Le saviez vous ?

La partie profiling d’ISE utilise un ensemble de probes (OUI, DHCP, HTTP, Netflow ….) pour identifier les équipements qui se connectent au réseau.

Il existe bien sur des rapports spécifiques au profiling dans ISE mais saviez vous qu’il y a un connecteur entre ISE et NCS ?

NCS est le logiciel de supervision de l’offre Wireless Cisco qui a évolué pour intégrer la supervision des switches, et plus particulièrement le monitoring en temps réels de tous les accès aux réseaux.

La partie reporting de NCS intègre des rapports spécifiques à la partie profiling et vous pouvez non seulement savoir qui se connecte avec quel équipement mais aussi avoir des statistiques plus globales sur l’ensemble des équipements qui se connectent au réseau que ce soit en filaire ou en Wireless.

Voici un exemple de rapport que vous pouvez obtenir avec un NCS relié à ISE :

rapport : client summary by endpoint type

Anyconnect Android

Cisco continue à faire évoluer son offre Anyconnect sur Android avec des portages régulier de notre client VPN sur l’ensemble de plateformes du marché.

Pour rappel Anyconnect sur Android est disponible pour les plateformes suivantes :

- Samsung

- HTC

- Lenovo

- les “rooted devices”

De nouvelles plateformes seront annoncées dans les mois à venir, l’ensemble des versions d’anyconnect sont gratuitement téléchargeables à partir de l’Android Market

Le code ASA 8.4.3 de l’ASA est disponible

Le code ASA 8.4.3 de l’ASA est disponible sur CCO avec son lot de correctifs et quelques nouvelles fonctions :

• Amélioration des fonctions PAT et NAT
• Support officiel des navigateurs IE9 et Firefox 4 pour le portail SSL-VPN
• Amélioration de la configuration de la compression SSL avec Anyconnect 3.0
• Amélioration des connexions LDAP
• attributs radius complémentaires pour la gestion des “group policies” (VSA)

pour l’ensemble des détails vous pouvez consulter la release notes :

Release notes ASA8.4.x

Le code ASA 8.4.3 s’applique à l’ensemble de la gamme.

ASA Identity Firewall 8.4(2)

La version 8.4(2) de l’ASA disponible depuis juin 2011 apporte le support du filtrage statefull basé sur l’identité ou le groupe d’appartenance des utilisateurs.

La solution fonctionne en conjonction avec l’active directory de Microsoft via un agent dédié qui assure le transfert d’informations vers l’ASA.

Cette fonctionnalité est compatible avec l’ensemble de la gamme ASA du 5505 au 5585, l’agent peut être installé sur un serveur du domaine ou directement co-localisé sur le contrôleur de domaine.

La solution fonctionne dans les environnements multi-domaines, chaque ASA peut adresser 30 serveurs et jusqu’à 64 000 utilisateurs peuvent être gérés simultanément dans le cache d’un ASA.

Les ASA dialoguent directement en LDAP vers l’AD pour afficher les groupes et noms d’utilisateurs et ainsi configurer la table de filtrage (voir exemple ci-dessous)

 table de filtrage de l’ASA avec champ user

Fenêtre de sélection des groupes et utilisateurs

les architectures proposées sont complètement redondante, deux agents peuvent être configurés par domaines et chacun peuvent adresser plusieurs contrôleurs de domaine :

L’identity Firewall est entièrement configurable via ASDM, un monitoring temps réel de l’activité des utilisateurs a été intégré dans l’interface graphique :

Monitoring des utilisateurs coté ASA

La solution est totalement transparente pour les utilisateurs, le simple fait de s’authentifier sur leur poste dans le domaine assure une identification coté ASA. il ne leur sera ainsi pas demandé de s’authentifier sur le Firewall.

Dans le cas d’utilisateurs extérieurs au domaine la solution propose également une possibilité d’authentification locale sur le Firewall afin d’utiliser cette nouvelle fonction d’identity Firewall.

La version 8.4.2 est disponible sur l’ensemble de la gamme ASA à l’exception de l’ASA service module

 Plus d’informations sur la 8.4.2 -> http://www.cisco.com/en/US/docs/security/asa/asa84/release/notes/asarn84.html#wp535067

L’ASA 8.4.2 est disponible !

Le code 8.4.2 de l’ASA est disponible sur CCO, c’est la version qui supporte l’Identity Firewall, avec au programme un bon nombre de correctifs et quelques nouvelles fonctions supportées :

- Identity Firewall (AD integration)

- Support de deux modules Firewall dans le même chassis (SSP-40 ou SSP-60)

- SHA2 pour le SSL-VPN et IKEv2 – Support de SHA-2 pour le client ipsec natif windows 7

- Split DNS pour anyconnect

- Support de OWA 2010 en mode portail

- Filtrage des prefix IPv6

- Support de L2TP/IPSEC pour les smartphones et tablettes android

- Possibilité de bloquer ou autoriser les smatphones par types (permettre anyconnect android et bloques les ipad par exemple)

- Quelques petites améliorations dans la partie PAT/NAT

Lien direct vers la release notes -> http://www.cisco.com/en/US/docs/security/asa/asa84/release/notes/asarn84.html

ISE : Identity Service Engine est disponible

Le nouveau policy server de Cisco est disponible dans sa version 1.0, il regroupe à travers une interface unique l’ensemble des offres touchant à la gestion des identités cisco :

• Authentification / Autorisation des machines et utilisateurs
• Profiling automatique des équipements
• Gestion des invités via des portails captif
• Posture (NAC)

De plus ISE dispose d’une toute nouvelle interface graphique offrant à la fois un accès complet à la configuration des politiques de sécurités mais également un monitoring avancé du réseau :

dashboard ise

La partie la plus innovatrice d’ISE consiste en sa capacité d’identification et de classification automatique des équipements qui se connectent au réseau, c’est ce que l’on appelle la fonction « profiler ».

Chaque équipement qui a accès au réseau est ainsi analysé en se basant sur un certains nombre de points de profiling, comme par exemple, l’adresse MAC (OUI), une requete DHCP, le user agent (http), Netflow, Radius, CDP, snmp. On peut par exemple identifier qu’un utilisateur vient de connecter au wifi avec un smartphone d’une marque X qui tourne sous un OS Y.

Les équipements sont ensuite classifiés par catégories et ISE permet d’écrire des politiques spécifiques à chaque catégorie :

Il est par exemple possible de restreindre l’usage des tablette à la lecture des mails ou simplement à l’accès internet ou bien par exemple de positionner automatiquement les imprimantes dans le vlan impression.

Les autres fonctions (Posture et Gestion des invités) seront présentées dans un prochain article.

ISE se présente sous la forme d’appliances ou bien tourne sous Vmware ESX 4.x, les architectures ISE offrent de la haute disponibilité et permettent la prise en comptes des plus grands réseaux d’entreprises de plus de 100 000 postes.

plus d’infos http://www.cisco.com/en/US/prod/collateral/vpndevc/ps5712/ps11637/ps11195/at_a_glance_c45-654884.pdf

a suivre ….

La remplaçante de la FWSM arrive

 L’ASA 5585 se décline sous la forme d’un module de service pour le Catalyst 65xx, avec des caractéristiques de 16 Gbps  ce nouveau module a pour objectif de renforcer le positionnement de l’ASA dans le Datacenter et les cœur de réseaux campus.

Les caractéristiques du modules sont les suivantes :

-          20 Gbps max (jumbo frame)

-          16 Gbps en multi-protocole

-          10 Millions de sessions concurrentes

-          300 000 connections par secondes

-          250 contextes

-          1024 Vlans

Le module est basé sur les HW et Codes ASA avec toutefois quelques petites fonctions complémentaires tel que la gestions des contextes en mode mixte (routé ou transparent) sur le même module.

Pour plus d’informations, rendez-vous sur CCO  -> http://www.cisco.com/en/US/products/ps11621/index.html

Cisco et la gestion des événements de sécurité

L’offre Cisco CS-MARS apporte depuis plusieurs années une solution globale de gestion des événements de sécurité. Au mois de décembre nous avons annoncé la fin de commercialisation de ce produit en juin prochain.

 Afin d’améliorer l’offre autour des produits de sécurité Cisco, nous nous sommes rapproché de sociétés  société spécialisées dans les équipements dédiés à la gestion des événements (SIEM).

Un partenariat nous permet de livrer valider et tester les systèmes SIEM les plus pertinent du marché et de proposer des offres communes de gestion des événements.

Le programme « Cisco Developer network » a déjà validé les solutions  des constructeurs suivants :

Le programme consiste à :

-       Valider les Designs

-       Valider les équipements Cisco Supportés

-       Fournir des guides de déploiements précis pour chaque solution en environnement Cisco

-       Fournir un support direct de Cisco pour les Designs

Un guide d’intégration des outils Siems à été  mis à disposition sur cisco.com :

Cisco Security Information Event Management Deployment Guide

Puis pour chaque constructeur vous trouverez des guides de déploiement extrêmement bien réalisés au format .pdf :

Guide de déploiement pour Arcsight

Guide de déploiement pour Loglogic

Guide de déploiement pour netForensics

Guide de déploiement pour RSA

Guide de déploiement pour Splunk

En parallèle de cette offre Echosystem, nous disposons d’une offre de gestion de la sécurité à travers l’outil CSM. Ce logiciel permet de configurer les équipements de sécurité Cisco et il dispose d »une gestion en temps réel les logs des FW et sondes IPS Cisco.

Dans sa prochaine release, il disposera également de capacités de reporting.

Un article spécial dédié à ce sujet sera publié sur ce blog

Pour plus d’informations sur les solutions de partenariat securité cisco :

https://cisco.com/go/securitypartners

l’ASA 5585 au service de la sécurité dans le Datacenter

Depuis plusieurs années Cisco se positionne très fortement dans les architectures Datacenter, il est donc tout à fait logique que notre stratégie sécurité apporte des innovations dans le cadre de la protection des Datacenters.

Introduit en Septembre 2010, la gamme ASA 5585 ouvre de nouvelles portes dans le cadre de la protection périmétrique des Datacenters.

Cette nouvelle gamme de FW multi-gigabits, s’appuie sur une architecture multiprocesseurs assisté par des asics spécialisés pour l’encryption et pour le « Deep packet inspection).

Depuis pas mal d’années Cisco c’est positionné dans le domaine de la protection des Datacenter, les architectures DC Cisco sont constitués de blocs fonctionnels avec des rôles précis pour chaque blocs, la sécurité d’accès se positionne au niveau du bloc service tel que présenté avec le schéma ci-dessous :

Exemple d'architecture DC Cisco

La mise en place d’une politique de sécurité dans le Datacenter doit apporter un certain nombre de réponses aux problématiques suivantes :

• Haute disponibilité
• Performances
• Virtualisation
• Contrôle d’accès aux applications

Nous allons voir dans la suite de cet article comment répondre à ces différents points

Haute Disponibilité :

Les architectures Datacenter Cisco sont construites afin de garantir une très haute disponibilité des services. La gamme Nexus permet la mise en place d’architectures redondante et performantes, la mise en place de FW doit pouvoir garantir la disponibilité des services.

La gamme ASA offre depuis de nombreuse année la possibilité d’utilisation de paire de FW en Failover. La fonction failover à été optimisé ces dernières années afin de pouvoir garantir un basculement tout en gardant les sessions utilisateurs actives. Pour cela une synchronisation permanente de l’état des sessions est réalisée entre les deux boitiers, et le pooling est maintenant réglable en ms. Ce qui permet d’obtenir des temps de basculant pouvant être < à la seconde.

ASA en failover

Les boitiers ASA peuvent être positionnée en mode actif/ Passif ou bien en mode actif/actif, ce qui permet d’optimiser la bande passante en la répartissant entre les deux boitiers ASA.

Le mode de connexion est également très important, l’ASA Supporte actuellement le double attachement avec une notion de backup interface. En cas de perte de lien sur l’interface primaire, le basculement est automatique sur l’interface de secours qui reprends l’ensemble des paramètres de la première interface, voir schéma ci-dessous :

Maintenant dans le cadre des architectures DC, on utilise très souvent de l’agrégation de liens, il existe dans les équipements de concentration Cisco des mécanismes qui permettent de virtualiser et consolider l’ensemble de services de 2 cœurs de réseaux. Par exemple sur le Catalyst 65xx on peut consolider deux châssis grâce  la fonction VSS, les deux chassis sont ainsi vu comme une entité unique au niveau du réseau. Une fonction similaire existe pour la gamme Nexus 7xxx, VPC.

L’ASA supportera très prochainement avec l’arrivée du code 8.4 la fonction Etherchannel, et pourra donc s’insérer tel que précisé dans le schéma ci-dessous :

Architectures Etherchannel ASA

Toujours dans un souci constant d’innovation, nous sommes sur le point de proposer une nouvelle fonction de positionnement des services dans le Datacenter : SIA

SIA  correspond à Sevice Insertion Architecture, il s’agit de pouvoir utiliser l’infrastructure de cœur du Datacenter (Catalyst 65xx ou nexus 7xxx) pour appeler dynamiquement et de manière transparente des services.

La fonction SIA s’appuiera sur 4 services distincts :

• Service Classifier : point d’entré des paquets, classifications des données en fonction des services à activer
• Service broker : point central qui vérifie les services disponibles, définie l’ordre de traitement des services, contrôle la disponibilité  et la topologie des services
• Service Directory : Point central de définition des services
• Service Node : Equipement de service (FW, Load Balancer, NAM …) enregistré au niveau de l’infrastruction SIA via le Servise Broker.

Les 3 premiers services sont positionnés dans le switch de cœur du Datacenter, quand à l’ASA il supportera avec la release 8.4 la fonction service Node.

Répartition et interactions entre les services SIA

SIA devrait être disponible dans la première partie de l’année 2011, cette fonction révolutionnera complètement les architectures Datacenter. L’insertion d’équipements de services tel que les Firewalls ou les load balancer nécéssitait de revoir complètement l’architecture afin de les positionner en coupure des flux. Avec SIA, c’est l’architecture native du Datacenter qui fait appel aux services, l’ajout d’un service se réalise par un simple ajout dans la configuration sans modification de l’architecture globale

Appel des services via SIA

Performances :

Le second point sur lequel Cisco a énormément travaillé, ce sont les performances, nous avons vu précédemment que les nouvelles architectures permettaient l’agrégation de boitiers et de liens, il fallait également faire évoluer les hardwares de nos appliances ASA.

C’est le cas avec les toutes nouvelles appliances ASA 5585 qui apportent des performances multi-gigabits pour les services FW et IPS :

Ces performances seront encore améliorées avec l’arrivée du code 8.4 qui exploitera de façon optimum les architectures multiprocesseurs de ces nouveaux boitiers.

Virtualisation

La virtualisation est également au cœur de notre stratégie, cette stratégie se déroule en 3 phase.

1.       Utilisation de contextes virtuels dans les FW ASA (jusqu’à 250 contextes avec la 8.4)

2.       Intégration transparente des services virtualisés avec SIA

3.       Mise en place d’une architecture FW software dans les hyperviseurs VMware (Virtual security gateway)

La phase 1 est dort et déjà implémentée par pas mal de nos clients à travers les contextes de l’ASA ou du module FWSM, SIA sera disponible dans la première partie de 2011 et la virtual security Gateway arrive fin 2010.

Les contextes de l’ASA correspondent à une virtualisation complète du FW, y compris de la partie administration, le fait d’utiliser de la virtualisation au niveau des FW permet un gain non négligeable au niveau du Datacenter, que ce soit dans la consommation électrique dans l’encombrement mais également dans la mutualisation des services.

Le tableau suivant montre un comparatif révélateur entre 10 FW ASA 5550 de 1 Gbps et un ASA 5585 à 10 Gbps :

La mise en place d’une architecture de virtualisation du Datacenter doit être assurée de bout en bout, en partant de l’architecture virtualisée des serveurs mais aussi via des mécanismes comme les VLAN, ou les VRF et bien sur la la virtualisation des services.

Architecture virtualisée de bout en bout

Contrôle d’accès aux applications :

Depuis plusieurs mois, Cisco propose à travers son architecture TrustSec, des solution d’authentification des utilisateurs, ainsi que la mise en place de filtrage associé via les group tag.

Dans les tous prochains mois Cisco va étendre sa solution aux FW en intégrant dans l’ASA la notion d’identity FW, cela permettra aux administrateurs de la sécurité de positionner des règles d’accès basées sur l’identité d’un utilisateur ou par son appartenance à un groupe.

Nous reviendrons dans un prochain article de manière beaucoup plus détaillées sur le sujet.

Conclusion

La prise en compte de l’architecture globale d’un Datacenter nous a permis d’implémenter des fonctions uniques sur le marché, que ce soit au niveau du mode d’insertion des services de sécurité ou bien même de notre intégration forte dans les environnements virtualisés.

L’ASA 5585 avec son architecture haute performance ouvre de nouvelles portes pour l’implémentation de services uniques, ces services seront mis à disposition tout au log de l’année 2011.