | 0 |
| RAM | 32 MB | 64 MB | 128 MB |
| Vitesse du processeur |
200 Mhz | 200 Mhz | 350 Mhz |
| Dimensions (cm) (H x L x P) |
4,37x42,72x29,97 | 4,37x42,72x29,97 | 13,3x42,72x44,5 |
| Catégorie de service | 12 | 12 | 12 |
Présentation du FIREWALL PIX515
Présentation des interfaces
1 port ethernet 10/100 inside = port 1
1 port ethernet 10/100 outside = port 2
LA REDONDANCE: le failover
When you first add a PIX Firewall to an existing network, it is easiest to implement
its use if you do not have to renumber all the inside and outside IP addresses. The
configuration in Figure
5-1 illustrates this scenario. Syslog is enabled to facilitate troubleshooting. All
inside hosts can start connections. All external hosts are blocked from initiating
connections or sessions on inside hosts. If you use Inter-NIC registered IP addresses,
only use those addresses that you own.
2 Interfaces sans NAT | |
| Configuration | Description |
|---|---|
nameif ethernet0 outside security0 nameif ethernet1 inside security100 interface ethernet0 auto interface ethernet1 auto |
PIX Firewall provides nameif and interface command statements for the interfaces in the default configuration. |
ip address outside 192.150.50.3 255.255.255.0 ip address inside 172.31.2.100 255.255.255.0 |
Identify the IP addresses for both interfaces. |
hostname pixfirewall |
Specifies the host name for the PIX Firewall. This name appears in the command line prompt. |
arp timeout 14400 |
Sets the ARP timeout to 14,400 seconds (four hours). Entries are kept in the ARP table for four hours before they are flushed. Four hours is the standard default value for ARP timeouts. |
no failover |
Disables failover access. |
names |
Enables use of text strings instead of IP addresses. This makes your configuration files more readable. |
pager lines 24 |
Enables paging so that if when 24 lines of information display, PIX Firewall pauses the listing and prompts you to continue. |
logging buffered debugging |
Enables syslog messages, which provide diagnostic information and status for the PIX Firewall. PIX Firewall makes it easy to view syslog messages with the show logging command. |
nat (inside) 0 172.31.2.0 255.255.255.0 |
Lets inside IP addresses be recognized on the outside network and lets inside users start outbound connections. |
rip inside default no rip inside passive no rip outside default no rip outside passive |
Sets RIP listening attributes. The first command causes the PIX Firewall to broadcast a default route on the inside interface. Broadcasting a default route sends network traffic to the PIX Firewall if your internal network is running RIP. The next command disables passive RIP listening on the inside. The next command disables broadcasting a default route on the outside. This is desirable when the network is attached to the Internet, but not when on an intranet. The last command disables passive RIP listening on the outside. |
route outside 0.0.0.0 0.0.0.0 192.150.50.1 1 |
Sets the outside default route to the router attached to the Internet. |
timeout xlate 3:00:00 conn 1:00:00 half-closed0:10:00 udp 0:02:00 timeout rpc 0:10:00 h323 0:05:00 timeout uauth 0:05:00 absolute |
Default values for the maximum duration that PIX Firewall resources can remain idle until being freed. Additional users cannot make connections until a connection resource is freed either by a user dropping a connection or by an xlate and conn timer time out. |
no snmp-server location no snmp-server contact snmp-server community public |
Specifies that SNMP information may be accessed by internal hosts that know the community string, but PIX Firewall does not send trap information to any host. |
mtu outside 1500 mtu inside 1500 |
Sets the maximum transmission unit value for Ethernet access. |
This configuration shows the use of PAT (Port Address Translation), denying Java applets, using the AAA commands, creating a mail server, permitting NFS, initializing SNMP, and setting console access with Telnet.
2 Interfaces avec NAT |
|
| Configuration | Description |
|---|---|
nameif ethernet0 outside security0 nameif ethernet1 inside security100 interface ethernet0 auto interface ethernet1 auto |
PIX Firewall provides nameif and interface command statements for the interfaces in the default configuration. |
ip address inside 10.1.1.1 255.255.255.0 ip address outside 204.31.17.10 255.255.255.0 |
Identify the IP addresses for both interfaces. |
logging on logging host 10.1.1.11 logging trap 7 logging facility 20 no logging console |
The logging host command statement specifies which host runs a syslog server. This command also causes the PIX Firewall to start sending syslog messages to that host. The logging trap command statement sets syslog to send all possible messages to the syslog host. The no logging console command statement disables displaying messages to the console. |
arp timeout 600 |
Set an ARP timeout to 600 seconds (10 minutes). Use this arp timeout command statement when you set up a network and change inside and outside host addresses often. |
nat (inside) 1 0.0.0.0 0.0.0.0 nat (inside) 2 192.168.3.0 255.255.255.0 |
Permit all inside users to start outbound connections using the translated IP addresses from the global pool. |
global (outside) 1 204.31.17.25-204.31.17.27 global (outside) 1 204.31.17.24 global (outside) 2 192.159.1.1-192.159.1.254 |
Create two pools of global addresses to let the nat command statements use the address pools for translating internal IP addresses to external addresses. Each pool is designated by the number from the nat command statement, in this case, 1 and 2. |
conduit permit icmp any any |
Allow inbound and outbound pings. |
outbound 10 deny 192.168.3.3 255.255.255.255 1720 outbound 10 deny 0 0 80 outbound 10 permit 192.168.3.3 255.255.255.255 80 outbound 10 deny 192.168.3.3 255.255.255.255 java outbound 10 permit 10.1.1.11 255.255.255.255 80 |
Create access lists to determine which hosts can access services. The first outbound command statement denies host 192.168.3.3from accessing H.323 (port 1720) services such as MS NetMeeting or InternetPhone. The next command statement denies all hosts from accessing the Web (port 80). The next two command statements permits host 192.168.3.3 to use the Web, but denies its users from downloading Java applets. The last outbound command statement permits host 10.1.1.11 access to the Web (at port 80) and to download Java applets. This permit command statement outweighs the previous deny regardless of the order in which the command statements are entered into the configuration. |
apply (inside) 10 outgoing_src |
Specify that the outbound group regulates the activities of inside hosts starting outbound connections. |
no rip outside passive no rip outside default rip inside passive rip inside default |
The first command disables RIP listening on the outside interface. The
second command disables broadcasting a default route on the outside. The third command enables RIP listening on the inside and the last command causes PIX Firewall to broadcast a default route on the inside interface. |
route outside 0 0 204.31.17.1 1 |
Set the default route on the outside network to be 204.31.17.1. This is the IP address of the host connecting to the Internet. |
aaa-server TACACS+ (inside) host 10.1.1.12 1q2w3e aaa authentication any inside 192.168.3.0 255.255.255.0 0 0 TACACS+ aaa authorization any inside 192.168.3.0 255.255.255.0 0 0 |
The aaa-server command specifies the IP address of the TACACS+ authentication server. The aaa authentication command statement specifies that users on network 192.168.3.0 starting FTP, HTTP, and Web connections from the inside interface be prompted for their usernames and passwords before being permitted to access these servers on other interfaces. The aaa authorization command statement lets the users on 192.168.3.0 access FTP, HTTP, or Telnet, and any TCP connections to anywhere as authorized by the AAA server. Even though it appears that the aaa commands let the PIX Firewall set security policy, the authentication server actually does the work to decide which users are authenticated and what services they can access when authentication is permitted. |
static (inside, outside) 204.31.19.0 192.168.3.0 netmask 255.255.255.0 conduit permit tcp 204.31.19.0 255.255.255.0 eq h323 any |
The static command statement creates a net
static command statement, which is a static command
statement for a Class IP address, in this case for IP addresses 204.31.19.1 through
204.31.19.254. The static command shows the use of the connection limit
and the embryonic limit arguments. The maximum number of connections limits the number of
connections a host can use. This command permits access to only 10 users and up to 30 SYNs
(embryonic connections). Note that the static command's maximum
connections option applies to both inbound and outbound connections. The conduit command statement lets users on the Internet send InternetPhone (port h323) requests to users on 192.168.3.x while addressing them as 204.31.19.x. |
static (inside, outside) 204.31.17.29 10.1.1.11 conduit permit tcp host 204.31.17.29 eq 80 any |
The static command statement with the conduit command statement establishes an externally visible IP address for Web access (port 80 in the conduit command statement). |
conduit permit udp host 204.31.17.29 eq rpc host 204.31.17.17 |
Refine the accessibility of the static command by
permitting Sun RPC over the UDP portmapper on port 111. Refer to the UNIX
/etc/rpc file and the UNIX rpc(3N) command page for more information.
Once you create a conduit for RPC, you can use the following command from outside host
204.31.17.17 to track down the activity of a PCNFSD on RPC 150001: rpcinfo -u 204.31.17.29 150001 Another use of RPC is with the following command to see the exports of 204.31.17.29 if you want to allow NFS mounting from outside in: showmount -e 204.31.17.29 Many protocols based on RPC, as well as NFS, are insecure and should be used with caution. Review your security policies carefully before permitting access to RPC. |
conduit permit udp host 204.31.17.29 eq 2049 host 204.31.17.17 |
Permit NFS access, which occurs at port 2049 and provides access between the outside and inside, such that 204.31.17.17can mount 10.1.1.11. |
static (inside, outside) 204.31.17.30 10.1.1.3 netmask 255.255.255.255 10 10 conduit permit tcp host 204.31.17.30 eq smtp any |
Identify access to the 10.1.1.3 mail server through global address
204.31.17.30. The conduit permits any outside host access to the static via SMTP (port
25). By default, PIX Firewall restricts all access to mail servers to RFC 821 section
4.5.1 commands of DATA, HELO, MAIL, NOOP, QUIT, RCPT, and RSET. This occurs via the Mail
Guard service which is set with the following default configuration command: fixup protocol smtp 25 Another aspect of providing access to a mail server is setting being sure that you have a DNS MX record for the static's global address, which outside users access when sending mail to your site. |
conduit permit tcp host 204.31.17.30 eq 113 any |
Create access to port 113, the IDENT protocol. If the mail server has to talk to many mail servers on the outside which connect back with the now obsolete and highly criticized IDENT protocol, use this conduit command statement to speed up mail transmission. |
snmp-server host 192.168.3.2 snmp-server location building 42 snmp-server contact polly hedra snmp-server community ohwhatakeyisthee |
These commands specify that host 192.168.3.2 can receive SNMP events, which the PIX Firewall sends via syslog. The location and contact commands identify where the host is and who administers it. The community command describes the password in use at the SNMP server for verifying network access with the server. |
telnet 10.1.1.11 255.255.255.255 telnet 192.168.3.0 255.255.255.0 |
These commands permit host access to the PIX Firewall console. The first telnet
command permits a single host, 10.1.1.11 to access the PIX Firewall console with Telnet.
The 255 value in the last octet of the netmask means that only the specified host can
access the console. The second telnet command permits PIX Firewall console access from all hosts on the 192.168.3.0 network. The 0 value in the last octet of the netmask permits all hosts in that network access. However, Telnet only permits 16 hosts simultaneous access to the PIX Firewall console over Telnet. |
Outils de configurations
Il existe plusieurs moyens de configurer le PIX:
- Le pix Wizard Setup (Attention il faut la version 5.0(3) de l'ios ).
- Par interface CLI (via l'hyperterminal).
REFLASHAGE
MISE A JOUR d'un ios à partir du routeur (sans unité
floppy)
PIX BIOS (4.0) #0: Tue May 18 16:29:54 PDT 1999
Platform PIX-515
Flash=i28F640J5 @ 0x300
Use BREAK or ESC to interrupt flash boot.
Use SPACE to begin flash boot immediately.
Flash boot interrupted.
0: i8255X @ PCI(bus:0 dev:13 irq:10)
1: i8255X @ PCI(bus:0 dev:14 irq:7 )
Using 1: i82559 @ PCI(bus:0 dev:14 irq:7 ), MAC: 0050.54ff.1004
Use ? for help.
monitor>
monitor>
monitor> help
? this help message
address [addr] set IP address
file [name] set boot file name
gateway [addr] set IP gateway
help this help message
interface [num] select TFTP interface
ping <addr> send ICMP echo
reload halt and reload system
server [addr] set server IP address
tftp TFTP download
timeout TFTP timeout
trace toggle packet tracing
monitor>
monitor>
monitor> address 172.31.112.35
address 172.31.112.35
monitor> interface 1
0: i8255X @ PCI(bus:0 dev:13 irq:10)
1: i8255X @ PCI(bus:0 dev:14 irq:7 )
Using 1: i82559 @ PCI(bus:0 dev:14 irq:7 ), MAC: 0050.54ff.1004
monitor> server 172.31.112.1
server 172.31.112.1
monitor>
monitor> file pixFWbin503.bin
file pixFWbin503.bin
monitor>
monitor> tftp
tftp pixFWbin503.bin@172.31.112.1
et la nouvelle version d'ios s'installe
Plus de documentation sur le Cisco PIX Firewall :
http://www.cisco.com/univercd/cc/td/doc/product/iaabu/pix/index.htm
Présentation Générale
Le logiciel Cisco IOS Firewall étend et renforce les capacités de
sécurité de la plate-forme logicielle Cisco IOS® en intégrant des
fonctionnalités de pare-feu et de détection d'intrusions pour protéger votre
périmètre réseau.
Le Cisco IOS Firewall ajoute des solutions de pointe, à la fois plus souples et plus
drastiques, aux dispositifs classiques d'authentification, de cryptage et de correction :
filtrage en fonction des applications, authentification et habilitation dynamiques des
utilisateurs, parade des attaques de réseau, blocage Java et alarmes en temps réel.
Combiné au logiciel Cisco IOS IPSec et à d'autres technologies Cisco IOS comme le
fractionnement en canaux L2TP et la qualite de service (QoS), le Cisco IOS Firewall
constitue une solution complète pour la création de réseaux privés virtuels (VPN).
Le Cisco IOS Firewall est disponible sur les routeurs Cisco des gammes 800, 1600, 1700, 2500, 2600, 3600, 7100 et 7200.
Les opérations commerciales passant de plus en plus par les réseaux des entreprises,
il devient indispensable d'intégrer des systèmes de sécurité à leur structure même.
C'est à cette seule condition que les politiques de sécurité sont efficaces.
La plate-forme logicielle Cisco IOS® équipe plus de 80 % des routeurs de fédérateurs Internet ; à ce titre, elle constitue l'élément le plus fondamental des infrastructures de réseau. Elle est la base de prédilection de toute solution de sécurité des réseaux de bout en bout Internet, intranet et à accès distant.
Il est possible de protéger cette plate-forme grâce à une option de sécurisation
parfaitement adaptée, le logiciel Cisco Secure Integrated Software (ex-panoplie de
fonctions Cisco IOS Firewall). Cette solution, qui offre de très solides fonctions
de pare-feu et de détection des intrusions, s'allie aux fonctions traditionnelles de
sécurité de Cisco IOS pour protéger votre périmètre réseau. Elle ajoute des
solutions de pointe, à la fois plus souples et plus drastiques, aux dispositifs
classiques d'authentification, de cryptage et de correction : filtrage en
fonction des applications, authentification et habilitation dynamiques des utilisateurs,
parade des attaques de réseau, blocage Java et alarmes en temps réel. Combinées au
logiciel Cisco IOS IPSec et à d'autres technologies Cisco IOS comme le
fractionnement en canaux L2TP et la qualité de service (QoS), le Cisco Secure
Integrated Software constitue une solution complète et intégrée pour réseau privé
virtuel.
Pour quels besoins ?
| Cisco IOS Firewall | - Sécurisation d'extranet, d'intranet et de
connectivité Internet des bureaux et agences distants - Sécurisation d'accès distant ou de transfert de données via une solution de VPN basée sur Cisco IOS - Système intégré de détection d'intrusion en temps réel en complément d'un pare-feu existant ou d'un autre système de détection d'intrusions (NetRanger) - Politique de sécurité et d'accès au réseau par utilisateur |
La panoplie de fonctions Cisco Secure IS constitue un pare-feu idéal pour les réseaux Cisco ; pour les routeurs, il s'agit d'un moyen d'assouplissement et de sécurisation. Les caractéristiques essentielles sont décrites dans le tableau 1.
Tableau 1 - Présentation du Cisco Secure Integrated Software
| Caractéristiques | Description |
|---|---|
| CBAC (Context-Based Access Control) |
|
| Détection des intrusions (Intrusion Detection) |
|
| Proxy d'authentification (Authentication Proxy) |
|
| Détection/prévention de refus de service |
|
| Mappage dynamique des ports (Dynamic Port Mapping) |
|
| Blocage des appliquettes Java |
|
| Support des VPN, du cryptage IPSec et de la QoS |
|
| Messages d'alerte en temps réel |
|
| Analyse rétrospective |
|
| Historiques d'événements |
|
| Administration du Cisco Secure IOS |
|
| Intégration à la plate forme logicielle Cisco IOS |
|
| Filtrage de trafic, niveau de base et niveau avancé |
|
| Support multi-interface selon politique |
|
| Redondance et résilience |
|
| Traduction des adresses réseau |
|
| Listes d'accès temporisés |
|
| Authentification de routeur |
|
Le moteur CBAC du Cisco Secure IS assure un contrôle par application sur tout le périmètre réseau. Le contrôle d'accès CBAC renforce la sécurité des applications sur TCP et UDP qui exploitent des ports bien connus (notamment pour le transfert FTP et le courrier électronique), en inspectant les adresses d'origine et de destination. Avec la technologie CBAC, les administrateurs disposent d'une solution intégrée de mise en uvre du pare-feu.
Ceci permet d'éliminer les portes d'accès fragilisantes pour les réseaux des partenaires extranet (applications Internet, multimédia et accès aux bases de données Oracle). CBAC sécurise les réseaux tout en assurant le routage du trafic applicatif, multimédia et de visioconférence.
CBAC est un dispositif de contrôle du trafic IP qui fonctionne application par application, et supporte les applications Internet classiques sur TCP et UDP, les applications multimédia (y compris les applications H.323 et autres) et les bases de données Oracle. CBAC analyse les paquets TCP et UDP et consigne leur « état », ou état de connexion.
TCP est un protocole en mode connecté. Avant de transmettre les données, l'hôte source négocie une connexion avec le destinataire selon ce que l'on appelle « three way handshake » (négociation tripartite). Ce processus d'établissement de connexion garantit des connexions TCP valides et une transmission sans erreur. Pendant l'établissement de la connexion, TCP passe par plusieurs « états » ou phases, qui sont facilement identifiables au niveau des en-têtes de paquets. Les ACL standard et étendues s'informent de l'état dans ces en-têtes et déterminent si le trafic est autorisé sur une liaison.
Le contrôle d'accès CBAC ajoute aux services des listes ACL la fonction d'inspection intelligente, par recherche des informations d'état de l'application dans tout le paquet. Avec ces données, CBAC crée une entrée ACL temporaire pour la session, autorisant le trafic de retour sur le réseau sécurisé. L'ACL temporaire ouvre une porte dans le pare-feu et lorsqu'une session est terminée ou interrompue, l'entrée ACL est supprimée et la porte est refermée, empêchant le passage de tout autre trafic. Les listes ACL standard et étendues ne peuvent pas créer d'entrées ACL temporaires ; jusqu'à présent, l'administrateur devait donc définir un compromis entre risques et exigences d'accès à l'information. Avec les listes ACL standard ou étendues, il était difficile de sécuriser les applications avancées qui sont capables de choisir entre plusieurs canaux pour transférer le trafic de retour.
Le contrôle CBAC est plus sûr que les solutions actuelles de listes ACL : pour laisser passer une session à travers un pare-feu, il se base sur le type de l'application et détermine si elle choisit entre plusieurs canaux pour acheminer le trafic de retour. Auparavant, pour autoriser le trafic d'applications avancées, les administrateurs devaient écrire des listes ACL permanentes ; celles-ci laissant les portes des pare-feu ouvertes en permanence, la plupart des administrateurs préféraient interdire ce type de trafic. Désormais, avec le contrôle d'accès CBAC, ils peuvent autoriser le trafic d'applications multimédia et autres en ouvrant le pare feu uniquement lorsque cela est nécessaire. Par exemple, si le contrôle CBAC est configuré pour autoriser Microsoft NetMeeting et qu'un utilisateur interne ouvre une connexion, le pare-feu laisse passer le trafic de retour. Mais si une source NetMeeting externe ouvre une connexion vers un utilisateur interne, le CBAC refuse l'accès et supprime les paquets.
Les IDS (Intrusion Detection Systems) sont un second rempart qui s'ajoute au pare-feu et protège le réseau des attaques internes et externes. La technologie IDS du Cisco Secure Integrated Software renforce la protection du périmètre en invalidant les paquets et les flux qui violent les règles de sécurité ou procèdent d'actes de malveillance.
Elle accroît l'éclairage et la transparence nécessaires à la bonne surveillance des périmètres au niveau des intranets, des extranets et des connexions Internet des succursales. L'administrateur réseau dispose avec elle d'une protection et d'une parade efficaces contre les menaces externes ou internes.
L'IDS du Cisco Secure IS reconnaît la marque de 59 des types d'attaque les plus courants. Les signatures de détection d'intrusions comprises dans la nouvelle version du Cisco Secure IS ont été sélectionnées parmi un grand choix de signatures. Ces signatures correspondent aux infractions de sécurité graves, aux attaques de réseau les plus courantes et aux analyses de collecte de données.
Le Cisco Secure IS joue le rôle de capteur de détection des intrusions en ligne, en surveillant les paquets et les sessions à mesure qu'ils transitent par un routeur et en les analysant afin de contrôler leurs signatures IDS. En cas de détection d'une activité suspecte, il réagit avant que la sécurité du réseau ne soit mise en danger et consigne l'événement via le Syslog du Cisco IOS. L'administrateur réseau à le choix des contre-mesures, et peut adapter l'action du système IDS en fonction de la menace. Lorsque les paquets d'une session correspondent à une signature, le système IDS peut être configuré pour effectuer les opérations suivantes :
Cisco à conçu les fonctions de détection logicielle des intrusions de Cisco Secure IS dans une optique d'adaptabilité, et a donc prévu une possibilité de désactivation des signatures qui se révéleraient être de « fausses ennemies ». Par ailleurs, l'administrateur a la possibilité de dissocier le moteur de sécurité CBAC, en installant les fonctions de détection des intrusions sur un routeur et les fonctions pare-feu sur un autre (bien qu'il soit en principe préférable qu'elles résident sur la même interface). La détection logicielle des intrusions de Cisco est intégrée aux pare-feu Cisco Secure IS livrés avec les routeurs Cisco des gammes 1720, 2600, 3600, 7100 et 7200. Toutes les plates-formes de routage équipées des fonctions Cisco Secure IS reconnaissent cinq des types d'attaque SMTP les plus courants.
Les utilisateurs du Cisco Secure Intrusion Detection System peuvent ajouter les signatures des systèmes IDS de Cisco IOS à leur base, et étendre ainsi leur système de protection à des zones non couvertes par NetRanger Sensor. Les empreintes des systèmes IDS de Cisco sont utilisables indépendamment du pare-feu Cisco Secure IS.
La fonction de détection des intrusions du Cisco Secure IS est incorporable à l'écran Cisco Secure Intrusion Detection System Director sous forme d'icône (permettant la visualisation de tous les capteurs d'intrusion du réseau). Le Cisco Secure IS comporte un mécanisme permettant de consigner les événements non seulement dans le journal système (syslog) de Cisco IOS mais aussi au niveau de la console Cisco Secure Intrusion Detection System Director.
Grâce aux fonctions d'authentification et d'habilitation dynamiques par LAN de Cisco Secure IS, l'administrateur réseau peut créer des stratégies sécuritaires spécifiques à chaque utilisateur. Auparavant, il n'existait que deux méthodes de sécurisation : soit l'identité et les droits afférents de chaque utilisateur étaient déterminés par son adresse (fixe) IP, soit il fallait appliquer en bloc une stratégie sécuritaire aux groupes d'utilisateurs ou aux sous-réseaux. Désormais, grâce aux services AAA (Authentication, Authorization, Accounting) de la plate-forme logicielle Cisco IOS, il est possible d'appliquer une stratégie distincte à chaque utilisateur, par chargement dynamique dans le routeur des données de serveurs d'authentification TACACS+ or RADIUS.
Dès qu'un utilisateur se connecte au réseau directement ou par HTTP, son profil et ses droits d'accès sont automatiquement chargés. Ses droits d'accès sont lus et vérifiés, et le réseau est protégé de toute imposture. De plus, les procédures d'authentification et d'habilitation s'appliquent en entrée comme en sortie.
Grâce à leur capacité d'analyse des nombres de paquets de chaque connexion TCP, la détection et la prévention avancées des refus de service protègent les réseaux des attaques les plus courantes, telles que les déluges de signaux SYN (synchronize/start), le criblage des ports et l'injection de paquets. Si ces nombres excèdent ou n'atteignent pas les valeurs admissibles, le routeur supprime les paquets douteux. Lorsque le routeur détecte des nombres anormaux de nouvelles connexions, il émet un message d'alerte et met un terme aux connexions TCP à moitié établies, protégeant le système de tout accaparement.
Lorsqu'il soupçonne une attaque, le pare-feu Cisco Secure IS se met à pister l'accédant en repérant tous les couples de ports et d'adresses source-destination utilisés. De plus, il consigne tous les détails de l'opération en vue d'une future investigation.
Le mappage des ports est adaptatif, et permet le fonctionnement sur des ports non-standard des applications supportées par CBAC. Grâce à cela, l'administrateur réseau est en mesure de personnaliser le contrôle de l'accès aux applications et aux services en fonction de ses besoins.
Avec la prolifération des appliquettes Java sur Internet, la protection contre les programmes hostiles est une préoccupation majeure des administrateurs réseau. Le blocage Java peut être configuré pour filtrer ou refuser totalement l'accès aux appliquettes Java ne faisant pas partie d'un fichier d'archive ou d'un fichier compressé.
Associé à la technologie Cisco IPSec, le Cisco Secure IS assure une fonctionnalité VPN intégrée. Le développement des VPN assure la sécurité des transferts sur lignes publiques (Internet), la réduction des frais de communication pour les utilisateurs éloignés, les succursales et les extranets, ainsi que le renforcement de la qualité de service et de la fiabilité.
Le Cisco Secure IS est conçu pour sécuriser les VPN grâce aux fonctions de cryptage, de fractionnement en canaux et de QoS de la plate-forme logicielle Cisco IOS. Le cryptage au niveau de la couche réseau empêche toute écoute ou modification des données lors de leur transmission sur réseau. Avec son cryptage, le Cisco Secure IS assure la confidentialité des données même sur les supports IPSec (Internet Protocol Security) 56 bits (DES) et 168 bits (3DES), considérés comme non fiables.
Complètement ouverte, la plate-forme Cisco IOS supporte de nombreuses normes de protocole de fractionnement en canaux, avec encapsulation GRE (Generic Routing Encapsulation), L2F (Layer 2 Forwarding), et L2TP (Layer 2 Tunneling Protocol). Les fonctions QoS permettent de classer le trafic, d'administrer les congestions et de définir les priorités par application.
Le Cisco Secure IS peut être employé avec des plates-formes VPN préconfigurées, notamment les routeurs des gammes Cisco 1720, 2600, 3600 et 7100, qui transforment les réseaux anciens en authentiques VPN. Cisco est conscient que les solutions VPN doivent offrir plus que des canaux sécurisés permettant de franchir les réseaux publics. Elles doivent également assurer la livraison en temps voulu et en toute fiabilité des données, et garantir la sécurité du périmètre séparant le réseau de l'entreprise du réseau public. Ainsi, associé à un routeur de type 7100, le Cisco Secure IS offre des canaux cryptés adaptables tout en assurant une sécurité de périmètre renforcée, l'administration de la bande passante, la détection des intrusions et la validation au niveau services.
La fonction d'authentification par proxy du Cisco Secure IS permet en outre l'authentification et l'habilitation pour les logiciels Cisco VPN clients.
Les alarmes en temps réel envoient des messages d'erreur syslog aux consoles d'administration centrales dès qu'une activité suspecte est détectée, ce qui permet aux administrateurs réseau de réagir immédiatement aux intrusions. Les fonctions évoluées d'analyse rétrospective utilisent le journal syslog pour consigner toutes les transactions : les heures d'enregistrement, l'hôte source, l'hôte de destination, les ports utilisés, la durée de la session et le nombre total d'octets transmis pour un reporting par session évolué.
Les fonctions d'alarme et d'analyse rétrospective du Cisco Secure IS sont désormais configurables, permettant une signalisation et un suivi des erreurs plus souples. Les fonctions configurables d'analyse rétrospective supportent le suivi modulaire des applications compatibles CBAC et du blocage Java. Les alarmes en temps réel et l'analyse rétrospective sont supportées par un grand nombre d'outils de reporting de fournisseurs tiers.
Dès qu'un événement se produit sur le réseau, l'alarme est donnée à l'hôte connecteur via le mécanisme syslog de la plate-forme logicielle Cisco IOS. Ceci permet aux administrateurs d'analyser en temps réel les menaces potentielles ou les activités inhabituelles, en consignant sur un terminal de console ou sur un serveur syslog les messages d'erreur système, avec indication du niveau de gravité et enregistrement de paramètres supplémentaires.
L'application des politiques de sécurité et l'administration du Cisco Secure IS se font très simplement, sur une interface graphique centrale. Les versions 2.1 et ultérieures de Cisco ConfigMaker comportent un assistant grâce auquel il est facile de configurer la stratégie de sécurité du Cisco Secure IS. Elles supportent également la configuration de la NAT et d'IPSec.
Cisco ConfigMaker est un assistant logiciel pour Microsoft Windows 95, Windows 98 et Windows NT 4.0, capable de configurer un petit réseau de routeurs, de commutateurs, de concentrateurs et autres composants de réseau Cisco à partir d'un PC unique. Il est également disponible avec les routeurs des gammes Cisco 800, 1600, 1720, 2500, 2600 et 3600.
Le Cisco Secure IS est une solution de sécurisation intégrable aux réseaux à l'aide de la plate-forme logicielle Cisco IOS. Pour se protéger efficacement, il ne suffit pas de disposer d'une stratégie de sécurité par pare-feu et protection de périmètre ; il faut que ces éléments soient intégrés au réseau lui-même. La plate-forme logicielle Cisco IOS est l'outil idéal pour mettre en oeuvre une politique de sécurité globale. Les solutions de sécurité de Cisco suivent l'évolution de votre réseau.
Le Cisco Secure IS est entièrement compatible avec les fonctions de la plate-forme logicielle Cisco IOS :NAT, protocoles de fractionnement en canaux VPN, CEF (Cisco Express Forwarding), extensions AAA, cryptage Cisco et Cisco IOS IPSec.
Plus de documentation sur le Cisco IOS Firewall :
http://www.cisco.com/univercd/cc/td/doc/product/software/ios120/120newft/120t/120t5/iosfw2/index.htm