Muriel Bôle– mbole@cisco.com Partner SE Nouveautés Sécurité: Cloud Security, Sécurisation des nomades, nouveaux ASA Muriel Bôle– mbole@cisco.com Partner SE

Architecture de sécurité Cisco pour le réseau sans frontières Borderless Data Center 3 Polique sécurité (Access Control, Acceptable Use, Malware, Data Security) Politique Sécurité Périmètre Site Distant Applications et Données Site Central Platform as a Service Infrastructure as a Service Software as a Service X as a Service Borderless Internet 2 Borderless End Zones 1 Aéroport Télétravail Utilisateur mobile Café Attaquants Clients Partenaires

Agenda Sécurisation Web en mode SaaS: Cisco Scansafe Sécurisation des nomades: “mobile user security” Nouveaux ASA 5585

Sécurisation web en mode SaaS

Malwares : un Constat Alarmant 300% d’augmentation du Volume annuel en 2008 (eq. 5 dernières années) Communauté des Hackers devenue une industrie du cybercrime organisée et puissante Mutation en Temps Réels des menaces +de 50% des PC ont + de 15 jours de retard sur les signatures AV 73% des menaces sont bloqués par les AntiVirus – 27%: inconnues (0-day) non bloquées 80% des menaces sont sur le Web 50% du Web est non catégorisé 74% des malwares sont sur des sites institutionnels Puissance PC/Appliances insuffisante

Security product of the year 2008 Cisco ScanSafe Récompenses SCANSAFE Editeur de Sécurité Web en mode SaaS Pionnier avec 6 ans d’expérience Position dominante = 34,5% IDC Innovation et Récompenses 100% de disponibilité depuis 6 ans CLIENTS Plusieurs Millions d’utilisateurs Clients dans + de 100 pays 4 Milliards de requêtes Web par jour 200 millions de menaces bloquées mensuellement Security product of the year 2008 Clients Partenaires

ScanSafe : Les Services

DATACENTERS Extensibilité et Fiabilité Milliards de requêtes Web/jour Traitement hautement parallèle <50 ms de latence 10Gb connectivité Fournisseurs réseau redondants Fiabilité 14 centres de données Certifications de 1er rang Millions d’utilisateurs déployés 100% de disponibilité

Filtrage Web : Filtrage proactif du contenu Fonctions traditionnelles de Filtrage Blocage par catégories, types de fichier et types de contenu; listes blanches et noires Fonctions avancées Différentiation des flux HTTPS et FTP via HTTP Niveaux d’administration granulaires Fonction anonymat des rapports Module DLP Classification Dynamique Classification en temps-réel des nouveaux sites 99% de détection dans les catégories Adultes, Jeux, Violence... etc. SearchAhead Notification proactive – logos a droite des résultats de recherche Acceptable Uncategorized Prohibited Malicious 9

Malware: Protection Outbreak Intelligence Web Virus / Spyware scanning using two if the top 5 signature based Avs Proprietary heuristics engine (Outbreak Intelligence)

Modes de déploiement Utilisation d’un proxy pour les utilisateurs Sans granularité utilisateur - politique commune: “Proxy=Scansafe” pour le(les) navigateur(s) (fichier PAC) Avec granularité utilisateur: “Proxy= connecteur scansafe onsite” en lien avec AD qui envoie infos user au service Scansafe (dans l’entête http) “Proxy=proxy d’entreprise” qui relaie vers le connecteur (ISA, ICAP) “Proxy = scansafe”; PIM.EXE sur le poste pour récupérer les données utilisateur et les transférer (entête http) Anywhere + pour les nomades

SaaS: Protection des Nomades - Anywhere+ Client Scansafe de protection des Nomades Redirection du trafic web vers les centres de données Sélection automatique du centre ScanSafe le plus proche lors de voyages Encryption du trafic pour garantir la sécurité des données envoyées Déploiement centralisé de masse et en mode silencieux Protégé pour éviter le contournement “Les Nomades utilisent leur VPN seulement 17% de leur temps de surf sur Internet – Comment sont-ils contrôlés et protégés les 83% du temps restant?

ScanCenter – Plateforme d’administration et de rapports Visibilité incomparable sur l’utilisation des ressources Plus de 5 000 rapports personnalisables 75 attributs corrélables 11 catégories de rapport (user, bw, appli, malware, temps passé, catégories, …) Analyse détaillée en cascade Basé sur un entrepôt de données pour de hautes performances Rapports globaux, de tendance et à précision chirurgicale Rapports programmés pouvant être envoyés à des utilisateurs définis Rapports granulaires permettant de trouver les remèdes aux problèmes

Cisco ScanSafe : Les Garanties Portail Web d’administration Règles de Sécurité Monitoring Temps Réel Rapports Multi Sites Corrélation des logs Infrastructure Base de Données Support 24x7x365 Pas de maintenance Mise à jour continue et automatisé Pas de correctif à installer SLAs uniques Performance (2) Sécurité (2) 1. Disponibilité 99,999% garanti de temps de disponibilité de notre service pour scanner le trafic 2. Latence Temps de chargement supplémentaire attribuable au service Evalué par des entreprises tierces 3. Faux Positifs Pages bloquées mais qui n’auraient pas dû l’ être Taux de faux positif < 0.0004% 4. Faux Négatifs Pages qui auraient dû être bloquées mais qui ne l’ont pas été Taux de faux négatif < 0.0004%

Ordering Canal de Distribution Cisco Ironport Offre Scansafe dans la price-list ironport Devis commercial inclut: Forfait d’installation Licenses utilisateurs (min 25 users) Licenses disponibles Malware Web filtering Malware + Web filtering Secure Mobility (anywhere+) Licences par utilisateur et par mois Prix dégressif selon nombre de users et durée de souscription: 1, 2 ou 3 ans

Bénéfices de la Sécurité Web ScanSafe en mode SaaS Réduction des Coûts Economies de temps et d’argent ; 30-40% de réductions annuelles en TCO Redirigez ves ressources vers les projets centraux au coeur de l’entreprise Simplicité de déploiement Tranquilité d’Esprit Protection en couches contre les Malware du Web, garanties par SLA’s Dépenses fixes, pas de coûts non budgétés Utilisateurs Nomades protégés sans rapatriement du trafic Flexibilité Modèle par souscription, sans investissement nécessaire Extensibilité – ajout d’utilisateurs sans achat de matériel supplémentaire Nouvelles fonctions/améliorations sans besoin d’installer une nouvelle version

Sécurisation web des nomades

Les utilisateurs mobiles aujourd’hui 83% des PC nomades surfent directement sur Internet sans passer par leur VPN d’entreprise Applications Email Social Networking L’utilisateur n’est pas protégé lorsqu’il accède directement à internet sans monter son VPN News Enterprise SaaS Coffee Shop At Home At Work Airport Broad Range of Devices Access Points

Solution VPN ASA Toute une gamme d’options de connectivité SSL VPN Tunneling Clientless VPN Access DTLS (voice/video) Tunneling IPsec VPN Tunneling Mobile Access Cisco ASA 19 19

Cisco Anyconnect VPN client Multiples OS supportés Mac OS X 10.5, 10.6.x ou + (32/64 bits) Win XP, VISTA, Windows 7 (32/64 bits) Linux : RedHat linux 5 desktop unbuntu 9.x autres distributions linux sur demande mode autonome (sans navigateur Web) Start Before Login (SBL) pour Windows API pour le pilotage a partir d’une application externe Installation à partir d’un navigateur java, ActiveX ou via un MSI Mise à jour auto sans nécessité des droits d’administrateur Accès aux ressources internes IPv6 (dans un tunnel IPv4) Support de DTLS (optimisation pour les flux sensibles à la latence) auto- détection à la connexion (le protocole utilise UDP)

Evolution : Cisco AnyConnect Solution de connection VPN de nouvelle génération Choix multiples Choix d’équipements et OS   Securité Sécurité complète de La solution Data Loss Prevention Acceptable Use   Threat Prevention Access Control Experience Connectivité permanente, Expérience utilisateur unique Acces authorisé Intranet Corporate File Sharing

Anyconnect pour les utilisateurs mobiles Applications Email Social Networking Corporate Datacenter with ASA News INTERNET Anyconnect 2.5: Mode always on Détection de la meilleure passerelle VPN Enterprise SaaS Coffee Shop At Home Airport At Work Broad Range of Devices Access Points AnyConnect Client

Trusted Network Detection (TND) Détection du réseau de confiance Connexions et déconnexions automatiques en fonction des conditions suivantes : Réseau de l’entreprise Réseau externe à l’entreprise Détermination de la location en fonction du nom de domaine et de l’adresse IP du DNS D’autres méthodes dans le futur Authentification par certificat pour une authentification transparente Windows XP, Vista, 7 & Mac OS X Réseau de confiance (entreprise) Réseau externe à l’entreprise

Solution SSL-VPN Cisco Sélection optimale du point d’accès Tokio Paris Los Angeles Time = 33ms Time = 35ms Time = 26ms Time = 25ms Time = 28ms Time = 23ms Time = 27ms Time = 24ms Time = 25ms Marseille Connexion automatique au meilleur point d’accès Requête HTTPS calcul du meilleur délai aller retour

Solution SSL-VPN Cisco Sélection optimale du point d’accès Tokio Paris Los Angeles Time = 26ms Time = 23ms Time = 25ms Marseille Connexion automatique au meilleur point d’accès Requête HTTPS calcul du meilleur délai aller retour

Solution SSL-VPN Cisco Sélection optimale du point d’accès Paramètres importants: Suspension Time Threshold (défaut: 4 heures) Performance Improvement Threshold (défaut: 20%) Tokio Paris Los Angeles Time = 23ms Marseille Connexion automatique au meilleur point d’accès Requête HTTPS calcul du meilleur délai aller retour

Corporate Datacenter avec ASA et WSA ASA + WSA + Anyconnect 2.5 ASA / WSA offrent une connectivité sécurisé permanente Applications Email News Social Networking Corporate Datacenter avec ASA et WSA INTERNET Enterprise SaaS Coffee Shop At Home Airport At Work Broad Range of Devices Access Points AnyConnect Client

AnyConnect iPhone Iphone 3G, 3GS, 4 avec iOS 4.1 Tunnels SSL (DTLS et TLS) Roaming entre le 3G et le WiFi Méthodes Multiples d’authentifications Imports des profiles de connexions via l’ASA Enrollement des Certificats Interface Iphone Native Intégration forte avec l’IOS Apple iPhone Logs intégrés au client Support iPAD après mise à jour de l’iOS en v4.2

Anyconnect 3.0 (Q4/2010) Client VPN SSL et IPSec iKEv2 HostScan intégré Contrôle OS, Process, AV, FW ….. Sécurité mode SAAS Intégration du client scansafe anywhere + Client 802.1x Wifi / Filaire TLS, PEAP, GTC, etc… MACSec (chiffrement LAN) Diagnostic intégré (DART)

Anyconnect 3.0 Intégration des services SaaS et Entreprise News Email AnyConnect 3.0 (incluant le client anywhere+) ASA Cisco Web Security Appliance Social Networking Enterprise SaaS Corporate AD

Cisco ASA 5585

Positionnement de la gamme ASA 5500: Du 5505 au 5585 Plateformes multi-services (FW, IPS et VPN) 5585 / SSP-60 15-30 Gbps 350k conn/s 5585 / SSP-40 10-20 Gbps, 200k conn/s 5585 / SSP-20 5-10 Gbps 125k conn/s, 5585 / SSP-10 2-4 Gbps 50k conn/s Performances ASA 5540 650 Mbps 25k conn/s, ASA 5520 450 Mbps 12k conn/s ASA 5580-40 10-20 Gbps 150k conn/s ASA 5510 300 Mbps 9k conn/s, ASA 5580-20 5-10 Gbps 90k conn/s , ASA 5505 150 Mbps 4k conn/s ASA 5550 1.2 Gbps, 38k conn/s Plateformes Firewall et VPN Branch Office Internet Edge Teleworker Campus Data Center

Gamme Cisco ASA 5585-X Branch Office Campus Data Center ASA 5585-S60P60 ASA 5585-S40P40 Performance, Scalability, Adaptivity Scalable Data Center Solutions ASA 5585-S20P20 ASA 5585-S10P10 Securing Internet-Edge and Campus Networks Branch Office Campus Data Center Enhancing the Customer Experience

Slot-1 Slot-0 Chassis ASA 5585-X Chassis 2U 19” Alimentations redondantes et Hot Swappable 6 ventilateurs hot swappable Chassis 2U 19” 2 modules pleine largeur 2 modules ½ largeur Multi Gigabit Fabric Slot-1 ASA SSP FW/VPN dans le Slot 0 En option IPS SSP dans le Slot 1 Slot-0 © 2009, Cisco Systems, Inc. All rights reserved. Presentation_ID.scr

Cisco ASA 5585 – Face avant chassis 2-slot pour modules firewall/VPN et IPS Format: 2RU Rack Mount Profondeur: 25” Chassis Depth Alimentations Redondantes eUSB pour stockage Software / Config Deux baies pour disques durs (pour utilisation future) 2 Ports Ethernet de management et 2 ports USB ports (utilisation future) 2 ou 4 ports 10GE SFP+, 6 ou 8 ports GE ports Status LEDs 35

Les modules FW/VPN SSP du 5585 ASA SSP-10 ASA SSP-20 ASA SSP-40 ASA SSP-60 Processor 1 x 2.0 GHz Intel E5508 (2 Core/2 Threads) 1 x 2.13 GHz Intel L5518 (4 Cores/8 Threads) 2 x 2.13 GHz Intel L5518 (8 Cores/16 Threads) 2 x 2.46 GHz Intel E5645 (12 Cores/24 Threads) Maximum Memory 6 GB 12 GB 24 GB Maximum Storage 2 GB eUSB Ports 2 x SFP+ 8 x 1GbE Cu 2 x 1GbE Cu Mgmt 2 x SFP+ 4 x SFP+ 6 x 1GbE Cu 4 x SFP+ Security 1 x Cavium Nitrox 1620 1.5Gbps AES 256 2 x Cavium Nitrox 1620 3 Gbps AES 256 3 x Cavium Nitrox 1620 4.5 Gbps AES 256 4 x Cavium Nitrox 1620 6 Gbps AES 256

Modules IPS 5585-X IPS SSP-10 IPS SSP-20 IPS SSP-40 IPS SSP-60 Processor 1 x 2.0 GHz Intel E5508 (2 Core/2 Threads) 1 x 2.13 GHz Intel L5518 (4 Cores/8 Threads) 2 x 2.13 GHz Intel L5518 (8 Cores/16 Threads) 2 x 2.46 GHz Intel E5645 (12 Cores/24 Threads) Maximum Memory 6 GB DDR3-800 12 GB DDR3-1066 24 GB 48 GB Maximum Storage 2 GB eUSB Ports 2 x SFP+ 8 x 1GbE Cu 2 x 1GbE Cu Mgmt 2 x SFP+ 4 x SFP+ 6 x 1GbE Cu 4 x SFP+ Mezzanine Card 1 x LSI Regex Accelerator -2G 1 x LSI Regex Accelerator-2G 1 x LSI Regex Accelarator-10G 2 x LSI Regex Accelerator-10G

Options d’interface (SFP/SFP+) Platform SFP/SFP+ (1 or 10 GbE) GbE (copper) Total Data Ports ASA5585-S10 ASA5585-S20 2 8 10 ASA5585-S40 ASA5585-S60 4 6 ASA5585-S10P10 ASA5585-S20P20 16 20 ASA5585-S40P40 ASA5585-S60P60 12 Each module also provides console, aux and two 1Gbe (cu) management ports 1GE SX 10GE Short Reach Optics 10GE Long Reach Optics GLC-SX-MM (up to 500m multimode fiber) SFP-10G-SR (up to 300m multimode fiber) SFP-10G-LR * (up to 10km single-mode fiber) SFP-10G-LRM * (220m multimode, 300m single-mode) new * En cours de validation © 2009, Cisco Systems, Inc. All rights reserved. Presentation_ID.scr

Positionnement et performances ASA 5585 – v8.2(4) ASA 5585 /SSP10 ASA 5585 /SSP20 ASA 5585 /SSP40 ASA 5585 /SSP60 Positionnement Accès internet/ Campus Accès internet/ Campus Campus / Data Center Data Center 4 Gbps 2 Gbps 1 Gbps 5000 10 Gbps 5 Gbps 3 Gbps 1.5 Gbps 1 Gbps 5000 20 Gbps 10 Gbps 5 Gbps 2.5 Gbps 2 Gbps 10,000 30 Gbps 15 Gbps 10 Gbps 5 Gbps 2 Gbps 10,000 Performances Max Firewall (Jumbo) Max Firewall (Real-world HTTP) Max IPS (Media Rich) Max IPS (Transactional) Max IPSec VPN Max IPSec/SSL VPN Peers 650,000 80,000 2,000,000 8 GE + 2 10 GE 16 GE + 4 10 GE 250 A/A and A/S 800,000 130,000 3,000,000 8 GE + 2 10 GE 16 GE + 4 10 GE 250 A/A and A/S 2,000,000 200,000 5,000,000 6 GE + 4 10GE 12 GE + 8 10GE 250 A/A and A/S Capacités Nbs Max de Connections (FW) Nbs Max Conns/Second Packets/Second (64 byte) Base I/O Max I/O VLANs Supportés Haute dispo Supportée 2,000,000 300,000 8,00,000 6 GE + 4 10GE 12 GE + 8 10GE 250 A/A and A/S

ASA 5585 Ordering BASE BUNDLE (Firewall+VPN) BASE BUNDLE + IPS ASA5585-S10 ASA5585-S10P10 ASA5585-S10X-K9: Security Plus (10GE use) ASA5585-S20 ASA5585-S20P20 ASA5585-S20X-K9: Security Plus (10GE use) ASA5585-S40 ASA5585-S40P40 ASA5585-S60 ASA5585-S60P60 Commandable: Septembre 2010 Commandable: début 2011 Firewall/VPN Module Spare IPS Module Spare ASA-SSP-10-K8= ASA-SSP-IPS10-K9= ASA-SSP-20-K8= ASA-SSP-IPS20-K9= ASA-SSP-40-K8= ASA-SSP-IPS40-K9= ASA-SSP-60-K8= ASA-SSP-IPS60-K9= © 2009, Cisco Systems, Inc. All rights reserved. Presentation_ID.scr

Topologie Data Center ASA5585 Internet Data Center Core Data Center POD Nexus 7000/ Catalyst 6500 Nexus 7000/ Catalyst 6500 Nexus 5020 Nexus 5020 Nexus 5010 Nexus 5010 Nexus 5010 Nexus 5010 Nexus 2148T Nexus 2148T ASA5585 ACE4710 WAAS 10Gig Server Rack Services Block 1Gig Server Rack © 2009, Cisco Systems, Inc. All rights reserved. Presentation_ID.scr

Cisco ASA 5500 Series: Appliance multi-fonctions VPN Ipsec ou SSL Remote access Services SSL avec client ou avec portail . Contrôle de posture des postes VPN site à site avec routage , QoS et failover VPN IPSec et SSL Protection en temps réel contre les attaques des applications et OS Détection et filtrage de l'activité réseau des vers et Virus Détection et filtrage des Spyware, adware et malware Corrélation et contre-mesures intégrées aux sondes IPS Firewall stateful à analyse applicative Services avancés d’inspection applicative et protocolaire NAT/PAT applicatifs Support avancé des protocoles voix et vidéo Fonction TLS Proxy, Phone Proxy, Présence proxy … Firewall Mode routé ou transparent Virtualisation QoS Services multicast Routage, redondance, load-balancing Services réseaux avancés

27 Septembre 2010 ASA 5585 (recording) Webinars Sécurité Jeudis de 11h à 12h Toutes les 2 /3 semaines Cible: AV, Consultants Sécurité partenaires 27 Septembre 2010 ASA 5585 (recording) 28 Octobre 2010 Offre Sécurité SaaS email et web (recording) 18 Novembre 2010 Anyconnect 3.0 (recording) 2 Décembre 2010 Update ironport (recording) 16 Décembre 2011 ACS 5.2 20 Janvier 2011 Solutions IPS

Evénements “My Cisco Event calendar” Planning d’événements Cisco pour les partenaires Européens / Français Sur site / Webinars http://www.myciscoeventcalendar.com/

Webinars Sécurité: Portail https://ciscosales.webex.com/ciscosales-fr/portal/393322 Présentations des Webinars: ASA 5585, Scansafe Enregistrements Documents divers, Boilerplate Contact: cperrin@cisco.com

En résumé Protection web en mode hosté avec la solution Scansafe à partir de 25 utilisateurs, pour petits/moyens sites ou Entreprises avec sites multiples et distribués Client unifié pour la sécurité d’accès réseau : Anyconnect 3.0 Nouveaux ASA 5585: FW/VPN/IPS hauts débits