les nouveaux «pare » intégrés et l‟utilisation des ... · blacklist / whitelist locale pour...
TRANSCRIPT
Cisco Confidential© 2010 Cisco and/or its affiliates. All rights reserved. 1
Les Nouveaux « Pare feux » Intégrés et l‟utilisation des Ressources du Cloud.Luc Billot
Consulting System Engineer
EMEAR – Responsible produit de sécurité
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 2© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 2© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 2Cisco Confidential© 2010 Cisco and/or its affiliates. All rights reserved. 2
Luc Billot
Consulting System Engineer
EMEAR – Responsible produit de sécurité
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 3
Cette session vous expliquera l‟intégration des nouveaux Firewall Cisco dans une architecture réseau d‟entreprise. Ces nouveaux Firewalls sont enrichies par des fonctions de détection avancé d‟intrusion, de filtrage applicatifs, de clustering, de politique basée sur l‟identité ainsi que l‟utilisation du cloud.
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 4
Introduction
La gamme ASA
Les fonctions avancés de l‟ASA
Les fonctions IPS
Le connecteur ScanSafe
Administration
Next Gen FW ASA-CX
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 5
• Les PareFeux réseaux : Une évolution contante
Historique de Sécurité :
NAT / PAT Proxy Statefull Inspection
Multiplication des moteurs d‟inspection des protocols
Historique d‟architecture :
Integration des protocol de routage V4 / V6
Mode routé vs mode transaparant
Nombre d‟interfaces physiques vs l‟utilisation de VLAN
Historique de performance
Nombre de sessions simultanées / Nombre de nouvelles sessions
Performance au Multi Gig et des latences en diminution
Les Parefeux réseaux : Une révolution
L‟integration d‟IPS et d‟inspection Applicative
La puissance des ressources de cloud
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 6
• Code unifié ASA pour toutes les déclinaisons
• Management unique pour l‟ensemble de la gamme ASA
CSM
Blades
Virtual Appliances
ASA
Mettre ici les images
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 7
Introduction
La gamme ASA
Les fonctions avancés de l‟ASA
Les fonctions IPS
Le connecteur ScanSafe
Administration
Next Gen FW ASA-CX
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 8
Appliance multi-fonctions
Firewall statefull à analyse applicative Identity Firewall Services avancés d’inspection applicative et protocolaire NAT/PAT applicatifs Support avancé des protocoles voix et vidéo Fonction TLS Proxy, Phone Proxy, Présence proxy …
Firewall
Protection en temps réel contre les attaques des applications et OS Détection et filtrage de l'activité réseau des vers et Virus Détection et filtrage des Spyware, adware et malware Corrélation et contre-mesures intégrées aux sondesIPS
VPN Ipsec ou SSL Remote access Services SSL avec client ou avec portail . Contrôle de posture des postes VPN site à site avec routage , QoS et failoverVPN IPSec et SSL
Mode routé ou transparent Virtualisation QoS Services multicast Routage, redondance, load-balancingServices réseaux
avancés
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 9
Pe
rfo
rma
nce
an
d S
ca
lab
ility
Data CenterCampusBranch OfficeSOHO Internet Edge
ASA 5540 (650 Mbps, 650K Conn.)
ASA 5520 (450 Mbps, 400K Conn.)
ASA 5510 (300 Mbps, 280K Conn.)ASA 5505
(150 Mbps, 130K Conn.)
ASA 5550 (1.2 Gbps)
ASA 5585-X SSP-60
ASA 5585 –X SSP-40(20 Gbps)
ASA 5585-X SSP-20(10 Gbps)
ASA 5585-X SSP-10(4 Gbps)
ASA 5512-X (1* Gbps, 100K Conn.)
ASA 5515-X (250K Conn.)
ASA 5525-X (2* Gbps, 500K Conn.)
ASA 5545-X (3* Gbps, 750K Conn.)
ASA 5555-X (1M Conn.)
1.2 Gbps Firewall
400 Mbps IPS
4 Gbps Firewall
1.3 Gbps IPS
30 Gbps Firewall
10 Gbps IPS
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 10
ASA SSP FW/VPN dans le Slot 0
En option IPS SSP dans le Slot 1
Chassis 2U 19”
2 modules pleine largeur
2 modules ½ largeur
Slot-1
Slot-0
Alimentations redondantes et Hot Swappable
6 ventilateurs hot swappable
Multi Gigabit Fabric
Ports
4 x 10G SFP+ sur SSP40 et
SSP60 hotswapables
10 x 1GbE
Slots SFP sur tous les moduleseUSB
2 Gb Internal
Convenience storage
Security credentials
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 11
64 Gbps EMIX, 51 Gbps EMIX , 1.2 M CPS
Security Service Processors Multi-services capable
Dedicated 64bit multi-core processors
Future-proof hardware
Multi Gigabit Fabric Chassis Backplane
Virtualized Interfaces
Module to module communications
Dual Crypto Accelerators Hardware processing
Accelerated Virtual Private Networking and Unified Communications encryption
24 Gigabytes Memory High Capacity
Memory for handling high session counts
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 12
Introduction
La gamme ASA
Les fonctions avancés de l’ASA
Les fonctions IPS
Le connecteur ScanSafe
Administration
Next Gen FW ASA-CX
Cisco Confidential© 2010 Cisco and/or its affiliates. All rights reserved. 13
Multicast IPv6
Routage intelligent Quality of Service
PIM sparse mode et IGMP (v1 & v2)
Inspection des services multicast
Nat des groupes multicats
Support double stack
Mode routé et transparent
Filtrage et inspection
Découverte des Neighbors
Administration IPv6
OSPF (v2), RIP (v1 and v2)
Cisco EIGRP
Sécurité du routage : authentification (MD5)
Redistribution entre protocoles
Politiques Qos flexibles
Policing, priority queuing et traffic shaping
Moteur hautes performances
Streaming video et data sécurisés Supports réseaux next gen.
Intégration dans les réseaux routés Securité des flux sensibles
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 14
• Jusqu‟à 8 paires d‟interfaces
• Temps de basculement inférieur à 500 ms
• Configuration d‟une interface logique qui regroupe 2 interfaces du mêmevlan
• Adresse MAC virtuelle unique
• Une interface traite le trafic, la seconde est en standby.
• "gratuitous ARP” envoyé en cas de backup pour mettre à jour la CAM du switch.
Services avancés
Active
StandbyStandby
Active
Standby
StandbyActive
Active
Supporté sur 5505 à 5585
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 15
© 2007 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID
Catalyst 65xx VSS
VSL
MCEC MCEC
peer link
EC
vPC vPC
Nexus 7xxx vPC
ECEC EC
ASA Actif ASA StandbyASA Actif ASA Standby
ASA Etherchannel :
• LACP et 802.3AD
• Actif / Passif / On
• S/D MAC, S/D IP et S/D IP + Ports
• 8 ports actifs + 8 standby par Channel
Services avancés
Cisco Confidential© 2010 Cisco and/or its affiliates. All rights reserved. 16
Simplification des déploiementsVirtual Firewalls mode transparent
• Contextes ASA entièrement
virtualisés
• Consolidation des équipements &
segmentation
• Règles de filtrages, configuration
et administration indépendants
• Jusqu‟à 50 contextes par ASA
(250 à partir de la 8.4)
Fonctionne au niveau 2,
transparent pour le réseau
Insersion dans le réseau sans
changer l‟adressage
Simplifie la mise en place des
Firewalls
Transparent Firewall et IPS
Réseau existant
Mode transparentVirtual Firewalls
Contexte BContexte A Contexte C
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 17
……..
10.1.1.0 /24 – vlan 20
Management IP
10.1.1.100
10.1.1.0 /24 - vlan 10
Avant la 8.4 A partir de la 8.4
vlan 10
vlan 12
vlan 13
vlan 11
vlan 14
vlan 17
vlan 15
vlan 16
Bridge Group1 Bridge Group 2
vlan 14
vlan 17
vlan 15
Bridge Group 8
BVI1 BVI2 BVI8
4 Interfaces / VLANs par bridge group
8 bridge groups par firewall ou par contexte
Transparent Firewall Context
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 18
• Supports de plus de 2 Millions ACE (5585)
• Filtrage L2/L3/L4
• Groupes d’objets (@IP, UDP/TCP/ICMP)
• Time based ACLs
• Suivi en temps réel des logs
• ACLs globales (v8.3+) ou par interfaces
• Filtrage par identité
Firewall
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 19
Mktg.cisco.com
10.1.2.3
Data Center
Active Directory
ASA firewall
LAN
cloud
AD Agent
1. User Logs into AD2. AD Agent retrieves IP
information from AD3. ASA retrieves IP-User
mapping from AD4. Permit/Deny based on Policy
Nombre max de groupes utilisés : 256
Nombre max d‟utilisateurs:
ASA5505: 1024
Autres modèles : 64000
Juqu‟à 8 adresses IP par utilisateurs du
domaine
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 20
• L‟analyse et le filtrage des protocoles est assuré par des moteurs d‟inspection applicatifs dédiés
• Permet le contrôle de conformité protocolaire, d‟état des sessions, le PAT/NAT dynamique et offre une multitude d‟options de contrôle sur la sécurité des applications
Communications unifiées
SIPSCCP (Skinny) (v20 )Qsig tunneling dans SIP H.323 v1–6, H225, RAS, H239GTP (3G Mobile WirelessMGCPTRP/RTCP/RTSPTAPI/JTAPICTI
Applications Spécifiques
Microsoft Windows MessengerMicrosoft NetMeetingRTSPCisco IP PhonesCisco Softphones
protocoles Internet
HTTPFTPTFTPSMTP/ESMTPDNS/EDNSICMPTCPUDP
Database/OS
ILS/LDAPOracle/SQL*Net (V1/V2)Microsoft RPC/DCE RPCMicrosoft NetworkingDCERPCNFSRSHSunRPC/NIS+X Windows (XDMCP)
Services de sécurité
IKEIPSecPPTP
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 21212121
• Inspection avancée des flux HTTP
•Inspection des applications tunnelisés
•Messagerie instantanées (AIM, MSN, Yahoo ..)
•Peer-to Peer (KaZaA)
• Expressions régulières (regex)
• Contrôle conformité protocolaires avec le RFC
• Filtrage précis des commandes HTTP
• Filtrage sur le contenu et les type "MIME"
DMZ
ASA
Serveur WEB
Inte
rnet
Intr
an
et
www
HTTP FTP IM P2P SIP H.323 SCCP SMTP DNS RPC CIFS NetBios
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 22
Deep packet inspectionRegular expression : Exemple avec SIP
Création Signature
Sélection traffic
Activation politique
regex sip-user1 "sip:[email protected]"regex sip-user2 "sip:[email protected]"
class-map type regexmatch-any sip-users match regex sip-user1match regex sip-user2
class-map type inspect sip match-all blocked-callersmatch calling-party regex class sip-usersmatch request-method invite
policy-map type inspect sip mymapparameters
no immatch request-method inviterate-limit 5000class blocked-callersdrop log
policy-map global_policyclass inspection_default
inspect sip mymapservice-policy global_policy global
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 23
Inte
rnet
• Botnet Traffic Filtering :
Téléchargement automatique de la liste des sites/domaines malveillant via sensorbase
blacklist / whitelist locale pour la configuration statique
Scans le trafic sur tous les ports (65535)
Inspecte toute les requêtes DNS (DNS Snooping) et compare les DNS A-records and CNAME avec la liste des sites malveillants
Bloque tout accès aux sites malveillants
Protection contre les Malwares de type Botnet
SIO
www.badsite.com
Top sites malveillants
Top postes infectés
Top ports utilisés par les malwares
ASA
Cloud
Feature
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 24
• Cluster up to 8 ASA appliances
• Load Balancing ApproachStateless load balancingby external switch(ECLB)or Router(ECMP, PBR)
Load balance within cluster over proprietary Cluster Control Protocol
• In-Cluster High Availability
• Hitless Upgrade Clu
ste
r C
on
tro
l L
ink
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 25
Single Management Interface
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 26
• 4 x ASA5585 SSP-20
• Port usage on each SSP-202 x 10GbE Ports in Port Channel
Configuration with Nexus 7k switch (Inside & Outside Sub-Interfaces)
1 x 1GbE in the same L2 Domain for Cluster Control traffic
2 x
10G
bE
Da
ta T
raff
ic P
ort
Ch
an
ne
l
Clu
ste
r Co
ntro
l Lin
k
• 1 x ASA5585 SSP-20
10Gbps Large Packet Throughput
9Gbps EMIX Throughput
3.2 Million PPS
• 4 x ASA5585 SSP-20
40Gbps Large Packet Throughput
33.5 EMIX Throughput
11 Million PPS
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 27
Introduction
La gamme ASA
Les fonctions avancés de l‟ASA
Les fonctions IPS
Le connecteur ScanSafe
Administration
Next Gen FW ASA-CX
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 28
Normalizer
Module
Signature
Updates
Engine
UpdatesCisco Security
Intelligence Operations
IN
GC
Modular
Inspection
Engines
On-Box
Correlation
Engine
Risk-Based
Policy Control
Forensics
Capture
Mitigation and
Alarm
Virtual Sensor
Selection
OUT
ICP
Reputation Filter
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 29
4000+ Signatures40,000
Exploits et Variantes
reconnus
Attaques
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 30
Innovation dans la gestion des menaces
Traffic Cleansing and
Signature Inspection
Identify known behaviors
Global Inspection
Increase Risk Rating for known bad actors
Decision
Engine
Block, Alert,
Permit, Limit
IPS Reputation Filters
Block worst global attackers
Cloud
Feature
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 31
• Sensorbase -> Sondes IPS
Update automatique sans intervention de l‟administrateur
Par défaut update toutes les 5 mn
Full update puis incrémental update
• Sondes IPS -> Sensorbase (en option)
Off: Aucune donnée est envoyé à SensorBase
Partial: Envoie quelques données sur les attaques
Full: Envoie de toutes les données sur les attaques
CiscoSensorBase
Cloud
Feature
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 32
Introduction
La gamme ASA
Les fonctions avancés de l‟ASA
Les fonctions IPS
Le connecteur ScanSafe
Administration
Next Gen FW ASA-CX
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 33
Subscription-based Security Services
Web Proxy
Authenticatio
n / IdentityCachingLogging
Management & Reporting
Data LossPrevention
Application Visibility &
Control
URL Filtering
Anti-Malware
Policy Engine
VM / Software CloudAppliance
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 34
Cloud Infrastructure
Roaming User
Home Office
Corporate Office
Branch Office
Internet
Cloud
Feature
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 35
Identification & Authentication
AD Light-weight agent or existing proxy
Via user‟s login scriptor browser-based
Note: ISR G2 deployment will be covered separately
Cloud-based Secure Web gateway
Web User Firewall
Internet
Arsenal Release
ScanSafe “connector” code implemented in the ASA
Redirects web traffic based on user name/groups, ports, IP addresses
Scansafe portal can be cross-launched from ASDM
Cloud
Feature
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 36
User forensics
Session-based
reporting
Detailed
browsing history
Cloud
Feature
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 37
Cloud
Feature
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 38
Introduction
La gamme ASA
Les fonctions avancés de l‟ASA
Les fonctions IPS
Le connecteur ScanSafe
Administration
Next Gen FW ASA-CX
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 39
• Corrélation et réduction du volume d‟événements pour les réseaux multi-gigabit
Capacités NetFlow v9 sur l‟ASA
Plus de 10 ans d‟innovation autour de Netflow
• Vers un standard de l‟industrie
Effort de standardisation en cours à l‟IETF IPFIX Working Group
S‟interface avec les solutions d‟administration NetFlow du marché
CiscoASA 5580
CS-MARS 3rd PartyNetFlow Collector
Netflow v9
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 40
Interface ergonomiquepour un accès simple aux services offerts par l‟ASA
Support du drag-and-drop pour faciliter l‟édition des politiques de sécurité
Permet de personnaliser l‟ interface utilisateur grace aux barres d‟outils et fenêtres repositionnables
Nouveau tableau de bordqui fournit une vuesynthétique des services
Fournit un comptagetemps réel des ACL pour un audit simple des politiques déployées
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 41
Configuration globale de la sécurité Cisco
Firewall Mgmt VPN Mgmt IPS Mgmt
Firewalls
• Support des ASA,
FWSM, et routeurs IOS
• Définition globale des
règles : NAT, ACLs,
objets, groupes
• Détection des conflits,
combinaison des
règles, compteurs des
hits
VPN
• Support des ASA,
VPNSM, VPN SPA, et
routeurs IOS
• Support des
technologies VPN :
DMVPN, Easy VPN, et
SSL VPN
• Wizard pour la création
des VPNs
• Création via la vue
topologie
• IPS
• Support des sondes
Hardware IPS et IOS
IPS
• Gestion des politiques
de signatures et des
mise à jour
• Déploiement simplifié
des politiques de
signatures
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 42
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 43
• Real-time device monitoring
• ASA et IPS
• CPU, Memoire, Interfaces,…
• Vues prédéfinies et customizables
• Envoie d‟Email sur problème
• Graphs
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 44
Introduction
La gamme ASA
Les fonctions avancés de l‟ASA
Les fonctions IPS
Le connecteur ScanSafe
Administration
Next Gen FW ASA-CX
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 45
• Les firewall “Next Generation” filtrent sur des utilisateurs et des applications.
• Une approche architecture (ISE/ASA/WSA) est plus efficace et granulaire
• Solution de type “tout en un” pour plus de simplicité
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 46
• Fonction “Context-Aware”
• Disponible sous forme de module dans l‟ASA 5585-X
• Integration futur sur l‟ensemblede la gamme ASA-X
ASA CX est la base du futur “one firewall” Cisco
WHENWHAT WHERE HOWWHO
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 47
WHAT
75,000+ MicroApps
MicroApp Engine
Classification approfondie
App Behavior
Contrôle l‟interaction de
l‟utilisateur avec
l‟application
Vaste…
… classification
de l‟intégralité du trafic
1,000+ apps
Cloud
Feature
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 48
www.facebook.com GO
Cisco SIO
You have chosen to open
Opening up setup.exe
setup.exe
Which is a: Binary File
from: http://99.226.67.13
Would you like to save this file?
Save File Cancel
Cloud
Feature
Cisco Confidential© 2010 Cisco and/or its affiliates. All rights reserved. 49
Threat Operations CenterSensorBase Dynamic Updates
Cisco Confidential© 2010 Cisco and/or its affiliates. All rights reserved. 50
SensorBase Threat Operations Center Dynamic Updates
WEB REQUESTS
30BEMAIL MESSAGES
100MWORLDWIDE TRAFFIC
35%
GLOBALLY DEPLOYED DEVICES
750,000+DATA RECEIVED PER DAY
4 TB
Cisco Confidential© 2010 Cisco and/or its affiliates. All rights reserved. 51
Threat Operations Center
ENGINEERS, TECHNICIANS
AND RESEARCHERS
500LANGUAGES
40+Ph.D.s, CCIE, CISSPs, MSCEs
80+
Dynamic Updates
SPENT IN DYNAMIC RESEARCH
AND DEVELOPMENT
$100MOPERATIONS
24x7x365
Cisco Confidential© 2010 Cisco and/or its affiliates. All rights reserved. 52
Threat Operations Center
PUBLICATIONS PRODUCED
20+PARAMETERS TRACKED
200+RULES per DAY
8M+
Dynamic Updates
IPS SIGNATURES PRODUCED
6,500+MINUTE UPDATES
3 to 5
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 53
Co
nte
xt
Aw
are
Po
licy E
ng
ine
Granular Visibility and Control With Performance
Nouvelle Architecture
Plu
gg
ab
le C
on
text
Sto
res
Context Aware Data Plane
Virtual Packet Rings
nScan Array
TLS &
SSL HTTPMS-
RPCFTP Scanner
„N‟
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 54
Introduction
La gamme ASA
Les fonctions avancés de l‟ASA
Les fonctions IPS
Le connecteur ScanSafe
Administration
Next Gen FW ASA-CX
Conclusion
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 55
Cisco-on-CiscoHome Office Coffee ShopMobile User
Branch Office
Corporate Office / HQ
AnyConnect
ASA- X
Thank you.