la politique de sécurité des systèmes d'info

1© 1999, Cisco Systems, Inc.

La politique de sécurité des systèmes

d’information

La politique de sécurité des systèmes

d’informationBertrand GARS

Ingénieur avant-vente

Tél. : 01 41 18 32 16e-mail : [email protected]

Atelier technologique du 7 décembre 1999 : La politique de sécurité des systèmes d ’information

InformationWeek : Enquête sur la sécurité de l’information

• 78% des sociétés interrogées ont connu des pertes financières dues à des problèmes en matière de sécurité de l’information dans les deux dernières années

• Certaines sociétés ont ainsi perdu plus de 1 million de dollars

Source : Ernst & Young 1996 Information Security Survey

Les causes :Les causes :Virus informatiques :Virus informatiques : 76%76%Acte malveillant interne :Acte malveillant interne : 42%42%Acte malveillant externe :Acte malveillant externe : 25%25%Erreurs par inadvertance :Erreurs par inadvertance : 70%70%Espionnage industriel :Espionnage industriel : 10%10%

Le marché de la sécurité est estimé Le marché de la sécurité est estimé à plus de 2,5 milliards de dollars en à plus de 2,5 milliards de dollars en

Europe à l’horizon 2001Europe à l’horizon 2001

Atelier technologique du 7 décembre 1999 : La politique de sécurité des systèmes d ’informationSource : Gartner Group

$0

$200

$400

$600

$800

$1,000

$1,200

1997 1998 1999 2000 2001 2002

Appliance

Midrange

High Security

En millions de dollars

Le marché mondial du FirewallLe marché mondial du Firewall


$0

$50

$100

$150

$300

$350

$400

1997 1998 1999 2000 2001 2002

$250

$200

Extranet

Accès distant

Internet

Le marché mondial du VPNLe marché mondial du VPN

Source : Gartner Group

En millions de dollars


AgendaAgenda

• Définir une politique de sécurité

• Les technologies de la sécurité

• Administration

• Sécurité des accès

• Intégrité des échanges

• Détection d’intrusion

• Evaluation de la vulnérabilité du réseau


Politique de SécuritéPolitique de Sécurité

“

”

La définition d’une Politique de Sécurité

Une politique de sécurité est l’ensemble des règles formelles auxquelles doivent se conformer les personnes autorisées à accéder à l'information et aux ressources d'une organisation.

B. FraserSite Security Handbook,

RFC 2196


Politique de sécurité

• Qui sont les utilisateurs?

• Quels sont leurs privilèges

• Où se trouve l’information?

• Quelle information doit être protégée?


Roue de la sécurité

Solution de sécurité intégrée globale, permettant à l’entreprise de minimiser et de gérer le risque

1) POLITIQUE SECURITE DE LA SOCIETE

2) CONCEVOIR / SECURISER

3) TESTER

4) SURVEILLER ET REPONDRE

5) GERER et AMELIORER


La sécurité c’est…La sécurité c’est…

Central de surveillance

Serrures traditionnelles

gardien

Caméra de surveillance

Card KeyCard Key

Intrusion Detection Sensor

Intrusion Detection Sensor

Intrusion Detection SensorIntrusion Detection SensorIntrusion Detection Director

Scanner

PIX Firewall

IOS Firewall

CiscoSecure ACS


Une gamme complète de produits de Sécurité : CiscoSecure

Une gamme complète de produits de Sécurité : CiscoSecure

Identification/autorisation et Identification/autorisation et intégrité des donnéesintégrité des données

• CiscoSecure IOS Integrated Solution

• CiscoSecure PIX Firewall

AuthentificationAuthentification• CiscoSecure ACS pour NT ou Unix

• Cisco Network Registrar

Solutions VPN et Solutions VPN et chiffrement IP-Sec chiffrement IP-Sec Audit Actif Audit Actif

• CiscoSecure Scanner

• CiscoSecure Intrusion Detection System

Politique de Sécurité Politique de Sécurité

• CiscoSecure Policy Manager

• CiscoSecure IP-Sec VPN Hardware Accelerator

• IOS


AgendaAgenda



• Administration






S ’adresser aux besoins actuels des S ’adresser aux besoins actuels des entreprisesentreprises

Voix / Images

ConsommateursPartenaires

Clients Sites distants

Applications en réseau

Connectivité d’entrepriseInternetIntranetExtranet

Concilier les performances, la disponibilité et la sécurité


Commerce électronique:objectifs

Commerce électronique:objectifs

• Réduire les erreurs de saisie des commandes

• Augmenter le bénéfice net

• Améliorer le traitement des commandes

• Réduire les stocks

ServeursServeursexternesexternes

Util. Web/Util. Web/navigateurnavigateur

Clientset associés

InternetMfg.

Systèmesinternes

Saisie cdes

Assist.clients

Application transactionsécurisée

Pare-feuPare-feu


ServeursServeursextérieursextérieurs

Util. Web /Util. Web /navigateurnavigateur

Clientset associés

InternetMfg.

Systèmesinternes

Saisie cdes

Assist.clients

Application transactionsécurisée

Commerce électronique:services réseau

Commerce électronique:services réseau

• Cacher les adresses internes• Filtrer et valider les informations de routage• Filtrage et pare-feu des privilèges des utilisateurs• Audit de mise en œuvre de la sécurité• Chiffrement des informations confidentielles• Surveillance active des intrusions

Pare-feuPare-feu


Les éléments de la sécuritéLes éléments de la sécurité

Policy

• Identité

Identifier correctement les utilisateurs

Déterminer ce qu’ils ont le droit de faire

• Intégrité

Assurer la disponibilité du réseau

Etablir la sécurité périphérique

Assurer la confidentialité

• Audit actif

Déterminer les points faibles du réseau

Détecter et contrer les intrus

• Gestion de la politique

Gestion centralisée des services de sécurité


IdentitéIdentité

• Identifier correctement et de manière unique les utilisateurs, les applications, les services et les ressources

Nom d’utilisateur/mot de passe, PAP, CHAP, serveur AAA, mot de passe à usage unique, RADIUS, TACACS+, Kerberos, MS-login, certificats , services d’annuaire, translation des adresses réseau


Intégrité—Sécurité périphérique

Intégrité—Sécurité périphérique

• Contrôler l’accès aux applications, données et services de réseau critiques

Listes de contrôle d’accès, technologies firewall, chiffrement, filtrage du contenu, CBAC


Importance d'un pare-feuImportance d'un pare-feu

• Permet un accès sécurisé aux ressources

• Protège les réseaux :

des intrusions commises par les sources externes et internes

des refus de service (Denial of Service - DoS)


• Context-based access control (CBAC)

Filtrage sécurisé selon l'application

Supporte les protocoles avancés (H.323, SQLnet, RealAudio, etc.)

• Contrôle du téléchargement des applets Java

• Détection et prévention des refus de service

• Détection d’intrusion (IDS)• Authentication proxy• Alertes en temps réel• Journal des transactions TCP/UDP• Configuration et gestion

Cisco Secure Integrated SoftwareCisco Secure Integrated Software


Network Address Translation

• Permet la translation dynamique ou statique d’adresses privées en adresses publiques

• Permet d’éviter la renumérotation• Permet d’économiser les adresses publiques (PAT)• Masque les adresses internes• Translation à la volée des requêtes DNS A et PTR

10.0.0.1

SA 10.0.0.1

Inside LocalInside LocalIP AddressIP Address

Inside GlobalInside GlobalIP AddressIP Address

10.0.0.110.0.0.110.0.0.210.0.0.2

171.69.58.80171.69.58.80171.69.58.81171.69.58.81

SA 171.69.58.8

Internet


• Suit l'état et le contexte des connexions du réseau pour sécuriser le trafic

• Inspecte les données en entrée et/ou en sortie

• Permet l'établissement des connexions en ouvrant temporairement les ports en fonction de l'inspection des données

• Paquets de retour autorisés seulement pour des connexions particulières par une liste de contrôle d'accès temporaire

Qu'est-ce que le contrôle d'accès dépendant du contexte (CBAC) ?Qu'est-ce que le contrôle d'accès dépendant du contexte (CBAC) ?


Cisco IOS:Filtrage de paquets

Serveur Finance

• Filtre par listes d’accès (ACL)

• Supporté par tous les routeurs Cisco

Agence Locale

J’ai besoin d’un rapport financier

Adresse Source/Destination Adresse Source/Destination Numéro de Port Numéro de Port

Type de Protocole Type de Protocole

Frame

RelayWAN

Backbone Campus


IOS Firewall : statefull inspection

• Le routeur observe les connexions sortantes

• Crée dynamiquement des ACL entrantes pour les adresses IP et les N° de port

Source Port

TCP Header

IP HeaderDestination Addr

Source Addr

# 1

Intial Sequence#

Destination Port

Flag

Ack # 2 : permit tcp 200.150.50.111 192.34.56.8 eq telnet

200.150.50.111192.34.56.8

1026

23

49091

Syn


Support d'applications du contrôle d'accès dépendant du contexte (CBAC)

de Cisco IOS• Support transparent pour les

services Internet courants TCP/UDP, dont :

WWW, Telnet, SNMP, finger, etc.

• FTP

• TFTP

• SMTP

• Blocage Java

• BSD R-cmds

• Oracle SQL Net

• Remote Procedure Call (RPC)

• Applications multimédia :

VDO Live de VDOnet

RealAudio de RealNetworks

InternetVideo Phone (H.323) d'Intel

NetMeeting (H.323) de Microsoft

Streamworks de Xing Technologies

CuSeeMe de Whitepine


Inspect Port Command

Abandon du paquetAbandon du paquet

Requête HTTPRequête HTTP

Signature JavaSignature Java

RéponseRéponseserveurserveur

Req. comp. prog. JavaReq. comp. prog. Java

N

Pas signature Java—Laisser passerPas signature Java—Laisser passer

Inspect.Inspect.

Serveur WebClient Web

Blocage Java


Evénements

Détection et prévention des attaques

Détection et prévention des attaques

• CBAC surveille les statistiques et conditions suivantes :

Total des demi-connexions

Taux de nouvelles connexions entrantes par minute

Temps mis pour l'établissement des connexions TCP

Comptage des paquets pour recherche de paquets syn dupliqués

Numéros de séquence des paquets


Cisco IOS Firewall : alertes en temps réel

• Envoi de messages syslog à la console de gestion centrale en cas de détection d'activité suspecte

Alertes d'attaques de refus de service, d'attaques de commande SMTP ou refus d’applets Java

Alertes automatiques en cas d'activation de la prévention d'attaques

Alertes configurables par l'outil de gestion syslog


Jeu de fonctions de Cisco IOS Firewall : journal de transactions

TCP/UDP

• Audit des transactions (CBAC audit_trail)

• Reconnaissance de la session et du port

• Exemple :

Sep 10 13:02:19 sifi-5 124: %FW-6-SESS_AUDIT_TRAIL: tcp session initiator (192.168.1.13:33192) sent 22 bytes—responder (192.168.129.11:25) sent 208 bytes

Sep 10 13:07:33 sifi-5 125: %FW-6-SESS_AUDIT_TRAIL: tcp session initiator (192.168.1.13:33194) sent 336 bytes—responder (192.168.129.11:25) sent 325 bytes


Cisco IOS Firewall Feature Set

Intrus Routeur

Cisco 2500

Internet

• Intégré dans les routeurs : 8OO, 1600, 1700, 2500, 2600, 3600, et 7200

Backbone Campus


Cisco PIX FirewallCisco PIX Firewall

• Pare-feu spécialisé

Appareil matériel/logiciel intégré

OS spécialisé

• Sécurité forte

Adaptive Security Algorithm (ASA)

Cut-through Proxy

Option réseau privé virtuel IPSec

• Performances

Plus de 256 000 sessions simultanées

Débit de plus de 170 Mbits/s

Plus de 6 500 connexions par seconde

N°1 des

ventes

mondiales

de pare-feu

N°1 des

ventes

mondiales

de pare-feu


PIX 515

• Coût plus faible, caractéristiques PIX minimales

Pas de licence basée sur la session

• Châssis simple rack

Deux ports Ethernet 10/100 intégrés

64 Mo de RAM pour plus de 128.000 sessions simultanées

Conçu pour un petit bureau ou un environnement à applications simples

• Logiciel version 4.4

PIX 515-R

• 32 Mo

• Restrictions

Pas de failover automatique

Interfaces max. limitées

Ethernet seul

PIX 515-UR

• 64 Mo

• Pas de restrictions


Principales caractéristiques de PIX

• Intégration d'HP OpenView

• Ethernet 10/100 Mbits/s, Token Ring 4/16 Mbits/s

• Authentification et autorisation d'interfaces multiples avec cut through proxy

• Supporte VPN (réseau privé virtuel)

Liaison privée : de LAN à LAN, DES

• Filtrage URL

• Blocage des applets Java

• Protection contre les refus de service

Mail Guard, DNS Guard, Flood Guard

• Failover automatique en cas de panne


Principales caractéristiques de PIX

• Translation d'adresse

Port et adresse IP

• Protocoles multimédia

H.323 (NetMeeting, Internet VideoPhone, etc.)

Netshow, RealAudio, CUSeeMe, StreamWorks, VXtreme, etc.

• Oracle SQL*Net et autres bases de données

• Blocage URL

Intégration à WebSense

Architecture hautement évolutive

Base de données externe et traitement de recherche pour minimiser les effets sur les performances du pare-feu et la sécurité

Support de serveurs multiples pour plus de capacité


Proxy Cut-Through =hautes performances

Utilisateur interne ou

externe

Ressource

1. Utilisateur fait une demande auprès de la ressource

2. PIX Firewall intercepte la connexion

3. PIX Firewall authentifie l'util. et vérifie la politique de sécurité

5. PIX Firewall connecte directement l'utilisateur à la ressource

4. PIX Firewall initie la connexion entre PIX et la ressource destinataire

CiscoSecure

PIX™


AgendaAgenda



• Administration






Architecture Cisco Secure Policy Manager

Architecture Cisco Secure Policy Manager

Policy Process:• Define• Enforce• Audit

DatabasePolicyServer(s)

PIXFirewalls

PolicyManager(s)

Perimeter SecurityPerimeter Security

Access Servers

AAA Server

Sensors

Directory

IDS & Directory ServicesIDS & Directory Services

Phase III

RoutersVPN

Clients

CertificateAuthority IPSec VPNsIPSec VPNs

Phase II

Phase I


Cisco Secure Policy Manager Cisco Secure Policy Manager

• Gestion orientée politiques de sécurité des périmètres de sécurité réseau

• Gestion jusqu’à 100 Cisco PIX firewalls

• Basé Windows

• Architecture client-serveur

• rapports Web


Cisco SecureCisco Secure

L’architecture de sécurité L’architecture de sécurité

38© 1999, Cisco Systems, Inc. www.cisco.fr


Schéma du réseauSchéma du réseau

INSIDE OUTSIDE

DMZ

Windows NT

10.10.10.22600

10.1.6.1

10.1.6.3SUN

10.10.10.1

WWW Server172.10.12.10

172.10.11.2

172.10.11.1

PIX Firewall

172.10.12.1

10.10.10.10 36401720

192.10.11.2

192.10.11.1

192.10.10.1

192.10.10.10Windows 95


L’architecture de sécuritéL’architecture de sécurité

INSIDE OUTSIDE

DMZ

ACS / CSPM

10.10.10.2

10.1.6.15Sensor

IPSEC 2600

10.1.6.1

10.1.6.3Director

10.10.10.1

WWW Server172.10.12.10

172.10.11.2

172.10.11.1

PIX Firewall

172.10.12.1

10.10.10.10 3640IPSEC 1720

192.10.11.2

192.10.11.1

192.10.10.1

192.10.10.10VPN Client

Scanner


AgendaAgenda



• Administration






Authentification, Autorisation, Accounting (AAA)

Outil logiciel d'application de la politique de sécurité

• AuthentificationVérifie l’identité—qui êtes-vous ?

• AutorisationConfigure l’intégrité— qu’avez- vous le droit de faire ?

• AccountingFacilite l’audit—qu’avez-vous fait ?

11 22 3344 55 6677

009988

11 22 3344 55 6677

009988


CiscoSecure ACSCiscoSecure ACS

• Authentification, Autorisation, Accounting (AAA)

• Base de données centralisée

• Rapport d’activité

Visualisation des utilisateurs connectés et des essais infructueux.


• Authentification centrale et autorisation utilisateurs distants

• RADIUS et TACACS+

• Permission heure du jour et jour de la semaine

• intégration serveur à jeton

CiscoSecure ACSCiscoSecure ACS


Serveur AAA

ID/User ProfileID/User ProfileID/User ProfileID/User ProfileID/User ProfileID/User Profile

ID/User ProfileID/User ProfileID/User ProfileID/User ProfileID/User ProfileID/User Profile

• Lock and Key

ServeurAAA

Utilisateur mobile

Serveur d’accès réseaux

Campus

Utilisateur InternetGatewayRouter Firewall

Intercept Connections

Réseau Public

Internet

TACACS+

RADIU

S

TACACS+

RADIUS


AgendaAgenda



• Administration






Audit actif—Système de détection des intrusionsAudit actif—Système de détection des intrusions

• Détecte et réagit aux intrusions ou anomalies reconnues ou suspectées du réseau

Surveillance croisée, base de données des menaces et comportements suspects, infrastructure de communication, changements du contrôle d’accès


Cisco Secure Intrusion Detection System


• Architecture Evolutive

• Eléments CSIDS

Sensor

Director

• Haute Performance


• Détection active des intrusions

Surveille le comportement des utilisateurs pendant qu'ils sont sur le réseau

Semblable aux gardes, cameras vidéo et détecteurs de mouvement qui protègent les chambres fortes


Director

Sensor

Sensor


Caractéristiques de CSIDS

• Arrête immédiatement les utilisations abusivesReconfiguration “sur-le-champ” des listes de contrôle d'accès du routeur Cisco pour écarter les intrus

• Technologie à la pointe de l'industrie

Installation et configuration rapides et aisées

Evolutivité, fonctionnement distribué

Hautes performances—Ethernet 100 Mbits/s, FDDI, Token Ring

Un moteur avancé détecte les attaques complexes (détournement de TCP, e-mail, spam )

• Exploite l'investissement réalisé dans le réseau Cisco

Surveillance et alarmes des syslogs sur les routeurs Cisco


Architecture CSIDS

• Gestion des capteurs distants • Traitement des alarmes• Contrôle de configuration• Contrôle de signature

• Système expert • BD de signatures des

attaques • Détection des attaques• Génération des alarmes• Réponse• Un par segment réseau

Director

* Logiciel *

Sensor

* Appareil *

Comm


• Hautes performancesEthernet, Fast Ethernet, 100BaseT, Token Ring, FDDI

Système d'exploitation robuste, fiable

• Plate-forme sécurisée

• Analyseur furtif de réseauAucune dégradation des performances du réseau

• Appareil "Plug-and-play" Pas de formation spéciale, pas d'ennuis (vs SW/HW)

Faible coût par rapport à la durée de vie du produit

Configuration par défaut disponible

Pas de licence—déplaçable à volonté

• Vérifie chaque paquet

CSIDS SensorCSIDS Sensor


• GUI à orientation géographique

• BD sécurité du réseauInformations sur les attaques, liens autom., contre-mesures

Personnalisable

• Surveille des centaines de sensors

• Manager de configurationConfig. distante 'pointer-cliquer'

Mise à jour aisée des signatures

• Puissante capacité de signalisation

Solution évolutive par utilisation de directeurs hiérarchisés

applications third party (Telemate...)

• Capacités supplémentaires d'alarmes

Alertes pager, e-mail ...

CSIDS DirectorCSIDS Director


MagiqueMagique


Cisco SecureCisco Secure

Scanner Scanner

55Presentation_ID © 1999, Cisco Systems, Inc. www.cisco.fr


Audit actif—Evaluation de la vulnérabilité du réseau

Audit actif—Evaluation de la vulnérabilité du réseau

• Evaluation et notification de l’état de sécurité des éléments du réseau

scanning (actif, passif), base de données de vulnérabilités


Cisco Secure ScannerCisco Secure Scanner

• Identifie les attaques et les points de vulnérabilité du réseau d’entreprise et recommande des solutions


Cisco Secure Scanner Cisco Secure Scanner

• Audit actif du profil de sécurité réseau

• Fournit l'expertise de sécurité aux non-experts


Pourquoi un audit actif ?Pourquoi un audit actif ?

• Le pirate peut être un employé ou un partenaire ‘insoupçonnable’

Jusqu’à 80% des atteintes à la sécurité sont commises de l’intérieur (Source: FBI)

• La défense peut être inefficaceUne intrusion sur trois a lieu malgré la présence de pare-feu (Source: Computer Security Institute)

• Les employés peuvent se tromperErreur de configuration des pare-feu, serveurs, etc.

• Le réseau s’agrandit et changeChaque changement augmente les risques

Les firewalls, autorisations et chiffrements n’assurentpas la DETECTION de ces problèmes


Comment fonctionne Cisco Secure ScannerComment fonctionne Cisco Secure Scanner

Découverte réseau

Actif

Test ping - Hôtes ID

Inactif

Test ports - Svcs ID

EmailSvr

WebSvr

Postesde travail

Pare-feu

Routeur

• SMTP• FTP

• HTTP• FTP

• Telnet

Analyse vulnérabilité passive

Analyse vulnérabilité active

Présentation &édition d'état

Réalisé contre hôtes cibles

Données découverte analysées par règles

Poste de travail :Windows NT v4.0•SMB Redbutton•FTP anonyme

Communiquerles résultats

FTP Bounce Exploit


Caractéristiques de Cisco Secure ScannerCaractéristiques de

Cisco Secure Scanner

• Interface utilisateur intuitive

• Ordonnanceur

• Cartographie du réseauHôtes actifs

Services actifs

• Détection des équipementsPostes de travail, routeurs, pare-feu, imprimantes, etc.

Système d'exploitation avecnuméro de version

Système d'exploitation non-An 2000

• Identification de vulnérabilitéTechniques passives et actives

Vulnérabilité infrastructure et réseau

Non-intrusive

• Présentation innovante des données

• BD sécurité réseau

• Sortie d'états complets


IPSEC: architecture

etsolutions Cisco

gilles [email protected]

IPSEC: architecture

etsolutions Cisco

gilles [email protected]


AgendaAgenda

• Introduction à la terminologie et au techniques du chiffrement

• Introduction à IPSEC

• Architecture du protocole IPSEC

• Scénarios d’implémentation IPSEC

• Troubleshooting IPSEC

• Plateformes

• Management


Qu’est ce que le chiffrement ?Qu’est ce que le chiffrement ?

• C’est la conversion de texte en clair (plaintext) en texte codé (ciphertext) par un algorithme prédéfini

• Généralement le ciphertext à la même longueur que le plaintext

• Souvent une clé est utilisée pour générer le ciphertext à partir d’un plaintext -


Algorithme et clé

Une clé est un paramêtre utilisé par un algorithme de chiffrement pour chiffrer les données

Après chiffrement, soit la même clé (chiffrement symétrique) soit une clé complémentaire (algorithme asymétrique) est utilisée pour décrypter le ciphertext.


Clé publique, clé privée

Une clé privée est une clé qui est seulement connue de celui qui la possède

Une clé publique est connue de tous mais appartient à un unique individu

Les données chiffrées avec ma clé publique peuvent uniquement être décryptée avec ma clé privée .

Les données chiffrées avec ma clé privée peuvent uniquement être décryptée avec ma clé publique .

Quand Alice envoie des données à Bob et ne veut pas que quelqu’un d’autre en prenne connaissance, elle chiffre avec la clé public de Bob puis chiffre le résultat avec sa propre clé privée. Bob reçoit le ciphertext, le decrypte avec la clé publique d’Alice (ce qui confirme que les données viennent bien d’Alice) et décrypte à nouveau avec sa propre clé privée.


Confidentialité de l’algorithme versus key space

Confidentialité de l’algorithme versus key space

• Confidentialité de l’algorithme: Si le pirate ne connait pas l’algorithme il ne peut déchiffrer les données

• large key space: le pirate connait l’algorithme mais l’espace des clés est trop grand pour pouvoir trouver la clé et déchiffrer l’algorithme

• Le Key space pour un chiffrement de 56 bits est 2^56 soit 72 millions de milliards de clés


Utilisation du chiffrement pour l’authentification: la signature numérique


AliceAlice

Message

HashHashFunctionFunction

Hash

Hash

Alice’s Private Key

recipient


Decrypt the Received Signature

Public Key

Alice

Hash

Hash



MessageMessage

Message with

Appended Signature

Hash

Hash the Received Message

HashHashFunctioFunctio

nn

MesMes

sagesage

Hash???


Le serveur de Certificats: Comment obtenir une clé publique en toute

sécurité ?

• Risque de l’attaque “man in the middle”, le pirate remplace une clé publique par sa propre clé publique

• Les Certificate authority (CA) servers sont utilisés pour certifier la validité et l’appartenance des clés publiques

• Le serveur CA peut vérifier une clé publique en envoyant cette clé signée par sa propre clé privée à la personne demandant la vérification.


Processus de certificationProcessus de certification

InternetInternet

CA Server

Get signed Public key

for Bob from CA

Get signed Public key for Alice from CA

Alice Bob


peer namepeer public keyexpiration dateother info

signature by the CA

Certificats

• Les certificats ne sont pas secrets

• structure ITU X.509 v3 ou PKCS#6 (S/MIME, SSL, EAP-TLS, …)


AgendaAgenda






• Plateformes

• Management


Qu’est-ce qu’IPSEC Qu’est-ce qu’IPSEC

• IPSEC pour IP Security

• Protocol de niveau 3 développé pour la securité

• “A security protocol in the network layer will be developed to provide cryptographic security services that will flexibly support combinations of authentication, integrity, access control, and confidentiality” (IETF)


Pourquoi IPSEC?Pourquoi IPSEC?

• Etendre le réseau d’entreprise à travers l’Internet

• Mettre en place du business sur l’Internet

• Reduire le coût des accès distants

internet intranet


Pourquoi IPSEC? (....)Pourquoi IPSEC? (....)

• Standard pour confidentialité , intégrité et authenticité

• Implémenté de façon transparente dans une infrastructure réseau

• Solution de sécurité de bout en bout (routeurs, firewalls, PCs, serveurs)


AgendaAgenda






• Plateformes

• Management


Architecture du protocole IPSEC

IPSEC est une combinaison de 3 protocoles (ESP, AH et IKE)

• Authentification - Intégrité - Confidentialité

• Authentication Header (AH)

• Encapsulating Security Payload (ESP)

• Internet key Exchange (IKE)


Comment fonctionne IPSEC

IPSEC est implementé en 5 étapes:

• Décision d’utilisation IPSEC entre deux points sur l’Internet

• Configuration des deux gateways entre les deux end points pour supporter IPSEC

• Initiation d’un tunnel IPSEC entre les deux gateways pour le trafic intéressant

• Negociation des paramêtres IPSEC/IKE entre les deux gateways

• Passage du trafic chiffré


IKE

• Internet key Exchange protocol– négociation des paramêtres du protocole

– échange clés (Diffie Hellman)

– authentification des deux cotés

– gestion des clés après échange


IKE (....)IKE (....)

Alice’srouter

1. Paquet sortant de Alice vers Bob. sans IPSec SA

2. IKE Alice commence la negociation avec Bob’

IKE

3. Negociation terminée. Alice et Bob ont un jeu complet de SAs

IKEIKE TunnelIKE Tunnel

IPSecIPSec

Bob’s router

4. Paquet émis de Alice vers Bob protégé par SA IPSec

IPSecIPSec


IDEA, SHA, et DSS Signatures

Algorithme de chiffrement, Algorithme d’authentification, et Méthode d’ Authentication

AliceAlice BobBob

3DES, MD5, et RSA Signatures, OUIDEA, SHA, et DSS Signatures, OUBlowfish, SHA, et RSA Encryption

IKE Policy TunnelIKE Policy Tunnel

Négociation IKENégociation IKE


IKE a besoin de clé publique pour l’authentification

Les SA IPSEC doivent connaitre pour chaque peer- transform- clé

Cle publique alice Cle publique Bob

Pour authentifier IKE AlicePour authentifier IKE Bob

IKEIKE IKEIKE

protocole IPSEC: ESP, AHprotocole IPSEC: ESP, AH

Protocole IKEProtocole IKE

l

Alice Bob


Echange des clés publiques

• Chaque peer:

génère sa paire de clés publique/privé

stocke sa clé privée dans un endroit sûr

transmet en clair sa clé publique

• celui qui reçoit la clé:

DOIT authentifer la clé reçue


Echange de clés manuel

• Le processus a besoin d’une intervention humaine à chaque échange de clé

• non scalable: n peers => n*(n-1) échanges

key exchangeskey exchanges+ authentication+ authenticationkey exchangeskey exchanges+ authentication+ authentication


Echange de clé automatique

• Certification Authority

• le peer doit prouver son authenticité devant le CA

• le CA signe le certificat


Echange de clé automatique

• scalable: n peers => n authentification et n certificats

Certification Authority

automatic certificateautomatic certificate exchangesexchanges

automatic certificateautomatic certificate exchangesexchanges

authenticationsauthenticationsauthenticationsauthentications


AH Authentication Header

IP header Auth. header other headers and payloads

IP header other headers and payloads secret key

Digital signature (RFC 1828 = MD5)

Datagramme IP d’origine

Datagramme IP authentifié


ESPESP

• Encapsulating Security payload– Chiffrement du payload

– Transport du paquet sur IP

– Authentification de la source


IPsec ESP Transport

IP header ESP header other headers and payloads

IP header other headers and payloads secret key


Datagramme IP avec transport ESP

chiffrement


IPsec ESP Transport (.)

Utilisable de bout en bout, entre hosts

ESP Transport ‘tunnel’


IPsec ESP Tunnel

new IP header

ESP header

IP header other headers and payloads

secret key


Datagramme IP avec tunnel ESP

chiffrement

IP header other headers and payloads

new IP header

Mouveau header IP


IPsec ESP Tunnel (.)

Souvent entre routeurs ou Firewall pour VPN


Sniffing impossible

Sniffing possibleSniffing possible


IPsec ESP Tunnel (.)

Ou entre client et firewall/routerprincipalement VPDN


Sniffing impossible

Sniffing possible


Format du paquet ESPFormat du paquet ESP

Security parameter Index (SPI)

Sequence Number

Payload Data (variable length)

Padding (0-255 bytes)

Pad Length

Next header

Authentication Data

IP Header

encrypted Authentic-ated


AgendaAgenda




• Scénari d’implémentation IPSEC


• Plateformes

• Management


Scénari de design

Router vers Router

PC vers Router

Router vers Firewall

PC vers Firewall

`

une Router vers plusieurs


Comment lire une configuration IPSEC

Routage du trafic vers l’interface de sortieRoutage du trafic vers l’interface de sortie

Si cette interfacea une crypto map configurée, aller vers cette crypto mapSi cette interfacea une crypto map configurée, aller vers cette crypto map

Aller à l’access list spécifiée dans la crypto mapAller à l’access list spécifiée dans la crypto map

Si le trafic matche l’access list alors négocier le tunnel IPSEC avec le peer spécifié dans la Si le trafic matche l’access list alors négocier le tunnel IPSEC avec le peer spécifié dans la crypto map basée sur le transform set et la politique ISAKMPcrypto map basée sur le transform set et la politique ISAKMP

Envoyer le trafic à travers le tunnelEnvoyer le trafic à travers le tunnel


VPN Router vers Router

Encrypté

internet

172.16.1.30

100.126.125.53

172.21.1.30

100.126.125


VPN Router vers Router VPN :Router 1

crypto isakmp policy 1 hash md5 authentication pre-share crypto isakmp key 123a34GDE1 address 100.126.125.54

crypto ipsec transform-set TACSet ah-md5-hmac esp-des

crypto map TACMap 1 ipsec-isakmp set peer 100.126.125.54 set security-association lifetime seconds 86400 set transform-set TACSet

match address 101 interface Ethernet0 description connected to EthernetLAN ip address 172.16.1.30 255.255.0.0 no ip directed-broadcast ip nat inside no ip route-cache no ip mroute-cache

interface ethernet1 description connected to Internet ip address 100.126.125.53 255.255.255.252 no ip directed-broadcast ip nat outside no ip route-cache no ip mroute-cache crypto map TACMap ip nat inside source route-map 16map pool CT16nat overload ip route 0.0.0.0 0.0.0.0 100.126.125.54

access-list 101 permit ip 172.16.0.0 0.0.255.255 172.21.0.0 0.0.255.255 access-list 116 deny ip 172.16.0.0 0.0.255.255 172.21.0.0 0.0.255.255 access-list 116 permit ip 172.16.0.0 0.0.255.255 any

route-map 16map permit 10 match ip address 116

(please not that we are not doing NAT for the traffic going to the IPSEC tunnel, but only to the rest of the internet)

1 2


VPN Router vers Router VPN :Router 2

crypto isakmp policy 1 hash md5 authentication pre-share crypto isakmp key 123a34GDE1 address 100.126.125.53

crypto ipsec transform-set TACSet ah-md5-hmac esp-des crypto map TACMap 1 ipsec-isakmp set peer 100.126.125.53 set security-association lifetime seconds 86400 set transform-set TACSet match address 101 interface Ethernet0 description connected to EthernetLAN ip address 172.21.1.30 255.255.0.0 ip nat inside interface ethernet1 description connected to Internet ip address 100.126.125.54 255.255.255.252 ip nat outside crypto map TACMap

interface serial 1 description connected to Internet ip address 100.126.125.54 255.255.255.252 no ip directed-broadcast ip nat outside crypto map TACMap

ip nat pool 21nat 200.1.2.1 200.1.2.253 netmask 255.255.255.0 ip nat inside source route-map remote21 pool 21nat overload ip route 0.0.0.0 0.0.0.0 100.126.125.53 access-list 101 permit ip 172.21.0.0 0.0.255.255 172.16.0.0 0.0.255.255 access-list 121 deny ip 172.21.0.0 0.0.255.255 172.16.0.0 0.0.255.255 access-list 121 permit ip 172.21.0.0 0.0.255.255 any route-map remote21 permit 10 match ip address 121

3

4


Router vers Router: clés rsaRouter vers Router: clés rsa

Encrypté

internet

50.50.50.50

20.20.20.21 20.20.20.20

60.60.60.60


Router vers Router clé RSA config: Router 1

wan2511(config)#crypto key generate rsaThe name for the keys will be: wan2511.cisco.comChoose the size of the key modulus in the range of 360 to 2048 for yourGeneral Purpose Keys. Choosing a key modulus greater than 512 may takea few minutes. How many bits in the modulus [512]: Generating RSA keys …[OK]

wan2511#sh crypto key mypubkey rsa % Key pair was generated at: 00:09:04 UTC Mar 1 1993Key name: wan2511.cisco.comUsage: General Purpose KeyKey Data:305C300D 06092A86 4886F70D 01010105 00034B00 30480241 00E9007B E5CD7DC8 6E1C0423 92044254 92C972AD 0CCE9796 86797EAA B6C4EFF0 0F0A5378 6AFAE43B 3A2BD92F 98039DAC 08741E82 5D9053C4 D9CFABC1 AB54E0E2 BB020301 0001

wan2511#wan2511(config)#crypto key pubkey-chain rsa wan2511(config-pubkey-chain)#named-key wan2516.cisco.comwan2511(config-pubkey-key)#key-string Enter a public key as a hexidecimal number ....wan2511(config-pubkey)#$86F70D 01010105 00034B00 30480241 00DC3DDC 59885F14 wan2511(config-pubkey)#$D918DE FC7ADB76 B0B9DD1A ABAF4884 009E758C 4064C699 wan2511(config-pubkey)#$220CB9 31E267F8 0259C640 F8DE4169 1F020301 0001 wan2511(config-pubkey)#quitwan2511(config-pubkey-key)#^Zwan2511#wan2511#sh crypto key pubkey-chain rsa Key name: wan2516.cisco.comKey usage: general purposeKey source: manually enteredKey data:305C300D 06092A86 4886F70D 01010105 00034B00 30480241 00DC3DDC 59885F14 1AB30DCB 794AB5C7 82D918DE FC7ADB76 B0B9DD1A

1

2


Router vers Route Router vers Router clé RSA config: Router

ABAF4884 009E758C 4064C699 3BC9D17E C47581DC 50220CB9 31E267F8 0259C640 F8DE4169 1F020301 0001wan2511#wr t hostname wan2511 ip host wan2516.cisco.com 20.20.20.20 ip domain-name cisco.com

crypto isakmp policy 1 authentication rsa-encr group 2 lifetime 240 crypto isakmp identity hostname

crypto ipsec transform-set auth2 ah-sha-hmac esp-des esp-sha-hmac

crypto map test 10 ipsec-isakmp set peer 20.20.20.20 set transform-set auth2 match address 133

crypto key pubkey-chain rsa named-key wan2516.cisco.com key-string

305C300D 06092A86 4886F70D 01010105 00034B00 30480241 00DC3DDC 59885F14 1AB30DCB 794AB5C7 82D918DE FC7ADB76 B0B9DD1A ABAF4884 009E758C 4064C699 3BC9D17E C47581DC 50220CB9 31E267F8 0259C640 F8DE4169 1F020301 0001 quit

interface Ethernet0 ip address 50.50.50.50 255.255.255.0

interface Serial0 ip address 20.20.20.21 255.255.255.0 encapsulation ppp no ip mroute-cache crypto map test

ip classless ip route 0.0.0.0 0.0.0.0 10.11.19.254 ip route 60.0.0.0 255.0.0.0 20.20.20.20 access-list 133 permit ip 50.50.50.0 0.0.0.255 60.60.60.0 0.0.0.255

3

4



wan2516(config)#crypto key generate rsa The name for the keys will be: wan2516.cisco.comChoose the size of the key modulus in the range of 360 to 2048 for yourGeneral Purpose Keys. Choosing a key modulus greater than 512 may take a few minutes.How many bits in the modulus [512]: Generating RSA keys ...[OK]wan2516#sh crypto key mypubkey rsa% Key pair was generated at: 00:06:35 UTC Mar 1 1993Key name: wan2516.cisco.comUsage: General Purpose KeyKey Data:305C300D 06092A86 4886F70D 01010105 00034B00 30480241 00DC3DDC 59885F14 1AB30DCB 794AB5C7 82D918DE FC7ADB76 B0B9DD1A ABAF4884 009E758C 4064C699 3BC9D17E C47581DC 50220CB9 31E267F8 0259C640 F8DE4169 1F020301 0001wan2516(config)#crypto key pubkey-chain rsa wan2516(config-pubkey-chain)#named-key wan2511.cisco.comwan2516(config-pubkey-key)#key-string

Enter a public key as a hexidecimal number ....wan2516(config-pubkey)#$86F70D 01010105 00034B00 30480241 00E9007B E5CD7DC8 wan2516(config-pubkey)#$C972AD 0CCE9796 86797EAA B6C4EFF0 0F0A5378 6AFAE43B wan2516(config-pubkey)#$741E82 5D9053C4 D9CFABC1 AB54E0E2 BB020301 0001 wan2516(config-pubkey)#quitwan2516(config-pubkey-key)#^Zwan2516#sh crypto key pubkey rsaKey name: wan2511.cisco.comKey usage: general purposeKey source: manually enteredKey data:305C300D 06092A86 4886F70D 01010105 00034B00 30480241 00E9007B E5CD7DC8 6E1C0423 92044254 92C972AD 0CCE9796 86797EAA B6C4EFF0 0F0A5378 6AFAE43B 3A2BD92F 98039DAC 08741E82 5D9053C4 D9CFABC1 AB54E0E2 BB020301 0001

1

2



wan2516#wr t hostname wan2516 ip host wan2511.cisco.com 20.20.20.21 ip domain-name cisco.com crypto isakmp policy 1 authentication rsa-encr group 2 lifetime 240 crypto isakmp identity hostname

crypto ipsec transform-set auth2 ah-sha-hmac esp-des esp-sha-hmac crypto map test 10 ipsec-isakmp set peer 20.20.20.21 set transform-set auth2 match address 144 crypto key pubkey-chain rsa named-key wan2511.cisco.com key-string 305C300D 06092A86 4886F70D 01010105 00034B00 30480241 00E9007B E5CD7DC8

6E1C0423 92044254 92C972AD 0CCE9796 86797EAA B6C4EFF0 0F0A5378 6AFAE43B 3A2BD92F 98039DAC 08741E82 5D9053C4 D9CFABC1 AB54E0E2 BB020301 0001 quit

interface Loopback0 ip address 70.70.70.1 255.255.255.0 no ip route-cache no ip mroute-cache

interface Ethernet0 ip address 60.60.60.60 255.255.255.0

interface Serial0 ip address 20.20.20.20 255.255.255.0 encapsulation ppp clockrate 2000000 crypto map test

ip default-gateway 20.20.20.21 ip classless ip route 0.0.0.0 0.0.0.0 20.20.20.21 access-list 144 permit ip 60.60.60.0 0.0.0.255 50.50.50.0 0.0.0.255

3

4


Router vers Router: config CARouter vers Router: config CA

Encrypté

internet

40.40.40.40

12.12.12.13 12.12.12.12

20.20.20.20

CA Server

lab-isdn1 lab-isdn


Router vers Router: config CA lab-isdn1

hostname lab-isdn1

ip host ciscoca-ultra 171.69.54.46

ip host lab-isdn 12.12.12.12

ip domain-name cisco.com

ip name-server 171.68.10.70

ip name-server 171.68.122.99 crypto ipsec transform-set mypolicy ah-sha-hmac esp-des esp-sha-hmac

crypto map test 10 ipsec-isakmp

set peer 12.12.12.12

set transform-set mypolicy

match address 144

crypto ca identity bubba

enrollment url http://ciscoca-ultra

crl optional crypto

ca certificate chain bubba certificate 3E1ED472BDA2CE0163FB6B0B004E5EEE 308201BC 30820166 A0030201 0202103E 1ED472BD A2CE0163 FB6B0B00 4E5EEE30

[Removed]

interface Ethernet0

ip address 40.40.40.40 255.255.255.0

Interface BRI0

ip address 12.12.12.13 255.255.255.0

encapsulation ppp

no ip mroute-cache

dialer idle-timeout 99999

dialer map ip 12.12.12.12 name lab-isdn 4724171

dialer hold-queue 40

dialer-group 1 isdn spid1 919472411800 4724118

isdn spid2 919472411901 4724119 1 2


Router vers Router: CA config lab-isdn1 (....)

ppp authentication chap

crypto map test

ip classless ip route 0.0.0.0 0.0.0.0 12.12.12.12

access-list 144 permit ip 40.40.40.0 0.0.0.255

20.20.20.0 0.0.0.255

dialer-list 1 protocol ip permit

3

4


Router vers Router: CA config lab-isdn

hostname lab-isdn

ip host ciscoca-ultra 171.69.54.46

ip host lab-isdn1 12.12.12.13

ip domain-name cisco.com



crypto ipsec transform-set mypolicy ah-sha-hmac esp-des esp-sha-hmac

crypto map test 10 ipsec-isakmp

set peer 12.12.12.13

set transform-set mypolicy match address 133

crypto ca identity lab enrollment url http://ciscoca-ultra

crl optional

crypto ca certificate chain lab certificate 44FC6C531FC3446927E4EE307A806B20 308201E0 3082018A A0030201 02021044

FC6C531F C3446927 E4EE307A 806B2030 0D06092A 864886F7 0D010104 05003042 31163014 06035504 0A130D43 6973636F 20537973 74656D73 3110300E 06035504 0B130744

[Removed]

interface Ethernet0

ip address 20.20.20.20 255.255.255.0

interface BRI0

ip address 12.12.12.12 255.255.255.0

no ip proxy-arp encapsulation ppp

no ip mroute-cache bandwidth 128

load-interval 30

dialer idle-timeout 99999 dialer hold-queue 40

dialer- group 1

1

2


Router vers Router: CA config lab-isdn (....)

isdn spid1 919472417100 4724171

isdn spid2 919472417201 4724172

ppp authentication chap

crypto map test

ip classless ip route 0.0.0.0 0.0.0.0 12.12.12.13

access-list 133 permit ip 20.20.20.0 0.0.0.255

40.40.40.0 0.0.0.255 dialer-list 1 protocol ip permit

3


Router vers Multiple routersRouter vers Multiple routers

Encrypté

internet

192.168.100.1

172.21.115.1 172.21.116.1

192.168.150.1

192.168.50.1

172.21.114.1

DetectiveFamous

Charlie


Multiple Peers: Router ‘charlie’Multiple Peers: Router ‘charlie’hostname charlie

crypto isakmp policy 10 authentication pre-sharecrypto isakmp key orientexpress address 172.21.115.1 crypto isakmp key fortunecookie address 172.21.116.1

crypto ipsec transform-set encrypt-des esp-des

crypto map charlie2peer 10 ipsec-isakmp set peer 172.21.115.1 set transform-set encrypt-des match address 110crypto map charlie2peer 20 ipsec-isakmp set peer 172.21.116.1 set transform-set encrypt-des match address 111

interface ethernet 0 ip address 192.168.50.1 255.255.255.0

interface Ethernet1 ip address 172.21.114.1 255.255.255.0 crypto map charlie2peer

router eigrp 100 network 172.21.0.0 network 192.168.50.0

access-list 110 permit ip host 192.168.50.1 host 192.168.100.1access-list 111 permit ip host 192.168.50.1 host 192.168.150.1

1 2


Multiple Peers: Router ‘famous’Multiple Peers: Router ‘famous’hostname famous

crypto isakmp policy 10 authentication pre-sharecrypto isakmp key orientexpress address 172.21.114.1


crypto map famous2peer 10 ipsec-isakmp set peer 172.21.114.1 set transform-set encrypt-des match address 101

interface ethernet0 ip address 192.168.100.1 255.255.255.0

interface Ethernet1 ip address 172.21.115.1 255.255.255.0 crypto map famous2peer


access-list 101 permit ip host 192.168.100.1 host 192.168.50.1

1 2


Multiple Peers: Router ‘detective’Multiple Peers: Router ‘detective’hostname detective

crypto isakmp policy 10 authentication pre-sharecrypto isakmp key fortunecookie address 172.21.114.1


crypto map detective2peer 10 ipsec-isakmp set peer 172.21.114.1 set transform-set encrypt-des match address 110


interface Ethernet1 ip address 172.21.116.1 255.255.255.0 crypto map detective2peer


access-list 110 permit ip host 192.168.150.1 host 192.168.50.1

1 2


Router vers PC ClientRouter vers PC Client

Encrypté

internet

10.10.1.1

200.200.200.1 200.200.200.100


Router vers PC Client: Client Router vers PC Client: Client Policy Name: Cisco

Remote Party ID:ID: SubnetSubnet: 10.0.0.0Mask: 255.0.0.0

Connect Using Secure Gateway TunnelID Type: IP Address

200.200.200.1

My Identity: Certificate: NoneID type: IP AddressPre-shared Key: 12345678

Security Policy:Authentication (Phase 1):

Pre-shared KeyAuthentication Algorithm: DES

Hash Algorithm: SHA-1SA Life: UnspecifiedKey Group: DH-1Key Exchange (Phase 2)

ESPEncryption Algorithm:DES

Hash Algorithm: MD5Encapsulation: TunnelSA Life: Unspecified

1 2


Router vers PC Client: RouterRouter vers PC Client: Routercrypto isakmp policy 2 authentication pre-sharecrypto isakmp key 12345678 address 200.200.200.100

crypto ipsec security-association lifetime kilobytes 100000

crypto ipsec transform-set esp-des esp-md5-hmac

crypto dynamic-map localmap 10 set transform-set esp-des-md5 match address 105

crypto map toPeer 30 ipsec-isakmp dynamic localmap

interface Ethernet0 ip address 200.200.200.1 255.255.255.0 crypto map toPeer


router rip network 10.0.0.0 network 200.200.200.0

access-list 105 permit ip 10.0.0.0 0.255.255.255 host 200.200.200.100

1 2


AgendaAgenda




• Scénarii d’implémentation IPSEC


• Plateformes

• Management


TroubleshootingTroubleshooting

– debug crypto ipsec

–debug crypto isakmp

–debug crypto engine

–show crypto isakmp sa

– show crypto ipsec sa

– sh crypto engine connections active


Trace lors d’un fonctionnement correct


irmg.cayman#sh debugCryptographic Subsystem: Crypto ISAKMP debugging is on Crypto Engine debugging is on Crypto IPSEC debugging is onirmg.cayman#pingProtocol [ip]:Target IP address: 10.146.1.1Repeat count [5]: 10Datagram size [100]:Timeout in seconds [2]:Extended commands [n]: ySource address or interface: 205.136.238.33Type of service [0]:Set DF bit in IP header? [no]:Validate reply data? [no]:Data pattern [0xABCD]:Loose, Strict, Record, Timestamp, Verbose[none]:Sweep range of sizes [n]:Type escape sequence to abort.Sending 10, 100-byte ICMP Echos to 10.146.1.1, timeout is 2 seconds: 1d09h: IPSEC(sa_request): ,

(key eng. msg.) src= 205.136.238.33, dest= 209.146.47.206, src_proxy= 205.136.238.0/255.255.255.0/0/0 (type=4), dest_proxy= 10.146.1.0/255.255.255.0/0/0 (type=4), protocol= ESP, transform= esp-des , lifedur= 3600s and 4608000kb, spi= 0x0(0), conn_id= 0, keysize= 0, flags= 0x40041d09h: ISAKMP (16): beginning Main Mode exchange1d09h: ISAKMP (16): processing SA payload. message ID = 01d09h: ISAKMP (16): Checking ISAKMP transform 1 against priority 1 policy1d09h: ISAKMP: encryption DES-CBC1d09h: ISAKMP: hash MD51d09h: ISAKMP: default group 11d09h: ISAKMP: auth pre-share.1d09h: ISAKMP (16): atts are acceptable. Next payload is 01d09h: Crypto engine 0: generate alg param 1d09h: CRYPTO_ENGINE: Dh phase 1 status: 01d09h: ISAKMP (16): SA is doing pre-shared key authentication

1 2




1d09h: ISAKMP (16): processing KE payload. message ID = 01d09h: Crypto engine 0: generate alg param 1d09h: ISAKMP (16): processing NONCE payload. message ID = 01d09h: Crypto engine 0: create ISAKMP SKEYID for conn id 161d09h: ISAKMP (16): SKEYID state generated1d09h: ISAKMP (16): processing vendor id payload1d09h: ISAKMP (16): speaking to another IOS box!1d09h: generate hmac context for conn id 161d09h: ISAKMP (16): processing ID payload. message ID = 01d09h: ISAKMP (16): processing HASH payload. message ID = 01d09h: generate hmac context for conn id 161d09h: ISAKMP (16): SA has been authenticated with 209.146.47.2061d09h: ISAKMP (16): beginning Quick Mode exchange, M-ID of 1020082721d09h: IPSEC(key_engine): got a queue event...1d09h: IPSEC(spi_response): getting spi 207749755ld for SA from 209.146.47.206 to 205.136.238.33 for prot 3

1d09h: generate hmac context for conn id 161d09h: generate hmac context for conn id 161d09h: ISAKMP (16): processing SA payload. message ID = 1020082721d09h: ISAKMP (16): Checking IPSec proposal 11d09h: ISAKMP: transform 1, ESP_DES1d09h: ISAKMP: attributes in transform:1d09h: ISAKMP: encaps is 11d09h: ISAKMP: SA life type in seconds1d09h: ISAKMP: SA life duration (basic) of 36001d09h: ISAKMP: SA life type in kilobytes1d09h: ISAKMP: SA life duration (VPI) of 0x0 0x46 0x50 0x01d09h: ISAKMP (16): atts are acceptable.1d09h: IPSEC(validate_proposal_request): proposal part #1, (key eng. msg.) dest= 209.146.47.206, src= 205.136.238.33, dest_proxy= 10.146.1.0/255.255.255.0/0/0 (type=4), src_proxy= 205.136.238.0/255.255.255.0/0/0 (type=4), protocol= ESP, transform= esp-des , lifedur= 0s and 0kb, spi= 0x0(0), conn_id= 0, keysize= 0, flags= 0x4

3 4




1d09h: ISAKMP (16): processing NONCE payload. message ID = 1020082721d09h: ISAKMP (16): processing ID payload. message ID = 1020082721d09h: ISAKMP (16): processing ID payload. message ID = 1020082721d09h: generate hmac context for conn id 161d09h: ISAKMP (16): Creating IPSec SAs1d09h: inbound SA from 209.146.47.206 to 205.136.238.33 (proxy 10.146.1.0 to 205.136.238.0 )1d09h: has spi 207749755 and conn_id 17 and flags 41d09h: lifetime of 3600 seconds1d09h: lifetime of 4608000 kilobytes1d09h: outbound SA from 205.136.238.33 to 209.146.47.206 (proxy 205.136.238.0 to 10.146.1.0 )1d09h: has spi 440535111 and conn_id 18 and flags 41d09h: lifetime of 3600 seconds1d09h: lifetime of 4608000 kilobytes1d09h: IPSEC(key_engine): got a queue event...1d09h: IPSEC(initialize_sas): , (key eng. msg.) dest= 205.136.238.33, src= 209.146.47.206,

dest_proxy= 205.136.238.0/255.255.255.0/0/0 (type=4), src_proxy= 10.146.1.0/255.255.255.0/0/0 (type=4), protocol= ESP, transform= esp-des , lifedur= 3600s and 4608000kb, spi= 0xC62027B(207749755), conn_id= 17, keysize= 0, flags= 0x41d09h: IPSEC(initialize_sas): , (key eng. msg.) src= 205.136.238.33, dest= 209.146.47.206, src_proxy= 205.136.238.0/255.255.255.0/0/0 (type=4), dest_proxy= 10.146.1.0/255.255.255.0/0/0 (type=4), protocol= ESP, .transform= esp-des , lifedur= 3600s and 4608000kb, spi= 0x1A420847(440535111), conn_id= 18, keysize= 0, flags= 0x41d09h: IPSEC(create_sa): sa created, (sa) sa_dest= 205.136.238.33, sa_prot= 50, sa_spi= 0xC62027B(207749755), sa_trans= esp-des , sa_conn_id= 171d09h: IPSEC(create_sa): sa created, (sa) sa_dest= 209.146.47.206, sa_prot= 50, sa_spi= 0x1A420847(440535111), sa_trans= esp-des , sa_conn_id= 18!!!!!!!!Success rate is 80 percent (8/10), round-trip

56




min/avg/max = 180/185/205 msirmg.cayman#sh crypto engine conn ac ID Interface IP-Address State Algorithm Encrypt decrypt16 no idb no address set DES_56_CBC 0 017 Se0/0.1 205.136.238.33 set DES_56_CBC 0 818 Se0/0.1 205.136.238.33 set DES_56_CBC 8 0 irmg.cayman#sh crypto isa sa dst src state conn-id slot209.146.47.206 205.136.238.33 QM_IDLE 16 0 irmg.cayman#sh crypto ipsec sa interface: Serial0/0.1 Crypto map tag: charlie2peer, local addr. 205.136.238.33 local ident (addr/mask/prot/port): (205.136.238.0/255.255.255.0/0/0)

remote ident (addr/mask/prot/port): (10.146.1.0/255.255.255.0/0/0) current_peer: 209.146.47.206 PERMIT, flags={origin_is_acl,} #pkts encaps: 8, #pkts encrypt: 8, #pkts digest 0 #pkts decaps: 8, #pkts decrypt: 8, #pkts verify 0 #send errors 2, #recv errors 0 local crypto endpt.: 205.136.238.33, remote crypto endpt.: 209.146.47.206 path mtu 1500, media mtu 1500 current outbound spi: 1A420847 inbound esp sas: spi: 0xC62027B(207749755) transform: esp-des , in use settings ={Tunnel, } slot: 0, conn id: 17, crypto map: charlie2peer sa timing: remaining key lifetime (k/sec): (4607998/3455) IV size: 8 bytes replay detection support: Ninbound ah sas:

7 8




outbound esp sas: spi: 0x1A420847(440535111) transform: esp-des , in use settings ={Tunnel, } slot: 0, conn id: 18, crypto map: charlie2peer sa timing: remaining key lifetime (k/sec): (4607999/3446) IV size: 8 bytes replay detection support: N outbound ah sas: irmg.cayman#sh ruBuilding configuration... Current configuration:

hostname irmg.cayman

crypto isakmp policy 1 hash md5 authentication pre-sharecrypto isakmp key orientexpress address 209.146.47.206crypto ipsec transform-set encrypt-des esp-des

9 10

crypto map charlie2peer local-address Ethernet0/0 crypto map charlie2peer 10 ipsec-isakmp set peer 209.146.47.206 set transform-set encrypt-des match address 110

interface Ethernet0/0 description connected to EthernetLAN ip address 205.136.238.33 255.255.255.224 no ip directed-broadcast no keepalive

interface Serial0/0 no ip address no ip directed-broadcast encapsulation frame-relay no ip route-cache no ip mroute-cache frame-relay lmi-type ansi!interface Serial0/0.1 point-to-point description connected to Internet ip unnumbered Ethernet0/0 no ip directed-broadcast no ip route-cache




no ip mroute-cache bandwidth 64 frame-relay interface-dlci 16 IETF crypto map charlie2peer

ip classlessip route 0.0.0.0 0.0.0.0 Serial0/0.1

access-list 110 permit ip 205.136.238.0 0.0.0.255 10.146.1.0 0.0.0.255

11


AgendaAgenda






• Plateformes

• Management

Atelier technologique du 7 décembre 1999 : La politique de sécurité des systèmes d ’informationServices Performance

VPN-Optimized RoutersVPN-Optimized Routers

• High density , modularity High density , modularity & flexibility& flexibility

• Scalable VPN ServicesScalable VPN Services

• For hybrid private/VPN For hybrid private/VPN environmentsenvironments

Cisco 7100 Series Cisco 7100 Series Integrated VPN RouterIntegrated VPN Router

• High-End, Focused High-End, Focused platformplatform

• Scalable VPN servicesScalable VPN services

• For Dedicated VPN For Dedicated VPN EnvironmentsEnvironments

Routeurs entreprise optimisés VPN

Branch

Core

De

nsi

ty

VPN Optimized RoutersCisco 7500

Cisco 7200 VXR

Cisco 7200

Cisco 3600

Cisco 2600

Cisco 1720

Cisco 800

DedicatedVPN

Cisco 7100 SeriesCisco 7100 SeriesVPN RouterVPN Router


AgendaAgenda




• Scénarii d’implémentation IPSEC


• Plateformes

• Management


Cisco Security ManagerCisco Security Manager

• Phase I: Gestion des Firewalls PIX . Gestion orientée politique de sécurité.

Disponible

• Phase II: Gestion des VPN et du chiffrement

IPSec, Routeurs IOS & IOS firewalls, Cisco VPN devices

Cisco Secure Policy Manager 2.x - (Q4 CY’99)

• Phase III: Gestion complète de la sécurité

Intégration : Directories, CiscoWorks2000, IDS, etc

Cisco Secure Policy Manager 3.x - (Q2 CY’00)


Security Manager v1.0Security Manager v1.0

• Gestion orientée politiques de sécurité du périmètre de sécurité réseau

• Gestion jusqu’à 100 Cisco PIX firewalls

• Basé Windows

• Architecture client-serveur

• rapports Web


Specification du Security Manager 1.0

Specification du Security Manager 1.0

• Policy ManagerWindow 95/98 ou NT 4.0

Service Pack 4 (File system NTFS )Internet Explorer 4.01

Policy serverWindows NT 4.0, SP 4Licences :

1 PIX, 10 PIXs, 100 PIXs


Policy Enforcement Points

(i.e. network devices)Policy

Distribution

Policy Monitoring

Policy Server

IE 4.01

NS 4.x

Policy Server Policy Server FunctionsFunctions

Policy Manager Policy Manager FunctionsFunctions

PolicyPolicyReportingReporting

Network Network InfrastructureInfrastructure

PIX Firewall

Architecture : Security Manager

Architecture : Security Manager

Networks

ConfigPolicy

ReportReportGenerationGeneration

CentralPolicy

Database

PolicyPolicyGenerationGeneration

EventEventCollectionCollection

PolicyPolicyAdministrationAdministration

PIXPIXControl AgentControl Agent

Router

Cisco IOSCisco IOSControl AgentControl Agent

NetRanger Sensor

Directory

IDSIDSControl AgentControl Agent


Positionnement : Security Manager v1.0

• Composant de sécuité de l’architecture CiscoAssure

• Complémente & coexiste avec QoS Policy Manager v1.0

• A terme, remplacement du PIX Firewall Manager (PFM)

Telecommuters

MobileUsers

Branch Offices

Enterprise Policy

Security & QoS

Campus

Partners


Security Manager Création de la topologie

Security Manager Création de la topologie

• Première étape

• Wizards pour aide à la création de la topologie réseau

Network

Interface

Service


Security Manager Définition des politiques

Security Manager Définition des politiques

• Créations des politiques en terme d’objectifs business

• Définition des politiques de bout en bout

• Indépendent du nombre de devices et de leurs emplacements

• Contrôle de cohérence


Security Manager Mise en place des politiques

• Distribution des politiques à plusieurs PIXs simultanément

• Translation des politiques en configurations spécifiques aux devices


Architecture Security ManagerArchitecture Security Manager

Policy Process:• Define• Enforce• Audit

DatabasePolicyServer(s)

PIXFirewalls

PolicyManager(s)

Perimeter SecurityPerimeter Security

Access Servers

AAA Server

NetRanger Sensors

Directory

IDS & Directory ServicesIDS & Directory Services

Phase III

RoutersVPN

Clients

Certificate

AuthorityIPSec VPNsIPSec VPNs

Phase II

Phase I


Merci !!!Merci !!!


CiscoSecure

Synthèse finale

Serveur WebFinanceIngénierie

Administrateur

Serveur e-mail

Commutateur groupe de

travail

Réseaude société Configurer

routeurConfigurer

routeur

Routeur

??????okok Internet

Bureau distantRouteur

Autorité de certification


Routeur

PC distant

Utilisateur mobile

Bureau distant

Réseau de société

Etat de vulnérabilité

(( ((((

(( Routeur

Internet

IOS Firewall

Ingénierie Finance

Administrateur

Scanner

((

((


TUNNEL

TUNNEL

TUNNEL

SynthèseSynthèse

CiscoSecure

PIX FirewallCommutateur groupe travail


Utilisateur mobile

Bureau distant

Commutateur groupe travail


Sensor

Sensor

Sensor

Director

Routeur

Alerte !Alerte !

Internet

Ingénierie Finance

Administrateur


Synthèse finaleSynthèse finale

PIX Firewall

IOS Firewall

Scanner

CiscoSecure


Utilisateur mobile

Bureau distant

Internet

Commutateur groupe travail


Routeur

Mise à jourpolitique

Mise à jourpolitique

Ingénierie Finance

Administrateur

Manager de sécurité

Synthèse finaleSynthèse finale

Sensor

Sensor

Sensor

Director

PIX Firewall

IOS Firewall

Scanner

CiscoSecure


ConclusionConclusion

• Vision globale de la sécurité:– un firewall ne suffit pas

– sécurité de bout en bout, interne et externe

– le niveau de la chaine de sécurité est celui du maillon le plus faible

• Administration centralisée

• Transparence de la solution mise en place– limitation des contraintes imposées aux utilisateurs

– faible impact en terme de performance

• Conservation de la maîtrise de la solution de sécurité


Quelques URLs Cisco (1/2)Quelques URLs Cisco (1/2)

Security Overview

• http://www.cisco.com/warp/customer/778/security/

VPN Material

Enterprise http://www.cisco.com/warp/customer/779/largeent/learn/technologies/VPNs.html

Service Prov

• http://www.cisco.com/warp/customer/779/servpro/solutions/vpn/

Cisco Secure

• http://www.cisco.com/warp/customer/728/Secure/literature.shtml

PIX

• http://www.cisco.com/warp/customer/778/security/pix/pie_ds.htm

• http://www.cisco.com/warp/customer/778/security/pix/nat_wp.htm

Security Consulting

• http://www.cisco.com/warp/customer/778/security/scs/


Quelques URLs Cisco (2/2)Quelques URLs Cisco (2/2)

IOS Firewall

• http://www.cisco.com/warp/customer/778/security/firewall/fire_ds.htm

IPSec

• http://www.cisco.com/warp/customer/732/Security/IPsec_wp.htm

NetSonar

• http://www.cisco.com/warp/customer/778/security/NetSonar/netso_ds.htm

NetRanger

• http://www.cisco.com/warp/customer/778/security/NetRanger/netra_ds.htm

Security Consulting

• http://www.cisco.com/warp/customer/778/security/scs/

Security Manager

• http://www.cisco.com/warp/customer/778/security/csm/


Références produits tierce (1/2)Références produits tierce (1/2)

Certificate Authorities

• http://www.verisign.com/

• http://www.entrust.com/

Firewall Reporting

• http://www.opensystems.com

• http://www.telemate.net/

One Time Password Servers

• http://www.cryptocard.com/

• http://www.securitydynamics.com

URL Filtering

• http://www.netpartners.com/


Références produits tierce (2/2)

Références produits tierce (2/2)

IPsec Clients

• http://www.ire.com/

• http://www.timestep.com/

• http://www.datafellows.com/

la politique de sécurité des systèmes d'info

Documents