Pour les clients qui désireraient ajouter cette fonctionnalité à l’ASA 5512 nous venons de mettre à disposition une License Security plus (Ref : L-ASA5512-SEC-PL=).

Le cout d’un ASA 5512 + Security Plus est identique au coût initial d’un 5515, cette License est donc essentiellement intéressante dans le cas d’un upgrade, en cas de nouvelle acquisition il reste plus judicieux de partir directement sur un 5515 qui dispose de plus de mémoire et dont de plus de puissance.

Voici un petit comparatif entre en 5512 + Security Plus et le 5515

Pour plus d’infos sur la gamme asa –>  Comparaison des  Modèles ASA

Que ce soit pour les filtres de réputation, pour les signatures antispam, pour les catégorisation d’URLs, pour les règles IPS ou pour les règles prévenant les communications avec les Botnets, SIO est le coeur des technologies de filtrage Cisco et est aussi utilisé pour pondérer les risques d’attaques détectées par nos IPS et ainsi limiter le nombre de faux-positifs.

SIO est le système qui donne au produit CISCO cette différentiation dans la protection contre les menaces

Composé de trois piliers, l’aggrégation d’informations, l’analyse et la distribution, SIO est le système de couverture dynamique le plus évolué pour la protection des clients CISCO:

• L’agrégation d’informations est basée sur la remontée brute d’information de l’ensemble des appliances, des clients VPN AnyConnect, des équipements de routing et d’autres sources de confiance. Cette agrégation permet d’avoir la visibilité la plus importante sur les flux potentiellement malsains.
• Nos centres de recherches, constitués de plus de 500 personnes spécialisés en sécurité informatique et recherche en informatique fondamentale, extraient, de la masse de données collectée, l’information la plus pertinente.
• La distribution de cette information se fait ensuite vers nos appliances concluant le cercle virtueux, ou vers le système d’alerting IntelliShield qui permet, à nos clients, de recevoir des alertes de sécurité personnalisée par rapport à leur profile.

Le portail de SIO, permettant notamment de voir la réputation d’un site, est accessible via l’URL suivant: http://www.cisco.com/go/sio

N’oubliez pas CISCO SIO: Le meilleur système contre les menaces!

—-

Network World, dans un article publié en Septembre 2011, donne une vision extérieure objective de CISCO SIO après une visite dans un des centre de recherche.

Suivez @CiscoSecurity sur Twitter pour les dernières informations sur les innovations de CISCO dans le domaine de la sécurité

Mais bon, depuis la disponibilité de l’ASA 5585-X et surtout de l’ASA-SM, il n’y avait plus de raison de commander une FWSM. A vos migrations !

• Amélioration de l’interface pour la rendre plus conviviale, en particulier dans la création des politiques de postures et d’authorisation

• Endpoint Protection Services

Cette nouvelle fonction fait partie de la strategie BYOD d’ISE et permet de contrôler l’accès aux réseaux des devices, il est également possible sans intervenir sur les règles globales d’accès de mettre un équipement en quarantaine.

• FIPS 140-2 Level 1 Compliance

Mise en conformité avec le standard FIPS 140-2 Common Criteria EAL2, entre autre ISE supporte maintenant l’algorithme SHA-256

• Support des SmartCard par exemple un badge avec des certificats X509v3 embarqués dans une puce, nécessite un lecteur de carte dans les postes utilisateurs
• Support du Français (et de la plupart des langues) au niveau de la posture et du portail invite (guest)

• IOS Sensor for Profiling

                Depuis la version 1.01-SE1 du code IOS des switches 3750, ISE peut s’appuyer sur des sondes integer dans les swiches pour profiler les équipements. Ce profiling fonctionne aujourd’hui avec cdp, lldp et DHCP. Ces informations sont directement envoyées à ISE via la session radius Accounting existante.

• Nouvelles probes pour le profiling

              Ajout d’une « probe » NMAP pour le profiling, ISE peut maintenant lancer un scan spécifique pour identifier par exemple l’OS de l’équipement à profiler.

              Ajout d’une probe LLDP accéssible via SNMP ou via l’IOS Sensor

• Support d’OCSP en plus de la gestion des CRLs, ISE peut maintenant interroger directement la PKI pour savoir si un certificat spécifique a été résilié
• Amélioration de l’interface permettant de créer la matrice de mise en place des SG ACLs

• Portail d’enregistrement des devices, dans le cadre du BYOD

• Possibilité de definer une URL simplifiée pour un portail guest
• Possibilité de customiser complètement les portails invités
• Support du NTP authentifié
• L’administrateur peut maintenant être authentifié sur une base externe ou via un certificat

• Amélioration du support de Vmware (voir doc installation HW/SW)

 ISE 1.1 est disponible en téléchargement sur CCO, vous trouverez plus d’informations ici

1. Les risques inhérents à la virtualisation

Ce post (déjà sans doute trop long) n’ayant pas pour objectif d’être exhaustif, nous allons volontairement laisser de côté certains sujets pour nous concentrer sur un seul thème : la virtualisation des serveurs et ses enjeux sécurité. Une analyse de risque appliquée à l’ensemble d’une infrastructure de virtualisation au sein d’un Datacenter – qui sort donc du cadre de cet article – doit intégrer l’ensemble de l’écosystème : réseau, stockage, consoles d’administration, pratiques de gestion, sécurité physique, PRA… Concernant la virtualisation des serveurs elle-même, deux risques viennent immédiatement à l’esprit des équipes sécurité : le risque de décloisonnement (sortird’une machine virtuelle pour prendre la main sur l’hyperviseur ou sortir de la « zone » où se trouve la machine virtuelle), et le risque de déni de service. Si ces deux risques sont réels, il faut également prendre en compte le risque d’erreurs de configuration (arrêt multiples d’instances, activation de la mobilité des vm, activation de fonctions de décloisonnement), le risque de prolifération des machines virtuelles, le risque de prolifération des règles de sécurité dans les firewalls et… les risques traditionnels déjà présents dans un environnement physique.
On se rend donc rapidement compte qu’il va falloir être capable, au sein d’une seule infrastructure hébergeant des machines virtuelles, de créer des zones de sécurité et de maintenirl’intégrité de ces zones tout en permettant l’élasticité offerte par la technologie de virtualisation. Ces zones peuvent représenter une business unit, un métier particulier au sein de l’organisation, un niveau de criticité et de confidentialité applicative, ou encore un client dansuneapproche cloud.
Mais au delà de l’outillage sécurité nécessaire à la mise en place de ces zones de sécurité et du filtrage du trafic au sein du Datacenter, la gestion des processus d’administration et d’exploitation est un élément clé : En effet, si réseau, serveurs et outils de sécurité ont migré sur une infrastructure unique virtualisée, et que l’on est incapable de maintenir une ségrégation des rôles, le risque d’erreur et donc de faille de sécurité devient très élevé : Un administrateur système peut-il définir des règles réseau ou de sécurité ?

2. De nouveaux outils sont nécessaires en environnement virtualisé

Dans cenouvel environnement virtualisé, la définition de zones de sécurité va passer par l’emploi de nouveaux outils. Mais avant de plonger dans ces nouveaux outils, revenons à ces fonctions que l’on a oublié, intégrées à l’infrastructure réseau, et qui nous permettent d’assurer un minimum de sécurité au niveau 2.
Pour cela, prenons un exemple simple : une équipe en charge des audits sécurité souhaite inspecter le trafic d’un serveur particulier en le renvoyant sur un outil de détection d’intrusion (l’arme préférée des auditeurs sécurité). Dans un environnement physique, il suffira de configurer le commutateur sur lequel le serveur est connecté pour le recopier (port span) vers une autre interface à laquelle la sonde sera branchée. Dans un Datacenter virtualisé par contre, comment savoir ou se trouve le serveur ? Comment rediriger le trafic ? Où installer l’équipement de détection d’intrusion ?

a) Propagation de la sécurité (Nexus 1000v)

Cet exemple simple fait ressortir la nécessité de propager les fonctionnalités classiques que l’on a l’habitude de rencontrer sur des commutateurs Cisco jusqu’à la machine virtuelle. N’oublions pas également qu’en sécurité, le niveau de sécurité étant celui du maillon le plus faible, il faut veiller à bien protéger le niveau 2, contre par exemple les usurpations de l’adresse mac. Ce rôle de fournisseur des services sécurité réseau attendus d’un commutateur Cisco est joué par le Nexus 1000v, commutateur virtuel distribué intégré à l’hyperviseur. Même si ce logiciel n’est pas dédié à la sécurité, c’est un élément fondateur car il va offrir les services sécurité attendus d’un commutateur Cisco (protection contre l’usurpation des adresses mac, support du remote span pour régler le cas évoqué ci-dessus de la sonde ids, et bien d’autres), mais il va également permettre d’attacher des propriétés réseaux aux machines virtuelles qui seront maintenues lors de la mobilité des VMs.

b) La création de zones de sécurité (Virtual Security Gateway)

Au delà des fondations offertes par le nexus 1000v il est indispensable de pouvoir controler le trafic circulant entre les machines virtuelles afin de créer des zones de sécurité ou tout simplement de filtrer au sein d’une zone. Pour ce faire, le choix peut se porter sur un firewall physique positionné en cœur du Datacenter mais cette approche rencontre des limitations: la nécessité de faire transiter le flux inter-VMs qui dois être filtré par le cœur du Datacenter (ce qui est bien souvent précisément ce que l’on souhaite éviter dans les architectures actuelles) mais également une dépendance forte vis a vis du routage (impossible de filtrer entre deux machines sur le même subnet ip, le firewall devant jouer le rôle de défaut gateway) et le peu de flexibilité dans la définition des règles. Afin de remédier à ces limitations cisco à développé la Virtual Security gateway ou VSG, un élément de filtrage logiciel, reposant sur le nexus 1000v

La VSG, qui se présente concrètement sous la forme d’une ou plusieurs VMs, offre plusieurs caractéristiques intéressantes :

• la possibilité de définir des règles non pas simplement sur les adresses IP et ports tcp mais également sur des attributs des machines virtuelles (nom, type d’os, attributs spécifiques, etc.) : ainsi, on peut par exemple positionner toutes les VMs dont le nom comprend *web* dans une zone “serveurs web”, et limiter leur communication avec une autre zone “serveurs applicatifs” à un port TCP particulier.
• segmentation d’administration : grâce à l’outil d’administration VNMC (le logiciel d’administration spécialement créé pour VSG), les équipes sécurité gardent la main sur la définition des règles, tout en faisant le lien avec la configuration des interfaces réseau du nexus 1000v et en ayant accès aux caractéristiques des VMs en provenance de vCenter.
• accélération via vpath : en collaboration avec le nexus 1000v les premiers paquets devant être filtres sont acheminés vers vsg mais le reste du flux passe directement par le nexus 1000v, un raccourci étant inséré dans ce dernier, ce qui permet d’optimiser les performances.

c) Instance Virtuelle de firewall (ASA 1000v)

La VSG offre des fonctions de filtrage basiques et n’est en aucun cas, en termes d’analyse applicative et de fonctionnalités de sécurité offertes, comparable à l’ASA. Hors, pour filtrer les accès en entrée ou sortie d’une zone, on va souhaiter avoir des fonctions de sécurité plus évoluées, au niveau du filtrage applicatif par exemple. C’est dans cet esprit que cisco à annoncé et démontré lors du salon VMworld une instance virtuelle du firewall asa, reprenant les caractéristiques attendues d un firewall actuel, adapté aux environnements virtuels. L’ASA 1000v tire également partie des fonctionnalités vPath et optimise ainsi ses performances. Il sera disponible au printemps 2012, complétant ainsi la gamme d’appliances dédiées aux Datacenter (ASA 5585-X) et le module intégré au catalyst 6500 (ASA Service Module). VSG se retrouve positionné pour le filtrage intra-zone, la ou le focus de l’asa 1000v est en sortie de zone ou interzones comme évoqué sur le schéma ci-dessous. À noter que l’ASA 1000v peut être piloté avec le même outil d’administration (VNMC) que VSG, ou plus traditionnellement depuis ADSM (l’interface graphique traditionnelle de l’ASA).

VSG et ASA 1000v se complètent donc pour offrir, conjointement aux outils d administration type vnmc, des outils permettant de retrouver des fonctions évoluées de sécurité et de segmentation dans les environnements,virtualités, mais également de maintenir une ségrégation d administration afin de limiter les risques opérationnels.
Bien évidemment si on veut être exhaustif et couvrir tous les aspects d’une architecture de sécurité d un Datacenter il convient de prendre en compte le contrôle d’accès à l’entrée du Datacenter, la protection contre les intrusions, la sécurité du stockage, mais également la sécurité des applications en mode saas qui tous constituent des sujets critiques.

Cette nouvelle gamme se compose de 5 modèles 5512-X, 5515-X, 5525-X, 5545-X et 5555, Ils s’accompagnent d’une version 8.6 du code ASA et supportent l’ensemble des fonctions de la gamme actuelle.

L’ ASA 5500-X apporte un certain nombre d’améliorations par rapport aux modèles existants

• 4 x les performances FW de la gamme précédente
• connectivité Giga plus importante
• HW IPS intégré au Firewall (simple license pour l’activer)
• Future support du context base Firewall
• CPU multi-core 64 bits
• plus de mémoire RAM
• Alimentation redondante sur certains modèles

Ces modèles sont équipés d’un slot d’extension permettant d’ajouter des ports Giga supplémentaires (SFP ou RJ-45) :

Plus d’informations sur les hardwares -> asa-5500 at a glance

Alors, ASA CX, un next-generation firewall comme les autres ? La réponse tient en un mot : Non . En effet, ce que l’on appelle désormais communément next-gen firewall consiste à écrire des règles sur des applications et des utilisateurs. L’ASA CX s’en distingue en s’intégrant dans l’architecture SecureX ce qui permet de :

• Fournir un contexte complet : application, utilisateur, mais aussi localisation, type de terminal,…
• Une granularité applicative exceptionnelle.
• L’intégration de Cisco SIO, permettant d’offrir un niveau de protection inégalé.
• L’intégration, en partie future, avec ISE et les SGT pour une sécurité de bout en bout.
• Enfin, l’ASA CX respose sur une base de firewall reconnue et largement déployée : l’ASA !

Mais place à la démo ! Cette petite vidéo fait le tour du propriétaire de l’interface de l’ASA CX, appelée Cisco Prime Security Manager :

Et pour ne pas faillir à la tradition, Cisco va profiter de cette occasion pour faire un certain nombre d’annonces, qui seront cette année plutôt majeures.

Plus d’infos cette semaine !

Il existe bien sur des rapports spécifiques au profiling dans ISE mais saviez vous qu’il y a un connecteur entre ISE et NCS ?

NCS est le logiciel de supervision de l’offre Wireless Cisco qui a évolué pour intégrer la supervision des switches, et plus particulièrement le monitoring en temps réels de tous les accès aux réseaux.

La partie reporting de NCS intègre des rapports spécifiques à la partie profiling et vous pouvez non seulement savoir qui se connecte avec quel équipement mais aussi avoir des statistiques plus globales sur l’ensemble des équipements qui se connectent au réseau que ce soit en filaire ou en Wireless.

Voici un exemple de rapport que vous pouvez obtenir avec un NCS relié à ISE :

rapport : client summary by endpoint type