SSL VPNSSL-VPNSolutions Cisco
Christophe Sarrazini@ [email protected]
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 1
Agenda:g
Introduction
Offre Cisco et architectures
Les différents modes d’accès
Mode Clientless
Port Forwarding et smart tunnel
Mode Tunnel
Securiser le poste de travail
Group Policy
Administration
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 2
Introduction à Secure Sockets Layer (SSL)( )
Protocole développé par Netscape pour protéger le commerce électroniquepp p p p p g q
Création d’un tunnel entre le navigateur et le serveur WEB.– le tunnel est authentifié et encrypté (DES, 3DES, AES)yp ( , , )– Intégré depuis 1994 dans les navigateurs
Il existe plusieurs versions: – La version 2.0 développée par Netscapepp p p– La version 3.0 qui est actuellement la plus répandue– La version 3.1 baptisée TLS (transport Layer Security, RFC 2246)
https://pUtilise normalement les ports :443, :80, ou :8080Un cadenas fermé sur le navigateur indique l’utilisation d’une session SSL
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 3
Fonctionnement de SSL
Définie pour:Définie pour:
Authentifier le serveur vis-à-vis du client
Sélectionner un algorithme de cryptage
A th tifi l li tAuthentifier le client vis-à-vis du serveur (optionnel)
Générer un secretGénérer un « secret partagé »
Établir une connexion SSL encryptéeSSL encryptée
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 4
SSL VPN et IPsec
Flexibilité de déploiement Flexibilité de déploiement -- solution simple à mettre en placesolution simple à mettre en place
SSL VPNSSL VPN IPSec VPNIPSec VPN
pp p pp p
Accès de n’importe ou à une liste d’applications définies en utilisant un navigateur WEB
Système de connexion robuste qui permet l’accès à toutes les applications de l’entreprise à partir d’un site distant
Traversée facile des FirewallPortail WEB pour l’accès aux applicationsPas de client à installer
Accès à toutes les applications et au type de traficLe client VPN permet un accès transparents aux applications
Les applications client/serveur nécessitent une applet spécifique.Accès transparent aux applications en mode tunnel
Fonctionnalités maximales pour les postes concernés
Transport sécurisé voix et données
HTTP (TCP 80)HTTPS (TCP443)
ESP (Prot 50)IKE (UDP 500)ESP/UDP (UDP 4500)
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 5
HTTPS (TCP443)ou (TCP xxx)
ESP/UDP (UDP 4500)IPSec/TCP (TCP xxx)
Agenda:g
Introduction
Offre Cisco et architectures
Les différents modes d’accès
Mode Clientless
Port Forwarding et smart tunnel
Mode Tunnel
Securiser le poste de travail
Group Policy
Administration
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 6
Les solutions VPN SSL Cisco
Concentrateurs VPN 3000 (50-500 clients)Gamme ASAGamme ASA(25-5000 clients)
Blade SSL-VPN Catalyst 65xx Equipements IOS (10-200 clients)Blade SSL VPN Catalyst 65xx(8000 clients)
q p ( )
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 7
Gamme ISR et modules AIM-VPN/SSL
M d l / Ci Ci Ci 2811 Ci Ci Ci CiModules / ISR
Cisco 1841
Cisco 2801
Cisco 2811 Cisco 2821
Cisco 2851
Cisco 3825
Cisco 3845
AIM-VPN/SSL1
50 users / 5 Mbps
- - - - - -p
AIM-VPN/SSL2
- 50 users / 5 Mbps
75 users / 5 Mbps
100 users / 10 Mbps
150 users / 14 Mbps
- -
AIM- - - - - - 175 users / 200 users / VPN/SSL3 20 Mbps 26 Mbps
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 8
Gamme ASA / VPN
ASA 5505 ASA 5510 ASA 5520 ASA 5540 ASA 5550
Débit VPN 100 Mbps 170 Mbps 225 Mbps 325 Mbps 425 Mbps
Sessions IPSec max
25 250 750 5 000 5 000IPSec max
Sessions SSL max
25 250 750 2 500 5 000
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 9
Architectures d’accès traditionnelle
IPSec VPN Cluster
IPSec Remote Access
Firewall Dedicated to VPN Traffic
SSL VPN Remote Access
SSL VPN Cl t IPS D di t d t
Load Balancer
Extranet: BusinessPartner Access
SSL VPN Cluster IPS Dedicated to VPN Traffic
Remote Office Site-to-Site VPN
Extranet Partner Remote Access
Site-to-Site Remote Access
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 10
Mise en place d’un cluster : load balancingg
10.10.1.X
.1
124.118.24.X
.31
Le client demande une connexion IPSec ou SSL au 124.118.24.50
Le Master du Cluster répond avec 124.118.24.33 (Concentrateur le moins chargé)
Le Client se connecte en IPSec ou SSL au 124 118 24 33
.2
3
.32
33
Le Client se connecte en IPSec ou SSL au 124.118.24.33
Internet.3
.4
.33
.34
Internet
Adresse IP virtuelle du cluster = 124.118.24.50
Master du clusterMaster du cluster
• Le Master est sélectionné en fonction :• Premier à démarrer• Priorité ( 1 à 10 )
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 11
Priorité ( 1 à 10 )• Adresse IP la plus basse
Agenda:g
Introduction
Offre Cisco et architectures
Les différents modes d’accès
Mode Clientless
Port Forwarding et smart tunnel
Mode Tunnel
Securiser le poste de travail
Group Policy
Administration
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 12
Des besoins d’accès variés
EmployésAccès comme au bureau
Travailleurs mobilesAccès à partir de différents équipements(PDA, Cyber café, Hotel, bornes internet …)
PartenairesAccès requis vers desApplications spécifiquesApplications spécifiques
Consultants, Temporaires Grande variation
des besoins
Home OfficeAccès comme sur le LAN
Les besoins de déploiement VPN varient énormément
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 13
en fonction des utilisateurs, de la location, du poste de travail et de divers critères
Adapter les moyens d’accès aux utilisateursp y
EmployésPoste standard maitrisé
travailleurs mobilesEquipements & locations variés,
Problème de sécurité
PartenairesPoste non maitrisé, Accès limité,
Poste standard maitrisé
,ProblématiqueDe supportConsutants, Temporaires
Poste maitrisé ou pas, accès limité
Home OfficePoste standard maitrisé
accès limité
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 14
Les différents mode d’accèsASA
ServeurIntranet
Utilisateurdistant Intranetdistant
Connexion 1 PC -> ASA Connexion 2 ASA->applicatifs HTTP HTTPSFTPSSL
Parsing des pages pour sa présentation par l’ASA
Clie
ntle
ss FTPCIFSSMTP,POP3IMAP4Citrixtelnet, SSHParsing des pages pour sa présentation par l ASA ,RDP, VNC
Tunnel SSL Accès aux applications TCP (port fixe)java applet
war
ding
ApplicationsTCPpp (p )
Loopback Déclaration des serveurs / applisPort
For
w TCP….
Tunnel SSL Accès directe aux applications
Client complet
de T
unne
l
Illimité…..
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 15
@ip du réseau interneMod
Gestion des modes d’accès (1/2)( )
Vlan x
Poste de l’entreprise
Mode Tunnel
Vlan y
EmployéDe
L’Entreprisep
Mode clientless
Poste Externe
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 16
Gestion des modes d’accès (1/2)( )
Vlan x
Poste de l’entreprise
Mode Tunnel
Vlan y
Partenaire, externe
Mode clientless
Poste Externe
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 17
Agenda:g
Introduction
Offre Cisco et architectures
Les différents modes d’accès
Mode Clientless
Port Forwarding et smart tunnel
Mode Tunnel
Securiser le poste de travail
Group Policy
Administration
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 18
Mode Clientless (proxy)(p y)
ASA 5500
• Interface Web pour un accès complet aux ressources du réseau de l’entreprise• Compatibilité avec les pages HTML complexes, y compris avec ActiveX, Java• Support de navigateurs multiples• Portail customizable par groupe d’utilisateurs• Protocoles supportés : HTTP HTTPS CIFS FTP SMTP POP3 IMAP
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 19
Protocoles supportés : HTTP, HTTPS, CIFS, FTP, SMTP, POP3, IMAP• Et avec les plugins : Remote Desktop, VNC, Citrix, Telnet, SSH
Clavier graphique8.0g p q
Option de clavier graphique pour la page deOption de clavier graphique pour la page de login et les diverses authentification.
Protection contre les keyloggers
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 20
Portail utilisateur personnalisablep
Titre
Menu
Liens
Images, Flux RSS, Code
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 21
HTML, Texte …
Portail d’accès8.0
Les droits d’accès aux ressources changent en fonction des utilisateurs et des groupes de policyListe de liens http https ftp cifsListe de liens http, https, ftp, cifsAccès aux fichiers de l’intranet avec drag and dropApplet pour l’accès telnet, SSH, RDP, VNC, CitrixFlux RSS
Logo personnalisable
Titre personnalisable
Accès aux f ti
Saisie des liens
fonctions
Liens pré-définis
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 22
Accès aux applis supplémentaires
“plugins”
Personalisation du portail8.0p
Le Portail Web est entièrement personnalisable par groupes ou p p g putilisateurs
Les droits d’accès aux ressources changent en fonction des tili tutilisateurs
Zone d’édition
Sélection de la zone à
personnaliser
Pré-visualisation
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 23
Liste des serveurs
Chaque groupe dispose d’une liste de lien qui serontChaque groupe dispose d une liste de lien qui seront présentés aux utilisateurs :
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 24
Barre d’outils8.0
HomeHome
Nouveau lien
DéconnexionDéplacerbarre
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 25
Application Proxy pour HTTP/HTTPSApplication Proxy pour HTTP/HTTPS
La connexion client est protégée par SSL le serveur est utilisé en p g pproxy applicatif
Deux connexion TCP et http sont utilisées seule la connexion client-concentrateur est protégée par SSLLe flux HTML est inspecté et modifié à la voléeLe flux HTML est inspecté et modifié à la volée
ServeurIntranet http
Utilisateurdistant
ASA
Intranet http
IP : 1 2 3 4
HTMLInspectionHTML HTML
IP : 1.2.3.4
HTTPSSL
TCP/IP
HTTPSSL
TCP/IP TCP/IP TCP/IP
HTTP HTTP
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 26
http://www.cisco.frhttps://1.2.3.4/http/0/www.cisco.fr
Accès aux Email via le WEB OWA/Inotes
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 27
Accès aux serveurs FTP8.0
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 28
Application Proxy CIFSpp y
La connexion client est protégée par SSL le serveur est utilisé en p g pproxy applicatif
Deux connexion TCP sont utilisées seule la connexion client-concentrateur est protégée par SSLLe concentrateur effectue une conversion entre le flux HTML et le flux
Serveur de Fichierde l’Intranet
Utilisateurdistant
Le concentrateur effectue une conversion entre le flux HTML et le flux CIFS utilisé pour le dialogue avec le serveur de fichier
ASA
de l Intranet
IP : 1 2 3 4
Convertisseur
HTML <-> CIFSHTML CIFS
IP : 1.2.3.4
HTTPSSL
TCP/IP
HTTPSSL
TCP/IP
SMB
TCP/IP
SMB
TCP/IP
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 29SMB : Server Message BlockCIFS : Common Internet File System
Accès aux Fichiers : CIFS
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 30
Les PluginsgSupport de plugins java
Cit i M t f (i )- Citrix Metraframe (ica)- VNC
Remote Desktop- Remote Desktop- Telnet- SSHSSH
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 31
Telnet/SSH8.0
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 32
RDP / VNC8.0
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 33
Accès aux Emails en mode proxy
La connexion client est protégée par SSL le serveur est utilisé en p g pproxy applicatif
La connection SSL est établie directement entre le client email (Eudora, Outlook ….) et le concentrateur.A la première connexion le logiciel lient doit accepter le certificat du
Serveur de messagerie
Utilisateurdistant
A la première connexion le logiciel lient doit accepter le certificat du concentrateur
Concentrateur
IP : 1 2 3 4
Convertisseur
HTML <-> CIFSHTML
SMTPS
CIFS
IP : 1.2.3.4
SMTPSPOP3SIMAP4S
TCP/IP
SMTPSPOP3SIMAP4S
TCP/IP
SMTPPOP3IMAP4
TCP/IP
SMTPPOP3IMAP4
TCP/IP
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 34SMB : Server Message BlockCIFS : Common Internet File System
Accès aux Emails en mode Proxyy
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 35
Accès aux Emails en mode proxyp y
Une reconfiguration du client est nécéssaire pour le support de ssl et l’utilisation de l’ASA en proxyl utilisation de l ASA en proxy
Adresse Email de l’utilisateur
Adresse IP de l’ASA
Login name = concentrateur_username:email_user_name
@server_name*
Adresse IP de l’ASA
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 36
* Si l’username pour Email et concentrateur est identique en saisir un seulexemple avec Eudora
Accès aux Emails en mode proxySSL pour la connexion vers le concentrateurp
Utiliser SSLOutlook Express
Eudora
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 37
Utiliser SSL
Agenda:g
Introduction
Offre Cisco et architectures
Les différents modes d’accès
Mode Clientless
Port Forwarding et smart tunnel
Mode Tunnel
Securiser le poste de travail
Group Policy
Administration
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 38
Exemple : telnet vers un host interne
Poste clientC t t
Connexion SSL jusqu’au Concentrateur
Javaapplet
Concentrateur
Loopback
Telnet A.B.C.D
net S
erve
ur_1
127.0.0.x serveur 1
Programmeclient
Teln
_
Telnet Serveur_1 (@IP : A.B.C.D)
clientServeur_1 (@IP:A.B.C.D)
L’applet java :1 Modifie le fichier hosts pour ajouter le serveur avec comme @IP 127 0 0 x
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 39
1. Modifie le fichier hosts pour ajouter le serveur avec comme @IP 127.0.0.x2. Redirige les connexions vers les @IP 127.0.0.x vers le tunnel le tunnel SSL
Redirection de ports : lancement de l’appletpp
Fichier Host local127.0.0.1 localhost1 – L’applet n’est pas démarré, le fichier host est intact
2 – L’applet est lancée, le fichier host est sauvegardédans host.webvpn, le fichier host est modifié
127.0.0.1 localhost127.0.0.2 test-win2003127.0.0.3 win2000-serveur127.0.0.4 linux
Nom du servicePort local Port distant
Octets in/out
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 40
127.0.0.1 localhost1 – L’applet est stoppée, le fichier host restitué
Configuration du port Forwardingg p g
Liste de services
Port tcp coté utilisateur
Nom du serveur
utilisateur
Port tcp coté serveur
Nom du service
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 41
Smart Tunnel8.0
Connexion Client less des applications TCP windock2Connexion Client-less des applications TCP windock2
L’’ASA est en mode proxy
Identification des application son nom sur le poste de travail et viaIdentification des application son nom sur le poste de travail et via un checksum (sha-1)
Exemple pour outlook, outlook express, Lotus sametime ….p p , p ,
Pas de droits administrateurs nécéssaires
Windows 2000 ou WIndowsXP avec un navigateur avec java et/ouWindows 2000 ou WIndowsXP avec un navigateur avec java et/ou activex.
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 42
Utilisation du Smart Tunnel8.0
Accès aux applications
ActivationDu
Smart tunnel
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 43
Utilisation du Smart Tunnel8.0
Liste des applications
Le smart tunnelEst activé
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 44
Mode Proxy : Contrôler les accèsyPermit http://intranet.cisco.com/publicPermit rdp://serveur.intra1.cisco.comLimiter les accès aux liens du portail pDeny http://intranet.cisco.com/privateDeny ica://metaframe1.cisco.com
Limiter les accès aux liens du portail
UtilisateurFiltrage niveau 7Filtrage niveau 7
• On peut limiter les accès aux liens présents sur le portailp p p• Si l’utilisateur peut saisir ces propres liens dans le portail, la mise en place d’un filtrage de niveau 7 permet de limiter ses accès
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 45
Agenda:g
Introduction
Offre Cisco et architectures
Les différents modes d’accès
Mode Clientless
Port Forwarding et smart tunnel
Mode Tunnel
Securiser le poste de travail
Group Policy
Administration
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 46
VPN-SSL en mode Tunnel
Résultat de l’expérience Cisco dans le domaine du VPN et de
Fonctions Bénéfices
Résultat de l expérience Cisco dans le domaine du VPN et de l’encryption : Client léger, stable et simple à supporter
Permet un accès complet aux applications “comme en SEC” Moins de 250 Ko à télécharger sous la forme d’une applet Java, Active X ou .EXE
Téléchargement rapide du client
Plusieurs méthodes d’installation pour une meilleure compatibilité
Pas de reboot = utilisateur contentPas de reboot nécessaireLe client peut-être supprimé à la fin de la session ou installé de manière permanenteCompatible avec le Softphone Cisco pour le
Pas de reboot = utilisateur content
Aucune trace du client après la session pour plus de sécurité
Support des applications multimédiasp p psupport de la téléphonie sur IPCompatible Windows 2000 et XPCompression des données
pp pp
Administration centralisée
ASA 5500
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 47
VPN-SSL en mode TunnelL’interface
Statistiques
Le tunnel est monté
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 48Téléchargements
Utilisation du split tunnelingp g
SiègeTunnel IPSEC
Siège
InternetPas de Split Tunneling:
Tout est envoyé dans le tunnel, plus d’accès local
ou direct à Internet
www.voila.fr Tunnel SEC ou SSL
Trafic en clair
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 49
Utilisation du split tunnelingp g
SiègeTunnel IPSEC
Siège
InternetSplit tunneling limité :Accès au réseau local
Mais pas d’accès direct à internet
Tunnel SEC ou SSLwww.google.fr
direct à internet
Trafic en clair
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 50
Utilisation du split tunnelingp g
SiègeTunnel IPSEC
InternetSplit Tunneling complet :Le trafic pour le siège est encrypté le reste passe en
clair
www.google.frTunnel IPSEC
Trafic en clairTrafic en clair
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 51
Mode tunnel : Contrôler les accès
Vlan x
UtilisateurFW, IPS, Antix
Vlan y
FW, IPS, AntixVlan z
Mapping VLAN
• L’utilisateur est associé à un groupe policy• L’asa permet de limiter les accès aux réseau (FW, IPS, Antix)
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 52
p ( )
Cisco Anyconnect VPN client8.0y
Cisco VPN Client (IPSec Client)SSL VPN Cli t (SVC)SSL VPN Client (SVC)Cisco AnyConnect VPN Client
– Mac OS X 10 4 ou + (power PC et Intel)– Mac OS X 10.4 ou + (power PC et Intel)– Win 2000 SP4, XP SP2, VISTA– Linux RedHat Version 6.2 ou + (Intel), ou libraries compatibles glibc 2 1 1 6 ou + avec kernel 2 2 12 ou + avec support TUNTAP2.1.1-6 ou +, avec kernel 2.2.12 ou + avec support TUNTAP.– Windows Mobile 5 pocket PC edition (Beta)–Optimized transport (DTLS)– Standalone mode (sans navigateur Web)– Start Before Login (SBL) pour Windows– Mise à disposition d’APIMise à disposition d API– Installation MSI– Accès aux ressources internes IPv6 (dans un tunnel IPv4)
S t d DTLS ( ti i ti l fl ibl à l l t )
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 53
– Support de DTLS (optimisation pour les flux sensibles à la latence) auto-dtection à la connexion (le protocole utilise UDP)
Cisco Anyconnect client8.0y
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 54
Cisco Anyconnect clienty
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 55
Agenda:g
Introduction
Offre Cisco et architectures
Les différents modes d’accès
Mode Clientless
Port Forwarding et smart tunnel
Mode Tunnel
Securiser le poste de travail
Group Policy
Administration
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 56
Sécurisation du poste de travail pour les connexions WEB VPN
La technologie : VIRTUAL SECURE DESKTOPProtège les informations sécurisées
supprime : cookies, cache du navigateur / historique fichier en attachement des emails, etc. à la fin de la connexion SSL/VPN
Protège contre l’exploitation de ces informations et contre la pénétration du système
Le bureau virtuel sécurisé est transparent pour l’utilisateur et crée automatiquement un environnement sécurisé sous windows 2000 ou XPCisco Secure DesktopWindows 2000 or XP
L’utilisateur a toujours accès à l’ensemble des ressources de son PCToutes les applications et process qui tournent dans le bureau virtuel
Original User Desktop Temporary CSD Desktop
qsécurisé sont contrôlésLe bureau virtuel crée un file system encrypté à la volée et rien n’est écrit en clair sur le disque.
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 57
Cisco Secure DesktopPrincipe de fonctionnementp
SSL
SSL-VPNConcentrateur
1. Un utilisateur se connecte en SSL au concentrateur, Cisco Secure Desktop est alorsautomatiquement poussé sur le pc.
2. Secure Desktop contrôle l’environnement pour savoir si il doit démarrer ou pas. La présence de keylogger est testée.
3. Secure Desktop démarre et l’environnement sécurisé est créé.4. L’utilisateur se connecte dans l’environnement sécurisé5. L’accès aux ressources Web-VPN est activé en fonction des droits de l’utilisateur.
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 58
6. L’utilisateur se déconnecte le secure desktop détruit les données bit à bit, il se désinstalle.
Cisco Secure DesktopL’interface utilisateur
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 59
Définition des conditions de lancement
Poste du bureau
Poste d’un partenairePoste d un partenaire
Certificat présent ?
fichier présent ? Poste externe
Tests possiblesFichierClé de registreCertificatVersion de Windows
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 60
Adresse IP du réseau
Secure Desktop8.0p
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 61
Host assessment
Il existe plusieurs méthodes pour contrôler la conformité à la liti d é ité d’ t d t ilpolitique de sécurité d’un poste de travail.- NAC (network Access Control)- Host assessment intégré au secure Desktop
Methodes de contrôle
Ce qui est inspecté
Host assessment intégré au secure Desktop
Mode clientless Host assessment du Secure Destop
Politique NAC ou SD
Mode Tunnel IPSEC NAC Politique NACMode Tunnel IPSEC NAC Politique NAC
Mode Tunnel SSL NAC ou Host t d
OS, Antivirus, tiassessment du
Secure Destopantispyware, firewall, …
Pour avoir la liste des antivirus, antispyware et firewall supportés http://www.opswat.com/
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 62
, py pp p p
Advanced AssessmentModification des droits de l’utilisateur en fonction des éléments présents sur le
tposte :• Anti-spyware• Anti-virus• Application
Fi hi• Fichier• Politique NAC• OS• FW personnel
P é i• Process en mémoire• Base de registre
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 63
Agenda:g
Introduction
Offre Cisco et architectures
Les différents modes d’accès
Mode Clientless
Port Forwarding et smart tunnel
Mode Tunnel
Securiser le poste de travail
Group Policy
Administration
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 64
Politique de sécuritéq
User policy Group policy DefaultGroup policy
• La policy la plus spécifique est prioritaire :• User > Group > Default
• Si aucune policy définie la default policy est active• Si aucune policy définie, la default policy est active
policy :Type de tunnels (IPSec WebVPN SSL tunnel L2TP IPSec)Type de tunnels (IPSec, WebVPN, SSL tunnel, L2TP-IPSec)Limites de connexions (nbr de tunnels, heures)Serveurs pour le mode tunnel : DNS, Netbios Configuration ipsec
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 65
Configuration client ipsecConfiguration WebVPN (modes, et paramètres)
Dynamic Access policyy p y
Policy prioritaire par rapport à toutes les autresPolicy prioritaire par rapport à toutes les autres.Host Assessment
Attributs de sélectionLDAP Radius CiscoLDAP, Radius, Cisco
Policy à appliquer
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 66
AAA : Authentification externe
RadiusTACACS+NT D iNT DomainEtrust Secure IDKerberosKerberosGénérique LDAP (Open LDAP, AD, …)HTTP
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 67
AAA autorisation : annuaire LDAPSolution traditionnelle :
- Importer le schéma Cisco dans l’annuairedn:
CN=cVPN3000-Access-Hours,CN=Schema,CN=Configuration,OU=People,DC=ExampleCorporation,DC=comchangetype: addadminDisplayName: cVPN3000-Access-HoursattributeID: 1 2 840 113556 1 8000 795 2 1attributeID: 1.2.840.113556.1.8000.795.2.1attributeSyntax: 2.5.5.3cn: cVPN3000-Access-HoursinstanceType: 4isSingleValued: TRUElDAPDisplayName: cVPN3000-Access-HourslDAPDisplayName: cVPN3000 Access HoursdistinguishedName:CN=cVPN3000-Access-Hours,CN=Schema,CN=Configuration,OU=People,DC=ExampleCorporation,DC=comobjectCategory:CN=Attribute-Schema,CN=Schema,CN=Configuration,OU=People,DC=ExampleCorporation,DC=comobjectClass: attributeSchemajoMSyntax: 27name: cVPN3000-Access-HoursshowInAdvancedViewOnly: TRUE.....
- Utilisation des attributs Cisco pour paramétrer la politique de sécurité
- Un utilisateur externe est associé au groupe par l’attribut « vpn-group-policy »
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 68
- En cas d’utilisation d’un serveur Radius par l’attribut Radius CLASS attribut (25) dans le format « OU=GroupName »
Mapping des Attributs LDAPpp g
Mapping des attributs LDAP de l’entreprise sur les attributs CiCisco
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 69
Agenda:g
Introduction
Offre Cisco et architectures
Les différents modes d’accès
Mode Clientless
Port Forwarding et smart tunnel
Mode Tunnel
Securiser le poste de travail
Group Policy
Administration
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 70
ASDM 6.0 : SSL VPN WizardASDM 6.0 : SSL VPN Wizard
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 71
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 727272