Nouveautés Sécurité: Cloud Security, Sécurisation des nomades, nouveaux ASA Muriel Bôle– [email protected] Partner [email protected]

Nouveautés Sécurité:Cloud Security, Sécurisation des nomades, nouveaux ASA

Muriel Bôle– [email protected] Partner SE

mailto:[email protected]

© 2009 Cisco Systems, Inc. All rights reserved.CxD – Session Sécurité 2

Bo

rde

rless

Da

ta C

en

ter

3

Bo

rde

rless

Inte

rne

t 2

Bo

rde

rless

En

d Z

on

es 1

Architecture de sécurité Cisco pour le réseau sans frontières

Politique Sécurité

Périmètre

Site Distant

Applications

et Données

Site Central

Polique sécurité

(Access Control, Acceptable Use, Malware, Data Security)

Télétravail

AttaquantsCafé

Clients

Aéroport

Utilisateur

mobile Partenaires

Platform

as a Service

Infrastructure

as a Service

X

as a Service

Software

as a Service


Agenda

Sécurisation Web en mode SaaS: Cisco Scansafe

Sécurisation des nomades: “mobile user security”

Nouveaux ASA 5585

Click icon to add picture

Sécurisation web en mode SaaS


Malwares : un Constat Alarmant

300% d’augmentation du Volume annuel en 2008 (eq. 5 dernières années)

Communauté des Hackers devenue une industrie du cybercrime organisée et puissante

Mutation en Temps Réels des menaces

+de 50% des PC ont + de 15 jours de retard sur les signatures AV

73% des menaces sont bloqués par les AntiVirus – 27%: inconnues (0-day) non bloquées

80% des menaces sont sur le Web

50% du Web est non catégorisé

74% des malwares sont sur des sites institutionnels

Puissance PC/Appliances insuffisante

01-Jan-08

21-Jan-08

10-Feb-08

01-Mar-0

8

21-Mar-0

8

10-Apr-0

8

30-Apr-0

8

20-May-0

8

09-Jun-08

29-Jun-08

19-Jul-0

8

08-Aug-08

28-Aug-08

17-Sep-08

07-Oct-

08

27-Oct-

08

16-Nov-0

8

06-Dec-0

8

26-Dec-0

80%

50%

100%

150%

200%

250%

300%

350%

Changement en % du volume en 2008(Blocs Malware comparés aux autres

requêtes)


Cisco ScanSafeSCANSAFE

Editeur de Sécurité Web en mode SaaS

Pionnier avec 6 ans d’expérience

Position dominante = 34,5% IDC

Innovation et Récompenses

100% de disponibilité depuis 6 ans

CLIENTS

Plusieurs Millions d’utilisateurs

Clients dans + de 100 pays

4 Milliards de requêtes Web par jour

200 millions de menaces bloquées

mensuellement

Clients

Security product of the year

2008

Récompenses

Partenaires


ScanSafe : Les Services


DATACENTERSExtensibilité et Fiabilité Extensibilité

Milliards de requêtes Web/jour

Traitement hautement parallèle

<50 ms de latence

10Gb connectivité

Fournisseurs réseau redondants

Fiabilité

14 centres de données

Certifications de 1er rang

Millions d’utilisateurs déployés

100% de disponibilité


Filtrage Web : Filtrage proactif du contenu

Acceptable

Uncategorized

Prohibited

Malicious

Fonctions traditionnelles de Filtrage

• Blocage par catégories, types de fichier et types de contenu;

listes blanches et noires

Fonctions avancées

• Différentiation des flux HTTPS et FTP via HTTP

• Niveaux d’administration granulaires

• Fonction anonymat des rapports

• Module DLP

Classification Dynamique

• Classification en temps-réel des nouveaux sites

• 99% de détection dans les catégories Adultes, Jeux, Violence...

etc.

SearchAhead

• Notification proactive – logos a droite des résultats de

recherche


Malware: Protection Outbreak Intelligence

• Web Virus /

Spyware scanning

using two if the top 5

signature based Avs

• Proprietary

heuristics engine

(Outbreak

Intelligence)


Utilisation d’un proxy pour les utilisateurs

Sans granularité utilisateur - politique commune:

“Proxy=Scansafe” pour le(les) navigateur(s) (fichier PAC)

Avec granularité utilisateur:

“Proxy= connecteur scansafe onsite” en lien avec AD qui envoie infos user au service Scansafe (dans l’entête http)

“Proxy=proxy d’entreprise” qui relaie vers le connecteur (ISA, ICAP)

“Proxy = scansafe”; PIM.EXE sur le poste pour récupérer les données utilisateur et les transférer (entête http)

Anywhere + pour les nomades

ScanSafe Websecurity Service

DC

3rd Party Proxy

Connector

Modes de déploiement


SaaS: Protection des Nomades - Anywhere+Client Scansafe de protection des Nomades

Redirection du trafic web vers les centres de

données

Sélection automatique du centre ScanSafe le

plus proche lors de voyages

Encryption du trafic pour garantir la sécurité

des données envoyées

Déploiement centralisé de masse et en mode

silencieux

Protégé pour éviter le contournement

“Les Nomades utilisent leur VPN

seulement 17% de leur temps de

surf sur Internet – Comment

sont-ils contrôlés et protégés les

83% du temps restant?


ScanCenter – Plateforme d’administration et de rapports

Visibilité incomparable sur l’utilisation des ressources

Plus de 5 000 rapports personnalisables

75 attributs corrélables

11 catégories de rapport (user, bw, appli, malware, temps passé,

catégories, …)

Analyse détaillée en cascade

Basé sur un entrepôt de données pour de hautes performances

Rapports globaux, de tendance et à précision chirurgicale

Rapports programmés pouvant être envoyés à des utilisateurs

définis

Rapports granulaires permettant de trouver les remèdes aux

problèmes


Cisco ScanSafe : Les Garanties Portail Web d’administration

Règles de Sécurité Monitoring Temps Réel Rapports Multi Sites Corrélation des logs Infrastructure Base de Données

Support 24x7x365 Pas de maintenance Mise à jour continue et automatisé

Pas de correctif à installer

1. Disponibilité

99,999% garanti de temps de disponibilité de notre service pour scanner le trafic

2. Latence

Temps de chargement supplémentaire attribuable au serviceEvalué par des entreprises tierces

3. Faux Positifs

Pages bloquées mais qui n’auraient pas dû l’ êtreTaux de faux positif < 0.0004%

4. Faux Négatifs

Pages qui auraient dû être bloquées mais qui ne l’ont pas étéTaux de faux négatif < 0.0004%

SLAs uniques

Performance (2)

Sécurité (2)


Ordering

Canal de Distribution Cisco Ironport

Offre Scansafe dans la price-list ironport

Devis commercial inclut:

Forfait d’installation

Licenses utilisateurs (min 25 users)

Licenses disponibles

Malware

Web filtering

Malware + Web filtering

Secure Mobility (anywhere+)

Licences par utilisateur et par mois

Prix dégressif selon nombre de users et durée de souscription: 1, 2 ou 3 ans


Bénéfices de la Sécurité Web ScanSafe en mode SaaS

Réduction des Coûts Economies de temps et d’argent ; 30-40% de réductions annuelles en TCO

Redirigez ves ressources vers les projets centraux au coeur de l’entreprise

Simplicité de déploiement

Tranquilité d’Esprit

Protection en couches contre les Malware du Web, garanties par SLA’s

Dépenses fixes, pas de coûts non budgétés

Utilisateurs Nomades protégés sans rapatriement du trafic

Flexibilité

Modèle par souscription, sans investissement nécessaire

Extensibilité – ajout d’utilisateurs sans achat de matériel supplémentaire

Nouvelles fonctions/améliorations sans besoin d’installer une nouvelle version

Sécurisation web des nomades



Les utilisateurs mobiles aujourd’hui

At Home

Coffee Shop

Airport

Broad Range of Devices

At Work

Social Networking

Enterprise SaaS

News

Email

Applications

Access Points

L’utilisateur n’est pas protégé lorsqu’il accède

directement à internet sans monter son VPN

L’utilisateur n’est pas protégé lorsqu’il accède

directement à internet sans monter son VPN

83% des PC nomades surfent directement sur

Internet sans passer par leur VPN d’entreprise

83% des PC nomades surfent directement sur

Internet sans passer par leur VPN d’entreprise

http://images.google.com/imgres?imgurl=http://www.ehs.washington.edu/images/BIOSGN2.jpg&imgrefurl=http://www.ehs.washington.edu/Manuals/BSManual/AppendixA.pdf&h=1028&w=850&sz=124&tbnid=HeNi2BPYUAgJ:&tbnh=149&tbnw=124&start=14&prev=/images?q=biohazard&hl=en&lr=&safe=off


Solution VPN ASAToute une gamme d’options de connectivité

Mobile Access

IPsec VPN

Tunneling

DTLS (voice/video)

Tunneling

Clientless

VPN Access

Cisco ASA

SSL VPN

Tunneling


Cisco Anyconnect VPN client

Multiples OS supportés• Mac OS X 10.5, 10.6.x ou + (32/64 bits)

• Win XP, VISTA, Windows 7 (32/64 bits)

• Linux :– RedHat linux 5 desktop– unbuntu 9.x– autres distributions linux sur demande

– mode autonome (sans navigateur Web)

– Start Before Login (SBL) pour Windows

– API pour le pilotage a partir d’une application externe

– Installation à partir d’un navigateur java, ActiveX ou via un MSI

– Mise à jour auto sans nécessité des droits d’administrateur

– Accès aux ressources internes IPv6 (dans un tunnel IPv4)

– Support de DTLS (optimisation pour les flux sensibles à la latence) auto-détection à la connexion (le protocole utilise UDP)


Choix multiples

Choix d’équipements et OS

Securité

Sécurité complète de

La solution

Experience

Connectivité permanente,

Expérience utilisateur unique

Evolution : Cisco AnyConnectSolution de connection VPN de nouvelle génération

Acceptable Use

Access Control

Intranet

Corporate File Sharing

Acces authorisé

Data Loss Prevention

Threat Prevention


Anyconnect pour les utilisateurs mobiles

Corporate Datacenter with ASA

At Home

Coffee Shop

Airport

Access PointsBroad Range of Devices

At Work

INTERNET

Applications

Social Networking

Enterprise SaaS

News

Email

AnyConnect Client

Anyconnect 2.5:

• Mode always on

• Détection de la meilleure

passerelle VPN



Trusted Network Detection (TND)

Détection du réseau de confiance

Réseau de

confiance

(entreprise)

Réseau externe à

l’entreprise

Connexions et déconnexions automatiques en

fonction des conditions suivantes :

Réseau de l’entreprise

Réseau externe à l’entreprise

Détermination de la location en fonction du nom de

domaine et de l’adresse IP du DNS

D’autres méthodes dans le futur

Authentification par certificat pour une

authentification transparente

Windows XP, Vista, 7 & Mac OS X


Solution SSL-VPN CiscoSélection optimale du point d’accès

Los AngelesParis

Connexion automatique au meilleur point d’accès

Requête HTTPS calcul du meilleur délai aller retour

Tokio

Time = 25ms

Time = 24ms

Time = 23ms

Time = 33ms

Time = 26ms

Time = 35ms

Time = 28ms

Time = 25ms

Time = 27ms

Marseille


Los AngelesParis

Tokio

Time = 23ms

Time = 26ms

Time = 25ms

Marseille

Solution SSL-VPN Cisco

Sélection optimale du point d’accès




Los AngelesParis

Tokio

Time = 23ms

Marseille

Paramètres importants:

Suspension Time Threshold (défaut: 4 heures)

Performance Improvement Threshold (défaut: 20%)

Solution SSL-VPN Cisco

Sélection optimale du point d’accès




ASA + WSA + Anyconnect 2.5ASA / WSA offrent une connectivité sécurisé permanente

Corporate Datacenter avec ASA et WSA

At Home

Coffee Shop

Airport

Access PointsBroad Range of Devices

At Work

INTERNET

Applications

Social Networking

Enterprise SaaS

News

Email

AnyConnect Client



AnyConnect iPhone

Iphone 3G, 3GS, 4 avec iOS 4.1

Tunnels SSL (DTLS et TLS)

Roaming entre le 3G et le WiFi

Méthodes Multiples d’authentifications

Imports des profiles de connexions via l’ASA

Enrollement des Certificats

Interface Iphone Native

Intégration forte avec l’IOS Apple iPhone

Logs intégrés au client

Support iPAD après mise à jour de l’iOS en v4.2


Anyconnect 3.0 (Q4/2010)Client VPN

• SSL et IPSec iKEv2

HostScan intégré

• Contrôle OS, Process, AV, FW …..

Sécurité mode SAAS

• Intégration du client scansafe anywhere +

Client 802.1x

• Wifi / Filaire

• TLS, PEAP, GTC, etc…

• MACSec (chiffrement LAN)

Diagnostic intégré (DART)


Anyconnect 3.0Intégration des services SaaS et Entreprise

News Email

Social Networking Enterprise SaaS

Cisco Web Security

Appliance

Corporate AD

ASAAnyConnect 3.0

(incluant le client anywhere+)

Cisco ASA 5585



Teleworker Branch

Office

Internet

Edge

ASA 5550

1.2 Gbps,

38k conn/s

ASA 5580-20

5-10 Gbps

90k conn/s

,

ASA 5580-40

10-20 Gbps

150k conn/sASA 5505

150 Mbps

4k conn/s

Data Center

ASA 5540

650 Mbps

25k conn/s,ASA 5520

450 Mbps

12k conn/sASA 5510

300 Mbps

9k conn/s,

Campus

5585 / SSP-20 5-

10 Gbps

125k conn/s,

5585 / SSP-40

10-20 Gbps,

200k conn/s

5585 / SSP-60

15-30 Gbps

350k conn/s

Plateformes multi-services (FW, IP

S et VPN)

Plateformes Firewall et VPN

5585 / SSP-10

2-4 Gbps

50k conn/s

Perform

ances

Positionnement de la gamme ASA 5500: Du 5505 au 5585

© 2009 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 33

Gamme Cisco ASA 5585-X

ASA 5585-S10P10

ASA 5585-S20P20

ASA 5585-S40P40

ASA 5585-S60P60

Securing Internet-Edge

and Campus Networks

Scalable Data

Center Solutions

Per

form

ance

, Sca

lab

ility

, Ad

apti

vity

Data CenterCampusBranch Office

Enhancing the Customer Experience


Chassis ASA 5585-X

ASA SSP FW/VPN dans le Slot 0

En option IPS SSP dans le Slot 1

Chassis 2U 19”

2 modules pleine largeur

2 modules ½ largeur

Slot-1

Slot-0

Alimentations redondantes et

Hot Swappable

6 ventilateurs hot swappable

Multi Gigabit Fabric


Cisco ASA 5585 – Face avant

chassis 2-slot pour modules firewall/VPN et

IPS

Format: 2RU Rack Mount

Profondeur: 25” Chassis Depth

Alimentations Redondantes

eUSB pour

stockage Software / Config

Deux baies pour disques durs

(pour utilisation future)

2 Ports Ethernet de management et 2 ports USB

ports (utilisation future)

2 ou 4 ports 10GE SFP+,

6 ou 8 ports GE ports Status LEDs


Les modules FW/VPN SSP du 5585

ASA SSP-10 ASA SSP-20 ASA SSP-40 ASA SSP-60

Processor

1 x 2.0 GHz Intel E5508

(2 Core/2 Threads)

1 x 2.13 GHz Intel L5518

(4 Cores/8 Threads)


(8 Cores/16 Threads)



MaximumMemory 6 GB 12 GB 12 GB 24 GB

Maximum Storage 2 GB eUSB 2 GB eUSB 2 GB eUSB 2 GB eUSB

Ports 2 x SFP+ 8 x 1GbE Cu 2 x 1GbE Cu Mgmt

2 x SFP+ 8 x 1GbE Cu 2 x 1GbE Cu Mgmt



Security 1 x Cavium Nitrox

1620 1.5Gbps AES 256

2 x Cavium Nitrox 1620

3 Gbps AES 256


4.5 Gbps AES 256


6 Gbps AES 256


Modules IPS 5585-XIPS SSP-10 IPS SSP-20 IPS SSP-40 IPS SSP-60

Processor1 x 2.0 GHz Intel

E5508(2 Core/2 Threads)


(4 Cores/8 Threads)





MaximumMemory

6 GBDDR3-800

12 GBDDR3-1066

24 GBDDR3-1066

48 GBDDR3-1066

Maximum Storage 2 GB eUSB 2 GB eUSB 2 GB eUSB 2 GB eUSB

Ports

2 x SFP+ 8 x 1GbE Cu 2 x 1GbE Cu

Mgmt




Mezzanine Card

1 x LSI Regex Accelerator -2G

1 x LSI Regex Accelerator-2G

1 x LSI Regex Accelarator-10G

2 x LSI Regex Accelerator-10G


Options d’interface (SFP/SFP+)Platform SFP/SFP+

(1 or 10 GbE)GbE

(copper)Total Data Ports

ASA5585-S10ASA5585-S20

2 8 10

ASA5585-S40ASA5585-S60

4 6 10

ASA5585-S10P10ASA5585-S20P20

4 16 20

ASA5585-S40P40ASA5585-S60P60

8 12 20

Each module also provides console, aux and two 1Gbe (cu) management ports

1GE SX10GE Short Reach

Optics10GE Long Reach

Optics

GLC-SX-MM(up to 500m

multimode fiber)

SFP-10G-SR(up to 300m

multimode fiber)

SFP-10G-LR *(up to 10km single-

mode fiber)

SFP-10G-LRM *(220m multimode,

300m single-mode)

new

* En cours de validation


Positionnement et performancesASA 5585 – v8.2(4)

Positionnement

Performances

Max Firewall (Jumbo)

Max Firewall (Real-world HTTP)

Max IPS (Media Rich)

Max IPS (Transactional)

Max IPSec VPN

Max IPSec/SSL VPN Peers

Accès internet/

Campus

10 Gbps

5 Gbps

3 Gbps

1.5 Gbps

1 Gbps

5000

800,000

130,000

3,000,000

8 GE + 2 10 GE

16 GE + 4 10 GE

250

A/A and A/S

Campus

/ Data Center

20 Gbps

10 Gbps

5 Gbps

2.5 Gbps

2 Gbps

10,000

2,000,000

200,000

5,000,000

6 GE + 4 10GE

12 GE + 8 10GE

250

A/A and A/S

Data Center

30 Gbps

15 Gbps

10 Gbps

5 Gbps

2 Gbps

10,000

2,000,000

300,000

8,00,000

6 GE + 4 10GE

12 GE + 8 10GE

250

A/A and A/S

Accès internet/

Campus

4 Gbps

2 Gbps

2 Gbps

1 Gbps

1 Gbps

5000

650,000

80,000

2,000,000

8 GE + 2 10 GE

16 GE + 4 10 GE

250

A/A and A/S

Capacités

Nbs Max de Connections (FW)

Nbs Max Conns/Second

Packets/Second (64 byte)

Base I/O

Max I/O

VLANs Supportés

Haute dispo Supportée

ASA 5585 /SSP10 ASA 5585 /SSP20 ASA 5585 /SSP40 ASA 5585 /SSP60


ASA 5585OrderingBASE BUNDLE (Firewall+VPN) BASE BUNDLE + IPS

ASA5585-S10 ASA5585-S10P10

ASA5585-S10X-K9: Security Plus (10GE use)

ASA5585-S20 ASA5585-S20P20

ASA5585-S20X-K9: Security Plus (10GE use)

ASA5585-S40 ASA5585-S40P40

ASA5585-S60 ASA5585-S60P60

Firewall/VPN Module Spare IPS Module Spare

ASA-SSP-10-K8= ASA-SSP-IPS10-K9=




Commandable: Septembre 2010 Commandable: début 2011


Topologie Data Center

Nexus 7000/ Catalyst

6500

Nexus 7000/ Catalyst

6500

Nexus

5020

Nexus

5020

Nexus

5010

Nexus

5010

Nexus

5010

Nexus

5010

1Gig Server Rack

10Gig Server Rack Services Block

Data Center POD

ASA5585 ACE4710 WAAS

Data Center Core

Internet

Nexus

2148T

Nexus

2148T


Cisco ASA 5500 Series: Appliance multi-fonctions

Firewall stateful à analyse applicative

Services avancés d’inspection applicative et protocolaire

NAT/PAT applicatifs

Support avancé des protocoles voix et vidéo

Fonction TLS Proxy, Phone Proxy, Présence proxy …

Firewall stateful à analyse applicative

Services avancés d’inspection applicative et protocolaire

NAT/PAT applicatifs

Support avancé des protocoles voix et vidéo

Fonction TLS Proxy, Phone Proxy, Présence proxy …

Firewall

Protection en temps réel contre les attaques des applications et OS

Détection et filtrage de l'activité réseau des vers et Virus

Détection et filtrage des Spyware, adware et malware

Corrélation et contre-mesures intégrées aux sondes

Protection en temps réel contre les attaques des applications et OS

Détection et filtrage de l'activité réseau des vers et Virus

Détection et filtrage des Spyware, adware et malware

Corrélation et contre-mesures intégrées aux sondes

IPS

VPN Ipsec ou SSL Remote access

Services SSL avec client ou avec portail .

Contrôle de posture des postes

VPN site à site avec routage , QoS et failover

VPN Ipsec ou SSL Remote access

Services SSL avec client ou avec portail .

Contrôle de posture des postes

VPN site à site avec routage , QoS et failover

VPN IPSec et SSL

Mode routé ou transparent

Virtualisation

QoS

Services multicast

Routage, redondance, load-balancing

Mode routé ou transparent

Virtualisation

QoS

Services multicast

Routage, redondance, load-balancing

Services réseaux avancés

© 2008 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialCisco France 43

Webinars Sécurité

• Jeudis de 11h à 12h

• Toutes les 2 /3 semaines

• Cible: AV, Consultants Sécurité partenaires

27 Septembre 2010 ASA 5585 (recording)

28 Octobre 2010 Offre Sécurité SaaS email et web

(recording)

18 Novembre 2010 Anyconnect 3.0 (recording)

2 Décembre 2010 Update ironport (recording)

16 Décembre 2011 ACS 5.2

20 Janvier 2011 Solutions IPS


Evénements“My Cisco Event calendar”

http://www.myciscoeventcalendar.com/

• Planning d’événements Cisco pour les partenaires

• Européens / Français

• Sur site / Webinars

http://www.myciscoeventcalendar.com/


Webinars Sécurité: Portail

https://ciscosales.webex.com/ciscosales-fr/portal/393322

• Présentations des Webinars:

ASA 5585, Scansafe

• Enregistrements

• Documents divers, Boilerplate

• Contact: [email protected]

https://ciscosales.webex.com/ciscosales-fr/portal/393322


En résumé

Protection web en mode hosté avec la solution Scansafe à partir de 25 utilisateurs, pour petits/moyens sites ou Entreprises avec sites multiples et distribués

Client unifié pour la sécurité d’accès réseau : Anyconnect 3.0

Nouveaux ASA 5585: FW/VPN/IPS hauts débits