View
108
Download
3
Category
Preview:
Citation preview
1© 2005 Cisco Systems, Inc. All rights reserved.IPv6
Update Cisco
Groupe LASER – 24 Mai 2005
fhadj@cisco.com
222© 2005 Cisco Systems, Inc. All rights reserved.
Agenda
• Matin–IPv6 update
–Wifi
•Architecture pour les universités
•Stratégie Swan Cisco – intégration Airespace
• Après-midi–Sécurité
•Dans les Campus
•Sur le poste utilisateur
•Pour les acces nomades
3© 2005 Cisco Systems, Inc. All rights reserved.IPv6
Sécurisation du campusCisco
444© 2005 Cisco Systems, Inc. All rights reserved.
Sécurisation intelligente/intégrée au réseau Evolution de l’approche sécurité
Equipements dédiés sécurité
• Appliances de sécurité positionnées dans le réseau
• Sécurité avancée des équipements réseau
• Outils de management séparés
FW
IDS
VPN
2000
Sécurité Intégrée
• Modules de services en sécurité intégrés dans l’ infrastructure
• FW + Détection d’intrusion + VPN
• Outils de management intégrés
FWIDS VPN
2002
Sécurisation intelligente du réseau
• Sécurité intégrée completement à l’infrastructure réseau
• Auto défense, protection, prévention, guérison
• Contrôler les accès: qui? quoi?
Today
FWIDS VPNIdentityL2,3 Hardening,
HIPS
555© 2005 Cisco Systems, Inc. All rights reserved.
Stratégie de sécurité globaleProtection des accès/communications, durcissement du réseau
SiSi SiSi
IntranetInternet
Th
reat
Def
ense Protéger les accès:
• FW+IDS intégrés au réseauDétection et prévention des attaques externes.
Protéger le réseau interne: • Sécurité intégrée aux catalysts
Protection contre les attaques internes
Protection des stations/serveurs:
• Cisco Security Agent (CSA)Protection contre les infections
Tru
st a
nd
Id
enti
ty Contrôle des accès utilisateurs:
• Identity-Based NetworkingQui? Comment? Quoi?
Sécurisation des connections:• IPSec VPN• SSLVPN
Confidentialité voix/données
Sec
ure
Co
mm
.
666© 2005 Cisco Systems, Inc. All rights reserved.
VLAN de quarantaine
Utilisateur autorisé. Peut accéder aux
serveurs internes de l’entreprise
Utilisateur autorisé
Sécurité intelligente intégrée du LAN
Protection avancée contre les nouveaux risques:
“Man-in-the-Middle”“DHCP Server Spoofing”“IP Address Spoofing”
Sécurité intégrée des Catalysts
Détecte et protège Intrusion Protection System
(IPS)
Protection des stations/serveurs (CSA)
Man in theMiddle Attack
Record‘data’
“Controller l’accès au réseau et définir la politique d’utilisation du réseau
Cisco Identity BasedNetworking Services (IBNS)
Accès interditaux utilisateurs non autorisés
Prévention contreAP pirates
777© 2005 Cisco Systems, Inc. All rights reserved.
Attaques sur le LAN Protection par la sécurité de niveau 2 des Catalyst
• MAC Address Flooding AttackOutil: macof (part of dsniff package)
Envoie des SYN avec des adresses MAC src et dst aléatoiresLorsque la table CAM est pleine, le commutateur bascule en mode hub (32K entrées)Utilisation d’adresses IP aléatoires incluant des IP multicast pouvant dégrader les performances
réseau par le traitement/routage de ces fausses IP multicast.
• DHCP Rogue server AttackOutils: gobbler ou un DHCP server pirate
Permet des attaques Man in the middle en remplacant l’adresse IPDNS ou IP GWPerte du service DHCP
• DHCP StarvationOutil: gobbler
Multiples requêtes DHCP afin d’utiliser l’ensemble du scopeDHCP disponible
• ARP Spoofing or ARP Poisoning AttackOutils: ettercap, dsniff, arpspoof
Découverte de la topologie L2 (MAC) par ARP et DNS reverse Name Lookup. Attaques Man in the middle avec capture de paquet et découverte des mots de passe
S2
8© 2005 Cisco Systems, Inc. All rights reserved.IPv6
Sécurisation du LANDurcissement du réseau commuté
999© 2005 Cisco Systems, Inc. All rights reserved.
Quelle sécurisation a t’on aujourd’hui?Manuelle, statique
Fonctions et recommendations courantes:
• Port Security / VMPS
• ACL/ filtrage
• VLAN
• Eteindre les ports non utilisés et les placer dans des VLANs inactifs.
• Configurer les ports d’accès en trunk off
• Ne pas utiliser le VLAN natif comme VLAN d’accès
• Sécuriser l’administration des équipements (out of band, SNMP community string, passwords, AAA)
101010© 2005 Cisco Systems, Inc. All rights reserved.
CorporateNetwork
Comment améliorer la sécurisation?Dynamique, automatisée
WirelessLAN
• Contrôle de l’adressage pour empêcher l’usurpation d’adresse:
Adresse IPAdresse MAC
• Contrôle de l’accès au réseauQui?Equipement utilisé?Ressources accessibles?
• Contrôle du remplissage de la table CAM
• Sécurisation du protocol STP
• Protection DoS: Gestion de bande passante/policing
111111© 2005 Cisco Systems, Inc. All rights reserved.
Nouvelles Fonctionnalités de sécurisation du Campus
Accès• Dynamic Port security • BPDU guard• DHCP snooping• IP Source Guard• Dynamic ARP inspection • Private VLAN• Authentification 802.1x • Détection de ‘rogue AP’
Backbone / Distribution• Root guard• DHCP snooping• IP Source Guard• Dynamic ARP inspection• Flow policing
121212© 2005 Cisco Systems, Inc. All rights reserved.
BPDU/Root guardPrévention des attaques sur le spanning tree
MENACE:
• L’attaquant envoie des BPDU s’annonçant comme un pont de priorité 0- détourne trafic vers lui
• Un nouveau switch est installé et provoque une recalculation du STP
CONTREMESURE:
• BPDU Guard
• Root guard
• BPDU Loop guard
SwitchNon autorisé
Enterprise Server
Cisco Secure ACS
Serveur
Incorrect STP Info
BPDU Guard
Switch Autorisé
Root Guard
SwitchNon autorisé
Switch Autorisé
131313© 2005 Cisco Systems, Inc. All rights reserved.
Port security - IntroductionCorruption de l’étanchéité du switching et des VLANs
MENACE:• Outils disponibles permettant de simuler des
paquets provenant d’un grand nombre d’adresses MAC différentes.
• Le but étant de remplir la table CAM du commutateur afin que celui ci reviennent à un mode Hub.
• Permet alors de collecter l’ensemble du trafic réseau.
CONTRE MESURE:
• Utiliser la fonction ‘port security’ pour limiter ces attaques.
• Permet de bloquer le port ainsi que l’envoi de traps SNMP
00:0e:00:aa:aa:aa00:0e:00:bb:bb:bb
Seulement 3 adresses MAC autorisées sur le port: 4ieme
bloquée132,000 Bogus MACs
141414© 2005 Cisco Systems, Inc. All rights reserved.
CorporateNetwork
Port Security Détail
‘Static secure MAC address’ Configuration manuelle des adresses MAC autorisées par port‘Dynamic secure MAC address’ Limitation du nombre maximal d’adresses MAC de la table CAM par port ‘Sticky secure MAC address’Apprentissage dynamique des adresses MAC et configuration persistante de ces adresses
151515© 2005 Cisco Systems, Inc. All rights reserved.
SiSi
Serveur DHCP
Réponses DHCPRequêtes DHCP
Cisco Innovation
Cisco Innovation
Corruption du DHCP
Fonction DHCP SnoopingFonction DHCP Snooping
Trusted
Untrusted
DHCP SnoopingProtection contre les attaques sur DHCP
MENACE:• Volontaire – Un utilisateur se fait passer
pour le serveur DHCP d’entreprise.
• Non volontaire – un utilisateur installe ou héberge un serveur DHCP (routeur/serveur)
CONTRE MESURE:• Le commutateur a connaissance de la
localisation (trusted port) du serveur DHCP.
• Tout réponse DHCP reçue sur un autre port (untrusted port) sera bloquée
• Le port trusted sera le port trunk si le serveur n’est pas local au commutateur
161616© 2005 Cisco Systems, Inc. All rights reserved.
IP Source GuardProtection contre IP Spoofing
10.1.1.110.1.1.2
J’annonce10.1.1.2
CONTRE MESURE:
• Le commutateur fait l’apprentissage par DHCP snooping des adresses IP derrière chaque port.
• Le commutateur analyse les adresses IP source et bloque le trafic ne correspondant pas aux adresses IP connues
MENACE:
• Configurer statiquement son adresse IP est un moyen d’usurper l’identité d’un autre équipement réseau.
• L’IP spoofing permet de passer à travers les règles de filtrage, de lancer de façon anonyme des attaques DoS,…
171717© 2005 Cisco Systems, Inc. All rights reserved.
ARP FunctionFonctionnement Normal
• Avant de communiquer avec une autre station, une station envoie une demande ARP (ARP request) pour connaitre l’adresse MAC correspondant à l’adresse IP qu’il souhaite contacter.
Cette requête ARP est broadcastée en utilisant le protocol 0806
• Toutes les stations du subnet recoivent et processent la requête. La station ayant l’adresse IP demandée répond avec son adresse MAC par le biais d’un ARP reply.
Qui est10.1.1.4?
Je suis 10.1.1.4Voici ma MAC @
181818© 2005 Cisco Systems, Inc. All rights reserved.
PromiscuousPort
PromiscuousPort
Community‘A’
Community‘B’
IsolatedPorts
Primary VLAN
Community VLAN
Community VLAN
Isolated VLAN
Only One Subnet!
xx xx xx xx
Private VLANsPrévention du ARP spoofing
• PVLANs permet d’isoler des stations dans le même VLAN
• Passe par la création de communautés à l’intérieur d’un VLAN.
191919© 2005 Cisco Systems, Inc. All rights reserved.
Dynamic ARP InspectionPrévention du ARP spoofing
Mon GW est10.1.1.1
10.1.1.1 10.1.1.2
Je suis votre GW: 10.1.1.1
Envoi de Gratuitous ARP pour changer la correspondance ARP/IP dans les tables ARP des stations
CONTRE MESURE:
• Le commutateur fait l’apprentissage par ‘DHCP snooping’ des correspondances MAC/IP derrière chaque port.
• Le commutateur analyse les réponses ARP et GARP et bloque tout paquet anormal.
• ARP ACLs: configuration statique des MAC/IP
MENACE:
Outils permettant de générer des messages ARP pour usurpation d’identité:
• Réponses ARP
• Gratuitous ARP (GARP)
Commutateur avec DAI bloque
l’ARP
202020© 2005 Cisco Systems, Inc. All rights reserved.
Demo flash
• file:///D:/Documents%20and%20Settings/fhadj/Desktop/LAser/Demos.htm
232323© 2005 Cisco Systems, Inc. All rights reserved.
Cisco AironetCatalyst 6500Catalyst
4000/4500Catalyst
3550/2950/3750Cisco ACS Server
Fonctionnalité de sécuritéDisponibilité produits
CAT6500CatOS
CAT6500OS4k/4500 Cat
OS4k/4500
IOS2950/2970
3550/3560
3750
Root Guard 6.1.1 12.1(22)E1 6.3 12.1(13)EW12.0(5.2)WC1
12.1(11)AX
12.1(4)EA1
12.1(19)EA1
12.1(11)AX
BPDU Guard 6.412.1(22)E1
5.5(19) 12.1(13)EW12.1(9)EA1
12.1(11)AX
12.1(9)EA1
12.1(19)EA112.1(11)AX
Port Security7.6(1) 12.1(13)E 5.1(1) 12.1(13)EW
12.0(5.2)WC1
12.1(11)AX
12.1(8)EA1
12.1(19)EA112.1(11)AX
DHCP Snooping8.3(1) 12.2(17a)SX2 N/A 12.1(12c)EW
12.1(19)EA1 (EI)
12.1(19)EA1
12.1(19)EA1
12.1(19)EA112.1(19)EA1
DAI 8.3(1) 12.2(17a)SX2 N/A12.1(19)EW
N/A
N/A
Roadmap
12.2(20)SE (EMI)
12.2(20)SE
(EMI)
IP Source Guard8.3(1) 12.2(17a)SX2 N/A 12.1(13)EW N/A
N/A
Roadmap
12.2(20)SE
(EMI)
12.2(20)SE
(EMI)
Private VLAN
Edge- - - -
12.0(5.2)WC1
12.1(11)AX
12.1(4)EA1
12.2(20)SE
(EMI)
12.1(11)AX
*Pour plus de détail sur le support produit et les versions disponibles: http://www.cisco.com
24© 2005 Cisco Systems, Inc. All rights reserved.IPv6
Sécurisation du LAN Contrôle de l’accès au réseau (IBNS)
252525© 2005 Cisco Systems, Inc. All rights reserved.
Contrôle d’accès sur identité
Contrôle d’accès au réseau avec IBNSContrôler ‘QUI’ accède au réseau et ‘COMMENT’
• Contrôle effectué sur chaque port du commutateur• Seuls les utilisateurs autorisés auront accès au réseau.• Utilisateurs non autorisés bloqués ou placés dans des guest VLANs
Politiques individuelles(BW, VLAN, QoS, etc…)
Réseau LAN
Utilisateurs/equipements authorisés
Utilisateurs/equipements non-authorisés
262626© 2005 Cisco Systems, Inc. All rights reserved.
IBNS Authentification: 802.1x / EAP
Données/exchanges classiques
Traffic d’authentification
Trafic 802.1X Trafic RADIUS
Echanges d’authentification entre client et serveur Radius
Le commutateur fait la conversion de 802.1x vers Radius et inversement.
Le commutateur bloque tout sauf le trafic d’authentification.
EAP sur RADIUSRADIUS Server
EAP sur L2
272727© 2005 Cisco Systems, Inc. All rights reserved.
Après l’authentification…Configuration de paramètres individuels …
Suite à l’authentification, il est possible de configurer dynamiquement certains paramètres au niveau du port:
• 802.1X avec VLANs
• 802.1X avec Port Security
• 802.1X avec VVID
• 802.1X Guest VLANs
• 802.1X avec ACLsRequête de login
Informations personnelle
sVérification dans la DB
Succès!Application de la politique
C’est John DoeIl appartient au VLAN RH
L’utilisateur a accès au LAN, et
est placé dans son VLAN
Le switch applique la politique et ouvre le port
LAN
• recherche du VLAN RH• RH = VLAN 5 • configure le port sur le VLAN 5
282828© 2005 Cisco Systems, Inc. All rights reserved.
Cisco AironetCatalyst 6500Catalyst
4000/4500Catalyst
3550/2950/3750Cisco ACS Server
Identity-Based Networking ServicesDisponibilité produits
CAT6500CatOS
CAT6500IOS
4k/4500 Cat OS
4k/4500IOS
2950/2970
3550/3560
3750
802.1x w/ VLAN Assignment
7.5.1 12.1(13)E 7.5.1 12.1(19)EW12.1(12c)EA1
12.1(14)EA1
12.1(12c)EA1
12.1(19)EA112.1(14)EA1
802.1x w/ AVVID 7.5.1 12.1(13)E 8.1 Q4CY03 Roadmap12.1(12c)ea1
12.1(14)EA1
12.1(12c)EA1
12.1(19)EA112.1(14)EA1
802.1x w/ Guest VLAN
7.5.1 Roadmap 8.1 Q4CY03 12.1(19)EW12.1(14 )ea1
12.1(14)EA1
12.1(14)EA1
12.1(19)EA112.1(14)EA1
802.1x w/ Port Security
7.5.1 Roadmap 8.1 Q4CY03 12.2(18)EW12.1(12c)ea1
12.1(19)EA1
12.1(12c)EA1
12.1(19)EA112.1(19)EA1
802.1x w/ DHCP 7.6.1 NA NA NANA
NA
NA
NANA
802.1x w/ Guest VLAN/Port
7.7.1 (Target) NA NA NANA
NA
NA
NANA
802.1x w/ ACL 8.3(1) Roadmap NA RoadmapNA
12.1(14)EA1
NA
12.1(19)EA112.1(14)EA1
Accounting NA NA NA 12.2(18)EW12.1(20)EA212.1(
20)EA2
12.1(20)EA2
12.1(20)EA212.2(20)SE
*Pour plus de détail sur le support produit et les versions disponibles: http://www.cisco.com
292929© 2005 Cisco Systems, Inc. All rights reserved.
Employé Receptioniste Invité
Cisco Identity—Extensions RADIUS A venir…
• Assignement d’ACL pour la QoS (policing par user/port)
• Accounting par user/port
• Contrôle de conformité de l’équipement (NAC)
CiscoSecure ACS RADIUS
Serveurs
303030© 2005 Cisco Systems, Inc. All rights reserved.
Agenda
• Matin–IPv6 update
–Wifi
•Architecture pour les universités
•Stratégie Swan Cisco – intégration Airespace
• Après-midi–Sécurité
•Dans les Campus
•Sur le poste utilisateur
•Pour les acces nomades
31© 2005 Cisco Systems, Inc. All rights reserved.IPv6
Sécurisation du Poste utilisateurNAC : Network Admition control
323232© 2005 Cisco Systems, Inc. All rights reserved.
Cisco Self-Defending Network
Durcissement du réseau
Contrôlerenforcé
de l’accès auréseau
Durcissement des serveurs et des postes
de travail
IOSIOS NACNACCSACSA
CSA : Cisco Security AgentNAC : Network Admission control
IBNS : Identity Based Network ServicesIOS : Internetworking Operating System
333333© 2005 Cisco Systems, Inc. All rights reserved.
Cisco Network Admission Control (NAC)
• Cisco-led, Multi-partner Program
Limits damage from viruses & worms
Coalition of market leading vendors
• Restricts and Controls Network Access
Endpoint device interrogated for policy compliance
Network determines appropriate admission enforcement: permit, deny, quarantine, restrict
• A Cisco Self-Defending Network Initiative
Dramatically improves network’s ability to identify, prevent, and adapt to threats
343434© 2005 Cisco Systems, Inc. All rights reserved.
Cisco Network AdmissionControl Program
Hosts Attempting
Network Access
Security Credential Checking
Cisco Network Access Device
Security Policy Enforcement
Cisco Policy Server
Security Policy Creation
Endpoint Policy Evaluation
Anti- Virus client
Cisco Security
Agent
Cisco Trust Agent
• Extends NAC beyond endpoint security posture to include application and software status
• Leverages existing customer investment in Anti-Virus, IBM-Tivoli and Cisco products
• Provides foundation for endpoint remediation
Tivoli Software
Agent
Tivoli Policy
Trend Micro
353535© 2005 Cisco Systems, Inc. All rights reserved.
Why Network Admission Control?
BRANCH CAMPUS
1. Non-compliant endpointattempts connection
2. Connection allowed
CORPORATE NETCORPORATE NET
3. Infection spreads;endpoints exposed
363636© 2005 Cisco Systems, Inc. All rights reserved.
Cisco Network Admission Control: What It Does
BRANCH CAMPUS
1. Non-compliant endpointattempts connection
2. Quarantine/remediation
3. Infection containment;endpoints secured
RemediationRemediationCiscoTrust Agent
CORPORATE NETCORPORATE NET
QuarantineQuarantine
373737© 2005 Cisco Systems, Inc. All rights reserved.
Cisco NAC Solution Overview
NAC Solution:NAC Solution: Leverage the network to intelligently enforce access privileges based on endpoint security posture
Validates Validates allall hosts hosts
Ubiquitous solution for Ubiquitous solution for allall connection methodsconnection methods
Supports Multiple AV vendors & Supports Multiple AV vendors & Cisco Security AgentCisco Security Agent
Leverages customer investments Leverages customer investments in Cisco network and AV solutionsin Cisco network and AV solutions
Quarantine & remediation servicesQuarantine & remediation services
Deployment scalabilityDeployment scalability
NAC Characteristics:NAC Characteristics:
Policy (AAA) Svr
Vendor Vendor SvrSvr
Hosts Attempting
Network Access
Network Access Devices
Policy Server Policy Server Decision Decision
PointsPoints
Credentials Credentials
EAP/UDP,
EAP/802.1x
RADIUS
Credentials
HTTPS
Access Rights
Notification
Cisco Trust Agent
1 2
4
5
6
2a
Comply?
Enforcement
3
383838© 2005 Cisco Systems, Inc. All rights reserved.
NAC Deployment ScenariosComprehensive Compliance Validation
Main OfficeBranch OfficeBranch Office
Internet
Remote Access
Dial-in NAS
RA IPsec VPN
Campus FW
Edge Router
Vendor Server
AAA Server (ACS)
Branch Branch Router Router
RADIUS (posture)
SSLEAP/UDPEAP/UDP
1111
1: Branch office complianceEnforce on L3 router and firewall
22EAP/UDPEAP/UDP
after IPsecafter IPsec
2: Remote access complianceExtension of “Are You There”
33
TBD
3: Dial-in access compliance
EAP 802.1x EAP 802.1x (wireless)(wireless)
44
4: Wireless campus protectionQuarantine with ACLs/VLANS
Extension of 802.1x55
EAP 802.1x EAP 802.1x (wired)(wired)
5: Campus Access and data center protection
Quarantine with ACLs/ VLANS
Extension of wired 802.1x
393939© 2005 Cisco Systems, Inc. All rights reserved.
Layer 3 System Flow
CTA Router
NetworkACS
VendorServer
IP
EAPoUDPEAPoRADIUS HCAP
1. IP packet triggers Intercept ACL on router
Intercept ACL determines initial & interim network access
2. Router triggers posture validation with CTA (EAPoUDP)
3. CTA sends posture credentials to router (EAPoUDP)
4. Router sends posture credentials to ACS (EAPoRADIUS)
5. ACS can proxy portions of posture authentication to vendor server(s) (HCAP)
6. ACS validates posture, determines authorization rights (Healthy, Checkup, Quarantine)
7. ACS sends authorization policy to router (ACLs, URL redirection)
Notification may be sent to applications on host also
8. Host IP access granted (or denied, restricted, URL redirected)
1
2
3
4
5
67
8
404040© 2005 Cisco Systems, Inc. All rights reserved.
Component: Cisco Trust Agent (CTA)
• Plug-in interface to register and query various vendor provided posture providers
• Multiplexes and demultiplexes posture requests to posture credential providers based on vendor and application type
• Acts as posture provider for itself and basic host information CTA version, OS type and OS version
• Communicates with routers using Extensible Authentication Protocol over User Datagram Protocol (EAPoUDP)
• Displays informational messages to user
• Responds to Status Query messages
• Note: CTA does not secure itself, the NAC-enabled applications or the hostRecommend standard host security measures to protecthost environment, including CSA
424242© 2005 Cisco Systems, Inc. All rights reserved.
Component: Routers
• Policy enforcement point• Detects devices that must be postured• Triggers posture process (based on Intercept-ACL)
Relays posture credentials to ACS
• Periodic full reassessment (revalidation timer)• Periodic L3 Status Query
To signal posture change on the hostEnsure host is same host that was previously validated
• Enforce access rightsDynamic ACLsOptional URL redirection (key for non-responsive device feedback)Applied to appropriate interface
• Handles non-responsive devicesSupports exception list based on IP or MAC addressesSupports exception lists on ACS using Network Access Restrictions (NAR)
434343© 2005 Cisco Systems, Inc. All rights reserved.
Periodic Reassessment
1. Inactive Endpoint – Confirm inactive endpoint has not changed
Called “L3 EAP Status Query”: New EAP method between CTA and router (not ACS)
Router periodically polls to make sure:
1) CTA is still there
2) It’s the same validated device
3) Posture hasn’t changed
2. Reassess Active Endpoint – Confirm continued compliance
CTA indicates posture change by not responding to Status Query, triggers revalidation
44© 2005 Cisco Systems, Inc. All rights reserved.IPv6
NAC Process Flow Diagram
454545© 2005 Cisco Systems, Inc. All rights reserved.
NAC Process FlowSample Topology and Scenario
AAA ServerIP: 10.1.1.25
AV Vendor ServerIP: 10.1.1.30
File ServerIP: 10.10.10.10
LaptopIP: 192.168.1.150
WorkstationIP: 192.168.1.10
NAC Enforcement Point
User on Laptop Needs to Access Files Stored on File Server
DNS ServerIP: 10.20.20.20
Remediation ServerIP: 10.30.30.30
464646© 2005 Cisco Systems, Inc. All rights reserved.
TerminologyIntercept and Default ACLs
• Intercept ACLAccess control list that defines what network traffic will trigger posture validation process by the routerStandard or Extended ACL syntax
“permit” perform posture validation on specific traffic“deny” do not perform posture validation on specified traffic
Applied to router interface(s)
• Interface (or Default) ACL Access control list that defines network traffic that will be permitted by default without requiring posture validationTraffic can match both the Intercept and Default ACLs
Access specified by Default ACL is permitted while posture validation is performedStandard or extended ACL syntaxApplied to router interface(s)If not defined, than all traffic passed throughDownloadable ACL (based on policy) modifies this ACL
474747© 2005 Cisco Systems, Inc. All rights reserved.
WorkstationIP: 192.168.1.10
AAA ServerIP: 10.1.1.25
AV Vendor ServerIP: 10.1.1.30
File ServerIP: 10.10.10.10
LaptopIP: 192.168.1.150
DNS ServerIP: 10.20.20.20
Remediation ServerIP: 10.30.30.30
NAC Process FlowStep 1: Laptop DNS Lookup for File Server
NAC1(config)# ip admission name NAC eapoudp list 102
NAC1(config)# access-list 102 permit ip host 192.168.1.0 any
…
NAC1(config)# access-list 101 permit udp any host 10.20.20.20 eq 53
NAC1(config)# access-list 101 permit udp any host 192.168.150.1 eq 21862
…
NAC1(config)# interface e0/0
NAC1(config-if)# ip access-group 101 in
NAC1(config-if)# ip admission NAC
Default ACLAccess to DNS Server is Permitted
Dest IP Source IP Dest Port
10.20.20.20 192.168.1.150 53
Intercept ACLInitial Packet from Laptop Triggers the Intercept ACL
Default ACLyou should “permit EAPoUDP ” for the routers interface facing the hosts
192.168.150.1
484848© 2005 Cisco Systems, Inc. All rights reserved.
WorkstationIP: 192.168.1.10
NAC Process FlowSteps 2 to 3
AAA ServerIP: 10.1.1.25
AV Vendor ServerIP: 10.1.1.30
File ServerIP: 10.10.10.10
LaptopIP: 192.168.1.150
NAC Enforcement Point
DNS ServerIP: 10.20.20.20
Step 2: NAD (Router) Challenges CTA for Posture
Client Application(Anti-virus)
Anti-Virus Posture Plugin
Client Application(HIPS/CSA)
CTA Service
XYZ—service Posture Plugin
Client Application
(XYZ—service)
CTA Posture Plugin
Logging Service
EAP Methods
HIPS/CSA Posture Plugin
Step 3: Posture Credentials are Collected by CTA
Remediation ServerIP: 10.30.30.30
494949© 2005 Cisco Systems, Inc. All rights reserved.
NAC Process Flow Step 4: Posture Credentials Sent to AAAServer
AAA ServerIP: 10.1.1.25 AV Vendor Server
IP: 10.1.1.30
File ServerIP: 10.10.10.10
LaptopIP: 192.168.1.150
NAC Enforcement Point
DNS ServerIP: 10.20.20.20
Step 4: Laptop Returns Posture Credentials that are Forwarded to AAA Server for Validation
Remediation ServerIP: 10.30.30.30
Optional: AAA Server Can Proxy Vendor Specific Credentials to Vendor Server for Validation
WorkstationIP: 192.168.1.10
505050© 2005 Cisco Systems, Inc. All rights reserved.
WorkstationIP: 192.168.1.10
AAA ServerIP: 10.1.1.25
AV Vendor ServerIP: 10.1.1.30
File ServerIP: 10.10.10.10
LaptopIP: 192.168.1.150
NAC Enforcement Point
DNS ServerIP: 10.20.20.20 Remediation Server
IP: 10.30.30.30
NAC Process Flow Laptop Doesn’t Comply with Policy (Quarantine)
Laptop Can Connect to Remediaton Server to Update Itself to Get into Compliance
AAA Server Pushes Configuration to Router to Only Allow Laptop Access to Remediation Serverpermit ip host 192.168.1.150 host 10.30.30.30
Optional: AAA Server Sends Notification to Laptop that Can be Displayed by CTA to User
515151© 2005 Cisco Systems, Inc. All rights reserved.
WorkstationIP: 192.168.1.10
AAA ServerIP: 10.1.1.25
AV Vendor ServerIP: 10.1.1.30
File ServerIP: 10.10.10.10
LaptopIP: 192.168.1.150
NAC Enforcement Point
DNS ServerIP: 10.20.20.20 Remediation Server
IP: 10.30.30.30
NAC Process FlowLaptop Complies with Policy (Healthy)
AAA Server Pushes Configuration to Router to Allow Laptop Complete Network Access
permit ip host 192.168.1.150 any
525252© 2005 Cisco Systems, Inc. All rights reserved.
WorkstationIP: 192.168.1.10
NAC Process Flow“Non-Responsive” Host
AAA ServerIP: 10.1.1.25
AV Vendor ServerIP: 10.1.1.30
File ServerIP: 10.10.10.10
LaptopIP: 192.168.1.150
NAC Enforcement Point
DNS ServerIP: 10.20.20.20
Step 3: NAD Challenges CTA for Posture
Remediation ServerIP: 10.30.30.30
Workstation Doesn’t Have CTA Installed
• Workstation will not be able to respond to router challenge for posture credentials
• Router will timeout waiting for CTA response• Devices that do not respond to NAC challenge
are called “non-responsive”
535353© 2005 Cisco Systems, Inc. All rights reserved.
WorkstationIP: 192.168.1.10
NAC Process Flow AAA Server Handling of “Non-Responsive” Hosts
AAA ServerIP: 10.1.1.25
AV Vendor ServerIP: 10.1.1.30
File ServerIP: 10.10.10.10
LaptopIP: 192.168.1.150
NAC Enforcement Point
DNS ServerIP: 10.20.20.20
Workstation Doesn’t Have CTA Installed
Remediation ServerIP: 10.30.30.30
NAD Sends “Clientless” User Credentials to AAA Server to Indicate that Host Is Non-Responsive
AAA Server Pushes Configuration for “Clientless” User to Routerpermit ip host 192.168.1.150 any
Workstation Is Permitted Access to DNS and File Servers
545454© 2005 Cisco Systems, Inc. All rights reserved.
WorkstationIP: 192.168.1.10
AAA ServerIP: 10.1.1.25
AV Vendor ServerIP: 10.1.1.30
File ServerIP: 10.10.10.10
LaptopIP: 192.168.1.150
DNS ServerIP: 10.20.20.20 Remediation Server
IP: 10.30.30.30
NAC Process FlowRouter Exception Lists for “Non-Responsive” Hosts
NAC1(config)# identity policy NAC-CL
NAC1(config-identity-policy)# description NAC policy for authorized devices
NAC1(config-identity-policy)# access-group NACacl
…
NAC1(config)# ip access-list extended NACacl
NAC1(config-ACL)# permit ip any host 10.10.10.10
…
NAC1(config)#identity profile eapoudp
NAC1(config)# description Exception list for CTA-less devices
NAC1(config-identity-prof)# device authorize ip-address 192.168.1.10 policy NAC-CL
NOTE: Appropriate For Fixed Devices (e.g., Printers), ACS “Clientless” Host Functionality More Appropriate For Non-fixed Devices/Hosts
555555© 2005 Cisco Systems, Inc. All rights reserved.
Clientless Host Configuration
Router(config)#
eou clientless username name
NAC1(config)# eou clientless username clientless
NAC1(config)# eou clientless password cisco123
NAC1(config)# eou allow clientless
Create clientless authentication attributes
• Create an eou username for clientless hosts
• Create a password for eou clientless hosts
eou clientless password password
• Allows return of clientless username/password
eou allow clientless
565656© 2005 Cisco Systems, Inc. All rights reserved.
How Downloadable ACLs Are Used
Downloadable ACL “Quarantine”permit tcp any host 10.1.1.30 eq wwwpermit tcp any host 10.30.30.30 eq www
PA
NAD
ACS
Dynamic ACL
Host 192.168.1.150
interface Ethernet0/0 ip access-group 101 in Extended IP access list 101
Downloaded ACL
permit tcp host 192.168.1.150 host 10.1.1.30 eq wwwpermit tcp host 192.168.1.150 host 10.30.30.30 eq www
10 permit udp any host 10.20.20.20 eq domain 20 deny ip any 10.0.0.0 0.255.255.255
Extended IP access list xACSACLx-IP-quarantine-409036df10 permit tcp any host 10.1.1.30 eq www20 permit tcp any host 10.30.30.30 eq www
575757© 2005 Cisco Systems, Inc. All rights reserved.
How Downloadable ACLs Are Used
Downloadable ACL “Quarantine”permit tcp any host 10.1.1.30 eq wwwpermit tcp any host 10.30.30.30 eq www
PA
NAD
ACS
Dynamic ACL
Host 192.168.1.150
interface Ethernet0/0 ip access-group 101 in Extended IP access list 101
Downloaded ACL
permit tcp host 192.168.1.150 host 10.1.1.30 eq wwwpermit tcp host 192.168.1.150 host 10.30.30.30 eq www
10 permit udp any host 10.20.20.20 eq domain 20 deny ip any 10.0.0.0 0.255.255.255
Extended IP access list xACSACLx-IP-quarantine-409036df10 permit tcp any host 10.1.1.30 eq www20 permit tcp any host 10.30.30.30 eq www
585858© 2005 Cisco Systems, Inc. All rights reserved.
Example Local Policy
• Any of the credentials forwarded to the ACS server can be verified via local rules on the ACS server
• Typical local rules will be OS specific credentials and anything that doesn’t have its ownpolicy server
• Rule sets are evaluated in order and if none succeed, the Default Rule is applied…
15Hotfixes/Hotfixes/PatchesPatches
Default Rule(Falls Through)
OS Nameand Version
595959© 2005 Cisco Systems, Inc. All rights reserved.
Cisco IOS Troubleshooting Commands
show eou all
show eou ip x.x.x.x
show access-list [number | name]
nac-demo-router#show eou all-----------------------------------------------------------------Address Interface AuthType Posture-Token Age(min)-----------------------------------------------------------------192.168.1.101 Ethernet0/0 EAP Healthy 48192.168.1.103 Ethernet0/0 CLIENTLESS Unknown 0192.168.1.102 Ethernet0/0 EAP Quarantine 7
Extended IP access list 103 permit ip host 192.168.1.102 192.168.0.0 0.0.0.255 permit tcp host 192.168.1.102 207.46.0.0 0.0.255.255 eq www permit tcp host 192.168.1.102 207.46.0.0 0.0.255.255 eq 443 (18 matches) permit tcp host 192.168.1.102 208.172.0.0 0.0.255.255 eq www (10 matches) permit tcp host 192.168.1.102 131.107.99.244 eq www deny ip host 192.167.1.102 any deny ip host 192.168.1.103 172.16.0.0 0.0.255.255 permit ip host 192.168.1.103 any (246 matches) 10 permit ip any any (26036 matches)
Dynamic ACLs
Interface ACL
nac-demo-router#show eou ip 192.168.1.102Address : 192.168.1.102Interface : Ethernet0/0AuthType : EAPPostureToken : QuarantineAge(min) : 7URL Redirect : http://windowsupdate.microsoft.comACL Name : #ACSACL#-IP-quarantine-4075189bRevalidation Period : 600 SecondsStatus Query Period : 30 Seconds
606060© 2005 Cisco Systems, Inc. All rights reserved.
CompositionNetwork Access Devices
CISCO Integrated Service RoutersDISPONIBLE
CISCO VPN 3000VPN OS 4.7
Now
CISCO PIX2005
CISCO CATALYST2005
CISCO AIRONET2005
616161© 2005 Cisco Systems, Inc. All rights reserved.
Router Platform Support
• NAC support available in 12.3(8)T3 IOS images with Security
Advanced Security , Advanced Services, and Advanced Enterprise images
Yes—older platforms with NAC support only in the Classic IOS FW Feature Sets in 12.3T, these Routers do not have the Advanced newer images in 12.3T
IP BaseIP Base
IP VoiceIP Voice
Advanced Security
Advanced Security
Advanced IP Services
Advanced IP Services
Enterprise Base
Enterprise Base
Enterprise Services
Enterprise Services
SP Services
SP Services
Advanced Enterprise ServicesAdvanced Enterprise ServicesYes *Cisco 83x
TBDCisco 74xx, 73xx, 71xx
NoCisco 3620
NoCisco 2600 non-XM Models
NoCisco 1750, 1720, 1710
NoCisco 3660-CO Series
NoCisco 4500
YesCisco 1701,1711, 1712, 1721, 1751, 1751-V, 1760
Yes *Cisco 72xx
TBDCisco 5xxx
Yes
Yes *
Yes
Cisco 3640, 3660-ENT Series
Cisco 2600XM, 2691
Cisco 37xx
New access routers will support NAC
626262© 2005 Cisco Systems, Inc. All rights reserved.
Switch Platforms Progressive Functional Tiers
Platform, Supervisor OS Feature
6500 – Sup2*, 32, 720 Native IOS LAN & WAN
6500 – Sup2*, 32, 720 Hybrid LAN & WAN
4000, 4500 – Sup2+, 3-6 IOS LAN & WAN
6500 – Sup2*, 32 CATOS LAN L2-3
3550, 3560, 3750 EMI, SMI LAN L2-3
2950 EI, SI LAN L2 Basic
2940, 2955, 2970 All LAN L2 Basic
6500 – Sup32/Café All TBD
6500 – Sup1A All TBD
5000 All No
4000/4500 CATOS No
2900XM All No
• LAN L2 Basic (EAPo802.1x)
Use when CTA & 802.1x deployed & limited non-NAC capable endpoints
Dynamic VLAN assignment
Single devices, IP phone + device
• LAN L2 Enhanced (EAPo802.1x)
Use in 802.1x environments with mixed NAC & non-NAC capable endpoints)
Supports non-responsive device assessment
• LAN L2-3 (EAPoUDP)
Use in non-802.1x, non-VLAN environments, and with shared media scenarios off an L2 port (e.g. hubs)
Dynamic PACL & URL redirection
• LAN & WAN (EAPoUDP)
Same functionality as phase 1 routers
Dynamic RACL & URL redirection
636363© 2005 Cisco Systems, Inc. All rights reserved.
NAC Client – End User Experience
Takes one ping to authenticate machine.
CTA Popup
646464© 2005 Cisco Systems, Inc. All rights reserved.
Phase 1 Logical ComponentsPhase 1 Logical Components
Network AccessDevice
AAA Server
CTA Vendor Policy Server
Plug-ins
CTA
SecurityApp
CTA RADIUSEAPoUDP HCAP
Main AV Main AV VendorsVendorsMain AV Main AV VendorsVendors
EAPoUDPEAPoUDPEAPoUDPEAPoUDP RADIUSRADIUSRADIUSRADIUS
Main AV Main AV VendorsVendorsMain AV Main AV VendorsVendors
Routers Routers (83x-72xx)(83x-72xx)Routers Routers (83x-72xx)(83x-72xx)NT, XP, 2000NT, XP, 2000NT, XP, 2000NT, XP, 2000 Cisco Secure ACSCisco Secure ACSCisco Secure ACSCisco Secure ACS
Shipping
656565© 2005 Cisco Systems, Inc. All rights reserved.
Network AccessDevice
AAA Server
CTA Vendor Policy Server
Plug-ins
CTA
SecurityApp
CTA RADIUSEAPoUDP HCAP
Phase 1.5 and 2.0 Roadmap Feature SummaryPhase 1.5 and 2.0 Roadmap Feature Summary
Non-responsive Audit Server
Non-Responsive system, broad API license
EAPo802.1x, Proprietary
1.5: Switches (GW), VPN 3000
Switches (LAN), WAP
Linux, Solaris, 2003
Main AV Main AV VendorsVendorsMain AV Main AV VendorsVendors
EAPoUDPEAPoUDPEAPoUDPEAPoUDP RADIUSRADIUSRADIUSRADIUS
Main AV Main AV VendorsVendorsMain AV Main AV VendorsVendors
Routers Routers (83x-72xx)(83x-72xx)Routers Routers (83x-72xx)(83x-72xx)NT, XP, 2000NT, XP, 2000NT, XP, 2000NT, XP, 2000
Cisco Secure ACSCisco Secure ACSCisco Secure ACSCisco Secure ACS
Broad API LicenseBroad API LicenseBroad API LicenseBroad API License
In Progress
Shipping
666666© 2005 Cisco Systems, Inc. All rights reserved.
IBNS & NAC Phase 1 (Gateway IP) Operation
IBNS (Identity)
NAC (Posture)
L2 (802.1x)
L3 (EAPoUDP)
RADIUS
RADIUS
1. 802.1x Authentication2. Optional 802.1x Policy assignment3. DHCP4. NAC at first L3 Gateway
1. 802.1x Authentication2. Optional 802.1x Policy assignment3. DHCP4. NAC at first L3 Gateway
Switch(Dot1x enabled)
676767© 2005 Cisco Systems, Inc. All rights reserved.
IBNS & NAC Phase 2 (LAN Port 802.1x) Operation
Identity + Posture
L2 (802.1x) RADIUS
1. 802.1x Authentication2. Single Tunnel, Multiple Transactions3. Identity Authentication4. NAC Posture Validation5. Policy Assignment6. DHCP
1. 802.1x Authentication2. Single Tunnel, Multiple Transactions3. Identity Authentication4. NAC Posture Validation5. Policy Assignment6. DHCP
Switch(Dot1x enabled)
686868© 2005 Cisco Systems, Inc. All rights reserved.
Phase 2 CTA Enhancements
• Support EAPo802.1x Communications
Strategy: engage multiple vendors for supplicant support
Seed with at least one vendor through a NAC-only “lite” OEM
Existing supplicants require extensions
• Embed OS Patch & Hotfix in CTA
Move host OS gathering from CSA to CTA
• Customer File API
Custom credential gathering interface
Read tag/value data from a file
File created by customer script
• Platform Ports
Windows 2003, Solaris, Red Hat Linux
Considering MACOS, SUSE Linux, others
New feature support may vary per OS
696969© 2005 Cisco Systems, Inc. All rights reserved.
Current Program Participants
ANTI VIRUS
PATCH MGT
INITIAL SPONSORS
CLIENT SECURITY
707070© 2005 Cisco Systems, Inc. All rights reserved.
URLs
• www.cisco.com/go/selfdefend
Brochures (4)
Building a Self-Defending Network - Solutions Overview (PDF - 910 KB)
Cisco Self-Defending Networks Poster (side 2) (PDF - 600 KB)
Cisco Self-Defending Networks Poster (side 1) (PDF - 960 KB)
Intelligent Networking with Integrated Network Security (PDF - 720 KB)
White Papers (1)
Core Elements of the Cisco Self-Defending Network Strategy
Presentations (2)
Network Admission Control Overview Demo (Flash - 4 MB)
Protecting Business with the Cisco Self-Defending Network Initiative (Flash - 5 MB)
Relevant Networking Solutions
717171© 2005 Cisco Systems, Inc. All rights reserved.
URLs
• www.cisco.com/go/NAC
Cisco Network Admission Control ProgramCisco Trust Agent 1.0 Data SheetNAC-Enabled Routers
Brochures (1)
Network Admission Control At-a-Glance (PDF - 52 KB)
Q&A (1)
Network Admission Control
White Papers (6)
Cisco Application & Content Networking Sys Sol for Network Admission Control
Implementing Network Admission Control - Phase One Configuration and Deployment (PDF - 2 MB)
Monitoring and Reporting Tool Integration - Failed Attempts 2004-07-08.csv (PDF - 790 KB)
Monitoring and Reporting Tool Integration - Passed Authentications 2004-07-08 (PDF - 12 MB)
Monitoring and Reporting Tool Integration into Network Admission Control
Network Admission Control
Presentations (3)
Cisco Security Vision & Cisco Network Admission Control (PDF - 3 MB)
Network Admission Control Overview Demo (Flash - 4 MB)
Network Admission Control: Phase 1 Requirements (PDF - 4 MB)
Release Notes (1) Release Notes for Network Admission Control, Release 1.0
727272© 2005 Cisco Systems, Inc. All rights reserved.
Demo flash
• nac demo\Tutorial_Trend_Remediation.html
737373© 2005 Cisco Systems, Inc. All rights reserved.
747474© 2005 Cisco Systems, Inc. All rights reserved.
Agenda
• Matin–IPv6 update
–Wifi
•Architecture pour les universités
•Stratégie Swan Cisco – intégration Airespace
• Après-midi–Sécurité
•Dans les Campus
•Sur le poste utilisateur
•Pour les acces nomades
75© 2005 Cisco Systems, Inc. All rights reserved.IPv6
Remote access
VPN : SSL tunnel, SSL proxy, SSL port forwarding , IPSec, etc …
767676© 2005 Cisco Systems, Inc. All rights reserved.
Cisco Strategy for Remote AccessUsing “Best Fit” IPSec and SSL VPN Technologies
SSL VPN IPSEC VPN
• PARTNER—Few apps/servers, tight access control, no control over desktop software environment, firewall traversal
• DOCTOR—Occasional access, few apps, no desktop software control
• ENGINEER—Many servers/apps, needs native app formats, VoIP, frequent access, long connect times
• ACCOUNT MANAGER—Diverse apps, home-grown apps, always works from enterprise-managed desktop
Central Site
Doctor at HomeUnmanaged Desktop
Supply PartnerExtranet
Account ManagerMobile User
Software EngineerTelecommuter
VPNIP/Internet
777777© 2005 Cisco Systems, Inc. All rights reserved.
SSL VPN IPSEC VPN
Broad Application Access: Clientless, Thin Client & Network-Layer Client Modes
Endpoint Security without Compromise
Clientless Terminal Services Support
Per-User/Group Portal and Access Customization
Broad Browser Support
• “Easy VPN” for Touchless Client Management
• Automated VPN Client Updates for Ease of Client Deployment & Versioning
• Integrated Endpoint Security
• Proactive Endpoint Security Posture Assessment
• Flexible Access Controls
VPN 3000 Concentrator Solution OverviewFeatures and Benefits
• Clustering & Load Balancing
• Flexible User Authentication & Access Control
• Broad End-System OS Support
• Group-Based User Management
• Unified Web-Based Management
Foundation Features for Ease of Operations
797979© 2005 Cisco Systems, Inc. All rights reserved.
See an On-Line WebVPN Demo
Go to: www.cisco.com/go/sslvpndemo
808080© 2005 Cisco Systems, Inc. All rights reserved.
Concentrateurs Cisco VPN 3000 Une solution unifiée pour les accès VPN et SSL
• Solution intégrée SSL et VPN• Load Balancing dynamique par utilisateur dans le
cluster• Multiples méthodes d’authentifications• Magagement WEB intégré
SMBSMB ENTERPRISEENTERPRISEROBOROBOSOHOSOHO
VPN 300550 sessions SSL VPN
VPN 3020200 sessions SSL VPN
VPN 3030 ou +500 sessions SSL VPN
Pri
x
Fonctions
VPN 3030 en ClusterN x 500 sessions SSL VPN
818181© 2005 Cisco Systems, Inc. All rights reserved.
Cisco ASA 5510, 5520, and 5540 PlatformsKey Platform Metrics
FeaturesASA 5510
(► Sec Plus)ASA 5520
ASA 5520VPN Plus
ASA 5540ASA 5540VPN Plus
ASA 5540VPN Premium
Real World Firewall Throughput(300 / 1400 Byte)
100 / 200 Mbps 200 / 400 Mbps 200 / 400 Mbps 400 / 550 Mbps 400 / 550 Mbps 400 / 550 Mbps
Real World VPN Throughput(300 / 1400 Byte)
50 / 100 Mbps 100 / 200 Mbps 100 / 200 Mbps 200 / 360 Mbps 200 / 360 Mbps 200 / 360 Mbps
Real World IPS Throughput(500 Byte)
100 Mbpswith SSM-AIP 10
200 Mbpswith SSM-AIP 20
200 Mbpswith SSM-AIP 20
200 Mbpswith SSM-AIP 20
200 Mbpswith SSM-AIP 20
200 Mbpswith SSM-AIP 20
Maximum Connections 32,000 ► 64,000 130,000 130,000 280,000 280,000 280,000
S2S and IPSec RA VPN Peers 50 ► 150 300 750 500 2,000 5,000
SSL VPN Connections Shared Shared Shared Shared Shared, up to 1,250 Shared, up to 2,500
VPN Clustering / Load Bal. No Yes Yes Yes Yes Yes
High Availability None ► A/S A/A and A/S A/A and A/S A/A and A/S A/A and A/S A/A and A/S
Interfaces3 x 10/100 + OOB
► 5 10/1004 x 10/100/1000,
1 10/1004 x 10/100/1000,
1 10/1004 x 10/100/1000,
1 10/1004 x 10/100/1000,
1 10/1004 x 10/100/1000,
1 10/100
Security Contexts No Up to 10 Up to 10 Up to 50 Up to 50 Up to 50
VLANs Supported 0 ► 10 25 25 100 100 100
Comparable PIX Model PIX 515E R/DMZ PIX 515E UR PIX 515E UR PIX 525+ PIX 525+ PIX 525+
Comparable VPN3K Model VPN 3005- VPN 3005++ VPN 3020 VPN 3015 VPN 3030 VPN 3060
© 2004 Cisco Systems, Inc. All rights reserved.ASA 5500 Intro 818181
Real world performance based on real traffic mix, all svcs running concurrently and logging enabled.
828282© 2005 Cisco Systems, Inc. All rights reserved.
Cisco VPN Are You There (AYT)How it works: Endpoint Security Assessment
I want to open a VPN connection…
Is Cisco Security Agent running?
Secure VPN Tunnel
InternetVPN Concentrator Corporate
Network
OK for VPN
NO CSA running
YES CSA is running
Remote User with Cisco IPSec Client
CSA
AYT also supports the following firewalls:
•The Cisco Integrated Client FW•Network ICE BlackICE Defender •Sygate Personal Firewall •Sygate Personal Firewall Pro •Sygate Security Agent•Zone Labs ZoneAlarm•Zone Labs ZoneAlarm Pro
838383© 2005 Cisco Systems, Inc. All rights reserved.
Cisco VPN-SSL 3 modes de fonctionnements possibles
Accès d’un poste inconnu• PC personnel au domicile• Cybercafé• Poste d’une entreprise externe• Protection de l’environnement indispensable
Accès d’un poste inconnu• PC personnel au domicile• Cybercafé• Poste d’une entreprise externe• Protection de l’environnement indispensable
Accès d’un partenaire• Environnement non contrôlé• Sécurité du postes non connus• privilèges systèmes inconnus
Accès d’un partenaire• Environnement non contrôlé• Sécurité du postes non connus• privilèges systèmes inconnus
Client leger : Port Forwarding• Connexion Reverse proxy « firewaled »Connexion Reverse proxy « firewaled »• Accès Web, Email, Agenda et autres applications TCPAccès Web, Email, Agenda et autres applications TCP• Petite applet java dynamiquement téléchargéePetite applet java dynamiquement téléchargée• Meilleure solution pour un accès contrôlés à certaines Meilleure solution pour un accès contrôlés à certaines applications à partir d’un poste externeapplications à partir d’un poste externe
Accès en mode proxy, sans client• Connexion Reverse proxy “firewalled”Connexion Reverse proxy “firewalled”• Accès aux applications Web et CitrixAccès aux applications Web et Citrix• Aucun logiciel téléchargéAucun logiciel téléchargé• Meilleure option pour un accès limité aux Meilleure option pour un accès limité aux applications WEB à partir de postes non contrôlésapplications WEB à partir de postes non contrôlés
Postes de l’entreprise• Environnement logiciel contrôlé• Politique de sécurité connue• Applications multiples• Connexion complète à l’intranet désiré
Postes de l’entreprise• Environnement logiciel contrôlé• Politique de sécurité connue• Applications multiples• Connexion complète à l’intranet désiré
Client SSL Tunneling• Connexion persistante offrant un accès complet aux Connexion persistante offrant un accès complet aux ressources de l’intranet ressources de l’intranet• Utilise un client léger dynamiquement téléchargéUtilise un client léger dynamiquement téléchargé• Meilleure option pour un accès illimités aux applications Meilleure option pour un accès illimités aux applications de l’entreprise pour les employésde l’entreprise pour les employés
848484© 2005 Cisco Systems, Inc. All rights reserved.
Application Proxy pour HTTP
• La connexion client est protégée par SSL le serveur est utilisé en proxy applicatif
Deux connexions TCP et http sont utilisées, seule la connexion client-concentrateur est protégée par SSL
Le flux HTML est inspecté et modifié à la volée
HTMLInspection
HTMLInspectionHTMLHTML
HTTPSSL
HTTPSSL
TCP/IPTCP/IP
HTTPSSL
HTTPSSL
TCP/IPTCP/IP TCP/IPTCP/IP
HTMLHTML
TCP/IPTCP/IP
HTTPHTTP HTTPHTTP
Concentrateur
ServeurIntranet http
Utilisateurdistant
IP : 1.2.3.4
http://www.cisco.frhttps://1.2.3.4/http/0/www.cisco.fr
858585© 2005 Cisco Systems, Inc. All rights reserved.
Application Proxy pour HTTPS
• La connexion client est protégée par SSL, le serveur est utilisé en proxy applicatif
Deux connexions TCP et SSL sont utilisées
Le flux HTML est inspecté et modifié à la volée
Utilisateurdistant
HTMLHTML
HTTPSSL
HTTPSSL
TCP/IPTCP/IP
InspectionHTML
InspectionHTML
HTTPSSL
HTTPSSL
TCP/IPTCP/IP
HTMLHTML
HTTPSSL
HTTPSSL
TCP/IPTCP/IP
Concentrateur
ServeurIntranet SSL
HTTPSSL
HTTPSSL
TCP/IPTCP/IP
https://www.cisco.fr
IP : 1.2.3.4
https://1.2.3.4/https/0/www.cisco.fr
868686© 2005 Cisco Systems, Inc. All rights reserved.
Application Proxy pour les serveurs de fichiers
Utilisateurdistant
Convertisseur
HTML <-> CIFS
Convertisseur
HTML <-> CIFSHTMLHTML
HTTPSSL
HTTPSSL
TCP/IPTCP/IP
HTTPSSL
HTTPSSL
TCP/IPTCP/IP
SMBSMB
TCP/IPTCP/IP
CIFSCIFS
SMBSMB
TCP/IPTCP/IP
Concentrateur
Serveur de Fichierde l’Intranet
IP : 1.2.3.4
• La connexion client est protégée par SSL le serveur est utilisé en proxy applicatif
Deux connexions TCP sont utilisées seule la connexion client-concentrateur est protégée par SSL
Le concentrateur effectue une conversion entre le flux HTML et le flux CIFS utilisé pour le dialogue avec le serveur de fichier
SMB : Server Message BlockCIFS : Common Internet File System
878787© 2005 Cisco Systems, Inc. All rights reserved.
Accès en mode proxySupport des PDA
• Pocket PC 2003
OS: Windows CE
Navigateur: Pocket Internet Explorer (PIE)
SW: Microsoft + OEMs
• Le navigateur intégré dans Windows CE 2003 est compatible avec le mode proxy.
888888© 2005 Cisco Systems, Inc. All rights reserved.
VPN-SSL en mode Tunnel
Fonctions
• Permet un accès complet aux applications “comme en IPSEC”
• Moins de 250 Ko à télécharger sous la forme d’une applet Java, Active X ou .EXE
• Pas de reboot nécessaire
• Le client peut-être supprimé à la fin de la session ou installé de manière permanente
• Compatible avec le Softphone Cisco pour le support de la téléphonie sur IP
• Compatible Windows 2000 et XP
Bénéfices
• Téléchargement rapide du client
• Plusieurs méthodes d’installation pour une meilleure compatibilité
• Pas de reboot = utilisateur happy
• Aucune trace du client après la session pour plus de sécurité
• Support des applications multimédias
• Administration centralisée
Résultat de l’expérience Cisco dans le domaine du VPN et de l’encryption : Client léger, stable et simple à supporter
898989© 2005 Cisco Systems, Inc. All rights reserved.
Connexion à l’URL du WEB-VPN
Téléchargement du client
Connexion TCP (port x ou defaut 443)
Initiation Connexion SSL
Certificat SSL du serveur
Connexion achevée
Client VPN SSL Cisco
VPN-SSL en mode Tunnel Mode opératoire
Note: Le client est “poussé” via Active X, Java, ou .exe
ConcentrateurVPN 3000
909090© 2005 Cisco Systems, Inc. All rights reserved.
VPN-SSL en mode Tunnel L’interface
Statistiques
Téléchargements
Le tunnel est monté
919191© 2005 Cisco Systems, Inc. All rights reserved.
La technologie : VIRTUAL SECURE DESKTOPProtège les informations sécurisées
supprime : cookies, cache du navigateur / historique fichier en attachement des emails, etc. à la fin de la connexion SSL/VPN
Protège contre l’exploitation de ces informations et contre la pénétration du système
Sécurisation du poste de travail pour les connexions WEB VPN
• Le bureau virtuel sécurisé est transparent pour l’utilisateur et crée automatiquement un environnement sécurisé sous Windows 2000 ou XP
• L’utilisateur a toujours accès à l’ensemble des ressources de son PC
• Toutes les applications et process qui tournent dans le bureau virtuel sécurisé sont contrôlés
• Le bureau virtuel crée un file system encrypté à la volée et rien n’est écris en clair sur le disque.
929292© 2005 Cisco Systems, Inc. All rights reserved.
Cisco Secure DesktopL’interface utilisateur
Anti-XAnti-X
949494© 2005 Cisco Systems, Inc. All rights reserved.
Cisco Secure DesktopHow it Works
Step One: A user on the road connects with the concentrator and logs in
Step Four: At Logout the Virtual Desktop that the user has been working in is eradicated and the user is notified
Enterprise HQ
Employee-Owned Desktop
www…
Clientless SSL VPN
Step Two: The concentrator pushes down the Cisco Secure Desktop
Cisco Secure Desktop
Step Three: An encrypted sandbox or hard drive partition is created for the user to work in
Note: CSD download and eradication is seamless to the user. If the user forgets to terminate the session auto-timeout will close the session and erase all session information
959595© 2005 Cisco Systems, Inc. All rights reserved.
Cisco Secure DesktopSecurisation de la session – Encryption
Historique du navigateur : www.competitor.com/jobs www.etrade.com/myportfolioMessages WebMail : employee evaluation trade secretDocuments word : attorney_letter.docTableurs excel : Salaries.xls Sales foresact.xls
Secure Vault
A546FGHR72466723HKFV287943276H546FGHR724JUHB3787SBHYLM8733NMH8UW3KIUJ98HHD8K9DD0KNWHFSGT653JKIL0387GB73MZDPQK7
Bureau Standard Bureau Sécurisé
969696© 2005 Cisco Systems, Inc. All rights reserved.
• Téléchargement et installation rapide• Usage transparent, pas de nouvelle interface à intégrer • Accès à l’ensembles des ressources hard et soft du PC• Nettoyage automatique de la session et des données
Pour l’utilisateur final
Pour le gestionnaire du système• Contrôle des utilisateurs
• téléchargement et installation facile• l’utilisateur est guidé dans la session (un click seulement)• l’utilisateur ne peut pas sauver un document dans la partie non encryptée du disque• Interface utilisateur customisable• Look and feel• Paramètres de Windows, du navigateur et des applications
• Ajoute des fonctions de sécurité• Time Out automatique de la session
Fonctions de Securité
Protège contre la fuite des données
Protège contre les codes malicieux
Assure confidentialité de l’utilisateur
Facile à implémenter et à superviser
Fonctions et avantages
979797© 2005 Cisco Systems, Inc. All rights reserved.
Demo :
• SSL-VPN + CSD https://vpn3000.showroom.cisco-ilm.com
username cisco password cisco123
• WEB- VPNOpen web broswer and http or https to 171.69.230.86
Login
Full access Username:testuser
Full access Password:testuser
Limited access Username:limituser
Limited access Password:limituser
Recommended