les nouveaux «pare » intégrés et l‟utilisation des ...€¢peer-to peer (kazaa) ... • botnet...

Cisco Confidential© 2010 Cisco and/or its affiliates. All rights reserved. 1

Les Nouveaux « Pare feux » Intégrés et l‟utilisation des Ressources du Cloud.Luc Billot

Consulting System Engineer

EMEAR – Responsible produit de sécurité

© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 2© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 2© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 2Cisco Confidential© 2010 Cisco and/or its affiliates. All rights reserved. 2

Luc Billot

Consulting System Engineer

EMEAR – Responsible produit de sécurité

© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 3

Cette session vous expliquera l‟intégration des nouveaux Firewall Cisco dans une architecture réseau d‟entreprise. Ces nouveaux Firewalls sont enrichies par des fonctions de détection avancé d‟intrusion, de filtrage applicatifs, de clustering, de politique basée sur l‟identité ainsi que l‟utilisation du cloud.


Introduction

La gamme ASA

Les fonctions avancés de l‟ASA

Les fonctions IPS

Le connecteur ScanSafe

Administration

Next Gen FW ASA-CX


• Les PareFeux réseaux : Une évolution contante

Historique de Sécurité :

NAT / PAT Proxy Statefull Inspection

Multiplication des moteurs d‟inspection des protocols

Historique d‟architecture :

Integration des protocol de routage V4 / V6

Mode routé vs mode transaparant

Nombre d‟interfaces physiques vs l‟utilisation de VLAN

Historique de performance

Nombre de sessions simultanées / Nombre de nouvelles sessions

Performance au Multi Gig et des latences en diminution

Les Parefeux réseaux : Une révolution

L‟integration d‟IPS et d‟inspection Applicative

La puissance des ressources de cloud


• Code unifié ASA pour toutes les déclinaisons

• Management unique pour l‟ensemble de la gamme ASA

CSM

Blades

Virtual Appliances

ASA

Mettre ici les images


Introduction

La gamme ASA


Les fonctions IPS


Administration

Next Gen FW ASA-CX


Appliance multi-fonctions

Firewall statefull à analyse applicative Identity Firewall Services avancés d’inspection applicative et protocolaire NAT/PAT applicatifs Support avancé des protocoles voix et vidéo Fonction TLS Proxy, Phone Proxy, Présence proxy …

Firewall

Protection en temps réel contre les attaques des applications et OS Détection et filtrage de l'activité réseau des vers et Virus Détection et filtrage des Spyware, adware et malware Corrélation et contre-mesures intégrées aux sondesIPS

VPN Ipsec ou SSL Remote access Services SSL avec client ou avec portail . Contrôle de posture des postes VPN site à site avec routage , QoS et failoverVPN IPSec et SSL

Mode routé ou transparent Virtualisation QoS Services multicast Routage, redondance, load-balancingServices réseaux

avancés


Pe

rfo

rma

nce

an

d S

ca

lab

ility

Data CenterCampusBranch OfficeSOHO Internet Edge

ASA 5540 (650 Mbps, 650K Conn.)

ASA 5520 (450 Mbps, 400K Conn.)

ASA 5510 (300 Mbps, 280K Conn.)ASA 5505

(150 Mbps, 130K Conn.)

ASA 5550 (1.2 Gbps)

ASA 5585-X SSP-60

ASA 5585 –X SSP-40(20 Gbps)

ASA 5585-X SSP-20(10 Gbps)

ASA 5585-X SSP-10(4 Gbps)

ASA 5512-X (1* Gbps, 100K Conn.)

ASA 5515-X (250K Conn.)



ASA 5555-X (1M Conn.)

1.2 Gbps Firewall

400 Mbps IPS

4 Gbps Firewall

1.3 Gbps IPS

30 Gbps Firewall

10 Gbps IPS


ASA SSP FW/VPN dans le Slot 0

En option IPS SSP dans le Slot 1

Chassis 2U 19”

2 modules pleine largeur

2 modules ½ largeur

Slot-1

Slot-0

Alimentations redondantes et Hot Swappable

6 ventilateurs hot swappable

Multi Gigabit Fabric

Ports

4 x 10G SFP+ sur SSP40 et

SSP60 hotswapables

10 x 1GbE

Slots SFP sur tous les moduleseUSB

2 Gb Internal

Convenience storage

Security credentials


64 Gbps EMIX, 51 Gbps EMIX , 1.2 M CPS

Security Service Processors Multi-services capable

Dedicated 64bit multi-core processors

Future-proof hardware

Multi Gigabit Fabric Chassis Backplane

Virtualized Interfaces

Module to module communications

Dual Crypto Accelerators Hardware processing

Accelerated Virtual Private Networking and Unified Communications encryption

24 Gigabytes Memory High Capacity

Memory for handling high session counts


Introduction

La gamme ASA

Les fonctions avancés de l’ASA

Les fonctions IPS


Administration

Next Gen FW ASA-CX


Multicast IPv6

Routage intelligent Quality of Service

PIM sparse mode et IGMP (v1 & v2)

Inspection des services multicast

Nat des groupes multicats

Support double stack

Mode routé et transparent

Filtrage et inspection

Découverte des Neighbors

Administration IPv6

OSPF (v2), RIP (v1 and v2)

Cisco EIGRP

Sécurité du routage : authentification (MD5)

Redistribution entre protocoles

Politiques Qos flexibles

Policing, priority queuing et traffic shaping

Moteur hautes performances

Streaming video et data sécurisés Supports réseaux next gen.

Intégration dans les réseaux routés Securité des flux sensibles


• Jusqu‟à 8 paires d‟interfaces

• Temps de basculement inférieur à 500 ms

• Configuration d‟une interface logique qui regroupe 2 interfaces du mêmevlan

• Adresse MAC virtuelle unique

• Une interface traite le trafic, la seconde est en standby.

• "gratuitous ARP” envoyé en cas de backup pour mettre à jour la CAM du switch.

Services avancés

Active

StandbyStandby

Active

Standby

StandbyActive

Active

Supporté sur 5505 à 5585


© 2007 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID

Catalyst 65xx VSS

VSL

MCEC MCEC

peer link

EC

vPC vPC

Nexus 7xxx vPC

ECEC EC

ASA Actif ASA StandbyASA Actif ASA Standby

ASA Etherchannel :

• LACP et 802.3AD

• Actif / Passif / On

• S/D MAC, S/D IP et S/D IP + Ports

• 8 ports actifs + 8 standby par Channel

Services avancés


Simplification des déploiementsVirtual Firewalls mode transparent

• Contextes ASA entièrement

virtualisés

• Consolidation des équipements &

segmentation

• Règles de filtrages, configuration

et administration indépendants

• Jusqu‟à 50 contextes par ASA

(250 à partir de la 8.4)

Fonctionne au niveau 2,

transparent pour le réseau

Insersion dans le réseau sans

changer l‟adressage

Simplifie la mise en place des

Firewalls

Transparent Firewall et IPS

Réseau existant

Mode transparentVirtual Firewalls

Contexte BContexte A Contexte C


……..

10.1.1.0 /24 – vlan 20

Management IP

10.1.1.100

10.1.1.0 /24 - vlan 10

Avant la 8.4 A partir de la 8.4

vlan 10

vlan 12

vlan 13

vlan 11

vlan 14

vlan 17

vlan 15

vlan 16

Bridge Group1 Bridge Group 2

vlan 14

vlan 17

vlan 15

Bridge Group 8

BVI1 BVI2 BVI8

4 Interfaces / VLANs par bridge group

8 bridge groups par firewall ou par contexte

Transparent Firewall Context


• Supports de plus de 2 Millions ACE (5585)

• Filtrage L2/L3/L4

• Groupes d’objets (@IP, UDP/TCP/ICMP)

• Time based ACLs

• Suivi en temps réel des logs

• ACLs globales (v8.3+) ou par interfaces

• Filtrage par identité

Firewall


Mktg.cisco.com

10.1.2.3

Data Center

Active Directory

ASA firewall

LAN

cloud

AD Agent

1. User Logs into AD2. AD Agent retrieves IP

information from AD3. ASA retrieves IP-User

mapping from AD4. Permit/Deny based on Policy

Nombre max de groupes utilisés : 256

Nombre max d‟utilisateurs:

ASA5505: 1024

Autres modèles : 64000

Juqu‟à 8 adresses IP par utilisateurs du

domaine


• L‟analyse et le filtrage des protocoles est assuré par des moteurs d‟inspection applicatifs dédiés

• Permet le contrôle de conformité protocolaire, d‟état des sessions, le PAT/NAT dynamique et offre une multitude d‟options de contrôle sur la sécurité des applications

Communications unifiées

SIPSCCP (Skinny) (v20 )Qsig tunneling dans SIP H.323 v1–6, H225, RAS, H239GTP (3G Mobile WirelessMGCPTRP/RTCP/RTSPTAPI/JTAPICTI

Applications Spécifiques

Microsoft Windows MessengerMicrosoft NetMeetingRTSPCisco IP PhonesCisco Softphones

protocoles Internet

HTTPFTPTFTPSMTP/ESMTPDNS/EDNSICMPTCPUDP

Database/OS

ILS/LDAPOracle/SQL*Net (V1/V2)Microsoft RPC/DCE RPCMicrosoft NetworkingDCERPCNFSRSHSunRPC/NIS+X Windows (XDMCP)

Services de sécurité

IKEIPSecPPTP


• Inspection avancée des flux HTTP

•Inspection des applications tunnelisés

•Messagerie instantanées (AIM, MSN, Yahoo ..)

•Peer-to Peer (KaZaA)

• Expressions régulières (regex)

• Contrôle conformité protocolaires avec le RFC

• Filtrage précis des commandes HTTP

• Filtrage sur le contenu et les type "MIME"

DMZ

ASA

Serveur WEB

Inte

rnet

Intr

an

et

www

HTTP FTP IM P2P SIP H.323 SCCP SMTP DNS RPC CIFS NetBios


Deep packet inspectionRegular expression : Exemple avec SIP

Création Signature

Sélection traffic

Activation politique

regex sip-user1 "sip:[email protected]"regex sip-user2 "sip:[email protected]"

class-map type regexmatch-any sip-users match regex sip-user1match regex sip-user2

class-map type inspect sip match-all blocked-callersmatch calling-party regex class sip-usersmatch request-method invite

policy-map type inspect sip mymapparameters

no immatch request-method inviterate-limit 5000class blocked-callersdrop log

policy-map global_policyclass inspection_default

inspect sip mymapservice-policy global_policy global


Inte

rnet

• Botnet Traffic Filtering :

Téléchargement automatique de la liste des sites/domaines malveillant via sensorbase

blacklist / whitelist locale pour la configuration statique

Scans le trafic sur tous les ports (65535)

Inspecte toute les requêtes DNS (DNS Snooping) et compare les DNS A-records and CNAME avec la liste des sites malveillants

Bloque tout accès aux sites malveillants

Protection contre les Malwares de type Botnet

SIO

www.badsite.com

Top sites malveillants

Top postes infectés

Top ports utilisés par les malwares

ASA

Cloud

Feature


• Cluster up to 8 ASA appliances

• Load Balancing ApproachStateless load balancingby external switch(ECLB)or Router(ECMP, PBR)

Load balance within cluster over proprietary Cluster Control Protocol

• In-Cluster High Availability

• Hitless Upgrade Clu

ste

r C

on

tro

l L

ink


Single Management Interface


• 4 x ASA5585 SSP-20

• Port usage on each SSP-202 x 10GbE Ports in Port Channel

Configuration with Nexus 7k switch (Inside & Outside Sub-Interfaces)

1 x 1GbE in the same L2 Domain for Cluster Control traffic

2 x

10G

bE

Da

ta T

raff

ic P

ort

Ch

an

ne

l

Clu

ste

r Co

ntro

l Lin

k

• 1 x ASA5585 SSP-20

10Gbps Large Packet Throughput

9Gbps EMIX Throughput

3.2 Million PPS

• 4 x ASA5585 SSP-20

40Gbps Large Packet Throughput

33.5 EMIX Throughput

11 Million PPS


Introduction

La gamme ASA


Les fonctions IPS


Administration

Next Gen FW ASA-CX


Normalizer

Module

Signature

Updates

Engine

UpdatesCisco Security

Intelligence Operations

IN

GC

Modular

Inspection

Engines

On-Box

Correlation

Engine

Risk-Based

Policy Control

Forensics

Capture

Mitigation and

Alarm

Virtual Sensor

Selection

OUT

ICP

Reputation Filter


4000+ Signatures40,000

Exploits et Variantes

reconnus

Attaques


Innovation dans la gestion des menaces

Traffic Cleansing and

Signature Inspection

Identify known behaviors

Global Inspection

Increase Risk Rating for known bad actors

Decision

Engine

Block, Alert,

Permit, Limit

IPS Reputation Filters

Block worst global attackers

Cloud

Feature


• Sensorbase -> Sondes IPS

Update automatique sans intervention de l‟administrateur

Par défaut update toutes les 5 mn

Full update puis incrémental update

• Sondes IPS -> Sensorbase (en option)

Off: Aucune donnée est envoyé à SensorBase

Partial: Envoie quelques données sur les attaques

Full: Envoie de toutes les données sur les attaques

CiscoSensorBase

Cloud

Feature


Introduction

La gamme ASA


Les fonctions IPS


Administration

Next Gen FW ASA-CX


Subscription-based Security Services

Web Proxy

Authenticatio

n / IdentityCachingLogging

Management & Reporting

Data LossPrevention

Application Visibility &

Control

URL Filtering

Anti-Malware

Policy Engine

VM / Software CloudAppliance


Cloud Infrastructure

Roaming User

Home Office

Corporate Office

Branch Office

Internet

Cloud

Feature


Identification & Authentication

AD Light-weight agent or existing proxy

Via user‟s login scriptor browser-based

Note: ISR G2 deployment will be covered separately

Cloud-based Secure Web gateway

Web User Firewall

Internet

Arsenal Release

ScanSafe “connector” code implemented in the ASA

Redirects web traffic based on user name/groups, ports, IP addresses

Scansafe portal can be cross-launched from ASDM

Cloud

Feature


User forensics

Session-based

reporting

Detailed

browsing history

Cloud

Feature


Cloud

Feature


Introduction

La gamme ASA


Les fonctions IPS


Administration

Next Gen FW ASA-CX


• Corrélation et réduction du volume d‟événements pour les réseaux multi-gigabit

Capacités NetFlow v9 sur l‟ASA

Plus de 10 ans d‟innovation autour de Netflow

• Vers un standard de l‟industrie

Effort de standardisation en cours à l‟IETF IPFIX Working Group

S‟interface avec les solutions d‟administration NetFlow du marché

CiscoASA 5580

CS-MARS 3rd PartyNetFlow Collector

Netflow v9


Interface ergonomiquepour un accès simple aux services offerts par l‟ASA

Support du drag-and-drop pour faciliter l‟édition des politiques de sécurité

Permet de personnaliser l‟ interface utilisateur grace aux barres d‟outils et fenêtres repositionnables

Nouveau tableau de bordqui fournit une vuesynthétique des services

Fournit un comptagetemps réel des ACL pour un audit simple des politiques déployées


Configuration globale de la sécurité Cisco

Firewall Mgmt VPN Mgmt IPS Mgmt

Firewalls

• Support des ASA,

FWSM, et routeurs IOS

• Définition globale des

règles : NAT, ACLs,

objets, groupes

• Détection des conflits,

combinaison des

règles, compteurs des

hits

VPN

• Support des ASA,

VPNSM, VPN SPA, et

routeurs IOS

• Support des

technologies VPN :

DMVPN, Easy VPN, et

SSL VPN

• Wizard pour la création

des VPNs

• Création via la vue

topologie

• IPS

• Support des sondes

Hardware IPS et IOS

IPS

• Gestion des politiques

de signatures et des

mise à jour

• Déploiement simplifié

des politiques de

signatures


• Real-time device monitoring

• ASA et IPS

• CPU, Memoire, Interfaces,…

• Vues prédéfinies et customizables

• Envoie d‟Email sur problème

• Graphs


Introduction

La gamme ASA


Les fonctions IPS


Administration

Next Gen FW ASA-CX


• Les firewall “Next Generation” filtrent sur des utilisateurs et des applications.

• Une approche architecture (ISE/ASA/WSA) est plus efficace et granulaire

• Solution de type “tout en un” pour plus de simplicité


• Fonction “Context-Aware”

• Disponible sous forme de module dans l‟ASA 5585-X

• Integration futur sur l‟ensemblede la gamme ASA-X

ASA CX est la base du futur “one firewall” Cisco

WHENWHAT WHERE HOWWHO


WHAT

75,000+ MicroApps

MicroApp Engine

Classification approfondie

App Behavior

Contrôle l‟interaction de

l‟utilisateur avec

l‟application

Vaste…

… classification

de l‟intégralité du trafic

1,000+ apps

Cloud

Feature


www.facebook.com GO

Cisco SIO

You have chosen to open

Opening up setup.exe

setup.exe

Which is a: Binary File

from: http://99.226.67.13

Would you like to save this file?

Save File Cancel

Cloud

Feature


Threat Operations CenterSensorBase Dynamic Updates


SensorBase Threat Operations Center Dynamic Updates

WEB REQUESTS

30BEMAIL MESSAGES

100MWORLDWIDE TRAFFIC

35%

GLOBALLY DEPLOYED DEVICES

750,000+DATA RECEIVED PER DAY

4 TB


Threat Operations Center

ENGINEERS, TECHNICIANS

AND RESEARCHERS

500LANGUAGES

40+Ph.D.s, CCIE, CISSPs, MSCEs

80+

Dynamic Updates

SPENT IN DYNAMIC RESEARCH

AND DEVELOPMENT

$100MOPERATIONS

24x7x365


Threat Operations Center

PUBLICATIONS PRODUCED

20+PARAMETERS TRACKED

200+RULES per DAY

8M+

Dynamic Updates

IPS SIGNATURES PRODUCED

6,500+MINUTE UPDATES

3 to 5


Co

nte

xt

Aw

are

Po

licy E

ng

ine

Granular Visibility and Control With Performance

Nouvelle Architecture

Plu

gg

ab

le C

on

text

Sto

res

Context Aware Data Plane

Virtual Packet Rings

nScan Array

TLS &

SSL HTTPMS-

RPCFTP Scanner

„N‟


Introduction

La gamme ASA


Les fonctions IPS


Administration

Next Gen FW ASA-CX

Conclusion


Cisco-on-CiscoHome Office Coffee ShopMobile User

Branch Office

Corporate Office / HQ

AnyConnect

ASA- X

Thank you.

les nouveaux «pare » intégrés et l‟utilisation des ...€¢peer-to peer (kazaa) ... • botnet...

Documents