Update Cisco Groupe LASER – 24 Mai 2005 fhadj@cisco.com.

Présentation au sujet: "Update Cisco Groupe LASER – 24 Mai 2005 fhadj@cisco.com."— Transcription de la présentation:

1 Update Cisco Groupe LASER – 24 Mai 2005

2 Agenda Matin Après-midi IPv6 update Wifi
Architecture pour les universités Stratégie Swan Cisco – intégration Airespace Après-midi Sécurité Dans les Campus Sur le poste utilisateur Pour les acces nomades

3 Sécurisation du campus Cisco

4 Sécurisation intelligente
Sécurisation intelligente/intégrée au réseau Evolution de l’approche sécurité 2000 Sécurité Intégrée Modules de services en sécurité intégrés dans l’ infrastructure FW + Détection d’intrusion + VPN Outils de management intégrés FW IDS VPN 2002 Sécurisation intelligente du réseau Sécurité intégrée completement à l’infrastructure réseau Auto défense, protection, prévention, guérison Contrôler les accès: qui? quoi? Today FW IDS VPN Identity L2,3 Hardening, HIPS IDS FW VPN Equipements dédiés sécurité Appliances de sécurité positionnées dans le réseau Sécurité avancée des équipements réseau Outils de management séparés

5 Stratégie de sécurité globale Protection des accès/communications, durcissement du réseau
Protéger les accès: FW+IDS intégrés au réseau Détection et prévention des attaques externes. Internet Intranet Threat Defense Protéger le réseau interne: Sécurité intégrée aux catalysts Protection contre les attaques internes Protection des stations/serveurs: Cisco Security Agent (CSA) Protection contre les infections Contrôle des accès utilisateurs: Identity-Based Networking Qui? Comment? Quoi? Trust and Identity Sécurisation des connections: IPSec VPN SSLVPN Confidentialité voix/données Secure Comm.

6 Sécurité intelligente intégrée du LAN
Man in the Middle Attack Record ‘data’ Accès interdit aux utilisateurs non autorisés Prévention contre AP pirates Utilisateur autorisé. Peut accéder aux serveurs internes de l’entreprise Utilisateur autorisé VLAN de quarantaine Protection avancée contre les nouveaux risques: “Man-in-the-Middle” “DHCP Server Spoofing” “IP Address Spoofing” Sécurité intégrée des Catalysts Protection des stations /serveurs (CSA) “Controller l’accès au réseau et définir la politique d’utilisation du réseau Cisco Identity Based Networking Services (IBNS) Détecte et protège Intrusion Protection System (IPS)

7 S2 Attaques sur le LAN Protection par la sécurité de niveau 2 des Catalyst MAC Address Flooding Attack Outil: macof (part of dsniff package) Envoie des SYN avec des adresses MAC src et dst aléatoires Lorsque la table CAM est pleine, le commutateur bascule en mode hub (32K entrées) Utilisation d’adresses IP aléatoires incluant des IP multicast pouvant dégrader les performances réseau par le traitement/routage de ces fausses IP multicast. DHCP Rogue server Attack Outils: gobbler ou un DHCP server pirate Permet des attaques Man in the middle en remplacant l’adresse IP DNS ou IP GW Perte du service DHCP DHCP Starvation Outil: gobbler Multiples requêtes DHCP afin d’utiliser l’ensemble du scope DHCP disponible ARP Spoofing or ARP Poisoning Attack Outils: ettercap, dsniff, arpspoof Découverte de la topologie L2 (MAC) par ARP et DNS reverse Name Lookup. Attaques Man in the middle avec capture de paquet et découverte des mots de passe As we talk about the Catalyst Integrated Security Features we need talk about the specific LAN security threats that they address: MAC Flooding with a tool such as macof (part of the dsniff package) creates a syn flood of random source and destination MAC addresses and random source and destination IP addresses. The macof tool will typically fill the CAM table in less than 10 seconds. The normal behavior for Catalyst switches when the CAM table becomes full is flood traffic to every port. The random IP destinations targeted by macof will overlap on multicast address space. Thus, the layer 3 distribution layer switches that have multicast turned up will experience high CPU levels as the PIM process attempts to handle the false routes. DHCP rogue server attacks can be the result on either malicious or non-malicious behavior. A non-malicious user may accidentally bring up a DHCP server on a network segment and begin inadvertently issuing IP addresses. A malicious user may bring up a DHCP server with the explicit intent of issuing address with DNS server information or default gateway information that is explicitly designed to redirect traffic to a malicious computer ready to intercept traffic. DHCP starvation attacks are designed to deplete all of the addresses within a DHCP scope on a particular segment. A public domain hacking tool called Gobbler is available to perform automated DHCP starvation attacks. DHCP starvation may be purely a denial of service mechanism or may be used in conjunction with a malicious rogue server attack to redirect traffic to a malicious computer ready to intercept traffic. The terms ARP spoofing or ARP poisoning are used interchangeably to describe a technique where gratuitous ARP is used to misdirect traffic to a malicious computer so the computer will become in the middle of IP sessions on a particular LAN segment. The hacking tools ettercap, dsniff, and arpspoof may be used to perform ARP spoofing. In the case of ettercap, it provides a very nice user interface where it displays all of the stations on a particular LAN segment and one click ARP spoofing with a built in intelligent sniffer to capture password on a variety of IP session types. Random IP addresses include multicast address space and will eventually cause distribution layer to fail due to excessive processing of multicast routes

8 Sécurisation du LAN Durcissement du réseau commuté

9 Quelle sécurisation a t’on aujourd’hui? Manuelle, statique
Fonctions et recommendations courantes: Port Security / VMPS ACL/ filtrage VLAN Eteindre les ports non utilisés et les placer dans des VLANs inactifs. Configurer les ports d’accès en trunk off Ne pas utiliser le VLAN natif comme VLAN d’accès Sécuriser l’administration des équipements (out of band, SNMP community string, passwords, AAA)

10 Comment améliorer la sécurisation? Dynamique, automatisée
Contrôle de l’adressage pour empêcher l’usurpation d’adresse: Adresse IP Adresse MAC Contrôle de l’accès au réseau Qui? Equipement utilisé? Ressources accessibles? Contrôle du remplissage de la table CAM Sécurisation du protocol STP Protection DoS: Gestion de bande passante/policing Corporate Network La sécurité des réseaux commutés est aujourd’hui renforcée par un certain nombre de mécanismes implémentés dans les commutateurs Cisco Catalyst et souvent méconnus, mécanismes qu’il nous faut mettre en avant parce que très différentiateurs par rapport à la concurrence. Si certaines vulnérabilités sont communes avec les équipements de niveau 3 tels que les routeurs, certaines attaques sont spécifiques aux commutateurs de niveau 2. La mise en place de la téléphonie sur IP à mis l’accent de facon encore plus importante sur ces aspects sécurité. Le but ici n’est pas de rentrer dans les détails mais de citer un certain nombre de ces mécanismes de facon à pouvoir ensuite aller plus loin dans leur compréhension. Wireless LAN

11 Nouvelles Fonctionnalités de sécurisation du Campus
Accès Dynamic Port security BPDU guard DHCP snooping IP Source Guard Dynamic ARP inspection Private VLAN Authentification 802.1x Détection de ‘rogue AP’ Backbone / Distribution Root guard DHCP snooping IP Source Guard Dynamic ARP inspection Flow policing

12 BPDU/Root guard Prévention des attaques sur le spanning tree
Cisco Secure ACS BPDU Guard Enterprise Server Switch Non autorisé Incorrect STP Info Switch Non autorisé Root Guard Serveur Switch Autorisé Switch Autorisé Spanning Tree Manipulation Lorsque l’on construit un réseau L2, il est vital de se protéger des différentes attaques (malveillantes ou pas d’ailleurs) liées au Spanning Tree. Fonction Root Guard Fonction BPDU Guard Fonction BPDU Loopguard MENACE: L’attaquant envoie des BPDU s’annonçant comme un pont de priorité 0- détourne trafic vers lui Un nouveau switch est installé et provoque une recalculation du STP CONTREMESURE: BPDU Guard Root guard BPDU Loop guard

13 Seulement 3 adresses MAC autorisées sur le port: 4ieme bloquée
Port security - Introduction Corruption de l’étanchéité du switching et des VLANs 00:0e:00:aa:aa:aa 00:0e:00:bb:bb:bb Seulement 3 adresses MAC autorisées sur le port: 4ieme bloquée 132,000 Bogus MACs CAM Table Overflow : Le hacker envoie une rafale de trames ayant des adresses MAC sources différentes dans le but de provoquer un débordement de la table CAM du switch et donc un flooding des trames unicast des utilisateurs puisque le commutateur n’a plus la possibilité d’apprendre les adresses MAC. Les trames unicast étant floodées, il est facile de lire les trames qui ne nous sont pas destinées. Afin de prévenir de cette attaque, il est utile si ce n’est indispensable d’activer la fonction port securityPort security will stop the CAM flooding from occurring. It limits the number of MAC addresses per port. MENACE: Outils disponibles permettant de simuler des paquets provenant d’un grand nombre d’adresses MAC différentes. Le but étant de remplir la table CAM du commutateur afin que celui ci reviennent à un mode Hub. Permet alors de collecter l’ensemble du trafic réseau. CONTRE MESURE: Utiliser la fonction ‘port security’ pour limiter ces attaques. Permet de bloquer le port ainsi que l’envoi de traps SNMP

14 Port Security Détail Corporate Network ‘Static secure MAC address’
Configuration manuelle des adresses MAC autorisées par port ‘Dynamic secure MAC address’ Limitation du nombre maximal d’adresses MAC de la table CAM par port ‘Sticky secure MAC address’ Apprentissage dynamique des adresses MAC et configuration persistante de ces adresses

15 DHCP Snooping Protection contre les attaques sur DHCP
Cisco Innovation Requêtes DHCP Réponses DHCP Trusted Untrusted Corruption du DHCP Serveur DHCP Fonction DHCP Snooping CONTRE MESURE: Le commutateur a connaissance de la localisation (trusted port) du serveur DHCP. Tout réponse DHCP reçue sur un autre port (untrusted port) sera bloquée Le port trusted sera le port trunk si le serveur n’est pas local au commutateur MENACE: Volontaire – Un utilisateur se fait passer pour le serveur DHCP d’entreprise. Non volontaire – un utilisateur installe ou héberge un serveur DHCP (routeur/serveur) DHCP « starvation » : Il est fréquent d’avoir des problèmes liés à la présence d’un serveur DHCP dans les réseaux utilisateurs ainsi qu’un débordement des capacités du serveur DHCP de l’entreprise du fait d’un trop grand nombre de requètes. Afin de prévenir de ces attaques, il est possible d’utiliser les fonctions suivantes : DHCP snooping qui, comme indiqué précédemment, permet de filtrer les messages DHCP suspects, maintient et construit une table de correspondance des attributions DHCP. Cette table de correspondance contient les informations de MAC adresse, d’adresse IP, de durée de bail, de numéro de VLAN et d’interface correspondante. L’administrateur spécifie les interfaces de confiance à savoir les interfaces sur lesquelles sont attendues des paquets de réponses DHCP IP Source Guard est une fonction qui comme la fonction DHCP snooping, est activée sur les ports physiques du commutateur. Tout le trafic IP est initialement bloqué excepté celui des paquets DHCP capturé par la fonction DHCP snooping. Une fois qu’un client reçoit une adresse IP valide de la part du serveur DHCP, une liste d’accès de type VLAN (VLAN ACL) est appliqué au niveau du port. Ceci limite le trafic émis au niveau de ce port à celui du client figurant dans la table de correspondance.

16 IP Source Guard Protection contre IP Spoofing
J’annonce MENACE: Configurer statiquement son adresse IP est un moyen d’usurper l’identité d’un autre équipement réseau. L’IP spoofing permet de passer à travers les règles de filtrage, de lancer de façon anonyme des attaques DoS,… CONTRE MESURE: Le commutateur fait l’apprentissage par DHCP snooping des adresses IP derrière chaque port. Le commutateur analyse les adresses IP source et bloque le trafic ne correspondant pas aux adresses IP connues L’adresse IP est un moyen d’usurper l’identité d’un autre equipement réseau ou de contourner le DHCP L’IP spoofing permet de passer à travers les règles de filtrage, de lancer anonymement des attaques DoS, … IP source guard Le commutateur fait l’apprentissage par DHCP snooping des adresses IP derrière chaque port. Le commutateur analyse les adresses IP source et bloque le trafic ne correspondant pas aux adresses IP connues (en wire speed).

17 ARP Function Fonctionnement Normal
Avant de communiquer avec une autre station, une station envoie une demande ARP (ARP request) pour connaitre l’adresse MAC correspondant à l’adresse IP qu’il souhaite contacter. Cette requête ARP est broadcastée en utilisant le protocol 0806 Toutes les stations du subnet recoivent et processent la requête. La station ayant l’adresse IP demandée répond avec son adresse MAC par le biais d’un ARP reply. Je suis Voici ma Media Address Control (MAC) et ARP Spoofing Une des attaques simplissimes sur un réseau L2 et notoirement méconnues. Les vlans sont étanches l’un par rapport à l’autre, certes, mais rien n’empêche l’utilisation de la MAC adresse d’un poste ou d’émettre des trames ARP en usurpant l’adresse IP du poste attaqué afin de détourner le trafic à destination de ce poste. Si vous activez ensuite le routage sur votre PC et un bon décodeur de password, voila une méthode pour récupérer bon nombre d’accès interdits. Comment se protéger ? la commande port security : déclaration explicite de la MAC adresse sur le port. Cependant, cette fonction reste difficilement exploitable sur des réseaux importants. la fonction Private VLAN afin d’isoler des hôtes dans un même VLAN. Encore une fois, cette fonction est difficilement exploitable dans des réseaux de grande taille. la fonction Dynamic ARP Inspection (DAI). Cette fonction intercepte et valide les paquets ARP dans le réseau en utilisant une table de correspondance IP/MAC construite à partir de la fonction dhcp-snooping. Qui est ?

18 Private VLANs Prévention du ARP spoofing
Only One Subnet! Promiscuous Port Promiscuous Port Primary VLAN Community VLAN Community VLAN Isolated VLAN PVLANs permet d’isoler des stations dans le même VLAN Passe par la création de communautés à l’intérieur d’un VLAN. x x x x Community ‘A’ Community ‘B’ Isolated Ports

19 Dynamic ARP Inspection Prévention du ARP spoofing
Commutateur avec DAI bloque l’ARP Mon GW est Envoi de Gratuitous ARP pour changer la correspondance ARP/IP dans les tables ARP des stations Je suis votre GW: MENACE: Outils permettant de générer des messages ARP pour usurpation d’identité: Réponses ARP Gratuitous ARP (GARP) CONTRE MESURE: Le commutateur fait l’apprentissage par ‘DHCP snooping’ des correspondances MAC/IP derrière chaque port. Le commutateur analyse les réponses ARP et GARP et bloque tout paquet anormal. ARP ACLs: configuration statique des MAC/IP ARPA binding table containing IP-address and MAC-address associations is dynamically populated using DHCP Snooping Can also use ARP ACLs to deny (and optionally log) all invalid IP/MAC binding attempts for non-DHCP assigned IP Addresses Private VLAN support coming Prevents attacks that use ARP with an IP not in the binding table in the switch Dynamic ARP inspection is the Cisco remedy to arp poisoning or arp spoofing from a program such as ettercap. Dynamic ARP Inspection compares ARP responses or gratuitous ARPs (GARPs) to the MAC/IP entries populated by DHCP snooping in the DHCP binding table. If we then see gratuitous GARP’s that do not correspond to the DHCP binding table, the port is locked down (errdisabled) For non-DHCP MAC/IP Addresses we can write ARP ACL’s to protect those devices… In this example, a miscreant PC attempts to send a gratuitous ARP for the default gateway and fails because the default gateway address of is not in the DHCP binding table for the port the miscreant is attached to.

20 Demo flash file:///D:/Documents%20and%20Settings/fhadj/Desktop/LAser/Demos.htm

21 Détection des ‘Rogues APs’ Contrôle des AP pirates
Who are you? MENACE Risque lié à l’insertion d’une borne radio non sécurisée sur le réseau Fournit une porte d’entrée à l’ensemble des ressources de l’entreprise! CONTRE MESURE: Authentification par 802.1x Scan et détection par les bornes d’entreprise et les cartes clientes I am Joe Cisco 802.1x Enabled on “User” Facing Ports Authorized User No 802.1x Here Who are you? Rogue AP Disabled 802.1x or IBNS is a good mechanism for blocking rogue AP access. For legitimate AP’s (without 802.1x supplicants), 802.1x can be disabled on the switch. For all other user facing ports, 802.1x authentication will be required. If a user plug in a rouge AP without 802.1x capability or without proper 802.1x credentials, the AP will be disallowed access to the network. 802.1x Disabled on Authorized WLAN AP Ports Authorized AP

22 Structured Wireless Aware Networks (SWAN) Rogue AP Detection Overview
Network Core RM-Agg Switch-Based WDS Distribution Access RM A mechanism for detecting rogue AP’s is using the Structured Wireless Aware Networks or SWAN architecture. Cisco AP’s and clients participate in the architecture by periodically scanning for rogue devices on all wireless channels. When one is detected, a radio management (RM) signal is sent back to the Wireless Domain Services or WDS function in the network. From there the RM, signals are aggregated and sent to the Wireless LAN Solution Engine (WLSE) where a network operations person can be alerted to the rogue device location. <Next Slide> illustrates better. RM Rogue AP Rogue AP RM

23 Fonctionnalité de sécurité Disponibilité produits
CAT6500CatOS CAT6500OS 4k/4500 Cat OS 4k/4500 IOS 2950/ 2970 3550/ 3560 3750 Root Guard 6.1.1 12.1(22)E1 6.3 12.1(13)EW 12.0(5.2)WC1 12.1(11)AX 12.1(4)EA1 12.1(19)EA1 BPDU Guard 6.4 5.5(19) 12.1(9)EA1 Port Security 7.6(1) 12.1(13)E 5.1(1) 12.1(8)EA1 DHCP Snooping 8.3(1) 12.2(17a)SX2 N/A 12.1(12c)EW 12.1(19)EA1 (EI) DAI 12.1(19)EW Roadmap 12.2(20)SE (EMI) 12.2(20)SE (EMI) IP Source Guard Private VLAN Edge - Cisco Aironet Catalyst 6500 Catalyst 4000/4500 Catalyst 3550/2950/3750 Cisco ACS Server *Pour plus de détail sur le support produit et les versions disponibles:

24 Sécurisation du LAN Contrôle de l’accès au réseau (IBNS)

25 Contrôle d’accès au réseau avec IBNS Contrôler ‘QUI’ accède au réseau et ‘COMMENT’
Réseau LAN Contrôle d’accès sur identité Politiques individuelles (BW, VLAN, QoS, etc…) Utilisateurs/equipements non-authorisés Utilisateurs/equipements authorisés Les réseaux actuels permettent une très grande mobilité des utilisateurs. Les besoins de sécurité posent alors un nouveau challenge : sécuriser toujours plus les accès au réseau tout en gardant cette liberté de mobilité des utilisateurs. La technologie introduite par Cisco sous le nom « d’Identity Based Networking Services (IBNS) » permet d’authentifier un utilisateur avant de lui autoriser l’accès au réseau. Il est possible ensuite de lui associer des politiques de sécurité liées à son profile ou à son groupe d’appartenance. Le contrôle des accès au réseau permet d’introduire de nouvelles possibilités : L’authentification des utilisateurs et/ou des machines se connectant au réseau L’association de politique de sécurité à des groupes d’utilisateurs La limitation à tout ou partie du réseau pour certains groupes d’utilisateurs L’association de paramètres additionnels tels que la qualité de service au niveau du port, basé sur le profil de l’utilisateur connecté. Basé sur 802.1x et Radius, cette nouvelle approche permet de sécuriser l'accès au réseau local tout en préservant la mobilité des utilisateurs. Les grandes fonctions sont les suivantes : Une gestion centralisée avec un serveur Radius tel que Cisco Secure ACS Un contrôle des utilisateurs au nouveau de l’accès au réseau, sur les interfaces des Catalyst Gestion de la mobilité avec 802.1x et les différentes authentifications EAP Les fonctions suivantes sont disponibles sur l’ensemble de la gamme Catalyst Basic 802.1X Support 802.1X with VLANs 802.1X with Port Security 802.1X with VVID 802.1X Guest VLANs 802.1X with ACLs High Availability for 802.1X High Availability for Port Security Contrôle effectué sur chaque port du commutateur Seuls les utilisateurs autorisés auront accès au réseau. Utilisateurs non autorisés bloqués ou placés dans des guest VLANs

26 IBNS Authentification: 802.1x / EAP
Echanges d’authentification entre client et serveur Radius EAP sur L2 EAP sur RADIUS RADIUS Server Trafic 802.1X Trafic RADIUS Traffic d’authentification Le commutateur fait la conversion de 802.1x vers Radius et inversement. Le commutateur bloque tout sauf le trafic d’authentification. Données/exchanges classiques

27 Après l’authentification… Configuration de paramètres individuels …
Suite à l’authentification, il est possible de configurer dynamiquement certains paramètres au niveau du port: 802.1X avec VLANs 802.1X avec Port Security 802.1X avec VVID 802.1X Guest VLANs 802.1X avec ACLs recherche du VLAN RH RH = VLAN 5 configure le port sur le VLAN 5 Le switch applique la politique et ouvre le port LAN L’utilisateur a accès au LAN, et est placé dans son VLAN Succès! Application de la politique Requête de login Vérification dans la DB Informations personnelles C’est John Doe Il appartient au VLAN RH

28 Identity-Based Networking Services Disponibilité produits
CAT6500CatOS CAT6500IOS 4k/4500 Cat OS 4k/4500 IOS 2950/ 2970 3550/ 3560 3750 802.1x w/ VLAN Assignment 7.5.1 12.1(13)E 12.1(19)EW 12.1(12c)EA1 12.1(14)EA1 12.1(19)EA1 802.1x w/ AVVID 8.1 Q4CY03 Roadmap 12.1(12c)ea1 802.1x w/ Guest VLAN 12.1(14 )ea1 802.1x w/ Port Security 12.2(18)EW 802.1x w/ DHCP 7.6.1 NA 802.1x w/ Guest VLAN/Port 7.7.1 (Target) 802.1x w/ ACL 8.3(1) Accounting 12.1(20)EA212.1(20)EA2 12.1(20)EA2 12.2(20)SE Cisco Aironet Catalyst 6500 Catalyst 4000/4500 Catalyst 3550/2950/3750 Cisco ACS Server For Reference A clarification based on questions asked in previous presentations, 802.1x with DHCP is 802.1x with DHCP Snooping. It allow for an interim state, IP waiting during the authenticator login process to allow the client to get a DHCP address. *Pour plus de détail sur le support produit et les versions disponibles:

29 Cisco Identity—Extensions RADIUS A venir…
Serveurs Assignement d’ACL pour la QoS (policing par user/port) Accounting par user/port Contrôle de conformité de l’équipement (NAC) CiscoSecure ACS RADIUS 802.1x with DHCP 802.1x with Port security 802.1X Multi-auth 802.1x with VVID 802.1x Guest VLAN High Availability for 802.1x Employé Receptioniste Invité

30 Agenda Matin Après-midi IPv6 update Wifi
Architecture pour les universités Stratégie Swan Cisco – intégration Airespace Après-midi Sécurité Dans les Campus Sur le poste utilisateur Pour les acces nomades

31 Sécurisation du Poste utilisateur NAC : Network Admition control

32 Cisco Self-Defending Network
Durcissement du réseau Durcissement des serveurs et des postes de travail Contrôle renforcé de l’accès au réseau « Les réseaux capables de se défendre tous seul » C’est une stratégie d’ensemble qui s’appuie sur trois piliers fondamentaux : - Durcissement du réseau pour détecter et confiner les attaques, Durcissement des équipements contre des attaques contre eux même  Développements au niveau du kernel de l’IOS pour empêcher les attaques protocolaires (type vers réseau, « man in the middle », etc.) et faire en sorte que la « boite » Cisco ne tombe pas, même si elle est attaquée - Protection du poste de travail et des serveurs  Les serveurs sont les cibles, et maintenant les postes clients sont les vecteurs de propagation des virus, et surtout, de déclanchement des attques. Il faut donc impérativement intégrer ces éléments dans la stratégie de défense. - Contrôle renforcé à l’accès  Les clients développent à grands frais des politiques de sécurité, mais sans avoir de moyens « industrialisés » d’en contrôler l’éxécution. Par ailleurs, quand un nouvelle politique est déployée, le temps nécessaire à sa diffusion/application est trop long. Il faut donc offrir une technologie permettant le contrôle de ces politiques. Le moment critique de l’accès au réseau (phase de vulnérabilité liée à l’arrivée d’un nouvel élément sur le réseau) est certainement le moment où ce contrôle a le plus de pertinence. IOS CSA NAC CSA : Cisco Security Agent NAC : Network Admission control IBNS : Identity Based Network Services IOS : Internetworking Operating System

33 Cisco Network Admission Control (NAC)
Cisco-led, Multi-partner Program Limits damage from viruses & worms Coalition of market leading vendors Restricts and Controls Network Access Endpoint device interrogated for policy compliance Network determines appropriate admission enforcement: permit, deny, quarantine, restrict A Cisco Self-Defending Network Initiative Dramatically improves network’s ability to identify, prevent, and adapt to threats Cisco Network Admission Control (NAC) is a Cisco-led, multi-vendor program focused on limiting damage from emerging security threats such as viruses and worms. With NAC, customers can allow network access only to compliant and trusted endpoint devices (e.g. PCs, servers, PDAs) and can restrict the access of non-compliant devices. In its initial phase, NAC enables Cisco routers to enforce access privileges when an endpoint device enters a network. This decision can be based on information about the endpoint device such as its current anti-virus state and operating system patch level. Based on customer-defined policy, the network will decide and enforce the appropriate admission control decision: permit, deny, quarantine, restrict. Initially, NAC will support endpoints running Microsoft® Windows NT, XP and 2000 operating systems. NAC is a comprehensive solution because it spans all the access methods hosts connect to the network. Gateway deployments – through WAN links, IPsec remote access, and dial-up – and local network deployments – through the switching and wireless infrastructure – are all covered in NAC. Cisco is committed to resolving the most important security issue facing our customers today – disruption of operations from viruses and worms. The damage caused by worms and viruses has demonstrated that existing operational and technical safeguards are not sufficient. NAC provides a new comprehensive solution that allows customers to ubiquitously enforce host patch policies, and regulate non-compliant and potentially vulnerable systems to quarantined environments with limited or no network access. By taking information about endpoint security status and combining it with network admission enforcement, Cisco NAC enables customer to dramatically improve the security of their computing infrastructure. The Cisco Self-Defending Network Initiative is an innovative, multi-phase security initiative designed to dramatically improve the ability of networks to identify, prevent, and adapt to security threats. The Cisco Self-Defending Network Initiative advances Cisco’s strategy of integrating security services throughout Internet Protocol (IP) networks by delivering new system-level threat defense capabilities. The Cisco Network Admission Control is the first phase of the Cisco’s Self-Defending Network Initiative, and is the foundation for future phases. Future phases extend endpoint and network security interoperation to include dynamic infection containment capabilities. This innovation will enable compliant endpoints or other system elements to report misuse emanating from rogue or infected systems during an attack. Cisco expects to use this intelligence to dynamically quarantine infected systems from the rest of the network and significantly reduce virus, worm, and blended threat propagation.

34 Cisco Network Admission Control Program
Hosts Attempting Network Access Cisco Network Access Device Cisco Policy Server Tivoli Policy Trend Micro Anti- Virus client Security Credential Checking Cisco Security Agent Cisco Trust Agent Tivoli Software Agent Security Policy Enforcement Security Policy Creation Endpoint Policy Evaluation The Cisco Network Admission Control (NAC) program enables customers to leverage Cisco network infrastructure to limit damage from viruses and worms. Cisco has defined the architecture and specifications of NAC in cooperation with leading anti-virus software companies. This industry-wide collaboration is intended to address a broad and growing concern among enterprise customers - the remediation costs resulting from worms and viruses. Utilizing NAC capabilities organizations can provide network access to endpoint devices, such as personal computers and servers, which fully comply with established security policy. NAC allows non-compliant devices to be denied access, placed in a quarantined area, or given restricted access to computing resources. Cisco Network Admission Control is a key development of the Cisco Self-Defending Network, an innovative, multi-part security initiative designed to dramatically improve the ability of networks to identify, prevent and adapt to security threats. Extends NAC beyond endpoint security posture to include application and software status Leverages existing customer investment in Anti-Virus, IBM-Tivoli and Cisco products Provides foundation for endpoint remediation

35 Why Network Admission Control?
1. Non-compliant endpoint attempts connection 2. Connection allowed 3. Infection spreads; endpoints exposed BRANCH CAMPUS CORPORATE NET Today, when a system connects to the network, it’s identity is typically checked via identity mechanisms such as one-time passwords. However, no check is made to see if that system is compliant with corporate security policy. Even if a network has been purged of known threats, the entry of non-compliant system once again makes that network vulnerable to attack. For example, an infected system could immediately begin to spread a worm throughout the corporate network. Alternatively, it might be down-rev with respect to operating system patch levels, thus creating a new vulnerability that opens the network to external attack. Even the most conscientious users can be at risk. Systems may be shut down or off the network when signature files schedule for update. Even scripts that enforce “push mechanisms” for patches or virus signatures can only do so AFTER the system has been connected to the network. Complications such as this is one of the primary reasons worms, viruses, and other threats continue to propagate after a fix has been released and applied. The more time that elapses before all systems are brought into compliance increases the risk. And that’s the problem… time itself. As John stated, people cannot react quickly enough to ensure that all of these safeguards are in place. An automated system is required.

36 Cisco Network Admission Control: What It Does
Non-compliant endpoint attempts connection Quarantine/ remediation Infection containment; endpoints secured BRANCH CAMPUS CORPORATE NET Cisco Trust Agent Remediation Cisco’s innovative new Network Admission Control technology is designed to address this very problem, but providing an automated identity mechanism to detect and enforce network security policy. With NAC, the network can detect endpoints that are out of policy compliance BEFORE network access is granted. For example, if the system detects that a new endpoint, such as a PC, is out of compliance it can be denied access altogether or quarantined so that remedial action can be taken. The action is under the control of the system administrators though the admission and security policies that they define. By preventing non-compliant endpoints from joining the community at large, a potentially dangerous new threat is thwarted. Let’s take a deeper look at the technology that makes this possible …. Quarantine

37 Cisco NAC Solution Overview
NAC Solution: Leverage the network to intelligently enforce access privileges based on endpoint security posture NAC Characteristics: Validates all hosts Ubiquitous solution for all connection methods Supports Multiple AV vendors & Cisco Security Agent Leverages customer investments in Cisco network and AV solutions Quarantine & remediation services Deployment scalability Hosts Attempting Network Access Network Access Devices Policy Server Decision Points Policy (AAA) Svr Vendor Svr 1 2 2a Credentials Credentials Credentials Day-zero virus and worm invasions continue to disrupt business, causing downtime and continual patching. Cisco Network Admission Control enables organizations to reduce the risk that worms and viruses will disrupt enterprise operations. This is done by preventing vulnerable hosts from obtaining and retaining normal network access. NAC ensures all hosts comply with the latest corporate anti-virus and operating system patch policies prior to obtaining normal network access. Vulnerable and non-compliant hosts may be isolated and given reduced network access until they are patched and secured, thus preventing them from being the targets of or the sources for worm and virus infections. Cisco Network Admission Control is a unique approach to prevent vulnerable and non-compliant hosts from impacting enterprise resilience, and it enables customers to leverage their existing network and AV infrastructure. Key unique benefits NAC provides include: Comprehensive span of control – all access methods hosts use to connect to the network are covered – campus switching, wireless, router WAN links, IPsec remote access, and dial-up Multi-vendor solution – NAC is a Cisco-led, multi-vendor collaboration with the leading anti-virus vendors Network Associates, Symantec, and Trend Micro Extension of existing technologies and standards – NAC extends the use of existing communication protocols and security technologies, such as Extensible Authentication Protocol (EAP), 802.1X, and RADIUS services Leverage network and anti-virus investment – NAC ties together existing investments in the network infrastructure and anti-virus technology to provide admission control facilities There are four components of the NAC system, 3 are illustrated in the figure. Endpoint Security Software (AV, Cisco Security Agent, Personal Firewall) and the Cisco Trust Agent – The Cisco Trust Agent collects security state information from multiple security software clients, such as Anti-Virus clients, and communicates this information to the connected Cisco network where access control decisions are enforced. Application and operating system status, such as anti-virus and operating system patch levels or credentials, can be used to determine the appropriate network admission decision. Cisco and NAC co-sponsors will integrate the Cisco Trust Agent with their security software clients. Network Access Devices – Network devices which enforce admission control policy include routers, switches, wireless access points, and security appliances. These devices demand host credentials and relay this information to policy servers where network admission control decisions are made. Based on customer-defined policy, the network will enforce the appropriate admission control decision: permit, deny, quarantine, restrict. Policy Server – The policy server is responsible for evaluating the endpoint security information relayed from network devices and determining the appropriate access policy to apply. Cisco Secure ACS server, an Authentication, Authorization, and Accounting RADIUS server, is the foundation of the policy server system. It may work in concert with NAC co-sponsor application servers that provide deeper credential validation capabilities, such as anti-virus policy servers. Management System – Cisco management solutions will provision the appropriate Cisco NAC elements and provide monitoring and reporting operational tools. CiscoWorks VPN/Security Management Solution (CiscoWorks VMS) and CiscoWorks Security Information Manager Solution (CiscoWorks SIMS) form the basis for this capability. Cisco’s NAC co-sponsors will provide management solutions for their endpoint security software. The key characteristics of NAC are: All methods of connecting to the network are covered: interoffice through gateways, campus switches, wireless APs, remote access via IPsec VPN and dial-in. All hosts accessing the network may be validated. The Cisco Trust Agent enables administrators to obtain information about the operating system and applications on the host to be used for the admission control decision (such as AV & OS patch information). Hosts that do not have CTA installed, called non-responsive devices, may also have their privileges set based initially in IP address and later by integration with scanning, fingerprinting, and links to inventory tracking technologies. The basis for NAC is the (re)use of existing investments in Cisco routers, switches, and security appliances, as well as corporate investments in Antivirus technology. An overlay system is not required to perform admission control. The architecture adopted by NAC allows for the integration of a wide variety of application and vendor support. Initially it ties to the leading AV vendor’s products as Cisco’s own CSA (for host OS credentials and to confirm CSA is installed). Over time this set of applications will expand. Quarantining non-compliant hosts allows the staff to bring those system up to compliance before granting normal network access. This allows IT to effectively manage risk. NAC, when adopted by an organization, will need to have a span of control that covers the entire network, not just portions of it. By leveraging centralized AAA facilities, this type of scalability is possible. EAP/UDP, EAP/802.1x RADIUS HTTPS Access Rights Comply? Notification 3 4 6 Cisco Trust Agent Enforcement 5

38 NAC Deployment Scenarios Comprehensive Compliance Validation
Branch Office Main Office EAP/UDP 1 1: Branch office compliance Enforce on L3 router and firewall AAA Server (ACS) Vendor Server Dial-in NAS RA IPsec VPN 2 EAP/UDP after IPsec 2: Remote access compliance Extension of “Are You There” SSL Branch Router RADIUS (posture) 3 TBD 3: Dial-in access compliance Edge Router EAP 802.1x (wireless) 4 4: Wireless campus protection Quarantine with ACLs/VLANS Extension of 802.1x Campus FW Internet 5 EAP 802.1x (wired) 5: Campus Access and data center protection Quarantine with ACLs/ VLANS Extension of wired 802.1x Cisco NAC provides comprehensive span of control by covering all access methods hosts use to connect to the network – campus switching, wireless, router WAN and LAN links, IPsec remote access, and dial-up. Though network devices support NAC in different phases of the program, the composite of several primary deployment scenarios are listed below and shown in the accompanying illustration. Branch office (and SOHO) compliance – ensure hosts in remote offices or small and home offices trying to connect to centralized corporate resources, either over a private WAN or through a secure channel across the Internet, are compliant. This includes performing compliance checks at the branch office egress router or the main office aggregation router. Remote access compliance – ensure remote, mobile workers desktops have the latest anti-virus and operating system patches before allowing them to access company resource through IPsec and other VPN connections. Dial-in access compliance – as with IPsec remote access compliance, ensure hosts using traditional dial-in connections comply with corporate policies. Wireless campus protection – check hosts connecting to the network via wireless and ensure they are properly patched. Leverage 802.1X communications to perform this validation in combination with device and user authentication. Campus access and data center protection – monitor and ensure desktops and servers within the office comply with corporate anti-virus and operating system patch policies before granting them even normal local area network access. This reduces the risk of virus and worm infections spreading within an organization by expanding admission control to first-hop layer 2 switches on a port-by-port basis. Remote Access

39 Layer 3 System Flow Network ACS Vendor Router Server CTA
IP 1 8 Network 2 ACS 4 EAPoUDP 3 EAPoRADIUS Vendor Server Router CTA 5 HCAP 7 6 IP packet triggers Intercept ACL on router Intercept ACL determines initial & interim network access Router triggers posture validation with CTA (EAPoUDP) CTA sends posture credentials to router (EAPoUDP) Router sends posture credentials to ACS (EAPoRADIUS) ACS can proxy portions of posture authentication to vendor server(s) (HCAP) ACS validates posture, determines authorization rights (Healthy, Checkup, Quarantine) ACS sends authorization policy to router (ACLs, URL redirection) Notification may be sent to applications on host also Host IP access granted (or denied, restricted, URL redirected)

40 Component: Cisco Trust Agent (CTA)
Plug-in interface to register and query various vendor provided posture providers Multiplexes and demultiplexes posture requests to posture credential providers based on vendor and application type Acts as posture provider for itself and basic host information CTA version, OS type and OS version Communicates with routers using Extensible Authentication Protocol over User Datagram Protocol (EAPoUDP) Displays informational messages to user Responds to Status Query messages Note: CTA does not secure itself, the NAC-enabled applications or the host Recommend standard host security measures to protect host environment, including CSA

41 Credential Packaging & Data Types
Packaged in EAP and consist of tag-value pairs Credentials independent of transport (CTA->ACS) = extensible Grouped by application/agent Name space separation is Vendor Name & Application Type Example: PA:Cisco, AV:NAI 1KB frame limit per application Types and operations Octet Array: =, != Integer32: =, <, >, !=, >=, <= Unsigned32: =, <, >, !=, >=, <= String (UTF-8): equals, not equals, contains, starts with, regex IPv4 address: wildcards & mask IPv6 address: wildcards & mask Time (4 octets): =, <, >, !=, >=, <= Version (4 2-octet sets): =, <, >, !=, >=, <= Host Router ACS PA:Cisco:PA-Version PA:Cisco:PA-OS CTA AV:NAI:Dat-version AV:NAI:PA-OS

42 Component: Routers Policy enforcement point
Detects devices that must be postured Triggers posture process (based on Intercept-ACL) Relays posture credentials to ACS Periodic full reassessment (revalidation timer) Periodic L3 Status Query To signal posture change on the host Ensure host is same host that was previously validated Enforce access rights Dynamic ACLs Optional URL redirection (key for non-responsive device feedback) Applied to appropriate interface Handles non-responsive devices Supports exception list based on IP or MAC addresses Supports exception lists on ACS using Network Access Restrictions (NAR)

43 Periodic Reassessment
Inactive Endpoint – Confirm inactive endpoint has not changed Called “L3 EAP Status Query”: New EAP method between CTA and router (not ACS) Router periodically polls to make sure: 1) CTA is still there 2) It’s the same validated device 3) Posture hasn’t changed Reassess Active Endpoint – Confirm continued compliance CTA indicates posture change by not responding to Status Query, triggers revalidation

44 NAC Process Flow Diagram

45 NAC Process Flow Sample Topology and Scenario
Laptop IP: AAA Server IP: AV Vendor Server IP: File Server IP: NAC Enforcement Point Workstation IP: Remediation Server IP: DNS Server IP: User on Laptop Needs to Access Files Stored on File Server

46 Terminology Intercept and Default ACLs
Intercept ACL Access control list that defines what network traffic will trigger posture validation process by the router Standard or Extended ACL syntax “permit”  perform posture validation on specific traffic “deny”  do not perform posture validation on specified traffic Applied to router interface(s) Interface (or Default) ACL Access control list that defines network traffic that will be permitted by default without requiring posture validation Traffic can match both the Intercept and Default ACLs Access specified by Default ACL is permitted while posture validation is performed Standard or extended ACL syntax If not defined, than all traffic passed through Downloadable ACL (based on policy) modifies this ACL

47 NAC Process Flow Step 1: Laptop DNS Lookup for File Server
Dest IP Source IP Dest Port 53 AAA Server IP: Laptop IP: AV Vendor Server IP: File Server IP: Workstation IP: DNS Server IP: Intercept ACL Initial Packet from Laptop Triggers the Intercept ACL Remediation Server IP: NAC1(config)# ip admission name NAC eapoudp list 102 NAC1(config)# access-list 102 permit ip host any … NAC1(config)# access-list 101 permit udp any host eq 53 NAC1(config)# access-list 101 permit udp any host eq 21862 NAC1(config)# interface e0/0 NAC1(config-if)# ip access-group 101 in NAC1(config-if)# ip admission NAC Default ACL Access to DNS Server is Permitted Default ACL you should “permit EAPoUDP ” for the routers interface facing the hosts

48 NAC Process Flow Steps 2 to 3
Step 2: NAD (Router) Challenges CTA for Posture AAA Server IP: Laptop IP: AV Vendor Server IP: File Server IP: Workstation IP: NAC Enforcement Point DNS Server IP: Remediation Server IP: Client Application (Anti-virus) Anti-Virus Posture Plugin (HIPS/CSA) CTA Service XYZ—service Posture Plugin (XYZ—service) CTA Posture Plugin Logging Service EAP Methods HIPS/CSA Posture Plugin Step 3: Posture Credentials are Collected by CTA

49 NAC Process Flow Step 4: Posture Credentials Sent to AAAServer
IP: Laptop IP: AV Vendor Server IP: File Server IP: Workstation IP: NAC Enforcement Point DNS Server IP: Remediation Server IP: Optional: AAA Server Can Proxy Vendor Specific Credentials to Vendor Server for Validation Step 4: Laptop Returns Posture Credentials that are Forwarded to AAA Server for Validation

50 NAC Process Flow Laptop Doesn’t Comply with Policy (Quarantine)
Laptop Can Connect to Remediaton Server to Update Itself to Get into Compliance AAA Server IP: Laptop IP: AV Vendor Server IP: AAA Server Pushes Configuration to Router to Only Allow Laptop Access to Remediation Server permit ip host host Optional: AAA Server Sends Notification to Laptop that Can be Displayed by CTA to User File Server IP: Workstation IP: NAC Enforcement Point DNS Server IP: Remediation Server IP:

51 NAC Process Flow Laptop Complies with Policy (Healthy)
AAA Server IP: Laptop IP: AV Vendor Server IP: File Server IP: Workstation IP: NAC Enforcement Point DNS Server IP: Remediation Server IP: AAA Server Pushes Configuration to Router to Allow Laptop Complete Network Access permit ip host any

52 NAC Process Flow “Non-Responsive” Host
Step 3: NAD Challenges CTA for Posture AAA Server IP: Laptop IP: AV Vendor Server IP: File Server IP: Workstation IP: NAC Enforcement Point DNS Server IP: Remediation Server IP: Workstation Doesn’t Have CTA Installed Workstation will not be able to respond to router challenge for posture credentials Router will timeout waiting for CTA response Devices that do not respond to NAC challenge are called “non-responsive”

53 NAC Process Flow AAA Server Handling of “Non-Responsive” Hosts
NAD Sends “Clientless” User Credentials to AAA Server to Indicate that Host Is Non-Responsive AAA Server Pushes Configuration for “Clientless” User to Router permit ip host any AAA Server IP: Laptop IP: AV Vendor Server IP: File Server IP: Workstation Is Permitted Access to DNS and File Servers Workstation IP: NAC Enforcement Point DNS Server IP: Remediation Server IP: Workstation Doesn’t Have CTA Installed

54 NAC Process Flow Router Exception Lists for “Non-Responsive” Hosts
NOTE: Appropriate For Fixed Devices (e.g., Printers), ACS “Clientless” Host Functionality More Appropriate For Non-fixed Devices/Hosts AAA Server IP: Laptop IP: AV Vendor Server IP: File Server IP: Workstation IP: DNS Server IP: Remediation Server IP: NAC1(config)# identity policy NAC-CL NAC1(config-identity-policy)# description NAC policy for authorized devices NAC1(config-identity-policy)# access-group NACacl … NAC1(config)# ip access-list extended NACacl NAC1(config-ACL)# permit ip any host NAC1(config)#identity profile eapoudp NAC1(config)# description Exception list for CTA-less devices NAC1(config-identity-prof)# device authorize ip-address policy NAC-CL

55 Clientless Host Configuration
Create clientless authentication attributes Create an eou username for clientless hosts Router(config)# eou clientless username name Step 4 – Is where you create the clientless authentication attributes. This allows clientless hosts to authenticate with ACS. If a host does not authenticate with ACS then authentication fails and no network access is granted. Use the same username and password that was previously configured in ACS for the clientless user setup. Finish by entering the command eou allow clientless Create a password for eou clientless hosts eou clientless password password Allows return of clientless username/password eou allow clientless NAC1(config)# eou clientless username clientless NAC1(config)# eou clientless password cisco123 NAC1(config)# eou allow clientless

56 How Downloadable ACLs Are Used
ACS Host NAD PA Downloadable ACL “Quarantine” permit tcp any host eq www permit tcp any host eq www interface Ethernet0/0 ip access-group 101 in Extended IP access list 101 10 permit udp any host eq domain 20 deny ip any permit tcp host host eq www permit tcp host host eq www Dynamic ACL Extended IP access list xACSACLx-IP-quarantine df 10 permit tcp any host eq www 20 permit tcp any host eq www Downloaded ACL

57 How Downloadable ACLs Are Used
ACS Host NAD PA Downloadable ACL “Quarantine” permit tcp any host eq www permit tcp any host eq www interface Ethernet0/0 ip access-group 101 in Extended IP access list 101 permit tcp host host eq www permit tcp host host eq www Dynamic ACL 10 permit udp any host eq domain 20 deny ip any Extended IP access list xACSACLx-IP-quarantine df 10 permit tcp any host eq www 20 permit tcp any host eq www Downloaded ACL

58 Example Local Policy Any of the credentials forwarded to the ACS server can be verified via local rules on the ACS server Typical local rules will be OS specific credentials and anything that doesn’t have its own policy server Rule sets are evaluated in order and if none succeed, the Default Rule is applied… OS Name and Version 15 Hotfixes/Patches Default Rule (Falls Through)

59 Cisco IOS Troubleshooting Commands
show eou all show eou ip x.x.x.x show access-list [number | name] nac-demo-router#show eou all Address Interface AuthType Posture-Token Age(min) Ethernet0/0 EAP Healthy Ethernet0/0 CLIENTLESS Unknown Ethernet0/0 EAP Quarantine nac-demo-router#show eou ip Address : Interface : Ethernet0/0 AuthType : EAP PostureToken : Quarantine Age(min) : 7 URL Redirect : ACL Name : #ACSACL#-IP-quarantine b Revalidation Period : 600 Seconds Status Query Period : 30 Seconds You can display dynamic access list entries when they are in use. After an authentication proxy entry is cleared by you or by the idle timeout parameter, you can no longer display it. The number of matches displayed indicates the number of times the access list entry was hit. To view dynamic access lists and any temporary access list entries that are currently established by the authentication proxy, use the show ip access-lists command in privileged EXEC mode. Extended IP access list 103 permit ip host permit tcp host eq www permit tcp host eq 443 (18 matches) permit tcp host eq www (10 matches) permit tcp host eq www deny ip host any deny ip host permit ip host any (246 matches) 10 permit ip any any (26036 matches) Dynamic ACLs Interface ACL

60 Composition Network Access Devices
CISCO Integrated Service Routers DISPONIBLE CISCO CATALYST 2005 CISCO AIRONET 2005 CISCO VPN 3000 VPN OS 4.7 Now CISCO PIX 2005

61 Router Platform Support
NAC support available in 12.3(8)T3 IOS images with Security Advanced Security , Advanced Services, and Advanced Enterprise images Yes—older platforms with NAC support only in the Classic IOS FW Feature Sets in 12.3T, these Routers do not have the Advanced newer images in 12.3T Yes * Cisco 83x TBD Cisco 74xx, 73xx, 71xx No Cisco 3620 Cisco 2600 non-XM Models Cisco 1750, 1720, 1710 Cisco 3660-CO Series Cisco 4500 Yes Cisco 1701,1711, 1712, 1721, 1751, 1751-V, 1760 Cisco 72xx Cisco 5xxx Cisco 3640, 3660-ENT Series Cisco 2600XM, 2691 Cisco 37xx Advanced Enterprise Services Advanced IP Services Enterprise Services Advanced Security SP Services Enterprise Base IP Voice IP Base New access routers will support NAC

62 Switch Platforms Progressive Functional Tiers
LAN L2 Basic (EAPo802.1x) Use when CTA & 802.1x deployed & limited non-NAC capable endpoints Dynamic VLAN assignment Single devices, IP phone + device LAN L2 Enhanced (EAPo802.1x) Use in 802.1x environments with mixed NAC & non-NAC capable endpoints) Supports non-responsive device assessment LAN L2-3 (EAPoUDP) Use in non-802.1x, non-VLAN environments, and with shared media scenarios off an L2 port (e.g. hubs) Dynamic PACL & URL redirection LAN & WAN (EAPoUDP) Same functionality as phase 1 routers Dynamic RACL & URL redirection Platform, Supervisor OS Feature 6500 – Sup2*, 32, 720 Native IOS LAN & WAN Hybrid 4000, 4500 – Sup2+, 3-6 IOS 6500 – Sup2*, 32 CATOS LAN L2-3 3550, 3560, 3750 EMI, SMI 2950 EI, SI LAN L2 Basic 2940, 2955, 2970 All 6500 – Sup32/Café TBD 6500 – Sup1A 5000 No 4000/4500 2900XM

63 NAC Client – End User Experience
CTA Popup Takes one ping to authenticate machine.

64 Phase 1 Logical Components
Network Access Device Security App EAPoUDP RADIUS HCAP CTA Plug-ins CTA CTA AAA Server Vendor Policy Server Routers (83x-72xx) Main AV Vendors NT, XP, 2000 Cisco Secure ACS Main AV Vendors EAPoUDP RADIUS Shipping

65 Phase 1.5 and 2.0 Roadmap Feature Summary
Non-responsive Audit Server Network Access Device Security App EAPoUDP RADIUS HCAP CTA Plug-ins CTA CTA AAA Server Vendor Policy Server Routers (83x-72xx) Cisco Secure ACS Main AV Vendors NT, XP, 2000 Main AV Vendors EAPoUDP RADIUS Shipping 1.5: Switches (GW), VPN 3000 In Progress Linux, Solaris, 2003 Switches (LAN), WAP Non-Responsive system, broad API license Broad API License EAPo802.1x, Proprietary

66 IBNS & NAC Phase 1 (Gateway IP) Operation
Switch (Dot1x enabled) L2 (802.1x) RADIUS IBNS (Identity) L3 (EAPoUDP) RADIUS NAC (Posture) 802.1x Authentication Optional 802.1x Policy assignment DHCP NAC at first L3 Gateway

67 IBNS & NAC Phase 2 (LAN Port 802.1x) Operation
Switch (Dot1x enabled) L2 (802.1x) RADIUS Identity + Posture 802.1x Authentication Single Tunnel, Multiple Transactions Identity Authentication NAC Posture Validation Policy Assignment DHCP

68 Phase 2 CTA Enhancements
Support EAPo802.1x Communications Strategy: engage multiple vendors for supplicant support Seed with at least one vendor through a NAC-only “lite” OEM Existing supplicants require extensions Embed OS Patch & Hotfix in CTA Move host OS gathering from CSA to CTA Customer File API Custom credential gathering interface Read tag/value data from a file File created by customer script Platform Ports Windows 2003, Solaris, Red Hat Linux Considering MACOS, SUSE Linux, others New feature support may vary per OS

69 Current Program Participants
INITIAL SPONSORS ANTI VIRUS CLIENT SECURITY PATCH MGT

70 URLs www.cisco.com/go/selfdefend Brochures (4)
Building a Self-Defending Network - Solutions Overview (PDF KB) Cisco Self-Defending Networks Poster (side 2) (PDF KB) Cisco Self-Defending Networks Poster (side 1) (PDF KB) Intelligent Networking with Integrated Network Security (PDF KB) White Papers (1) Core Elements of the Cisco Self-Defending Network Strategy Presentations (2) Network Admission Control Overview Demo (Flash - 4 MB) Protecting Business with the Cisco Self-Defending Network Initiative (Flash - 5 MB) Relevant Networking Solutions

71 URLs www.cisco.com/go/NAC
Cisco Network Admission Control Program Cisco Trust Agent 1.0 Data Sheet NAC-Enabled Routers Brochures (1) Network Admission Control At-a-Glance  (PDF - 52 KB) Q&A (1) Network Admission Control White Papers (6) Cisco Application & Content Networking Sys Sol for Network Admission Control Implementing Network Admission Control - Phase One Configuration and Deployment  (PDF - 2 MB) Monitoring and Reporting Tool Integration - Failed Attempts csv  (PDF - 790 KB) Monitoring and Reporting Tool Integration - Passed Authentications  (PDF - 12 MB) Monitoring and Reporting Tool Integration into Network Admission Control Network Admission Control Presentations (3) Cisco Security Vision & Cisco Network Admission Control  (PDF - 3 MB) Network Admission Control Overview Demo  (Flash - 4 MB) Network Admission Control: Phase 1 Requirements  (PDF - 4 MB) Release Notes (1) Release Notes for Network Admission Control, Release 1.0

72 Demo flash nac demo\Tutorial_Trend_Remediation.html

73

74 Agenda Matin Après-midi IPv6 update Wifi
Architecture pour les universités Stratégie Swan Cisco – intégration Airespace Après-midi Sécurité Dans les Campus Sur le poste utilisateur Pour les acces nomades

75 VPN : SSL tunnel, SSL proxy, SSL port forwarding , IPSec, etc …
Remote access VPN : SSL tunnel, SSL proxy, SSL port forwarding , IPSec, etc …

76 Cisco Strategy for Remote Access Using “Best Fit” IPSec and SSL VPN Technologies
Central Site Doctor at Home Unmanaged Desktop Supply Partner Extranet Account Manager Mobile User Software Engineer Telecommuter VPN IP/Internet Site-to-site VPNs and remote access VPNs tend to have different requirements SSL VPN IPSEC VPN PARTNER—Few apps/servers, tight access control, no control over desktop software environment, firewall traversal DOCTOR—Occasional access, few apps, no desktop software control ENGINEER—Many servers/apps, needs native app formats, VoIP, frequent access, long connect times ACCOUNT MANAGER—Diverse apps, home-grown apps, always works from enterprise-managed desktop

77 VPN 3000 Concentrator Solution Overview Features and Benefits
SSL VPN IPSEC VPN Broad Application Access: Clientless, Thin Client & Network-Layer Client Modes Endpoint Security without Compromise Clientless Terminal Services Support Per-User/Group Portal and Access Customization Broad Browser Support “Easy VPN” for Touchless Client Management Automated VPN Client Updates for Ease of Client Deployment & Versioning Integrated Endpoint Security Proactive Endpoint Security Posture Assessment Flexible Access Controls Foundation Features for Ease of Operations Clustering & Load Balancing Flexible User Authentication & Access Control Broad End-System OS Support Group-Based User Management Unified Web-Based Management

78 Traverser un Firewall SSL VPN IPSec VPN Standard IPSec
HTTPS (TCP 443) HTTP (TCP 80) (If HTTP redirection desired) Standard IPSec ESP (Protocol 50) IKE (UDP 500) Les ports et protocoles listés doivent être ouverts pour qu’un client puisse se connecter. HTTPS (443) est classiquement ouvert alors que les ports / protocoles pour IPSEC sont souvent fermés par défaut dans une implémentation de filtrage Outband. Standard NAT/PAT Traversal IKE (UDP 500) ESP over UDP (UDP 4500) Encapsulation TCP propriétaire L’administrateur définit le port TCP

79 See an On-Line WebVPN Demo
Go to:

80 Concentrateurs Cisco VPN 3000 Une solution unifiée pour les accès VPN et SSL
Solution intégrée SSL et VPN Load Balancing dynamique par utilisateur dans le cluster Multiples méthodes d’authentifications Magagement WEB intégré Prix VPN 3030 en Cluster N x 500 sessions SSL VPN VPN 3030 ou + 500 sessions SSL VPN VPN 3020 200 sessions SSL VPN VPN 3005 50 sessions SSL VPN SOHO ROBO SMB ENTERPRISE Fonctions

81 Cisco ASA 5510, 5520, and 5540 Platforms Key Platform Metrics
Features ASA 5510 (► Sec Plus) ASA 5520 ASA 5520 VPN Plus ASA 5540 ASA 5540 VPN Plus ASA 5540 VPN Premium Real World Firewall Throughput (300 / 1400 Byte) 100 / 200 Mbps 200 / 400 Mbps 400 / 550 Mbps Real World VPN Throughput (300 / 1400 Byte) 50 / 100 Mbps 200 / 360 Mbps Real World IPS Throughput (500 Byte) 100 Mbps with SSM-AIP 10 200 Mbps with SSM-AIP 20 Maximum Connections 32,000 ► 64,000 130,000 280,000 S2S and IPSec RA VPN Peers 50 ► 150 300 750 500 2,000 5,000 SSL VPN Connections Shared Shared, up to 1,250 Shared, up to 2,500 VPN Clustering / Load Bal. No Yes High Availability None ► A/S A/A and A/S Interfaces 3 x 10/100 + OOB ► 5 10/100 4 x 10/100/1000, 1 10/100 Security Contexts Up to 10 Up to 50 VLANs Supported 0 ► 10 25 100 Comparable PIX Model PIX 515E R/DMZ PIX 515E UR PIX 525+ Comparable VPN3K Model VPN 3005- VPN VPN 3020 VPN 3015 VPN 3030 VPN 3060 Real world performance based on real traffic mix, all svcs running concurrently and logging enabled. ASA 5500 Intro © 2004 Cisco Systems, Inc. All rights reserved. 81 81 81

82 Cisco VPN Are You There (AYT) How it works: Endpoint Security Assessment
Remote User with Cisco IPSec Client CSA Internet Corporate Network VPN Concentrator AYT also supports the following firewalls: The Cisco Integrated Client FW Network ICE BlackICE Defender Sygate Personal Firewall Sygate Personal Firewall Pro Sygate Security Agent Zone Labs ZoneAlarm Zone Labs ZoneAlarm Pro I want to open a VPN connection… Is Cisco Security Agent running? NO CSA running YES CSA is running OK for VPN Secure VPN Tunnel

83 Cisco VPN-SSL 3 modes de fonctionnements possibles
Accès en mode proxy, sans client Connexion Reverse proxy “firewalled” Accès aux applications Web et Citrix Aucun logiciel téléchargé Meilleure option pour un accès limité aux applications WEB à partir de postes non contrôlés Accès d’un poste inconnu PC personnel au domicile Cybercafé Poste d’une entreprise externe Protection de l’environnement indispensable Client leger : Port Forwarding Connexion Reverse proxy « firewaled » Accès Web, , Agenda et autres applications TCP Petite applet java dynamiquement téléchargée Meilleure solution pour un accès contrôlés à certaines applications à partir d’un poste externe Accès d’un partenaire Environnement non contrôlé Sécurité du postes non connus privilèges systèmes inconnus Client SSL Tunneling Connexion persistante offrant un accès complet aux ressources de l’intranet Utilise un client léger dynamiquement téléchargé Meilleure option pour un accès illimités aux applications de l’entreprise pour les employés Postes de l’entreprise Environnement logiciel contrôlé Politique de sécurité connue Applications multiples Connexion complète à l’intranet désiré

84 Application Proxy pour HTTP
La connexion client est protégée par SSL le serveur est utilisé en proxy applicatif Deux connexions TCP et http sont utilisées, seule la connexion client-concentrateur est protégée par SSL Le flux HTML est inspecté et modifié à la volée HTML Inspection HTTP SSL TCP/IP Concentrateur Serveur Intranet http Utilisateur distant IP :

85 Application Proxy pour HTTPS
La connexion client est protégée par SSL, le serveur est utilisé en proxy applicatif Deux connexions TCP et SSL sont utilisées Le flux HTML est inspecté et modifié à la volée Utilisateur distant HTML HTTP SSL TCP/IP Inspection Concentrateur Serveur Intranet SSL IP :

86 Application Proxy pour les serveurs de fichiers
La connexion client est protégée par SSL le serveur est utilisé en proxy applicatif Deux connexions TCP sont utilisées seule la connexion client-concentrateur est protégée par SSL Le concentrateur effectue une conversion entre le flux HTML et le flux CIFS utilisé pour le dialogue avec le serveur de fichier Utilisateur distant Convertisseur HTML <-> CIFS HTML HTTP SSL TCP/IP SMB CIFS Concentrateur Serveur de Fichier de l’Intranet IP : SMB : Server Message Block CIFS : Common Internet File System

87 Accès en mode proxy Support des PDA
Pocket PC 2003 OS: Windows CE Navigateur: Pocket Internet Explorer (PIE) SW: Microsoft + OEMs Le navigateur intégré dans Windows CE 2003 est compatible avec le mode proxy.

88 VPN-SSL en mode Tunnel Résultat de l’expérience Cisco dans le domaine du VPN et de l’encryption : Client léger, stable et simple à supporter Bénéfices Téléchargement rapide du client Plusieurs méthodes d’installation pour une meilleure compatibilité Pas de reboot = utilisateur happy Aucune trace du client après la session pour plus de sécurité Support des applications multimédias Administration centralisée Fonctions Permet un accès complet aux applications “comme en IPSEC” Moins de 250 Ko à télécharger sous la forme d’une applet Java, Active X ou .EXE Pas de reboot nécessaire Le client peut-être supprimé à la fin de la session ou installé de manière permanente Compatible avec le Softphone Cisco pour le support de la téléphonie sur IP Compatible Windows 2000 et XP

89 VPN-SSL en mode Tunnel Mode opératoire
Connexion à l’URL du WEB-VPN Téléchargement du client Connexion TCP (port x ou defaut 443) Client VPN SSL Cisco Initiation Connexion SSL Concentrateur VPN 3000 Certificat SSL du serveur Connexion achevée Note: Le client est “poussé” via Active X, Java, ou .exe

90 VPN-SSL en mode Tunnel L’interface
Statistiques Le tunnel est monté Téléchargements

91 Sécurisation du poste de travail pour les connexions WEB VPN
La technologie : VIRTUAL SECURE DESKTOP Protège les informations sécurisées supprime : cookies, cache du navigateur / historique fichier en attachement des s, etc. à la fin de la connexion SSL/VPN Protège contre l’exploitation de ces informations et contre la pénétration du système Le bureau virtuel sécurisé est transparent pour l’utilisateur et crée automatiquement un environnement sécurisé sous Windows 2000 ou XP L’utilisateur a toujours accès à l’ensemble des ressources de son PC Toutes les applications et process qui tournent dans le bureau virtuel sécurisé sont contrôlés Le bureau virtuel crée un file system encrypté à la volée et rien n’est écris en clair sur le disque.

92 Cisco Secure Desktop L’interface utilisateur
Anti-X Cisco Secure Desktop L’interface utilisateur

93 Comment ça marche Le bureau virtuel Est installé ou mis à jour
L’installation peut être réalisée par un activeX, une applet Java ou un exécutable La taille totale ne dépasse pas 500 ko Pas de re-démarrage ou de privilèges spécifiques requis Le desktop supporte 4 algorithmes d’encryption : DES (56 bits), Trible DES (168 bits), CAST (128 bits) et Blowfish (256 bits) Un mot de passe de 128 caractères est généré aléatoirement Tous les process dans l’environnement sécurisé sont surveillés et peuvent être contrôlés Tous les accès disques (fichiers ou registres) sont redirigés dans l’environnement sécurisé Tous les process du bureau virtuel sécurisé sont stoppés L’environnement sécurisé est fermé est le mot de passe est perdu A ce moment la il est impossible de retrouver la moindre information Destruction de l’environnement sécurisé Implémentation du standard de nettoyage du département de la défense américaine (DOD M) L’environnement Sécurisé est créé Une session virtuelle Est crée La session est fermée L’environnement est fermé L’environnement est Détruit bit à bit

94 Cisco Secure Desktop How it Works
Step One: A user on the road connects with the concentrator and logs in Enterprise HQ Step Two: The concentrator pushes down the Cisco Secure Desktop Step Three: An encrypted sandbox or hard drive partition is created for the user to work in Cisco Secure Desktop Clientless SSL VPN Step Four: At Logout the Virtual Desktop that the user has been working in is eradicated and the user is notified Note: CSD download and eradication is seamless to the user. If the user forgets to terminate the session auto-timeout will close the session and erase all session information www… Employee-Owned Desktop

95 Cisco Secure Desktop Securisation de la session – Encryption
Bureau Standard Bureau Sécurisé Historique du navigateur : Messages WebMail : employee evaluation trade secret Documents word : attorney_letter.doc Tableurs excel : Salaries.xls Sales foresact.xls Secure Vault A546FGHR HKFV H546FGHR724JUHB3787SBHYLM8733NMH8UW3KIUJ98HHD8K9DD0KNWHFSGT653JKIL0387GB73MZDPQK7

96 Fonctions et avantages
Pour l’utilisateur final Téléchargement et installation rapide Usage transparent, pas de nouvelle interface à intégrer Accès à l’ensembles des ressources hard et soft du PC Nettoyage automatique de la session et des données Fonctions de Securité Protège contre la fuite des données Protège contre les codes malicieux Assure confidentialité de l’utilisateur Facile à implémenter et à superviser  Pour le gestionnaire du système Contrôle des utilisateurs téléchargement et installation facile l’utilisateur est guidé dans la session (un click seulement) l’utilisateur ne peut pas sauver un document dans la partie non encryptée du disque Interface utilisateur customisable Look and feel Paramètres de Windows, du navigateur et des applications Ajoute des fonctions de sécurité Time Out automatique de la session   

97 Demo : SSL-VPN + CSD WEB- VPN https://vpn3000.showroom.cisco-ilm.com
username cisco password cisco123 WEB- VPN Open web broswer and http or https to Login Full access Username:testuser Full access Password:testuser Limited access Username:limituser Limited access Password:limituser

98