Blog Cisco Sécurité

Scansafe: Nouvelle technologie d’authentification

Bertrand Le Bail — Thu, 26 Jan 2012 12:21:36 +0000

Dès aujourd’hui, les clients existant Scansafe peuvent profiter de la nouvelle technologie d’authentification appelée EasyId.

A l’opposé des méthodes existantes d’authentification, via ISR, connector ou PIM qui authentifie en local, EasyId déporte l’authentification directement dans le Cloud. Grâce à EasyId, les utilisateurs s’authentifient directement dans leur navigateur et le Cloud valide les identifiants de connexion auprès de votre annuaire.

Les avantages d’EasyId sont:

Déploiement aisé: Il n’y a pas besoin de composant local pour s’attacher au Cloud
Indépendance du système d’exploitation: Fonctionne aussi bien sur les ordinateurs portables, que sur les smartphones ou tablettes
Filtrage par attribut LDAP: Permet une plus grande flexibilité sur les politiques de règles en ne filtrant pas uniquement sur les groupes

En complément d’EasyId, Scansafe introduit aussi le filtrage par user-agent permettant d’augmenter la granularité dans les politiques de filtrage.

Plus d’informations sur le site de Cisco

Rapport des Menaces pour le Quatrième Trimestre 2011

Bertrand Le Bail — Wed, 25 Jan 2012 12:40:32 +0000

Cisco Security Intelligence Operation (SIO) a permis la réalisation de ce rapport en synthétisant les évolutions des menaces sur les problématiques Web et Mail.

Les principaux métriques publiés dans ce rapport sont:

Une moyenne de 339 malwares web par mois et par les utilisateurs a été constatée au cours du quatrième trimestre 2011
La moyenne par mois des malware web par utilisateurs sur l’année 2011 s’élève à 362
Septembre, avec 698 malwares web par utilisateur, et Octobre, avec 697 malwares par utilisateur, ont été les deux mois les plus actifs en termes de visibilité des menaces
En moyenne, 20,141 hôtes uniques de malware web ont été découverts par mois, en forte augmentation par rapport à 2010 où la moyenne s’établissait “seulement” à 14,217
Durant le quatrième trimestre 2011, 33% des malwares découverts étaient de type “0-day” et n’était donc pas détectable par les technologies traditionnelles à base de signature.
Le taux d’attaques par SQL injection est resté constant avec une légère décroissance au fur et à mesure que le trimestre progressait
Les attaques par déni de services ont continué à progresser
Le volume global du spam à continuer à décliner sur l’ensemble de l’année

Le rapport ainsi que les précédentes publications de sécurité peuvent être dorénavant consultés sur le portail de SIO avec l’ensemble des alertes et analyses déjà présentes.

ASA 1000v : place à la démo !

Christophe Perrin — Mon, 16 Jan 2012 14:42:40 +0000

Suite à la vidéo postée il y a quelques jours autour de l’ASA 1000v, et en attendant la disponibilité prévue pour ce printemps 2012 (avec les disclaimers de rigueur, bien évidemment), vous trouverez ci dessous une petite démo qui reprend celle effectuée à VMWorld pour bien comprendre le fonctionnement.

Anyconnect Android

csarrazi — Thu, 12 Jan 2012 10:56:12 +0000

Cisco continue à faire évoluer son offre Anyconnect sur Android avec des portages régulier de notre client VPN sur l’ensemble de plateformes du marché.

Pour rappel Anyconnect sur Android est disponible pour les plateformes suivantes :

- Samsung

- HTC

- Lenovo

- les “rooted devices”

De nouvelles plateformes seront annoncées dans les mois à venir, l’ensemble des versions d’anyconnect sont gratuitement téléchargeables à partir de l’Android Market

Le code ASA 8.4.3 de l’ASA est disponible

csarrazi — Thu, 12 Jan 2012 10:39:05 +0000

Le code ASA 8.4.3 de l’ASA est disponible sur CCO avec son lot de correctifs et quelques nouvelles fonctions :

Amélioration des fonctions PAT et NAT
Support officiel des navigateurs IE9 et Firefox 4 pour le portail SSL-VPN
Amélioration de la configuration de la compression SSL avec Anyconnect 3.0
Amélioration des connexions LDAP
attributs radius complémentaires pour la gestion des “group policies” (VSA)

pour l’ensemble des détails vous pouvez consulter la release notes :

Release notes ASA8.4.x

Le code ASA 8.4.3 s’applique à l’ensemble de la gamme.

ASA 1000v : Une vidéo pour tout savoir sur le firewall “cloud-ready” !

Christophe Perrin — Tue, 03 Jan 2012 07:50:49 +0000

Bonjour à tous,

L’équipe du blog sécurité vous adresse chaleureusement tous ses voeux pour 2012 ! Et pour bien commencer l’année, nous débutons par une vidéo de la fameuse sérieux TechWise TV qui détaille les fonctions du dernier né de la dynastie ASA : L’ASA 1000v. Vous noterez au passage qu’un certain concurrent se fait légèrement égratigner…. Si vous êtes pressés, commencez directement à la 19e minute.

Les fondamentaux des firewalls “high end”

Christophe Perrin — Fri, 23 Dec 2011 07:47:30 +0000

Une petite vidéo pour terminer l’année à propos d’un sujet qui occupe depuis plus de 15 ans les vendeurs de firewall : la performance. Cette vidéo de 4 minutes repose les bases et les bonnes métriques pour comparer les firewalls haut de gamme, et en profite pour faire quelques rappels sur la game ASA 5585-X

Un peu plus de lecture: Le Nouveau Rapport Sécurité 2011 Cisco

Bertrand Le Bail — Thu, 15 Dec 2011 10:55:12 +0000

A l’URL suivant, vous pourrez télécharger le nouveau rapport 2011 de sécurité Cisco: Cisco 2011 Annual Security Report

Le rapport met en avant les tendances concernant les menaces, mais présente aussi les tendances sur les évolutions des besoins métiers: Nécessité d’accès croissant aux réseaux sociaux et besoins liés au BYOD (Bring Your Own Device) pour ne citer que deux des grandes tendances actuelles.

Cette approche globale du rapport permet de démontrer la pertinence du modèle Cisco SecureX pour balancer les besoins métiers et les besoins sécurité; cette approche novatrice permettant d’adapter intelligemment la sécurité aux nouveaux réseaux en mouvement et dé-périmétrisés.
L’ensemble des rapports sécurité de Cisco sont disponibles à: Rapports de Sécurité Cisco

Est-ce que vous cliquez sans réfléchir dans les emails envoyés par vos amis ?

FREDERIC HER — Tue, 13 Dec 2011 09:07:07 +0000

Alors que Cisco IronPort Email Security Appliance v7.5 vient de sortir, arrêtons nous sur la nouvelle fonctionnalité Outbreak Filters. A la suite de la mise hors d’état de nuire de plusieurs botnets à la fin de 2010, il a été constaté une diminution significative puis une stabilisation du volume de messages spams envoyés dans le monde. Mais ceci n’est pas forcément une si bonne nouvelle car la tendance des spammeurs est de compléter les envois massifs par un nombre croissant d’ attaques plus ciblées et plus intelligentes. Même si les attaques ciblées ne représentent que de l’ordre de 1% du volume des messages spams, ce sont les plus efficaces et les plus difficiles à détecter car chaque message peut être différent. Nous entendons ainsi de plus en plus parler de Advanced Persistent Threats (APTs), de Spear Phishing et de Whaling. Les attaques sont personnalisées et certaines s’appuient notamment sur des données obtenues sur des réseaux sociaux tels que Facebook et Linkedin. Elles sont dangereuses car les messages contiennent une URL qui redirige vers une page Web qui contient du code malicieux. L’efficacité est maximale si un message est correctement orthographié et qu’il semble être envoyé par un ami ou par un collègue !

Les boitiers ESA embarquent depuis longtemps les filtres VOF qui permettent de détecter proactivement qu’une pièce jointe d’un message est infectée avant que les solutions antivirus n’aient la signature correspondante. Les Outbreak Filters sont une évolution de VOF qui peut en plus détecter que le site qui se cache derrière une URL est dangereux. Outbreak Filters permet ainsi de bloquer aussi bien les attaques virales que les attaques non-virales dans lesquelles le danger provient de la redirection vers un site Web externe. Voici comment Outbreak Filters fonctionne :

1- Un message entrant est contrôlé par le moteur Antispam de ESA.

2- Si après application de ses règles, le moteur Antispam considère le message comme potentiellement dangereux, celui-ci il est placé dans une quarantaine. Le message est réévalué périodiquement à l’intérieur de la quarantaine et la décision de la libérer est prise dynamiquement.

3- Lorsque le message est libéré de la quarantaine, il est contrôlé de nouveau par le moteur Antispam qui reçoit constamment des mises à jour de ses règles envoyées par Cisco Security Intelligence Operations (CSIO).

4- Si le verdict est alors que le message est un spam, celui- ci est traité selon la configuration du boîtier pour les messages spams. Il est par exemple placé dans la quarantaine spam de l’utilisateur.

5- Si le message est toujours vu comme un risque potentiel, il est modifié avant d’être délivré, avec la possibilité de réécrire l’URL et/ou de modifier l’objet ou le contenu du message.

6- Si le verdict est que le message est légitime et qu’il n’a pas de caractère dangereux, il est délivré sans modification à son destinataire.

Lorsque l’utilisateur clique sur l’URL réécrite dans le message, il est redirigé vers un proxy public et le contenu de la page Web est vérifié par le service de sécurité Web ScanSafe qui contrôle des milliards de requêtes HTTP par jour. Si la page Web n’est pas dangereuse, l’utilisateur y accède normalement. Par contre, si le site Web est dangereux, l’utilisateur ne peut pas y accéder directement et il voit une page de notification telle que celle-ci :

Il n’est bien évidemment pas nécessaire d’acquérir de licences du service ScanSafe pour profiter de cette fonctionnalité.

Des détails complémentaires concernant Outbreak Filters et les contrôles effectués par ScanSafe sont disponibles ici.

Un peu de lecture pour les vacances : TrustSec 2.0 design and implémentation guide

Christophe Perrin — Mon, 12 Dec 2011 09:36:45 +0000

Nous avons eu l’occasion de parler d’ISE de nombreuses fois sur ce blog, tant ce policy server est clé dans une architecture réseau sécurisée, par exemple pour prendre en compte le fameux BYOD (Bring Your Own Device), le buzzword de cette fin d’année.

Cisco vient de publier sur son site web un guide de design et d’installation (configurations et copies d’écran à la clé), de 178 pages (ne soyez pas forcément effrayé et sautez au chapitre qui vous intéresse!), sur TrustSec 2.0, donc incluant, ISE, le filtrage par les SGT (tags appliqués au paquet)… Bref, le guide de référence à avoir sous le bras pour tout test, démo, ou implémentation. Il se trouve ici.