Atelier Securité: : ASA &VPN Anyconnect 3.0 Hassan DORAMANE Ingénieur Avant Vente TD-Azlan Hassan.doramane@azlan.com 11 Octobre 2011
Agenda L offre FW Cisco La gamme ASA Les fonctions avancés de l ASA Les Fonctions FW Les fonctions IPS Les fonctions VPN Administration
Firewalls Cisco ASA 5500 Plateforme dédiée à la sécurité Intégration IPSec/SSL VPN Services IPS DMZ, Campus et DC FWSM Sécurité intégré au Catalyst 65xx Services collaboratifs avec la SUP Campus et Data-center Cisco ISR-G2 Plateforme all in one Routage, Qos, Sécurité Fonctions VPN avancées Accès Wan, services managés Cisco ASR Routeur/FW 40 Gbps Plateforme multiprocesseurs Routage, Qos avancés WAN haut débit, DC
Agenda L offre FW cisco La gamme ASA Les fonctions avancés de l ASA Les fonctions FW Les fonctions IPS Les fonctions VPN Administration
Positionnement Positionnement de de la la gamme gamme Cisco Cisco ASA ASA Du 5505 Du au 5505 5520 au 5585 Performances ASA 5505 150 Mbps ASA 5510 300 Mbps, ASA 5520 450 Mbps ASA 5540 650 Mbps, 5585 / SSP-10 ASA 5550 1.2 Gbps, 5585 / SSP-20 5-10 Gbps, Plateformes multi-services (FW, IPS et VPN) 2-4 Gbps ASA 5580-20 5-10 Gbps, 5585 / SSP-40 10-20 Gbps, ASA 5580-40 10-20 Gbps Plateformes Firewall et VPN 5585 / SSP-60 15-30 Gbps Teleworker Branch Office Internet Edge Campus Data Center
Positionnement de la gamme Cisco ASA Du 5505 au 5520 ASA 5505 Security+ ASA 5510 ASA 5510 Security + ASA 5520 Positionnement CPE Home Office Accès internet Accès internet Accès internet Performances Firewall Max IPSec VPN Max IPSec/SSL VPN Peers Max 150 Mbps 100 Mbps 25 / 25 300 Mbps 170 Mbps 250 / 250 300 Mbps 170 Mbps 250 / 250 450 Mbps 225 Mbps 750 / 750 Capacités Nbs Max de Connections (FW) Nbs Max Conns/Second Packets/Second (64 byte) Base I/O Max I/O VLANs Supportés Haute dispo Supportée Nbr de contextes max 25,000 4,000 85,000 8 FE (2 PoE) idem 20 Non 1 50,000 9,000 190,000 5 FE idem 50 Non 1 130,000 9,000 190,000 2 GE + 3 FE 6 GE + 1 FE 100 A/A et A/S 5 280,000 12,000 320,000 4 GE + 1 FE 8 GE + 1 FE 150 A/A et A/S 20
Positionnement de la gamme Cisco ASA Du 5540 au 5580 ASA 5540 ASA 5550 ASA 5580-20 ASA 5580-40 Positionnement Accès Internet Segmentation Campus Segmentation Campus / Data Center Data Center Performances Firewall Max (Real-world HTTP) Firewall Max (UDP 1400/Jumbo) IPSec VPN Max IPSec/SSL VPN Peers Max 500 Mbps 650 Mbps 325 Mbps 5000 / 2500 1 Gbps 1.2 Gbps 425 Mbps 5000 / 5000 5 Gbps 10 Gbps 1 Gbps 10,000 / 10,000 10 Gbps 20 Gbps 1 Gbps 10,000 / 10,000 Capacités Nbs Max de Connections (FW) Nbs Max Conns/Second Packets/Second (64 byte) Base I/O Max I/O VLANs Supportés Haute dispo Supportée Nbr de contextes max 400,000 25,000 500,000 4 GE + 1 FE 8 GE + 1 FE 200 A/A et A/S 50 650,000 36,000 600,000 8 GE + 1 FE 8 GE + 1 FE 250 A/A et A/S 50 1,000,000 90,000 2,500,000 2 Mgmt 24 GE / 12 10GE 100 (250*) A/A et A/S 50 2,000,000 150,000 4,000,000 2 Mgmt 24 GE / 12 10GE 100 (250*) A/A et A/S 50
Positionnement de la gamme ASA 5585 New New New New New Platform Performance Max Firewall (Large Packet) Max Firewall (Multi-Protocol) Max IPS (Media Rich) Max IPSec VPN Max IPSec/SSL VPN Peers ASA 5585-X SSP-10 IPS SSP-10 4 Gbps 2 Gbps 2 Gbps 1 Gbps 5000 ASA 5585-X SSP-20 IPS SSP-20 10 Gbps 5 Gbps 3 Gbps 2 Gbps 10,000 ASA 5585-X SSP-40 IPS SSP-40 20 Gbps 10 Gbps 5 Gbps 3 Gbps 10,000 ASA 5585-X SSP-60 IPS SSP-60 30 Gbps 20 Gbps 10 Gbps 5 Gbps 10,000 Platform Capabilities Max Firewall Conns Max Conns/Second Packets/Second (64 byte) Base I/O Max I/O VLANs Supported HA Supported 750,000 50,000 1,000,000 8 GE + 2 10 GE 16 GE + 4 10 GE 250 A/A and A/S 1,000,000 125,000 3,000,000 8 GE + 2 10 GE 16 GE + 4 10 GE 250 A/A and A/S 2,000,000 200,000 5,000,000 6 GE + 4 10GE 12 GE + 8 10GE 250 A/A and A/S 2,000,000 350,000 9,00,000 6 GE + 4 10GE 12 GE + 8 10GE 250 A/A and A/S 8
Cisco ASA 5505 Module IPS 2 ports PoE 8-port 10/100 configurable avec support des VLANs ASA Tech 5500 Data Intro Confidential 2004 Cisco Systems, Inc. All rights reserved. 9
Chassis ASA 5585-X Chassis 2U 19 2 modules pleine largeur 2 modules ½ largeur Alimentations redondantes et Hot Swappable 6 ventilateurs hot swappable Slot-1 Multi Gigabit Fabric Ports 4 x 10G SFP+ sur SSP40 et SSP60 hotswapables 10 x 1GbE Slots SFP sur tous les modules eusb ASA SSP FW/VPN dans le Slot 0 En option IPS SSP dans le Slot 1 2 Gb Internal Convenience storage Security credentials Slot-0
Les modules FW/VPN SSP du 5585 ASA SSP-10 ASA SSP-20 ASA SSP-40 ASA SSP-60 Processor 1 x 2.0 GHz Intel E5508 (2 Core/2 Threads) 1 x 2.13 GHz Intel L5518 (4 Cores/8 Threads) 2 x 2.13 GHz Intel L5518 (8 Cores/16 Threads) 2 x 2.46 GHz Intel E5645 (12 Cores/24 Threads) Maximum Memory 6 GB 12 GB 12 GB 24 GB Maximum Storage 2 GB eusb 2 GB eusb 2 GB eusb 2 GB eusb Ports 2 x SFP+ 8 x 1GbE Cu 2 x 1GbE Cu Mgmt 2 x SFP+ 8 x 1GbE Cu 2 x 1GbE Cu Mgmt 4 x SFP+ 6 x 1GbE Cu 2 x 1GbE Cu Mgmt 4 x SFP+ 6 x 1GbE Cu 2 x 1GbE Cu Mgmt Security 1 x Cavium Nitrox 1620 1.5Gbps AES 256 2 x Cavium Nitrox 1620 3 Gbps AES 256) 3 x Cavium Nitrox 1620 4.5 Gbps AES 256 4 x Cavium Nitrox 1620 6 Gbps AES 256 11
Modules IPS 5585-X IPS SSP-10 IPS SSP-20 IPS SSP-40 IPS SSP-60 Processor 1 x 2.0 GHz Intel E5508 (2 Core/2 Threads) 1 x 2.13 GHz Intel L5518 (4 Cores/8 Threads) 2 x 2.13 GHz Intel L5518 (8 Cores/16 Threads) 2 x 2.46 GHz Intel E5645 (12 Cores/24 Threads) Maximum Memory 6 GB DDR3-800 12 GB DDR3-1066 24 GB DDR3-1066 48 GB DDR3-1066 Maximum Storage 2 GB eusb 2 GB eusb 2 GB eusb 2 GB eusb Ports 2 x SFP+ 8 x 1GbE Cu 2 x 1GbE Cu Mgmt 2 x SFP+ 8 x 1GbE Cu 2 x 1GbE Cu Mgmt 4 x SFP+ 6 x 1GbE Cu 2 x 1GbE Cu Mgmt 4 x SFP+ 6 x 1GbE Cu 2 x 1GbE Cu Mgmt Mezzanine Card 1 x LSI Regex Accelerator -2G 1 x LSI Regex Accelerator-2G 1 x LSI Regex Accelarator-10G 2 x LSI Regex Accelerator-10G 12
Agenda L offre FW cisco La gamme ASA Les fonctions avancés de l ASA Les fonctions FW Les fonctions IPS Les fonctions VPN Administration
Solution VPN ASA Toute une gamme d options de connectivité IPsec VPN Tunneling Clientless VPN Access SSL VPN Tunneling DTLS (voice/video) Tunneling Mobile Access Cisco ASA
SSL VPN vs IPSec Flexibilité de déploiement d - solution simple à mettre en place SSL VPN IPSec VPN Accès de n importe ou à une liste d applications définies en utilisant un navigateur WEB Traversée facile des Firewall Portail WEB pour l accès aux applications Pas de client à installer Les applications client/serveur nécessitent une applet spécifique. Mode tunnel avec installation d un client pour un accès illimité Système de connexion robuste qui permet l accès à toutes les applications de l entreprise à partir d un site distant Accès à toutes les applications et au type de trafic Le client VPN permet un accès transparents aux applications Fonctionnalités maximales pour les postes concernés Transport sécurisé voix et données
Traverser un Firewall SSL VPN HTTPS (TCP 443) HTTP (TCP 80) Les ports et protocoles listés doivent être ouvert pour permettre la connexion d un utilisateur distant. La plupart du temps le port 443 est ouvert sur les FW alors que les ports pour IPSec ne le sont pas systématiquement.. IPSec VPN Standard IPSec ESP (Protocol 50) IKE (UDP 500) Standard NAT/PAT Traversal IKE (UDP 500) ESP sur UDP (UDP 4500) Encapsulation propriétaire TCP N de port TCP défini par l administrateur
Gamme ASA / VPN ASA 5505 ASA 5510 ASA 5520 ASA 5540 ASA 5550 ASA ASA 5580 5585 Débit VPN 100 Mbps 170 Mbps 225 Mbps 325 Mbps 425 Mbps 1 Gbps 1 à 2 Gbps Sessions IPSec max Sessions SSL max 25 250 750 5 000 5 000 10 000 10 000 (5000 SSP10) 25 250 750 2 500 5 000 10 000 10 000 (5000 SSP10)
Solution VPN Sites à Sites QoS-Enabled VPN Support de LLQ pour les flux sensibles à la latence comme la VoIP Easy VPN Support des fonction Easy VPN serveur et client Internet Internet Routage Dynamique OSPF sur IPSec IPSec Stateful Failover Support de la redondance Active- Standby avec synchronisation automatique des SA. Support des architectures PKI Enrôlement manuel ou automatique (SCEP) RSA jusqu à 4096-bit RSA
Mise en place d un d cluster : load balancing 10.10.1.X.1.2.3 124.118.24.X.31.32.33 Le client demande une connexion IPSec ou SSL au 124.118.24.50 Le Master du Cluster répond avec 124.118.24.33 (Concentrateur le moins chargé) Le Client se connecte en IPSec ou SSL au 124.118.24.33 Internet.4.34 Adresse IP virtuelle du cluster = 124.118.24.50 Master du cluster Le Master est sélectionné en fonction : Premier à démarrer Priorité ( 1 à 10 ) Adresse IP la plus basse
Remote Acces : Deux modes Utilisateur distant ASA Serveur Intranet Clientless Connexion 1 PC -> ASA SSL Connexion 2 ASA->applicatif Parsing des pages pour sa présentation par l ASA HTTP HTTPS FTP CIFS SMTP,POP3 IMAP4 Citrix telnet, SSH TN3270, 5350 RDP, VNC anyconnect Mode Tunnel Tunnel SSL ou IPsec Accès directe aux applications Illimité.. @ip du réseau interne
Mode Clientless (proxy) ASA 5500 Interface Web pour un accès complet aux ressources du réseau de l entreprise Compatibilité avec les pages HTML complexes, y compris avec ActiveX, Java Support de navigateurs multiples Portail customizable par groupe d utilisateurs Protocoles supportés : HTTP, HTTPS, CIFS, FTP, SMTP, POP3, IMAP Et avec les plugins : Remote Desktop, VNC, Citrix, Telnet, SSH, 5250, 3270
VPN en mode Tunnel : anyconnect Résultat de l expérience Cisco dans le domaine du VPN et de l encryption : Client léger, stable et simple à supporter ASA 5500
Cisco AnyConnect Solution de connection VPN de nouvelle génération Choix multiples Choix d équipements et OS Data Loss Prevention Threat Prevention Acceptable Use Access Control Securité Sécurité complète de La solution Acces authorisé Intranet Corporate File Sharing Experience Connectivité permanente, Expérience utilisateur unique
Cisco Anyconnect VPN client Multiples OS supportés Mac OS X 10.5, 10.6.x ou + (32/64 bits) Win XP, VISTA, Windows 7 (32/64 bits) Linux : RedHat linux 5 desktop unbuntu 9.x autres distributions linux sur demande mode autonome (sans navigateur Web) Start Before Login (SBL) pour Windows API pour le pilotage a partir d une application externe Installation à partir d un navigateur java, ActiveX ou via un MSI Mise à jour auto sans nécessité des droits d administrateur Accès aux ressources internes IPv6 (dans un tunnel IPv4) Support de DTLS (optimisation pour les flux sensibles à la latence) autodétection à la connexion (le protocole utilise UDP)
Cisco Anyconnect Mobile Windows Mobile 5.0, 6.0, 6.1 et 6.5
AnyConnect iphone Iphone 3G, 3GS, 4 avec IOS 4.1 Tunnels SSL (DTLS et TLS) Roaming entre le 3G et le WiFi Méthodes Multiples d authentifications Imports des profiles de connexions via l ASA Enrollement des Certificats Interface Iphone Native Intégration forte avec l IOS Apple iphone Logs intégrés au client Futur support IPAD après mise à jour de l OS
Trusted Network Detection (TND) Détection du réseau de confiance Réseau externe à l entrepris e Réseau de confiance (entreprise ) Connexions et déconnexions automatiques en fonction des conditions suivantes : Réseau de l entreprise Réseau externe àl entreprise Détermination de la location en fonction du nom de domaine et de l adresse IP du DNS D autre méthodes dans le futur Authentification par certificat pour une authentification transparente Windows XP, Vista, 7 & Mac OS X
Détection du réseau de confiance Active ou désactive le VPN en fonction du réseau détecté DNS Suffix cisco.com DHCP Request DHCP Response Détection : DNS et domaine de l entreprise DNS Address 161.44.124.22 Réseau d entreprise Untrusted Network Home Office
Détection du réseau de confiance Active ou désactive le VPN en fonction du réseau détecté DNS Suffix cisco.com Détection : DNS et domaine de l entreprise DNS Address 161.44.124.22 Réseau d entreprise Untrusted Network Home Office
Détection du réseau de confiance Active ou désactive le VPN en fonction du réseau détecté DNS Suffix comcast.net Trusted Network Réseau externe détecté DNS Server IP 68.87.78.130 Réseau d entreprise DHCP Request DHCP Response Home Office
Trusted Network Detection ASDM configuration du Profile dans ASDM Persistance des sessions (Auto Reconnect) Trusted Network Detection Always-On VPN portail captif selection automatique du point d acc-s
Connectivité persistante La connexion VPN est maintenue Lors d un changement de réseau (3G, WiFi, LAN, etc) En cas de perte du réseau Pendant une hybernation ou un standby du poste Politique contrôlé par l administrateur Compatible avec toutes les méthodes d authentification AnyConnect 3.0
Always On / SécuritS curité persistante Expérience utilisateurs Fail Close Fail Open Active Accès réseaux bloqués Tentative continue de contacter le concentrateur VPN. Accès réseaux autorisés Tentative continue de contacter le concentrateur VPN. Réseau sécurisé disponible Tunnel VPN actif Reconnexion de cours
Détection des hotspot Expérience utilisateurs : état de la connexion Captive Portal (Web) Authentification nécessaire Pour obtenir un accès au réseau ouvrez votre navigateur Web Pas de connectivité DNS Service DNS non disponible Pas d interface réseau L utilisateur est derrière un portail captif, il doit s authentifier sur ce portail pour avoir accès au réseau et monter son VPN Pas de réseau détecté Vérifiez que votre câble réseau est bien branché ou que votre Wifi est activé. Proxy Détecté Authentification nécessaire auprès d un proxy
Sélection automatique du point d accd accès s VPN Sélection automatique Politique contrôlé par l administrateur Détermination automatique du meilleur point d accès (en fonction du temps de réponse) Reconnexion vers un autre point d accès uniquement si la qualité de la liaison est meilleure. Un changement de point d accès nécessite une réauthentification
Solution SSL-VPN Cisco Sélection optimale du point d accd accès Tokyo Paris Time = 25ms Time = 23ms Time = 24ms Time = 33ms Time = 35ms Time = 26ms Los Angeles Time = 28ms Time = 27ms Time = 25ms Marseille Connexion automatique au meilleur point d accès Requête HTTPS calcul du meilleur délai aller retour
Solution SSL-VPN Cisco Sélection optimale du point d accè Tokio Paris Los Angeles Time = 26ms Time = 23ms Time = 25ms Marseille Connexion automatique au meilleur point d accès Requête HTTPS calcul du meilleur délai aller retour
Solution SSL-VN Cisco Sélection optimale du point d accès Paris Tokio Paramètres importants: Suspension Time Threshold (heures) Performance Improvement Threshold (%) Los Angeles Time = 23ms Marseille Connexion automatique au meilleur point d accès Requête HTTPS calcul du meilleur délai aller retour
NAC : Analyse de conformité du poste Expérience utilisateurs Message à l utilisateur sur la raison de sa mise en quarantaine Mise en quarantaine, l Antivirus est absent Une fois remis en conformité l utilisateur doit se reconnecter En cas de connexion persistante le VPN sera automatiquement rétabli AnyConnect 2.5
Règles du Firewall: Ajout d une protection pour le Split Tunneling règles de FW supportées : ACLs simple pour IPv6 Port TCP/UDP pour IPv4 Pas de FW applicatif Windows et Mac OS X Anyconnect 3.0
AnyConnect Secure Mobility visualisation des règles r FW dans Anyconnect Réseau local (hors Split tunneling) règles du Firewall (impression locale Du coté du profil d AnyConnect :
Configuration du FW dans ASDM Règles d accès au réseau local Règles d accès au réseau corp (dans le vpn)
Les utilisateurs mobiles aujourd hui L utilisateur n est pas protégé lorsqu il accède directement à internet sans monter son VPN Applications Email Social Networking News Coffee Shop Enterprise SaaS At Home At Work Airport Broad Range of Devices Access Points
ASA + WSA ASA / WSA offrent une connectivité sécurisé permanente Applications Email Corporate Datacenter avec ASA et WSA INTERNET News Social Networking Coffee Shop Enterprise SaaS At Home At Work Airport Broad Range of Devices AnyConnect Client Access Points
Anyconnect 3.0 Intégration des services SAAS et entreprise News Email AnyConnect 3.0 ASA Cisco Web Security Appliance Social Networking Enterprise SaaS Corporate AD
Anyconnect 3.0 (Q1/2011) Client VPN SSL et IPSec ikev2 HostScan intégré Contrôle OS, Process, AV, FW.. Sécurité mode SAAS Intégration du client scansafe anywere + Authentification Wifi EAP TLS, TTLS, PEAP, GTC Authentification 802.1x Client 802.1x intégré MACsec (encryption) Diagnostic intégré
Cisco VPN SSL ASA 8.4 - Licensing d Entreprise Cisco AnyConnect Essentials et Mobile Licences à coût abordable Accès en mode tunnel complet Postes de travail fixes et mobiles Pas de portail Web et d accès sans client => voir Premium Cisco AnyConnect Essentials et Mobile Licence Premium Single ou Shared (partagée) Souplesse opérationnelle Limitation des licences inutiles Active les fonctions Premium Client AnyConnect full tunnel Clientless SSL VPN : mode portail (Web proxy) Cisco Secure Desktop (CSD) Suite de protection du poste (hostcan, advanced assessment vault cache cleaner)
Licences Premium VPN SSL Shared Fonctions Premium : Client AnyConnect, Mode Portail, Cisco Secure Desktop Avantages: Simplicité Souplesse e.g ajout de licences Déploiements incrémentaux ASA License server Shared license ASA ASA ASA ASA Participant License Participant License Participant License
VPN SSL avec l ASA multiples options de licence AnyConnect Essentials AnyConnect Mobile Premium (Clientless Edition)-Single Device Premium (Clientless Edition) Shared Premium (Clientless Edition) VPN FLEX license AnyConnect (mode tunnel) ** WebVPN (mode portail) AnyConnect smartphone Ajouter la licence AnyConnect Mobile ** Ajouter la licence AnyConnect Mobile Ajouter la licence AnyConnect Mobile Ajouter la licence AnyConnect Mobile Cisco Secure Desktop* Advanced Endpoint Assessment (Option) Licences partagées Shared http://www.cisco.com/en/us/products/ps6120/products_licensing_information_listing.html * bureau virtuel, vérification de posture, détection de keylogger, nettoyeur de cache ** Requiert AnyConnect Essentials, Premium Shared ou Premium Single Device
Questions?
The Difference In Distribution