La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

1 © 2005 Cisco Systems, Inc. All rights reserved. IPv6 Update Cisco Groupe LASER – 24 Mai 2005

Présentations similaires


Présentation au sujet: "1 © 2005 Cisco Systems, Inc. All rights reserved. IPv6 Update Cisco Groupe LASER – 24 Mai 2005"— Transcription de la présentation:

1 1 © 2005 Cisco Systems, Inc. All rights reserved. IPv6 Update Cisco Groupe LASER – 24 Mai 2005

2 222 © 2005 Cisco Systems, Inc. All rights reserved. Agenda Matin –IPv6 update –Wifi Architecture pour les universités Stratégie Swan Cisco – intégration Airespace Après-midi –Sécurité Dans les Campus Sur le poste utilisateur Pour les acces nomades

3 3 © 2005 Cisco Systems, Inc. All rights reserved. IPv6 Sécurisation du campus Cisco

4 444 © 2005 Cisco Systems, Inc. All rights reserved. Sécurisation intelligente/intégrée au réseau Evolution de lapproche sécurité Equipements dédiés sécurité Appliances de sécurité positionnées dans le réseau Sécurité avancée des équipements réseau Outils de management séparés FW IDS VPN 2000 Sécurité Intégrée Modules de services en sécurité intégrés dans l infrastructure FW + Détection dintrusion + VPN Outils de management intégrés FWIDSVPN 2002 Sécurisation intelligente du réseau Sécurité intégrée completement à linfrastructure réseau Auto défense, protection, prévention, guérison Contrôler les accès: qui? quoi? Today FWIDSVPN Identity L2,3 Hardening, HIPS

5 555 © 2005 Cisco Systems, Inc. All rights reserved. Stratégie de sécurité globale Protection des accès/communications, durcissement du réseau Intranet Internet Threat Defense Protéger les accès: FW+IDS intégrés au réseau Détection et prévention des attaques externes. Protéger le réseau interne: Sécurité intégrée aux catalysts Protection contre les attaques internes Protection des stations/serveurs: Cisco Security Agent (CSA) Protection contre les infections Trust and Identity Contrôle des accès utilisateurs: Identity-Based Networking Qui? Comment? Quoi? Sécurisation des connections: IPSec VPN SSLVPN Confidentialité voix/données Secure Comm.

6 666 © 2005 Cisco Systems, Inc. All rights reserved. VLAN de quarantaine Utilisateur autorisé. Peut accéder aux serveurs internes de lentreprise Utilisateur autorisé Sécurité intelligente intégrée du LAN Protection avancée contre les nouveaux risques: Man-in-the-Middle DHCP Server Spoofing IP Address Spoofing Sécurité intégrée des Catalysts Détecte et protège Intrusion Protection System (IPS) Protection des stations /serveurs (CSA) Man in the Middle Attack Record data Controller laccès au réseau et définir la politique dutilisation du réseau Cisco Identity Based Networking Services (IBNS) Accès interdit aux utilisateurs non autorisés Prévention contre AP pirates

7 777 © 2005 Cisco Systems, Inc. All rights reserved. Attaques sur le LAN Protection par la sécurité de niveau 2 des Catalyst MAC Address Flooding Attack Outil: macof (part of dsniff package) Envoie des SYN avec des adresses MAC src et dst aléatoires Lorsque la table CAM est pleine, le commutateur bascule en mode hub (32K entrées) Utilisation dadresses IP aléatoires incluant des IP multicast pouvant dégrader les performances réseau par le traitement/routage de ces fausses IP multicast. DHCP Rogue server Attack Outils: gobbler ou un DHCP server pirate Permet des attaques Man in the middle en remplacant ladresse IP DNS ou IP GW Perte du service DHCP DHCP Starvation Outil: gobbler Multiples requêtes DHCP afin dutiliser lensemble du scope DHCP disponible ARP Spoofing or ARP Poisoning Attack Outils: ettercap, dsniff, arpspoof Découverte de la topologie L2 (MAC) par ARP et DNS reverse Name Lookup. Attaques Man in the middle avec capture de paquet et découverte des mots de passe S2S2

8 8 © 2005 Cisco Systems, Inc. All rights reserved. IPv6 Sécurisation du LAN Durcissement du réseau commuté

9 999 © 2005 Cisco Systems, Inc. All rights reserved. Quelle sécurisation a ton aujourdhui? Manuelle, statique Fonctions et recommendations courantes: Port Security / VMPS ACL/ filtrage VLAN Eteindre les ports non utilisés et les placer dans des VLANs inactifs. Configurer les ports daccès en trunk off Ne pas utiliser le VLAN natif comme VLAN daccès Sécuriser ladministration des équipements (out of band, SNMP community string, passwords, AAA)

10 10 © 2005 Cisco Systems, Inc. All rights reserved. Corporate Network Comment améliorer la sécurisation? Dynamique, automatisée Wireless LAN Contrôle de ladressage pour empêcher lusurpation dadresse: Adresse IP Adresse MAC Contrôle de laccès au réseau Qui? Equipement utilisé? Ressources accessibles? Contrôle du remplissage de la table CAM Sécurisation du protocol STP Protection DoS: Gestion de bande passante/policing

11 11 © 2005 Cisco Systems, Inc. All rights reserved. Nouvelles Fonctionnalités de sécurisation du Campus Accès Dynamic Port security BPDU guard DHCP snooping IP Source Guard Dynamic ARP inspection Private VLAN Authentification 802.1x Détection de rogue AP Backbone / Distribution Root guard DHCP snooping IP Source Guard Dynamic ARP inspection Flow policing

12 12 © 2005 Cisco Systems, Inc. All rights reserved. BPDU/Root guard Prévention des attaques sur le spanning tree MENACE: Lattaquant envoie des BPDU sannonçant comme un pont de priorité 0- détourne trafic vers lui Un nouveau switch est installé et provoque une recalculation du STP CONTREMESURE: BPDU Guard Root guard BPDU Loop guard Switch Non autorisé Enterprise Server Cisco Secure ACS Serveur Incorrect STP Info BPDU Guard Switch Autorisé Root Guard Switch Non autorisé Switch Autorisé

13 13 © 2005 Cisco Systems, Inc. All rights reserved. Port security - Introduction Corruption de létanchéité du switching et des VLANs MENACE: Outils disponibles permettant de simuler des paquets provenant dun grand nombre dadresses MAC différentes. Le but étant de remplir la table CAM du commutateur afin que celui ci reviennent à un mode Hub. Permet alors de collecter lensemble du trafic réseau. CONTRE MESURE: Utiliser la fonction port security pour limiter ces attaques. Permet de bloquer le port ainsi que lenvoi de traps SNMP 00:0e:00:aa:aa:aa 00:0e:00:bb:bb:bb Seulement 3 adresses MAC autorisées sur le port: 4ieme bloquée 132,000 Bogus MACs

14 14 © 2005 Cisco Systems, Inc. All rights reserved. Corporate Network Port Security Détail Static secure MAC address Configuration manuelle des adresses MAC autorisées par port Dynamic secure MAC address Limitation du nombre maximal dadresses MAC de la table CAM par port Sticky secure MAC address Apprentissage dynamique des adresses MAC et configuration persistante de ces adresses

15 15 © 2005 Cisco Systems, Inc. All rights reserved. Serveur DHCP Réponses DHCP Requêtes DHCP Cisco Innovation Corruption du DHCP Fonction DHCP Snooping Trusted Untrusted DHCP Snooping Protection contre les attaques sur DHCP MENACE: Volontaire – Un utilisateur se fait passer pour le serveur DHCP dentreprise. Non volontaire – un utilisateur installe ou héberge un serveur DHCP (routeur/serveur) CONTRE MESURE: Le commutateur a connaissance de la localisation (trusted port) du serveur DHCP. Tout réponse DHCP reçue sur un autre port (untrusted port) sera bloquée Le port trusted sera le port trunk si le serveur nest pas local au commutateur

16 16 © 2005 Cisco Systems, Inc. All rights reserved. IP Source Guard Protection contre IP Spoofing Jannonce CONTRE MESURE: Le commutateur fait lapprentissage par DHCP snooping des adresses IP derrière chaque port. Le commutateur analyse les adresses IP source et bloque le trafic ne correspondant pas aux adresses IP connues MENACE: Configurer statiquement son adresse IP est un moyen dusurper lidentité dun autre équipement réseau. LIP spoofing permet de passer à travers les règles de filtrage, de lancer de façon anonyme des attaques DoS,…

17 17 © 2005 Cisco Systems, Inc. All rights reserved. ARP Function Fonctionnement Normal Avant de communiquer avec une autre station, une station envoie une demande ARP (ARP request) pour connaitre ladresse MAC correspondant à ladresse IP quil souhaite contacter. Cette requête ARP est broadcastée en utilisant le protocol 0806 Toutes les stations du subnet recoivent et processent la requête. La station ayant ladresse IP demandée répond avec son adresse MAC par le biais dun ARP reply. Qui est ? Je suis Voici ma

18 18 © 2005 Cisco Systems, Inc. All rights reserved. Promiscuous Port Community A Community B Isolated Ports Primary VLAN Community VLAN Community VLAN Isolated VLAN Only One Subnet! x x x x x x x x Private VLANs Prévention du ARP spoofing PVLANs permet disoler des stations dans le même VLAN Passe par la création de communautés à lintérieur dun VLAN.

19 19 © 2005 Cisco Systems, Inc. All rights reserved. Dynamic ARP Inspection Prévention du ARP spoofing Mon GW est Je suis votre GW: Envoi de Gratuitous ARP pour changer la correspondance ARP/IP dans les tables ARP des stations CONTRE MESURE: Le commutateur fait lapprentissage par DHCP snooping des correspondances MAC/IP derrière chaque port. Le commutateur analyse les réponses ARP et GARP et bloque tout paquet anormal. ARP ACLs: configuration statique des MAC/IP MENACE: Outils permettant de générer des messages ARP pour usurpation didentité: Réponses ARP Gratuitous ARP (GARP) Commutateur avec DAI bloque lARP

20 20 © 2005 Cisco Systems, Inc. All rights reserved. Demo flash file:///D:/Documents%20and%20Settings/fhadj/Desk top/LAser/Demos.htmfile:///D:/Documents%20and%20Settings/fhadj/Desk top/LAser/Demos.htm

21 21 © 2005 Cisco Systems, Inc. All rights reserved. Détection des Rogues APs Contrôle des AP pirates MENACE Risque lié à linsertion dune borne radio non sécurisée sur le réseau Fournit une porte dentrée à lensemble des ressources de lentreprise! CONTRE MESURE: Authentification par 802.1x Scan et détection par les bornes dentreprise et les cartes clientes Authorized AP Rogue AP 802.1x Disabled on Authorized WLAN AP Ports 802.1x Enabled on User Facing Ports Authorized User Who are you? I am Joe Cisco Who are you? Disabled No 802.1x Here

22 22 © 2005 Cisco Systems, Inc. All rights reserved. Structured Wireless Aware Networks (SWAN) Rogue AP Detection Overview Network Core Distribution Access RM Switch-Based WDS Rogue AP RM RM-Agg

23 23 © 2005 Cisco Systems, Inc. All rights reserved. Cisco AironetCatalyst 6500 Catalyst 4000/4500 Catalyst 3550/2950/3750 Cisco ACS Server Fonctionnalité de sécurité Disponibilité produits CAT6500Ca tOS CAT6500OS 4k/4500 Cat OS 4k/4500 IOS 2950/ / Root Guard (22)E (13)EW 12.0(5.2)WC1 12.1(11)AX 12.1(4)EA1 12.1(19)EA1 12.1(11)AX BPDU Guard (22)E1 5.5(19)12.1(13)EW 12.1(9)EA1 12.1(11)AX 12.1(9)EA1 12.1(19)EA1 12.1(11)AX Port Security 7.6(1)12.1(13)E5.1(1)12.1(13)EW 12.0(5.2)WC1 12.1(11)AX 12.1(8)EA1 12.1(19)EA1 12.1(11)AX DHCP Snooping 8.3(1)12.2(17a)SX2N/A12.1(12c)EW 12.1(19)EA1 (EI) 12.1(19)EA1 DAI 8.3(1)12.2(17a)SX2N/A 12.1(19)EW N/A Roadmap 12.2(20)SE (EMI) 12.2(20)SE (EMI) IP Source Guard 8.3(1)12.2(17a)SX2N/A12.1(13)EWN/A Roadmap 12.2(20)SE (EMI) 12.2(20)SE (EMI) Private VLAN Edge (5.2)WC1 12.1(11)AX 12.1(4)EA1 12.2(20)SE (EMI) 12.1(11)AX *Pour plus de détail sur le support produit et les versions disponibles:

24 24 © 2005 Cisco Systems, Inc. All rights reserved. IPv6 Sécurisation du LAN Contrôle de laccès au réseau (IBNS)

25 25 © 2005 Cisco Systems, Inc. All rights reserved. Contrôle daccès sur identité Contrôle daccès au réseau avec IBNS Contrôler QUI accède au réseau et COMMENT Contrôle effectué sur chaque port du commutateur Seuls les utilisateurs autorisés auront accès au réseau. Utilisateurs non autorisés bloqués ou placés dans des guest VLANs Politiques individuelles (BW, VLAN, QoS, etc…) Réseau LAN Utilisateurs/equipements authorisés Utilisateurs/equipements non-authorisés

26 26 © 2005 Cisco Systems, Inc. All rights reserved. IBNS Authentification: 802.1x / EAP Données/exchanges classiques Traffic dauthentification Trafic 802.1XTrafic RADIUS Echanges dauthentification entre client et serveur Radius Le commutateur fait la conversion de 802.1x vers Radius et inversement. Le commutateur bloque tout sauf le trafic dauthentification. EAP sur RADIUS RADIUS Server EAP sur L2

27 27 © 2005 Cisco Systems, Inc. All rights reserved. Après lauthentification… Configuration de paramètres individuels … Suite à lauthentification, il est possible de configurer dynamiquement certains paramètres au niveau du port: 802.1X avec VLANs 802.1X avec Port Security 802.1X avec VVID 802.1X Guest VLANs 802.1X avec ACLs Requête de login Informations personnelles Vérification dans la DB Succès! Application de la politique Cest John Doe Il appartient au VLAN RH Lutilisateur a accès au LAN, et est placé dans son VLAN Le switch applique la politique et ouvre le port LAN recherche du VLAN RH RH = VLAN 5 configure le port sur le VLAN 5

28 28 © 2005 Cisco Systems, Inc. All rights reserved. Cisco AironetCatalyst 6500 Catalyst 4000/4500 Catalyst 3550/2950/3750 Cisco ACS Server Identity-Based Networking Services Disponibilité produits CAT6500C atOS CAT6500IO S 4k/4500 Cat OS 4k/4500 IOS 2950/ / x w/ VLAN Assignment (13)E (19)EW 12.1(12c)EA1 12.1(14)EA1 12.1(12c)EA1 12.1(19)EA1 12.1(14)EA x w/ AVVID (13)E8.1 Q4CY03Roadmap 12.1(12c)ea1 12.1(14)EA1 12.1(12c)EA1 12.1(19)EA1 12.1(14)EA x w/ Guest VLAN 7.5.1Roadmap8.1 Q4CY0312.1(19)EW 12.1(14 )ea1 12.1(14)EA1 12.1(19)EA1 12.1(14)EA x w/ Port Security 7.5.1Roadmap8.1 Q4CY0312.2(18)EW 12.1(12c)ea1 12.1(19)EA1 12.1(12c)EA1 12.1(19)EA x w/ DHCP 7.6.1NA 802.1x w/ Guest VLAN/Port (Target)NA 802.1x w/ ACL 8.3(1)RoadmapNARoadmap NA 12.1(14)EA1 NA 12.1(19)EA1 12.1(14)EA1 Accounting NA 12.2(18)EW 12.1(20)EA212.1( 20)EA2 12.1(20)EA2 12.2(20)SE *Pour plus de détail sur le support produit et les versions disponibles:

29 29 © 2005 Cisco Systems, Inc. All rights reserved. EmployéReceptionisteInvité Cisco IdentityExtensions RADIUS A venir… Assignement dACL pour la QoS (policing par user/port) Accounting par user/port Contrôle de conformité de léquipement (NAC) CiscoSecure ACS RADIUS Serveurs

30 30 © 2005 Cisco Systems, Inc. All rights reserved. Agenda Matin –IPv6 update –Wifi Architecture pour les universités Stratégie Swan Cisco – intégration Airespace Après-midi –Sécurité Dans les Campus Sur le poste utilisateur Pour les acces nomades

31 31 © 2005 Cisco Systems, Inc. All rights reserved. IPv6 Sécurisation du Poste utilisateur NAC : Network Admition control

32 32 © 2005 Cisco Systems, Inc. All rights reserved. Cisco Self-Defending Network Durcissement du réseau Contrôle renforcé de laccès au réseau Durcissement des serveurs et des postes de travail IOSNACCSA CSA : Cisco Security Agent NAC : Network Admission control IBNS : Identity Based Network Services IOS : Internetworking Operating System

33 33 © 2005 Cisco Systems, Inc. All rights reserved. Cisco Network Admission Control (NAC) Cisco-led, Multi-partner Program Limits damage from viruses & worms Coalition of market leading vendors Restricts and Controls Network Access Endpoint device interrogated for policy compliance Network determines appropriate admission enforcement: permit, deny, quarantine, restrict A Cisco Self-Defending Network Initiative Dramatically improves networks ability to identify, prevent, and adapt to threats

34 34 © 2005 Cisco Systems, Inc. All rights reserved. Cisco Network Admission Control Program Hosts Attempting Network Access Security Credential Checking Cisco Network Access Device Security Policy Enforcement Cisco Policy Server Security Policy Creation Endpoint Policy Evaluation Anti- Virus client Cisco Security Agent Cisco Trust Agent Extends NAC beyond endpoint security posture to include application and software status Leverages existing customer investment in Anti- Virus, IBM-Tivoli and Cisco products Provides foundation for endpoint remediation Tivoli Software Agent Tivoli Policy Trend Micro

35 35 © 2005 Cisco Systems, Inc. All rights reserved. Why Network Admission Control? BRANCHCAMPUS 1. Non-compliant endpoint attempts connection 2. Connection allowed CORPORATE NET 3. Infection spreads; endpoints exposed

36 36 © 2005 Cisco Systems, Inc. All rights reserved. Cisco Network Admission Control: What It Does BRANCHCAMPUS 1.Non-compliant endpoint attempts connection 2.Quarantine/ remediation 3.Infection containment; endpoints secured Remediation Cisco Trust Agent CORPORATE NET Quarantine

37 37 © 2005 Cisco Systems, Inc. All rights reserved. Cisco NAC Solution Overview NAC Solution: NAC Solution: Leverage the network to intelligently enforce access privileges based on endpoint security posture Validates all hosts Ubiquitous solution for all connection methods Supports Multiple AV vendors & Cisco Security Agent Leverages customer investments in Cisco network and AV solutions Quarantine & remediation services Deployment scalability NAC Characteristics: Policy (AAA) Svr Vendor Svr Hosts Attempting Network Access Network Access Devices Policy Server Decision Points Credentials EAP/UDP, EAP/802.1x RADIUS Credentials HTTPS Access Rights Notification Cisco Trust Agent a Comply? Enforcement 3

38 38 © 2005 Cisco Systems, Inc. All rights reserved. NAC Deployment Scenarios Comprehensive Compliance Validation Main Office Branch Office Internet Remote Access Dial-in NAS RA IPsec VPN Campus FW Edge Router Vendor Server AAA Server (ACS) Branch Router RADIUS (posture) SSL EAP/UDP 1 1: Branch office compliance Enforce on L3 router and firewall 2 EAP/UDP after IPsec after IPsec 2: Remote access compliance Extension of Are You There 3 TBD 3: Dial-in access compliance EAP 802.1x (wireless) 4 4: Wireless campus protection Quarantine with ACLs/VLANS Extension of 802.1x 5 EAP 802.1x (wired) 5: Campus Access and data center protection Quarantine with ACLs/ VLANS Extension of wired 802.1x

39 39 © 2005 Cisco Systems, Inc. All rights reserved. Layer 3 System Flow CTA Router Network ACS Vendor Server IP EAPoUDP EAPoRADIUS HCAP 1.IP packet triggers Intercept ACL on router Intercept ACL determines initial & interim network access 2.Router triggers posture validation with CTA (EAPoUDP) 3.CTA sends posture credentials to router (EAPoUDP) 4.Router sends posture credentials to ACS (EAPoRADIUS) 5.ACS can proxy portions of posture authentication to vendor server(s) (HCAP) 6.ACS validates posture, determines authorization rights (Healthy, Checkup, Quarantine) 7.ACS sends authorization policy to router (ACLs, URL redirection) Notification may be sent to applications on host also 8.Host IP access granted (or denied, restricted, URL redirected)

40 40 © 2005 Cisco Systems, Inc. All rights reserved. Component: Cisco Trust Agent (CTA) Plug-in interface to register and query various vendor provided posture providers Multiplexes and demultiplexes posture requests to posture credential providers based on vendor and application type Acts as posture provider for itself and basic host information CTA version, OS type and OS version Communicates with routers using Extensible Authentication Protocol over User Datagram Protocol (EAPoUDP) Displays informational messages to user Responds to Status Query messages Note: CTA does not secure itself, the NAC-enabled applications or the host Recommend standard host security measures to protect host environment, including CSA

41 41 © 2005 Cisco Systems, Inc. All rights reserved. Credential Packaging & Data Types Packaged in EAP and consist of tag-value pairs Credentials independent of transport (CTA->ACS) = extensible Grouped by application/agent Name space separation is Vendor Name & Application Type Example: PA:Cisco, AV:NAI 1KB frame limit per application PA:Cisco:PA-Version PA:Cisco:PA-OS Types and operations Octet Array: =, != Integer32: =,, !=, >=, <= Unsigned32: =,, !=, >=, <= String (UTF-8): equals, not equals, contains, starts with, regex IPv4 address: wildcards & mask IPv6 address: wildcards & mask Time (4 octets): =,, !=, >=, <= Version (4 2-octet sets): =,, !=, >=, <= AV:NAI:Dat-version AV:NAI:PA-OS ACSRouter CTA Host

42 42 © 2005 Cisco Systems, Inc. All rights reserved. Component: Routers Policy enforcement point Detects devices that must be postured Triggers posture process (based on Intercept-ACL) Relays posture credentials to ACS Periodic full reassessment (revalidation timer) Periodic L3 Status Query To signal posture change on the host Ensure host is same host that was previously validated Enforce access rights Dynamic ACLs Optional URL redirection (key for non-responsive device feedback) Applied to appropriate interface Handles non-responsive devices Supports exception list based on IP or MAC addresses Supports exception lists on ACS using Network Access Restrictions (NAR)

43 43 © 2005 Cisco Systems, Inc. All rights reserved. Periodic Reassessment 1.Inactive Endpoint – Confirm inactive endpoint has not changed Called L3 EAP Status Query: New EAP method between CTA and router (not ACS) Router periodically polls to make sure: 1) CTA is still there 2) Its the same validated device 3) Posture hasnt changed 2.Reassess Active Endpoint – Confirm continued compliance CTA indicates posture change by not responding to Status Query, triggers revalidation

44 44 © 2005 Cisco Systems, Inc. All rights reserved. IPv6 NAC Process Flow Diagram

45 45 © 2005 Cisco Systems, Inc. All rights reserved. NAC Process Flow Sample Topology and Scenario AAA Server IP: AV Vendor Server IP: File Server IP: Laptop IP: Workstation IP: NAC Enforcement Point User on Laptop Needs to Access Files Stored on File Server DNS Server IP: Remediation Server IP:

46 46 © 2005 Cisco Systems, Inc. All rights reserved. Terminology Intercept and Default ACLs Intercept ACL Access control list that defines what network traffic will trigger posture validation process by the router Standard or Extended ACL syntax permit perform posture validation on specific traffic deny do not perform posture validation on specified traffic Applied to router interface(s) Interface (or Default) ACL Access control list that defines network traffic that will be permitted by default without requiring posture validation Traffic can match both the Intercept and Default ACLs Access specified by Default ACL is permitted while posture validation is performed Standard or extended ACL syntax Applied to router interface(s) If not defined, than all traffic passed through Downloadable ACL (based on policy) modifies this ACL

47 47 © 2005 Cisco Systems, Inc. All rights reserved. Workstation IP: AAA Server IP: AV Vendor Server IP: File Server IP: Laptop IP: DNS Server IP: Remediation Server IP: NAC Process Flow Step 1: Laptop DNS Lookup for File Server NAC1(config)# ip admission name NAC eapoudp list 102 NAC1(config)# access-list 102 permit ip host any … NAC1(config)# access-list 101 permit udp any host eq 53 NAC1(config)# access-list 101 permit udp any host eq … NAC1(config)# interface e0/0 NAC1(config-if)# ip access-group 101 in NAC1(config-if)# ip admission NAC Default ACL Access to DNS Server is Permitted Dest IPSource IPDest Port Intercept ACL Initial Packet from Laptop Triggers the Intercept ACL Default ACL you should permit EAPoUDP for the routers interface facing the hosts

48 48 © 2005 Cisco Systems, Inc. All rights reserved. Workstation IP: NAC Process Flow Steps 2 to 3 AAA Server IP: AV Vendor Server IP: File Server IP: Laptop IP: NAC Enforcement Point DNS Server IP: Step 2: NAD (Router) Challenges CTA for Posture Client Application (Anti-virus) Anti-Virus Posture Plugin Client Application (HIPS/CSA) CTA Service XYZservice Posture Plugin Client Application (XYZservice) CTA Posture Plugin Logging Service EAP Methods HIPS/CSA Posture Plugin Step 3: Posture Credentials are Collected by CTA Remediation Server IP:

49 49 © 2005 Cisco Systems, Inc. All rights reserved. NAC Process Flow Step 4: Posture Credentials Sent to AAAServer AAA Server IP: AV Vendor Server IP: File Server IP: Laptop IP: NAC Enforcement Point DNS Server IP: Step 4: Laptop Returns Posture Credentials that are Forwarded to AAA Server for Validation Remediation Server IP: Optional: AAA Server Can Proxy Vendor Specific Credentials to Vendor Server for Validation Workstation IP:

50 50 © 2005 Cisco Systems, Inc. All rights reserved. Workstation IP: AAA Server IP: AV Vendor Server IP: File Server IP: Laptop IP: NAC Enforcement Point DNS Server IP: Remediation Server IP: NAC Process Flow Laptop Doesnt Comply with Policy (Quarantine) Laptop Can Connect to Remediaton Server to Update Itself to Get into Compliance AAA Server Pushes Configuration to Router to Only Allow Laptop Access to Remediation Server permit ip host host Optional: AAA Server Sends Notification to Laptop that Can be Displayed by CTA to User

51 51 © 2005 Cisco Systems, Inc. All rights reserved. Workstation IP: AAA Server IP: AV Vendor Server IP: File Server IP: Laptop IP: NAC Enforcement Point DNS Server IP: Remediation Server IP: NAC Process Flow Laptop Complies with Policy (Healthy) AAA Server Pushes Configuration to Router to Allow Laptop Complete Network Access permit ip host any

52 52 © 2005 Cisco Systems, Inc. All rights reserved. Workstation IP: NAC Process Flow Non-Responsive Host AAA Server IP: AV Vendor Server IP: File Server IP: Laptop IP: NAC Enforcement Point DNS Server IP: Step 3: NAD Challenges CTA for Posture Remediation Server IP: Workstation Doesnt Have CTA Installed Workstation will not be able to respond to router challenge for posture credentials Router will timeout waiting for CTA response Devices that do not respond to NAC challenge are called non-responsive

53 53 © 2005 Cisco Systems, Inc. All rights reserved. Workstation IP: NAC Process Flow AAA Server Handling of Non-Responsive Hosts AAA Server IP: AV Vendor Server IP: File Server IP: Laptop IP: NAC Enforcement Point DNS Server IP: Workstation Doesnt Have CTA Installed Remediation Server IP: NAD Sends Clientless User Credentials to AAA Server to Indicate that Host Is Non-Responsive AAA Server Pushes Configuration for Clientless User to Router permit ip host any Workstation Is Permitted Access to DNS and File Servers

54 54 © 2005 Cisco Systems, Inc. All rights reserved. Workstation IP: AAA Server IP: AV Vendor Server IP: File Server IP: Laptop IP: DNS Server IP: Remediation Server IP: NAC Process Flow Router Exception Lists for Non-Responsive Hosts NAC1(config)# identity policy NAC-CL NAC1(config-identity-policy)# description NAC policy for authorized devices NAC1(config-identity-policy)# access-group NACacl … NAC1(config)# ip access-list extended NACacl NAC1(config-ACL)# permit ip any host … NAC1(config)#identity profile eapoudp NAC1(config)# description Exception list for CTA-less devices NAC1(config-identity-prof)# device authorize ip-address policy NAC-CL NOTE: Appropriate For Fixed Devices (e.g., Printers), ACS Clientless Host Functionality More Appropriate For Non- fixed Devices/Hosts

55 55 © 2005 Cisco Systems, Inc. All rights reserved. Clientless Host Configuration Router(config)# eou clientless username name NAC1(config)# eou clientless username clientless NAC1(config)# eou clientless password cisco123 NAC1(config)# eou allow clientless Create clientless authentication attributes Create an eou username for clientless hosts Create a password for eou clientless hosts eou clientless password password Allows return of clientless username/password eou allow clientless

56 56 © 2005 Cisco Systems, Inc. All rights reserved. How Downloadable ACLs Are Used Downloadable ACL Quarantine permit tcp any host eq www permit tcp any host eq www PA NAD ACS Dynamic ACL Host interface Ethernet0/0 ip access-group 101 in Extended IP access list 101 Downloaded ACL permit tcp host host eq www permit tcp host host eq www 10 permit udp any host eq domain 20 deny ip any Extended IP access list xACSACLx-IP-quarantine df 10 permit tcp any host eq www 20 permit tcp any host eq www

57 57 © 2005 Cisco Systems, Inc. All rights reserved. How Downloadable ACLs Are Used Downloadable ACL Quarantine permit tcp any host eq www permit tcp any host eq www PA NAD ACS Dynamic ACL Host interface Ethernet0/0 ip access-group 101 in Extended IP access list 101 Downloaded ACL permit tcp host host eq www permit tcp host host eq www 10 permit udp any host eq domain 20 deny ip any Extended IP access list xACSACLx-IP-quarantine df 10 permit tcp any host eq www 20 permit tcp any host eq www

58 58 © 2005 Cisco Systems, Inc. All rights reserved. Example Local Policy Any of the credentials forwarded to the ACS server can be verified via local rules on the ACS server Typical local rules will be OS specific credentials and anything that doesnt have its own policy server Rule sets are evaluated in order and if none succeed, the Default Rule is applied… 15 Hotfixes/ Patches Default Rule (Falls Through) OS Name and Version

59 59 © 2005 Cisco Systems, Inc. All rights reserved. Cisco IOS Troubleshooting Commands show eou all show eou ip x.x.x.x show access-list [number | name] nac-demo-router#show eou all Address Interface AuthType Posture-Token Age(min) Ethernet0/0 EAP Healthy Ethernet0/0 CLIENTLESS Unknown Ethernet0/0 EAP Quarantine 7 Extended IP access list 103 permit ip host permit tcp host eq www permit tcp host eq 443 (18 matches) permit tcp host eq www (10 matches) permit tcp host eq www deny ip host any deny ip host permit ip host any (246 matches) 10 permit ip any any (26036 matches) Dynamic ACLs Interface ACL nac-demo-router#show eou ip Address : Interface : Ethernet0/0 AuthType : EAP PostureToken : Quarantine Age(min) : 7 URL Redirect : ACL Name : #ACSACL#-IP-quarantine b Revalidation Period : 600 Seconds Status Query Period : 30 Seconds

60 60 © 2005 Cisco Systems, Inc. All rights reserved. Composition Network Access Devices CISCO Integrated Service Routers DISPONIBLE CISCO VPN 3000 VPN OS 4.7 Now CISCO PIX 2005 CISCO CATALYST 2005 CISCO AIRONET 2005

61 61 © 2005 Cisco Systems, Inc. All rights reserved. Router Platform Support NAC support available in 12.3(8)T3 IOS images with Security Advanced Security, Advanced Services, and Advanced Enterprise images Yesolder platforms with NAC support only in the Classic IOS FW Feature Sets in 12.3T, these Routers do not have the Advanced newer images in 12.3T IP Base IP Voice Advanced Security Advanced IP Services Enterprise Base Enterprise Services SP Services Advanced Enterprise Services Yes *Cisco 83x TBDCisco 74xx, 73xx, 71xx NoCisco 3620 NoCisco 2600 non-XM Models NoCisco 1750, 1720, 1710 NoCisco 3660-CO Series NoCisco 4500 Yes Cisco 1701,1711, 1712, 1721, 1751, 1751-V, 1760 Yes *Cisco 72xx TBDCisco 5xxx Yes Yes * Yes Cisco 3640, 3660-ENT Series Cisco 2600XM, 2691 Cisco 37xx New access routers will support NAC

62 62 © 2005 Cisco Systems, Inc. All rights reserved. Switch Platforms Progressive Functional Tiers Platform, SupervisorOSFeature 6500 – Sup2*, 32, 720Native IOSLAN & WAN 6500 – Sup2*, 32, 720HybridLAN & WAN 4000, 4500 – Sup2+, 3-6IOSLAN & WAN 6500 – Sup2*, 32CATOSLAN L , 3560, 3750EMI, SMILAN L EI, SILAN L2 Basic 2940, 2955, 2970AllLAN L2 Basic 6500 – Sup32/CaféAllTBD 6500 – Sup1AAllTBD 5000AllNo 4000/4500CATOSNo 2900XMAllNo LAN L2 Basic (EAPo802.1x) Use when CTA & 802.1x deployed & limited non-NAC capable endpoints Dynamic VLAN assignment Single devices, IP phone + device LAN L2 Enhanced (EAPo802.1x) Use in 802.1x environments with mixed NAC & non-NAC capable endpoints) Supports non-responsive device assessment LAN L2-3 (EAPoUDP) Use in non-802.1x, non-VLAN environments, and with shared media scenarios off an L2 port (e.g. hubs) Dynamic PACL & URL redirection LAN & WAN (EAPoUDP) Same functionality as phase 1 routers Dynamic RACL & URL redirection

63 63 © 2005 Cisco Systems, Inc. All rights reserved. NAC Client – End User Experience Takes one ping to authenticate machine. CTA Popup

64 64 © 2005 Cisco Systems, Inc. All rights reserved. Phase 1 Logical Components Network Access Device AAA Server CTA Vendor Policy Server Plug-ins CTA Security App CTA RADIUSEAPoUDPHCAP Main AV Vendors EAPoUDPRADIUS Routers (83x-72xx) NT, XP, 2000 Cisco Secure ACS Shipping

65 65 © 2005 Cisco Systems, Inc. All rights reserved. Network Access Device AAA Server CTA Vendor Policy Server Plug-ins CTA Security App CTA RADIUSEAPoUDPHCAP Phase 1.5 and 2.0 Roadmap Feature Summary Non-responsive Audit Server Non-Responsive system, broad API license EAPo802.1x, Proprietary 1.5: Switches (GW), VPN 3000 Switches (LAN), WAP Linux, Solaris, 2003 Main AV Vendors EAPoUDPRADIUS Routers (83x-72xx) NT, XP, 2000 Cisco Secure ACS Broad API License In Progress Shipping

66 66 © 2005 Cisco Systems, Inc. All rights reserved. IBNS & NAC Phase 1 (Gateway IP) Operation IBNS (Identity) NAC (Posture) L2 (802.1x) L3 (EAPoUDP) RADIUS x Authentication 2.Optional 802.1x Policy assignment 3.DHCP 4.NAC at first L3 Gateway x Authentication 2.Optional 802.1x Policy assignment 3.DHCP 4.NAC at first L3 Gateway Switch (Dot1x enabled)

67 67 © 2005 Cisco Systems, Inc. All rights reserved. IBNS & NAC Phase 2 (LAN Port 802.1x) Operation Identity + Posture L2 (802.1x)RADIUS x Authentication 2.Single Tunnel, Multiple Transactions 3.Identity Authentication 4.NAC Posture Validation 5.Policy Assignment 6.DHCP x Authentication 2.Single Tunnel, Multiple Transactions 3.Identity Authentication 4.NAC Posture Validation 5.Policy Assignment 6.DHCP Switch (Dot1x enabled)

68 68 © 2005 Cisco Systems, Inc. All rights reserved. Phase 2 CTA Enhancements Support EAPo802.1x Communications Strategy: engage multiple vendors for supplicant support Seed with at least one vendor through a NAC-only lite OEM Existing supplicants require extensions Embed OS Patch & Hotfix in CTA Move host OS gathering from CSA to CTA Customer File API Custom credential gathering interface Read tag/value data from a file File created by customer script Platform Ports Windows 2003, Solaris, Red Hat Linux Considering MACOS, SUSE Linux, others New feature support may vary per OS

69 69 © 2005 Cisco Systems, Inc. All rights reserved. Current Program Participants ANTI VIRUS PATCH MGT INITIAL SPONSORS CLIENT SECURITY

70 70 © 2005 Cisco Systems, Inc. All rights reserved. URLs Brochures (4) Building a Self-Defending Network - Solutions Overview (PDF KB) Cisco Self-Defending Networks Poster (side 2) (PDF KB) Cisco Self-Defending Networks Poster (side 1) (PDF KB) Intelligent Networking with Integrated Network Security (PDF KB) White Papers (1) Core Elements of the Cisco Self-Defending Network Strategy Presentations (2) Network Admission Control Overview Demo (Flash - 4 MB) Protecting Business with the Cisco Self-Defending Network Initiative (Flash - 5 MB) Relevant Networking Solutions

71 71 © 2005 Cisco Systems, Inc. All rights reserved. URLs Cisco Network Admission Control Program Cisco Trust Agent 1.0 Data Sheet NAC-Enabled Routers Brochures (1) Network Admission Control At-a-Glance (PDF - 52 KB) Q&A (1) Network Admission Control White Papers (6) Cisco Application & Content Networking Sys Sol for Network Admission Control Implementing Network Admission Control - Phase One Configuration and Deployment (PDF - 2 MB) Monitoring and Reporting Tool Integration - Failed Attempts csv (PDF KB) Monitoring and Reporting Tool Integration - Passed Authentications (PDF - 12 MB) Monitoring and Reporting Tool Integration into Network Admission Control Network Admission Control Presentations (3) Cisco Security Vision & Cisco Network Admission Control (PDF - 3 MB) Network Admission Control Overview Demo (Flash - 4 MB) Network Admission Control: Phase 1 Requirements (PDF - 4 MB) Release Notes (1) Release Notes for Network Admission Control, Release 1.0

72 72 © 2005 Cisco Systems, Inc. All rights reserved. Demo flash nac demo\Tutorial_Trend_Remediation.html

73 73 © 2005 Cisco Systems, Inc. All rights reserved.

74 74 © 2005 Cisco Systems, Inc. All rights reserved. Agenda Matin –IPv6 update –Wifi Architecture pour les universités Stratégie Swan Cisco – intégration Airespace Après-midi –Sécurité Dans les Campus Sur le poste utilisateur Pour les acces nomades

75 75 © 2005 Cisco Systems, Inc. All rights reserved. IPv6 Remote access VPN : SSL tunnel, SSL proxy, SSL port forwarding, IPSec, etc …

76 76 © 2005 Cisco Systems, Inc. All rights reserved. Cisco Strategy for Remote Access Using Best Fit IPSec and SSL VPN Technologies SSL VPNIPSEC VPN PARTNERFew apps/servers, tight access control, no control over desktop software environment, firewall traversal DOCTOROccasional access, few apps, no desktop software control ENGINEERMany servers/apps, needs native app formats, VoIP, frequent access, long connect times ACCOUNT MANAGERDiverse apps, home- grown apps, always works from enterprise- managed desktop Central Site Doctor at Home Unmanaged Desktop Supply Partner Extranet Account Manager Mobile User Software Engineer Telecommuter VPN IP/Internet

77 77 © 2005 Cisco Systems, Inc. All rights reserved. SSL VPNIPSEC VPN Broad Application Access: Clientless, Thin Client & Network- Layer Client Modes Endpoint Security without Compromise Clientless Terminal Services Support Per-User/Group Portal and Access Customization Broad Browser Support Easy VPN for Touchless Client Management Automated VPN Client Updates for Ease of Client Deployment & Versioning Integrated Endpoint Security Proactive Endpoint Security Posture Assessment Flexible Access Controls VPN 3000 Concentrator Solution Overview Features and Benefits Clustering & Load Balancing Flexible User Authentication & Access Control Broad End-System OS Support Group-Based User Management Unified Web-Based Management Foundation Features for Ease of Operations

78 78 © 2005 Cisco Systems, Inc. All rights reserved. Traverser un Firewall Les ports et protocoles listés doivent être ouverts pour quun client puisse se connecter. HTTPS (443) est classiquement ouvert alors que les ports / protocoles pour IPSEC sont souvent fermés par défaut dans une implémentation de filtrage Outband. Standard IPSec ESP (Protocol 50) IKE (UDP 500) Standard NAT/PAT Traversal IKE (UDP 500) ESP over UDP (UDP 4500) Encapsulation TCP propriétaire Ladministrateur définit le port TCP HTTPS (TCP 443) HTTP (TCP 80) (If HTTP redirection desired) SSL VPNIPSec VPN

79 79 © 2005 Cisco Systems, Inc. All rights reserved. See an On-Line WebVPN Demo Go to:

80 80 © 2005 Cisco Systems, Inc. All rights reserved. Concentrateurs Cisco VPN 3000 Une solution unifiée pour les accès VPN et SSL Solution intégrée SSL et VPN Load Balancing dynamique par utilisateur dans le cluster Multiples méthodes dauthentifications Magagement WEB intégré SMB ENTERPRISE ROBO SOHO VPN sessions SSL VPN VPN sessions SSL VPN VPN 3030 ou sessions SSL VPN Prix Fonctions VPN 3030 en Cluster N x 500 sessions SSL VPN

81 81 © 2005 Cisco Systems, Inc. All rights reserved. Cisco ASA 5510, 5520, and 5540 Platforms Key Platform Metrics Features ASA 5510 ( Sec Plus) ASA 5520 ASA 5520 VPN Plus ASA 5540 ASA 5540 VPN Plus ASA 5540 VPN Premium Real World Firewall Throughput (300 / 1400 Byte) 100 / 200 Mbps200 / 400 Mbps 400 / 550 Mbps Real World VPN Throughput (300 / 1400 Byte) 50 / 100 Mbps100 / 200 Mbps 200 / 360 Mbps Real World IPS Throughput (500 Byte) 100 Mbps with SSM-AIP Mbps with SSM-AIP 20 Maximum Connections 32,000 64, , ,000 S2S and IPSec RA VPN Peers ,0005,000 SSL VPN ConnectionsShared Shared, up to 1,250Shared, up to 2,500 VPN Clustering / Load Bal.NoYes High Availability None A/S A/A and A/S Interfaces 3 x 10/100 + OOB 5 10/100 4 x 10/100/1000, 1 10/100 Security ContextsNoUp to 10 Up to 50 VLANs Supported Comparable PIX ModelPIX 515E R/DMZPIX 515E UR PIX 525+ Comparable VPN3K ModelVPN 3005-VPN VPN 3020VPN 3015VPN 3030VPN 3060 © 2004 Cisco Systems, Inc. All rights reserved. ASA 5500 Intro 81 Real world performance based on real traffic mix, all svcs running concurrently and logging enabled.

82 82 © 2005 Cisco Systems, Inc. All rights reserved. Cisco VPN Are You There (AYT) How it works: Endpoint Security Assessment I want to open a VPN connection… Is Cisco Security Agent running? Secure VPN Tunnel Internet VPN Concentrator Corporate Network OK for VPN NO CSA running YES CSA is running Remote User with Cisco IPSec Client CSA AYT also supports the following firewalls: The Cisco Integrated Client FW Network ICE BlackICE Defender Sygate Personal Firewall Sygate Personal Firewall Pro Sygate Security Agent Zone Labs ZoneAlarm Zone Labs ZoneAlarm Pro

83 83 © 2005 Cisco Systems, Inc. All rights reserved. Cisco VPN-SSL 3 modes de fonctionnements possibles Accès dun poste inconnu PC personnel au domicile Cybercafé Poste dune entreprise externe Protection de lenvironnement indispensable Accès dun poste inconnu PC personnel au domicile Cybercafé Poste dune entreprise externe Protection de lenvironnement indispensable Accès dun partenaire Environnement non contrôlé Sécurité du postes non connus privilèges systèmes inconnus Accès dun partenaire Environnement non contrôlé Sécurité du postes non connus privilèges systèmes inconnus Client leger : Port Forwarding Connexion Reverse proxy « firewaled » Connexion Reverse proxy « firewaled » Accès Web, , Agenda et autres applications TCP Accès Web, , Agenda et autres applications TCP Petite applet java dynamiquement téléchargée Petite applet java dynamiquement téléchargée Meilleure solution pour un accès contrôlés à certaines applications à partir dun poste externe Meilleure solution pour un accès contrôlés à certaines applications à partir dun poste externe Accès en mode proxy, sans client Connexion Reverse proxy firewalled Connexion Reverse proxy firewalled Accès aux applications Web et Citrix Accès aux applications Web et Citrix Aucun logiciel téléchargé Aucun logiciel téléchargé Meilleure option pour un accès limité aux Meilleure option pour un accès limité aux applications WEB à partir de postes non contrôlés applications WEB à partir de postes non contrôlés Postes de lentreprise Environnement logiciel contrôlé Politique de sécurité connue Applications multiples Connexion complète à lintranet désiré Postes de lentreprise Environnement logiciel contrôlé Politique de sécurité connue Applications multiples Connexion complète à lintranet désiré Client SSL Tunneling Connexion persistante offrant un accès complet aux ressources de lintranet Connexion persistante offrant un accès complet aux ressources de lintranet Utilise un client léger dynamiquement téléchargé Utilise un client léger dynamiquement téléchargé Meilleure option pour un accès illimités aux applications de lentreprise pour les employés Meilleure option pour un accès illimités aux applications de lentreprise pour les employés

84 84 © 2005 Cisco Systems, Inc. All rights reserved. Application Proxy pour HTTP La connexion client est protégée par SSL le serveur est utilisé en proxy applicatif Deux connexions TCP et http sont utilisées, seule la connexion client- concentrateur est protégée par SSL Le flux HTML est inspecté et modifié à la volée HTML Inspection HTML Inspection HTML HTTP SSL HTTP SSL TCP/IP HTTP SSL HTTP SSL TCP/IP HTML TCP/IP HTTP Concentrateur Serveur Intranet http Utilisateur distant IP :

85 85 © 2005 Cisco Systems, Inc. All rights reserved. Application Proxy pour HTTPS La connexion client est protégée par SSL, le serveur est utilisé en proxy applicatif Deux connexions TCP et SSL sont utilisées Le flux HTML est inspecté et modifié à la volée Utilisateur distant HTML HTTP SSL HTTP SSL TCP/IP Inspection HTML Inspection HTML HTTP SSL HTTP SSL TCP/IP HTML HTTP SSL HTTP SSL TCP/IP Concentrateur Serveur Intranet SSL HTTP SSL HTTP SSL TCP/IP https://www.cisco.fr IP : https:// /https/0/www.cisco.fr

86 86 © 2005 Cisco Systems, Inc. All rights reserved. Application Proxy pour les serveurs de fichiers Utilisateur distant Convertisseur HTML CIFS Convertisseur HTML CIFS HTML HTTP SSL HTTP SSL TCP/IP HTTP SSL HTTP SSL TCP/IP SMB TCP/IP CIFS SMB TCP/IP Concentrateur Serveur de Fichier de lIntranet IP : La connexion client est protégée par SSL le serveur est utilisé en proxy applicatif Deux connexions TCP sont utilisées seule la connexion client- concentrateur est protégée par SSL Le concentrateur effectue une conversion entre le flux HTML et le flux CIFS utilisé pour le dialogue avec le serveur de fichier SMB : Server Message Block CIFS : Common Internet File System

87 87 © 2005 Cisco Systems, Inc. All rights reserved. Accès en mode proxy Support des PDA Pocket PC 2003 OS: Windows CE Navigateur: Pocket Internet Explorer (PIE) SW: Microsoft + OEMs Le navigateur intégré dans Windows CE 2003 est compatible avec le mode proxy.

88 88 © 2005 Cisco Systems, Inc. All rights reserved. VPN-SSL en mode Tunnel Fonctions Permet un accès complet aux applications comme en IPSEC Moins de 250 Ko à télécharger sous la forme dune applet Java, Active X ou.EXE Pas de reboot nécessaire Le client peut-être supprimé à la fin de la session ou installé de manière permanente Compatible avec le Softphone Cisco pour le support de la téléphonie sur IP Compatible Windows 2000 et XP Bénéfices Téléchargement rapide du client Plusieurs méthodes dinstallation pour une meilleure compatibilité Pas de reboot = utilisateur happy Aucune trace du client après la session pour plus de sécurité Support des applications multimédias Administration centralisée Résultat de lexpérience Cisco dans le domaine du VPN et de lencryption : Client léger, stable et simple à supporter

89 89 © 2005 Cisco Systems, Inc. All rights reserved. Connexion à lURL du WEB-VPN Téléchargement du client Connexion TCP (port x ou defaut 443) Initiation Connexion SSL Certificat SSL du serveur Connexion achevée Client VPN SSL Cisco VPN-SSL en mode Tunnel Mode opératoire Note: Le client est poussé via Active X, Java, ou.exe Concentrateur VPN 3000

90 90 © 2005 Cisco Systems, Inc. All rights reserved. VPN-SSL en mode Tunnel Linterface Statistiques Téléchargements Le tunnel est monté

91 91 © 2005 Cisco Systems, Inc. All rights reserved. La technologie : VIRTUAL SECURE DESKTOP Protège les informations sécurisées supprime : cookies, cache du navigateur / historique fichier en attachement des s, etc. à la fin de la connexion SSL/VPN Protège contre lexploitation de ces informations et contre la pénétration du système Sécurisation du poste de travail pour les connexions WEB VPN Le bureau virtuel sécurisé est transparent pour lutilisateur et crée automatiquement un environnement sécurisé sous Windows 2000 ou XP Lutilisateur a toujours accès à lensemble des ressources de son PC Toutes les applications et process qui tournent dans le bureau virtuel sécurisé sont contrôlés Le bureau virtuel crée un file system encrypté à la volée et rien nest écris en clair sur le disque.

92 92 © 2005 Cisco Systems, Inc. All rights reserved. Cisco Secure Desktop Linterface utilisateur Anti-X

93 93 © 2005 Cisco Systems, Inc. All rights reserved. Lenvironnement Sécurisé est créé Lenvironnement Sécurisé est créé Linstallation peut être réalisée par un activeX, une applet Java ou un exécutable La taille totale ne dépasse pas 500 ko Pas de re-démarrage ou de privilèges spécifiques requis Le desktop supporte 4 algorithmes dencryption : DES (56 bits), Trible DES (168 bits), CAST (128 bits) et Blowfish (256 bits) Un mot de passe de 128 caractères est généré aléatoirement Tous les process dans lenvironnement sécurisé sont surveillés et peuvent être contrôlés Tous les accès disques (fichiers ou registres) sont redirigés dans lenvironnement sécurisé Tous les process du bureau virtuel sécurisé sont stoppés Lenvironnement sécurisé est fermé est le mot de passe est perdu A ce moment la il est impossible de retrouver la moindre information Destruction de lenvironnement sécurisé Implémentation du standard de nettoyage du département de la défense américaine (DOD M) Le bureau virtuel Est installé ou mis à jour Le bureau virtuel Est installé ou mis à jour Une session virtuelle Est crée Une session virtuelle Est crée La session est fermée Lenvironnement est fermé La session est fermée Lenvironnement est fermé Lenvironnement est Détruit bit à bit Lenvironnement est Détruit bit à bit Comment ça marche

94 94 © 2005 Cisco Systems, Inc. All rights reserved. Cisco Secure Desktop How it Works Step One: A user on the road connects with the concentrator and logs in Step Four: At Logout the Virtual Desktop that the user has been working in is eradicated and the user is notified Enterprise HQ Employee- Owned Desktop www… Clientless SSL VPN Step Two: The concentrator pushes down the Cisco Secure Desktop Cisco Secure Desktop Step Three: An encrypted sandbox or hard drive partition is created for the user to work in Note: CSD download and eradication is seamless to the user. If the user forgets to terminate the session auto- timeout will close the session and erase all session information

95 95 © 2005 Cisco Systems, Inc. All rights reserved. Cisco Secure Desktop Securisation de la session – Encryption Historique du navigateur : Messages WebMail : employee evaluation trade secret Documents word : attorney_letter.doc Tableurs excel : Salaries.xls Sales foresact.xls Secure Vault A546FGHR HKF V H546FGHR72 4JUHB3787SBHYLM8733 NMH8UW3KIUJ98HHD8 K9DD0KNWHFSGT653J KIL0387GB73MZDPQK7 Bureau Standard Bureau Sécurisé

96 96 © 2005 Cisco Systems, Inc. All rights reserved. Téléchargement et installation rapide Usage transparent, pas de nouvelle interface à intégrer Accès à lensembles des ressources hard et soft du PC Nettoyage automatique de la session et des données Pour lutilisateur final Pour le gestionnaire du système Contrôle des utilisateurs téléchargement et installation facile lutilisateur est guidé dans la session (un click seulement) lutilisateur ne peut pas sauver un document dans la partie non encryptée du disque Interface utilisateur customisable Look and feel Paramètres de Windows, du navigateur et des applications Ajoute des fonctions de sécurité Time Out automatique de la session Fonctions de Securité Protège contre la fuite des données Protège contre les codes malicieux Assure confidentialité de lutilisateur Facile à implémenter et à superviser Fonctions et avantages

97 97 © 2005 Cisco Systems, Inc. All rights reserved. Demo : SSL-VPN + CSD https://vpn3000.showroom.cisco-ilm.com username cisco password cisco123 WEB- VPN Open web broswer and http or https to Login Full access Username:testuser Full access Password:testuser Limited access Username:limituser Limited access Password:limituser

98


Télécharger ppt "1 © 2005 Cisco Systems, Inc. All rights reserved. IPv6 Update Cisco Groupe LASER – 24 Mai 2005"

Présentations similaires


Annonces Google