Fiche Technique Cisco IDS Network Module pour les routeurs des gammes Cisco 2600, 3600 et 3700 Cisco IDS Network Module fait partie des solutions intégrées de sécurité de réseau Cisco IDS (système de détection des intrusions) qui permettent aux organisations de protéger leurs actifs et de réduire leurs frais d exploitation. Le module de réseau Cisco IDS NM pour les routeurs des gammes Cisco 2600, 3600 et 3700 fait partie de la gamme de sondes Cisco IDS et du système de protection contre les intrusions Cisco IPS (Intrusion Protection System). Ces sondes IDS travaillent de concert avec les autres composants IDS (voir la Figure 1), notamment Cisco IDS Management Console, CiscoWorks VMS (VPN/Security Management Solution) et Cisco IDS Device Manager, afin d assurer une protection efficace de vos données et de votre infrastructure d informations. Devant la complexité croissante des menaces réseaux, il devient indispensable de mettre en place des solutions efficaces de protection du réseau contre les intrusions afin de garantir un niveau élevé de sécurité. Une protection vigilante contribue à garantir la continuité de l activité de l entreprise et minimise les conséquences onéreuses des intrusions. Pour obtenir des informations complémentaires sur l ensemble de la solution Cisco IPS (Intrusion Protection System), visitez la page http://www.cisco.com/go/ids. Figure 1 Déploiement des sondes Cisco IDS Network Module sur les routeurs Cisco 2600, 3600 ou 3700 Copyright 2000, Inc. Tous droits réservés. Page 1 sur 11
La diversité des solutions IDS permet un déploiement des sondes à tous les endroits de l architecture de réseau où elles sont nécessaires (voir la Figure 2). La gamme Cisco IDS 4200 se compose des sondes Cisco IDS 4215, IDS 4235, IDS 4250 et IDS 4250-XL. Les solutions Cisco IDS disponibles sur les plates-formes de routage et de commutation comprennent le module de services IDS (Intrusion Detection System) ( IDSM-2) de la gamme Cisco Catalyst 6500 et Cisco IDS Network Module pour les routeurs des gammes Cisco 2600XM et 3700, et le routeur Cisco 3660. La famille Cisco IDS fournit un vaste éventail de solutions facilement intégrables dans des environnements très variés comme ceux de l entreprise et des fournisseurs de services. Chaque sonde s adapte aux exigences de bande passante des différents routeurs jusqu à 10 Mbits/s pour les appareils de la gamme Cisco 2600XM et jusqu à 45 Mbits/s pour ceux de la gamme Cisco 3700. Le produit pour serveurs dédiés supporte de 80 Mbits/s à 1 Gbits/s. Le module Cisco Catalyst IDS (IDSM-2) supporte 600 Mbits/s. Pour plus d informations sur la famille de produits Cisco IPS, consultez le site suivant : www.cisco.com/go/ids. Figure 2 La famille Cisco IDS : famille Cisco 4200 et module Cisco IDS NM Module de réseau Cisco IDS pour les routeurs des gammes Cisco 2600, 3600 et 3700 : intégration du système de détection des intrusions (IDS) et du routage pour succursales d'entreprise En intégrant le système IDS et le routage pour succursales d'entreprise, Cisco simplifie la tâche complexe de la protection des liaisons de réseau WAN tout en réduisant les frais d exploitation. L intégration du système de détection des intrusions au routeur de la succursale apporte à l utilisateur de nombreux avantages clés : Economie d espace Cisco IDS Network Module n occupe qu un seul emplacement de module de réseau sur un routeur de succursale d entreprise des gammes Cisco 2600XM et 3700, et sur le routeur Cisco 3660. Gestion simplifiée de l alimentation et du câblage Le module de réseau IDS exploite les options d alimentation électrique du routeur, y compris l alimentation DC et l alimentation redondante. Interface d administration commune le module de réseau IDS peut être configuré et géré à partir de l interface de commande en ligne de la plate-forme logicielle Cisco IOS. Ce module de réseau supporte le même centre d administration CiscoWorks Management Center pour sonde IDS que la Copyright 2000, Inc. Tous droits réservés. Page 2 sur 11
gamme Cisco IDS 4200, ce qui permet à nos clients d utiliser un même système d administration centralisé pour les sondes IDS des serveurs dédiés et des routeurs. Interface de commande et de contrôle réseau Les opérations de commande et de contrôle utilisent le port Fast Ethernet externe, ce qui laisse le module Cisco IDS NM libre de capturer les paquets sur la connexion interne du routeur avant qu ils soient traités par le moteur IDS. Maximisation des performances grâce au processeur dédié du module Cisco IDS NM Le processeur dédié du module de réseau libère celui du routeur des tâches intensives de détection des intrusions. Frais d exploitation réduits Le module Cisco IDS NM est couvert par le service d entretien Cisco du routeur. Cette configuration permet de minimiser les frais d exploitation du réseau. Le module Cisco IDS NM peut contrôler jusqu à 45 Mbits/s de trafic et est adapté aux environnements T1/E1 et T3. Lorsqu il est équipé de ce module de réseau IDS, le routeur supporte d autres fonctions de sécurité Cisco IOS comme les VPN, les pare-feu, la commutation MPLS (Multiprotocol Label Switching), la traduction d adresses de réseau NAT (Network Address Translation) ainsi que le protocole WCCP (Web Cache Control Protocol) en même temps que toutes les autres fonctions de Cisco IOS. Les modules de réseau Cisco IDS s insèrent dans un unique emplacement sur les plates-formes des gammes Cisco 2600XM et 3700, et sur le routeur Cisco 3660. La configuration disponible comprend un disque dur de 20 Go pour la journalisation et l enregistrement des événements. Le port Ethernet externe est utilisé pour les opérations de commande et de contrôle afin d établir un port de sortie sécurisé pour les besoins d administration. Cette configuration permet également aux opérations de sécurité et aux opérations réseaux de disposer de leurs propres interfaces de commande et de contrôle. Figure 3 Module de réseau Cisco IDS NM Avantages du système Cisco IPS Une protection efficace contre les intrusions L avance technologique Cisco permet de réaliser un système efficace de protection contre les intrusions reposant sur quatre éléments fondamentaux : L exactitude de la détection des intrusions Capable de détecter la totalité des menaces potentielles, le logiciel Cisco IDS Sensor 4.1 est la première étape pour la constitution d un environnement sécurisé. L identification intelligente des menaces La technologie Cisco Threat Response élimine pratiquement tout risque de fausse alerte et détermine automatiquement les menaces qui doivent être immédiatement contrées pour éviter les intrusions coûteuses pour l entreprise. Facilité de gestion Les outils accessibles par navigateur simplifient l interaction utilisateur tout en offrant de puissantes fonctions analytiques qui permettent de répondre rapidement et efficacement aux menaces. Copyright 2000, Inc. Tous droits réservés. Page 3 sur 11
Des options souples de déploiement Une gamme d unités à haute disponibilité réalisent le réseau fédérateur souple qui permet la création d un système efficace et sécurisé de protection contre les intrusions. Pour des renseignements complémentaires sur les quatre éléments qui s associent dans notre solution sécurisée, efficace et exhaustive de protection contre les intrusions, visitez : http://www.cisco.com/en/us/products/sw/secursw/ps2113/products_data_sheet09186a008014873f.htm l http://www.cisco.com/en/us/products/sw/secursw/ps2113/index.html Options souples de déploiement propose la gamme la plus large possible d options pour le déploiement d un système de détection des intrusions sur le réseau et offre ainsi à ses clients la possibilité de choisir la solution IDS la plus économique pour leur environnement. Chacune de nos solutions est conçue pour garantir une haute disponibilité et est prise en charge par l assistance clientèle hors pair de Cisco. Les solutions réseaux IDS sont disponibles dans une vaste gamme de niveaux de performances qui vont de 10 Mbits/s à 45 Mbits/s avec Cisco IDS Network Module et de 45 Mbits/s jusqu à 1 Gbits/s avec la famille de produits Cisco Catalyst. Pour en savoir plus sur les sondes de la gamme Cisco IDS 4200, visitez le site : http://www.cisco.com/en/us/products/hw/vpndevc/ps4077/prod_models_home.html Pour en savoir plus sur le module de services IDSM-2 de la gamme Cisco Catalyst 6500, visitez le site : http://www.cisco.com/en/us/products/hw/modules/ps2706/ps5058/index.html Simplicité d installation L installation du module Cisco IDS NM est simple : glissez le module dans un emplacement de châssis libre, configurez-le avec les paramètres d initialisation puis configurez le routeur pour qu il reconnaisse la carte et qu il dirige le trafic vers elle. Une fois le module de réseau IDS initialisé et opérationnel, vous pouvez modifier sa configuration ou en télécharger une nouvelle à partir de n importe quelle console d administration. Architecture matérielle Le logiciel Cisco IDS Sensor 4.1 s exécute sur son propre processeur dans le module de réseau et utilise un disque dur de 20 Go pour toutes ses opérations de journalisation. Le routeur copie les paquets et les transmet pour inspection au module de réseau par l intermédiaire d une interface Fast Ethernet interne. L interface Fast Ethernet externe permet aux postes d administration réseau de contacter le module de réseau. Copyright 2000, Inc. Tous droits réservés. Page 4 sur 11
Figure 4 Architecture du module de réseau intégré Cisco IDS NM avec CiscoWorks VPN/Security Management Solution 2.1 Principales fonctions d administration CiscoWorks Management Center for IDS Sensors Ce centre d administration sert à configurer les sondes IDS du réseau et des commutateurs. Evolutif, il peut gérer plusieurs sondes à la fois en fonction de profils de groupes CiscoWorks Monitoring Center for Security Ce centre de surveillance sert à capturer, stocker, visualiser, corréler et établir des rapports sur les événements provenant des sondes IDS réseau, commutateur ou hôtes, des pare-feu et des routeurs. Pour une description détaillée, visitez : http://www.cisco.com/en/us/products/sw/cscowork/ps2330/index.html. Résumé des caractéristiques produits du module Cisco IDS NM Modules de réseau Le Tableau 1 donne la référence produit nécessaire pour la commande et la description du module de réseau Cisco IDS NM. Tableau 1 Référence produit du module Cisco IDS NM Référence NM-CIDS-K9 Description Module réseau Cisco IDS NM, disque dur IDE de 20 Go Copyright 2000, Inc. Tous droits réservés. Page 5 sur 11
Licences logicielles requises Cisco IDS Network Module opère avec n importe quel firmware Cisco IOS ou licence de fonctionnalité IDS de la plate-forme logicielle Cisco IOS version 12.2(15)ZJ ou ultérieure. Le Tableau 2 fournit la liste des images logicielles IDS de Cisco IOS disponibles pour les routeurs des gammes Cisco 2600, 3600 et 3700. Tableau 2 Liste des images logicielles IDS de Cisco IOS disponibles pour les routeurs des gammes Cisco 2600, 3600 et 3700. Produits IOS IP/FW/IDS IOS IP/FW/IDS PLUS IPSEC 56 IOS IP/FW/IDS PLUS IPSEC 3DES IOS IP/IPX/AT/DEC/FW/IDS PLUS IOS ENTERPRISE/FW/IDS PLUS IPSEC 56 IOS ENTERPRISE/FW/IDS PLUS IPSEC 3DES Routeurs supportés Chaque routeur supporté accepte un seul module Cisco IDS NM. Le Tableau 3 donne la liste des plates-formes de routage qui supportent le module de réseau Cisco IDS NM. Tableau 3 Plates-formes supportant le module de réseau Cisco IDS NM Routeur NM-CIDS-K9 Gamme Cisco 2600 Gamme Cisco 2600XM Cisco 2691 Cisco 3620 Cisco 3631 Cisco 3640, Cisco 3640A Cisco 3660 Cisco 3725 Cisco 3745 Copyright 2000, Inc. Tous droits réservés. Page 6 sur 11
Caractéristiques matérielles Le Tableau 4 précise les caractéristiques matérielles du module de réseau Cisco IDS NM Tableau 4 Caractéristiques matérielles du module de réseau Cisco IDS NM Caractéristique NM-CIDS-K9 Caractéristiques matérielles Processeur Mémoire SDRAM Maximum SDRAM Disque dur interne Interfaces réseaux Mémoire Flash Intel Mobile Pentium III 500 MHz 256 Mo 512 Mo Disque dur IDE de 20 Go pour Cisco IDS NM, Un port interne Ethernet 10-/100 Mbits/s vers le fond de panier du routeur, plus un port externe Ethernet 10-/100 Mbits/s 16 Mo internes plus mémoire Flash compacte externe en option Caractéristiques physiques Dimensions (H x L x P) Poids Hygrométrie de service Température de service Température hors service Altitude de service 3,9 x 18,0 x 18,3 centimètres 0,7 kg maximum de 5 à 95 % sans condensation de 0 à 40 C de -40 à 85 C de 0 à 3 000 mètres Sécurité UL 1950 ; CSA-C22.2 N 950, EN 60950, IEC 60950 Compatibilité électromagnétique FCC Part 15 Classe A ; EN55022 Classe B ; AS/NZS 3548 Classe A ; CISPR22 Classe B ; VCCI Classe B ; EN55024 ; EN61000-3-2 ; EN61000-3-3 Copyright 2000, Inc. Tous droits réservés. Page 7 sur 11
Caractéristiques fonctionnelles du produit Le Tableau 5 précise les caractéristiques fonctionnelles du module de réseau Cisco IDS NM Tableau 5 Caractéristiques fonctionnelles du module de réseau Cisco IDS NM Fonctions NM-CIDS-K9 Caractéristiques matérielles Performances lorsque Cisco IDS Network Module est déployé sur un routeur de la gamme Cisco 2600XM Jusqu'à 10 Mbits/s Performances lorsque Cisco IDS Network Module est déployé sur un routeur de la gamme Cisco 3700 Jusqu'à 45 Mbits/s Interface standard de surveillance Bus interne du routeur Interface standard de commande et de contrôle Interface 10/1010/100BASE-T externe du module de réseau Interface en option Amélioration possible des performances Reconnaissance de formes à inspection d état Détection heuristique Détection des anomalies Balayages ou saturations Réduction du risque d attaque par saturation Vers ou virus Attaques sur l interface CGI (Common gateway interface) ou par le Web Copyright 2000, Inc. Tous droits réservés. Page 8 sur 11
Protection contre le débordement de capacité de la mémoire tampon Détection des attaques par appel de procédure distant (Remote-procedure call : RPC) Attaques par fragmentation IP Attaques ICMP (Internet Control Message Protocol) Attaques SMTP (Simple Message Transfer Protocol), send mail, IMAP (Internet Message Access Protocol), ou POP (Post Office Protocol) Attaques FTP (File Transfer Protocol), SSH (Secure Shell Protocol), Telnet et rlogin Attaques DNS (Domain Name System) Détournements TCP Attaques Windows ou NetBIOS Protection des applications TCP Attaques BackOrifice Attaques NTP (Network Timing Protocol) Signatures personnalisables avec la technologie Signature Micro-Engine Mises à jour automatisées des signatures Résumé des alertes Support du trafic 802.1q Transmissions IPSec (IP Security) ou SSL(Secure Sockets Layer) entre la sonde et la console d administration Progiciels de signature cryptés Protocole SSH pour l administration à distance Copyright 2000, Inc. Tous droits réservés. Page 9 sur 11
Support SCP (Serial Control Protocol) pour le transfert sécurisé des fichiers Réassemblage de la fragmentation IP Réassemblage du flux TCP Désobscurcissement Unicode Modifications des listes de contrôle d'accès du routeur Modifications des politiques sur le pare-feu Modifications des listes de contrôle d'accès sur le commutateur Clôture de session par réinitialisation TCP Journalisation de session IP ou réexécution de la session Affichage des alertes Alertes par courrier électronique Alertes par e-page Exécution personnalisable des scripts Envoi d alertes à plusieurs destinations Intégration d outils d autres constructeurs Bulletins de mise à jour IDS actifs Interface utilisateur Web (HTTPS) Interface de commande en ligne (console) Interface de commande en ligne (Telnet ou SSH) Support CiscoWorks VPN/Security Management Solution Copyright 2000, Inc. Tous droits réservés. Page 10 sur 11
Alimentation redondante, pour Cisco 3745 seulement Détection de la défaillance de la liaison de surveillance Détection des défaillances de communication Détection des défaillances de service Détection des défaillances de l unité Notes : Les performances de 10 à 45 Mbits/s annoncées pour le module Cisco IDS NM sont atteintes dans les conditions suivantes : Cinq cent nouvelles connexions TCP par seconde Cinq cent transactions HTTP par seconde Taille moyenne d un paquet : 445 octets Exécution du logiciel Cisco IDS 4.1 Sensor Cisco 2600XM, jusqu'à 10 Mbits/s Cisco 3745, jusqu'à 45 Mbits/s Copyright 2000, Inc. Tous droits réservés. Page 11 sur 11