Hassan DORAMANE Ingénieur Avant Vente TD-Azlan 11 Octobre 2011

Transcription

1 Atelier Securité: : ASA &VPN Anyconnect 3.0 Hassan DORAMANE Ingénieur Avant Vente TD-Azlan [email protected] 11 Octobre 2011

2 Agenda L offre FW Cisco La gamme ASA Les fonctions avancés de l ASA Les Fonctions FW Les fonctions IPS Les fonctions VPN Administration

3 Firewalls Cisco ASA 5500 Plateforme dédiée à la sécurité Intégration IPSec/SSL VPN Services IPS DMZ, Campus et DC FWSM Sécurité intégré au Catalyst 65xx Services collaboratifs avec la SUP Campus et Data-center Cisco ISR-G2 Plateforme all in one Routage, Qos, Sécurité Fonctions VPN avancées Accès Wan, services managés Cisco ASR Routeur/FW 40 Gbps Plateforme multiprocesseurs Routage, Qos avancés WAN haut débit, DC

4 Agenda L offre FW cisco La gamme ASA Les fonctions avancés de l ASA Les fonctions FW Les fonctions IPS Les fonctions VPN Administration

5 Positionnement Positionnement de de la la gamme gamme Cisco Cisco ASA ASA Du 5505 Du au au 5585 Performances ASA Mbps ASA Mbps, ASA Mbps ASA Mbps, 5585 / SSP-10 ASA Gbps, 5585 / SSP Gbps, Plateformes multi-services (FW, IPS et VPN) 2-4 Gbps ASA Gbps, 5585 / SSP Gbps, ASA Gbps Plateformes Firewall et VPN 5585 / SSP Gbps Teleworker Branch Office Internet Edge Campus Data Center

6 Positionnement de la gamme Cisco ASA Du 5505 au 5520 ASA 5505 Security+ ASA 5510 ASA 5510 Security + ASA 5520 Positionnement CPE Home Office Accès internet Accès internet Accès internet Performances Firewall Max IPSec VPN Max IPSec/SSL VPN Peers Max 150 Mbps 100 Mbps 25 / Mbps 170 Mbps 250 / Mbps 170 Mbps 250 / Mbps 225 Mbps 750 / 750 Capacités Nbs Max de Connections (FW) Nbs Max Conns/Second Packets/Second (64 byte) Base I/O Max I/O VLANs Supportés Haute dispo Supportée Nbr de contextes max 25,000 4,000 85,000 8 FE (2 PoE) idem 20 Non 1 50,000 9, ,000 5 FE idem 50 Non 1 130,000 9, ,000 2 GE + 3 FE 6 GE + 1 FE 100 A/A et A/S 5 280,000 12, ,000 4 GE + 1 FE 8 GE + 1 FE 150 A/A et A/S 20

7 Positionnement de la gamme Cisco ASA Du 5540 au 5580 ASA 5540 ASA 5550 ASA ASA Positionnement Accès Internet Segmentation Campus Segmentation Campus / Data Center Data Center Performances Firewall Max (Real-world HTTP) Firewall Max (UDP 1400/Jumbo) IPSec VPN Max IPSec/SSL VPN Peers Max 500 Mbps 650 Mbps 325 Mbps 5000 / Gbps 1.2 Gbps 425 Mbps 5000 / Gbps 10 Gbps 1 Gbps 10,000 / 10, Gbps 20 Gbps 1 Gbps 10,000 / 10,000 Capacités Nbs Max de Connections (FW) Nbs Max Conns/Second Packets/Second (64 byte) Base I/O Max I/O VLANs Supportés Haute dispo Supportée Nbr de contextes max 400,000 25, ,000 4 GE + 1 FE 8 GE + 1 FE 200 A/A et A/S ,000 36, ,000 8 GE + 1 FE 8 GE + 1 FE 250 A/A et A/S 50 1,000,000 90,000 2,500,000 2 Mgmt 24 GE / 12 10GE 100 (250*) A/A et A/S 50 2,000, ,000 4,000,000 2 Mgmt 24 GE / 12 10GE 100 (250*) A/A et A/S 50

8 Positionnement de la gamme ASA 5585 New New New New New Platform Performance Max Firewall (Large Packet) Max Firewall (Multi-Protocol) Max IPS (Media Rich) Max IPSec VPN Max IPSec/SSL VPN Peers ASA 5585-X SSP-10 IPS SSP-10 4 Gbps 2 Gbps 2 Gbps 1 Gbps 5000 ASA 5585-X SSP-20 IPS SSP Gbps 5 Gbps 3 Gbps 2 Gbps 10,000 ASA 5585-X SSP-40 IPS SSP Gbps 10 Gbps 5 Gbps 3 Gbps 10,000 ASA 5585-X SSP-60 IPS SSP Gbps 20 Gbps 10 Gbps 5 Gbps 10,000 Platform Capabilities Max Firewall Conns Max Conns/Second Packets/Second (64 byte) Base I/O Max I/O VLANs Supported HA Supported 750,000 50,000 1,000,000 8 GE GE 16 GE GE 250 A/A and A/S 1,000, ,000 3,000,000 8 GE GE 16 GE GE 250 A/A and A/S 2,000, ,000 5,000,000 6 GE GE 12 GE GE 250 A/A and A/S 2,000, ,000 9,00,000 6 GE GE 12 GE GE 250 A/A and A/S 8

9 Cisco ASA 5505 Module IPS 2 ports PoE 8-port 10/100 configurable avec support des VLANs ASA Tech 5500 Data Intro Confidential 2004 Cisco Systems, Inc. All rights reserved. 9

10 Chassis ASA 5585-X Chassis 2U 19 2 modules pleine largeur 2 modules ½ largeur Alimentations redondantes et Hot Swappable 6 ventilateurs hot swappable Slot-1 Multi Gigabit Fabric Ports 4 x 10G SFP+ sur SSP40 et SSP60 hotswapables 10 x 1GbE Slots SFP sur tous les modules eusb ASA SSP FW/VPN dans le Slot 0 En option IPS SSP dans le Slot 1 2 Gb Internal Convenience storage Security credentials Slot-0

11 Les modules FW/VPN SSP du 5585 ASA SSP-10 ASA SSP-20 ASA SSP-40 ASA SSP-60 Processor 1 x 2.0 GHz Intel E5508 (2 Core/2 Threads) 1 x 2.13 GHz Intel L5518 (4 Cores/8 Threads) 2 x 2.13 GHz Intel L5518 (8 Cores/16 Threads) 2 x 2.46 GHz Intel E5645 (12 Cores/24 Threads) Maximum Memory 6 GB 12 GB 12 GB 24 GB Maximum Storage 2 GB eusb 2 GB eusb 2 GB eusb 2 GB eusb Ports 2 x SFP+ 8 x 1GbE Cu 2 x 1GbE Cu Mgmt 2 x SFP+ 8 x 1GbE Cu 2 x 1GbE Cu Mgmt 4 x SFP+ 6 x 1GbE Cu 2 x 1GbE Cu Mgmt 4 x SFP+ 6 x 1GbE Cu 2 x 1GbE Cu Mgmt Security 1 x Cavium Nitrox Gbps AES x Cavium Nitrox Gbps AES 256) 3 x Cavium Nitrox Gbps AES x Cavium Nitrox Gbps AES

12 Modules IPS 5585-X IPS SSP-10 IPS SSP-20 IPS SSP-40 IPS SSP-60 Processor 1 x 2.0 GHz Intel E5508 (2 Core/2 Threads) 1 x 2.13 GHz Intel L5518 (4 Cores/8 Threads) 2 x 2.13 GHz Intel L5518 (8 Cores/16 Threads) 2 x 2.46 GHz Intel E5645 (12 Cores/24 Threads) Maximum Memory 6 GB DDR GB DDR GB DDR GB DDR Maximum Storage 2 GB eusb 2 GB eusb 2 GB eusb 2 GB eusb Ports 2 x SFP+ 8 x 1GbE Cu 2 x 1GbE Cu Mgmt 2 x SFP+ 8 x 1GbE Cu 2 x 1GbE Cu Mgmt 4 x SFP+ 6 x 1GbE Cu 2 x 1GbE Cu Mgmt 4 x SFP+ 6 x 1GbE Cu 2 x 1GbE Cu Mgmt Mezzanine Card 1 x LSI Regex Accelerator -2G 1 x LSI Regex Accelerator-2G 1 x LSI Regex Accelarator-10G 2 x LSI Regex Accelerator-10G 12

13 Agenda L offre FW cisco La gamme ASA Les fonctions avancés de l ASA Les fonctions FW Les fonctions IPS Les fonctions VPN Administration

14 Solution VPN ASA Toute une gamme d options de connectivité IPsec VPN Tunneling Clientless VPN Access SSL VPN Tunneling DTLS (voice/video) Tunneling Mobile Access Cisco ASA

15 SSL VPN vs IPSec Flexibilité de déploiement d - solution simple à mettre en place SSL VPN IPSec VPN Accès de n importe ou à une liste d applications définies en utilisant un navigateur WEB Traversée facile des Firewall Portail WEB pour l accès aux applications Pas de client à installer Les applications client/serveur nécessitent une applet spécifique. Mode tunnel avec installation d un client pour un accès illimité Système de connexion robuste qui permet l accès à toutes les applications de l entreprise à partir d un site distant Accès à toutes les applications et au type de trafic Le client VPN permet un accès transparents aux applications Fonctionnalités maximales pour les postes concernés Transport sécurisé voix et données

16 Traverser un Firewall SSL VPN HTTPS (TCP 443) HTTP (TCP 80) Les ports et protocoles listés doivent être ouvert pour permettre la connexion d un utilisateur distant. La plupart du temps le port 443 est ouvert sur les FW alors que les ports pour IPSec ne le sont pas systématiquement.. IPSec VPN Standard IPSec ESP (Protocol 50) IKE (UDP 500) Standard NAT/PAT Traversal IKE (UDP 500) ESP sur UDP (UDP 4500) Encapsulation propriétaire TCP N de port TCP défini par l administrateur

17 Gamme ASA / VPN ASA 5505 ASA 5510 ASA 5520 ASA 5540 ASA 5550 ASA ASA Débit VPN 100 Mbps 170 Mbps 225 Mbps 325 Mbps 425 Mbps 1 Gbps 1 à 2 Gbps Sessions IPSec max Sessions SSL max (5000 SSP10) (5000 SSP10)

18 Solution VPN Sites à Sites QoS-Enabled VPN Support de LLQ pour les flux sensibles à la latence comme la VoIP Easy VPN Support des fonction Easy VPN serveur et client Internet Internet Routage Dynamique OSPF sur IPSec IPSec Stateful Failover Support de la redondance Active- Standby avec synchronisation automatique des SA. Support des architectures PKI Enrôlement manuel ou automatique (SCEP) RSA jusqu à 4096-bit RSA

19 Mise en place d un d cluster : load balancing X X Le client demande une connexion IPSec ou SSL au Le Master du Cluster répond avec (Concentrateur le moins chargé) Le Client se connecte en IPSec ou SSL au Internet.4.34 Adresse IP virtuelle du cluster = Master du cluster Le Master est sélectionné en fonction : Premier à démarrer Priorité ( 1 à 10 ) Adresse IP la plus basse

20

21 Remote Acces : Deux modes Utilisateur distant ASA Serveur Intranet Clientless Connexion 1 PC -> ASA SSL Connexion 2 ASA->applicatif Parsing des pages pour sa présentation par l ASA HTTP HTTPS FTP CIFS SMTP,POP3 IMAP4 Citrix telnet, SSH TN3270, 5350 RDP, VNC anyconnect Mode Tunnel Tunnel SSL ou IPsec Accès directe aux applications du réseau interne

22 Mode Clientless (proxy) ASA 5500 Interface Web pour un accès complet aux ressources du réseau de l entreprise Compatibilité avec les pages HTML complexes, y compris avec ActiveX, Java Support de navigateurs multiples Portail customizable par groupe d utilisateurs Protocoles supportés : HTTP, HTTPS, CIFS, FTP, SMTP, POP3, IMAP Et avec les plugins : Remote Desktop, VNC, Citrix, Telnet, SSH, 5250, 3270

23 VPN en mode Tunnel : anyconnect Résultat de l expérience Cisco dans le domaine du VPN et de l encryption : Client léger, stable et simple à supporter ASA 5500

24 Cisco AnyConnect Solution de connection VPN de nouvelle génération Choix multiples Choix d équipements et OS Data Loss Prevention Threat Prevention Acceptable Use Access Control Securité Sécurité complète de La solution Acces authorisé Intranet Corporate File Sharing Experience Connectivité permanente, Expérience utilisateur unique

25 Cisco Anyconnect VPN client Multiples OS supportés Mac OS X 10.5, 10.6.x ou + (32/64 bits) Win XP, VISTA, Windows 7 (32/64 bits) Linux : RedHat linux 5 desktop unbuntu 9.x autres distributions linux sur demande mode autonome (sans navigateur Web) Start Before Login (SBL) pour Windows API pour le pilotage a partir d une application externe Installation à partir d un navigateur java, ActiveX ou via un MSI Mise à jour auto sans nécessité des droits d administrateur Accès aux ressources internes IPv6 (dans un tunnel IPv4) Support de DTLS (optimisation pour les flux sensibles à la latence) autodétection à la connexion (le protocole utilise UDP)

26 Cisco Anyconnect Mobile Windows Mobile 5.0, 6.0, 6.1 et 6.5

27 AnyConnect iphone Iphone 3G, 3GS, 4 avec IOS 4.1 Tunnels SSL (DTLS et TLS) Roaming entre le 3G et le WiFi Méthodes Multiples d authentifications Imports des profiles de connexions via l ASA Enrollement des Certificats Interface Iphone Native Intégration forte avec l IOS Apple iphone Logs intégrés au client Futur support IPAD après mise à jour de l OS

28 Trusted Network Detection (TND) Détection du réseau de confiance Réseau externe à l entrepris e Réseau de confiance (entreprise ) Connexions et déconnexions automatiques en fonction des conditions suivantes : Réseau de l entreprise Réseau externe àl entreprise Détermination de la location en fonction du nom de domaine et de l adresse IP du DNS D autre méthodes dans le futur Authentification par certificat pour une authentification transparente Windows XP, Vista, 7 & Mac OS X

29 Détection du réseau de confiance Active ou désactive le VPN en fonction du réseau détecté DNS Suffix cisco.com DHCP Request DHCP Response Détection : DNS et domaine de l entreprise DNS Address Réseau d entreprise Untrusted Network Home Office

30 Détection du réseau de confiance Active ou désactive le VPN en fonction du réseau détecté DNS Suffix cisco.com Détection : DNS et domaine de l entreprise DNS Address Réseau d entreprise Untrusted Network Home Office

31 Détection du réseau de confiance Active ou désactive le VPN en fonction du réseau détecté DNS Suffix comcast.net Trusted Network Réseau externe détecté DNS Server IP Réseau d entreprise DHCP Request DHCP Response Home Office

32 Trusted Network Detection ASDM configuration du Profile dans ASDM Persistance des sessions (Auto Reconnect) Trusted Network Detection Always-On VPN portail captif selection automatique du point d acc-s

33 Connectivité persistante La connexion VPN est maintenue Lors d un changement de réseau (3G, WiFi, LAN, etc) En cas de perte du réseau Pendant une hybernation ou un standby du poste Politique contrôlé par l administrateur Compatible avec toutes les méthodes d authentification AnyConnect 3.0

34 Always On / SécuritS curité persistante Expérience utilisateurs Fail Close Fail Open Active Accès réseaux bloqués Tentative continue de contacter le concentrateur VPN. Accès réseaux autorisés Tentative continue de contacter le concentrateur VPN. Réseau sécurisé disponible Tunnel VPN actif Reconnexion de cours

35 Détection des hotspot Expérience utilisateurs : état de la connexion Captive Portal (Web) Authentification nécessaire Pour obtenir un accès au réseau ouvrez votre navigateur Web Pas de connectivité DNS Service DNS non disponible Pas d interface réseau L utilisateur est derrière un portail captif, il doit s authentifier sur ce portail pour avoir accès au réseau et monter son VPN Pas de réseau détecté Vérifiez que votre câble réseau est bien branché ou que votre Wifi est activé. Proxy Détecté Authentification nécessaire auprès d un proxy

36 Sélection automatique du point d accd accès s VPN Sélection automatique Politique contrôlé par l administrateur Détermination automatique du meilleur point d accès (en fonction du temps de réponse) Reconnexion vers un autre point d accès uniquement si la qualité de la liaison est meilleure. Un changement de point d accès nécessite une réauthentification

37 Solution SSL-VPN Cisco Sélection optimale du point d accd accès Tokyo Paris Time = 25ms Time = 23ms Time = 24ms Time = 33ms Time = 35ms Time = 26ms Los Angeles Time = 28ms Time = 27ms Time = 25ms Marseille Connexion automatique au meilleur point d accès Requête HTTPS calcul du meilleur délai aller retour

38 Solution SSL-VPN Cisco Sélection optimale du point d accè Tokio Paris Los Angeles Time = 26ms Time = 23ms Time = 25ms Marseille Connexion automatique au meilleur point d accès Requête HTTPS calcul du meilleur délai aller retour

39 Solution SSL-VN Cisco Sélection optimale du point d accès Paris Tokio Paramètres importants: Suspension Time Threshold (heures) Performance Improvement Threshold (%) Los Angeles Time = 23ms Marseille Connexion automatique au meilleur point d accès Requête HTTPS calcul du meilleur délai aller retour

40 NAC : Analyse de conformité du poste Expérience utilisateurs Message à l utilisateur sur la raison de sa mise en quarantaine Mise en quarantaine, l Antivirus est absent Une fois remis en conformité l utilisateur doit se reconnecter En cas de connexion persistante le VPN sera automatiquement rétabli AnyConnect 2.5

41 Règles du Firewall: Ajout d une protection pour le Split Tunneling règles de FW supportées : ACLs simple pour IPv6 Port TCP/UDP pour IPv4 Pas de FW applicatif Windows et Mac OS X Anyconnect 3.0

42 AnyConnect Secure Mobility visualisation des règles r FW dans Anyconnect Réseau local (hors Split tunneling) règles du Firewall (impression locale Du coté du profil d AnyConnect :

43 Configuration du FW dans ASDM Règles d accès au réseau local Règles d accès au réseau corp (dans le vpn)

44 Les utilisateurs mobiles aujourd hui L utilisateur n est pas protégé lorsqu il accède directement à internet sans monter son VPN Applications Social Networking News Coffee Shop Enterprise SaaS At Home At Work Airport Broad Range of Devices Access Points

45 ASA + WSA ASA / WSA offrent une connectivité sécurisé permanente Applications Corporate Datacenter avec ASA et WSA INTERNET News Social Networking Coffee Shop Enterprise SaaS At Home At Work Airport Broad Range of Devices AnyConnect Client Access Points

46 Anyconnect 3.0 Intégration des services SAAS et entreprise News AnyConnect 3.0 ASA Cisco Web Security Appliance Social Networking Enterprise SaaS Corporate AD

47 Anyconnect 3.0 (Q1/2011) Client VPN SSL et IPSec ikev2 HostScan intégré Contrôle OS, Process, AV, FW.. Sécurité mode SAAS Intégration du client scansafe anywere + Authentification Wifi EAP TLS, TTLS, PEAP, GTC Authentification 802.1x Client 802.1x intégré MACsec (encryption) Diagnostic intégré

48 Cisco VPN SSL ASA Licensing d Entreprise Cisco AnyConnect Essentials et Mobile Licences à coût abordable Accès en mode tunnel complet Postes de travail fixes et mobiles Pas de portail Web et d accès sans client => voir Premium Cisco AnyConnect Essentials et Mobile Licence Premium Single ou Shared (partagée) Souplesse opérationnelle Limitation des licences inutiles Active les fonctions Premium Client AnyConnect full tunnel Clientless SSL VPN : mode portail (Web proxy) Cisco Secure Desktop (CSD) Suite de protection du poste (hostcan, advanced assessment vault cache cleaner)

49 Licences Premium VPN SSL Shared Fonctions Premium : Client AnyConnect, Mode Portail, Cisco Secure Desktop Avantages: Simplicité Souplesse e.g ajout de licences Déploiements incrémentaux ASA License server Shared license ASA ASA ASA ASA Participant License Participant License Participant License

50 VPN SSL avec l ASA multiples options de licence AnyConnect Essentials AnyConnect Mobile Premium (Clientless Edition)-Single Device Premium (Clientless Edition) Shared Premium (Clientless Edition) VPN FLEX license AnyConnect (mode tunnel) ** WebVPN (mode portail) AnyConnect smartphone Ajouter la licence AnyConnect Mobile ** Ajouter la licence AnyConnect Mobile Ajouter la licence AnyConnect Mobile Ajouter la licence AnyConnect Mobile Cisco Secure Desktop* Advanced Endpoint Assessment (Option) Licences partagées Shared * bureau virtuel, vérification de posture, détection de keylogger, nettoyeur de cache ** Requiert AnyConnect Essentials, Premium Shared ou Premium Single Device

51 Questions?

52 The Difference In Distribution