2. Sommaire
Introduction sécurité
Sécurité Cisco IOS
Firewalling
VPN
Web filtering & WAF
NGIPS & AMP
AAA & Identity Management with ISE
Projet
3. Objectif de la sécurité
Confidentiality: consiste à garder le caractère privé de l’information et
empêcher à ce qu’elle ne soit divulguer aux entités n’ayant pas droit.
Integrity: permet de préserver l’information contre toute modification ou
suppression non autorisé.
Availability: vise l’objectif de rendre les systèmes, les applications et processus
disponibles aux utilisateurs au besoin et à la demande.
4. C’est quoi la sécurité des réseaux
Elle consiste à mettre en place un ensemble de mécanismes de protection pour la sécurité du
réseau informatique afin d’assurer l’intégrité, la confidentialité et l’accessibilité aux
informations de l’entreprise.
Quelques différents types de sécurité réseau:
Network segmentation, Perimeter Security, Email Security, Web Security, NAC, Intrusion
prevention, Mobile Security, SIEM, Remote Access, Wireless Security, DLP, Antimalware,
Application Security, Behavioral analytics
5. The 3 planes
Management plane: inclut les protocoles et trafics qu’un administrateur
utilise pour administrer l’équipement réseau.
Control plane: Il inclut les protocoles et trafics que l’équipement réseau
utilise pour apprendre sur son environnement et construire une assise pour
faire son travail.
Data plane: représente l’acheminement du trafic d’une interface d’entrée vers
une interface de sortie
6. Sécuriser le management plane
Les objectifs de sécurisation du management plane:
Zero trust et l’accès minimum requis
Centralisation de la supervision et la collecte de logs
Sécuriser les communications
Gestion de configuration centralisée
Désactiver les services non nécessaires
Les techniques:
sécuriser le command line, authentification de l’utilisateur avec AAA, implémenter le RBAC privilege level/Parser view,
configurer le MPP, sécurité du NTP et SNMP, configurer le logging
7. Sécuriser le control plane
les 2 grands types d’attaque qui visent le control plane:
Surcharge
Cette attaque consiste à submerger le CPU en envoyant un nombre élevé de large paquets de sorte à faire dévier
l’équipement de son fonctionnement normale: (DoS).
Modifier les données
Dans cette catégorie d’attaque, des paquets malicieux des protocoles de control plane sont utilisés pour injecter de
fausses informations afin d’impacter sur les décisions de transmission des paquets: (DoS, MITM)
8. Sécuriser le control plane
Quelques protocoles du control plane:
niveau 2: STP, VTP, DTP
niveau 3: EIGRP, OSPF, RIP, BGP
Les techniques de sécurisation:
configurer le CoPP/CPPr,
Implémenter BPDU guard, BPDU Filter, Root guard
Sécuriser le VTP,
désactiver le DTP,
Sécuriser les protocoles de routage ( RIP, EIGRP, OSPF, BGP)
9. Sécuriser le data plane
Tous les paquets en transit ou acheminés d’une source vers une destination passe par le data
plane.
La plupart des attaques vise le data plane et donc il convient de noter que la plupart des
mécanismes de sécurité sont implémenter à ce niveau.
La sécurité du data plane au niveau 2 se focalise plus sur les usurpations d’identité, la
segmentation et la protection des ressources tandis que celle au niveau 3 se base
principalement sur les données elles mêmes.
Ex: s’assurer que le trafic à acheminer est bien permis.
10. Sécuriser le data plane
Les mesures de sécurité du data plane:
Niveau 2
CAM table et port security
DHCP snooping
Dynamic ARP Inspection
Segmentation
PACL
VACL
Niveau 3
ACL (Standard, Extended, Named)
Time-based ACL
Reflexive ACL
uRPF
TCP Intercep
Netflow
Policy-based routing
FHRP
12. Firewall
C’est un équipement de sécurité qui utilise un ensemble de règles
prédéfinies pour protéger le réseau interne des réseaux externes
potentiellement dangereux.
Il joue le rôle de passerelle pour contrôler le flux entre 2 networks
13. Types de firewall
Le firewall sans état (stateless):
examine les paquets indépendamment les uns des autres et manque de contexte.
Il utilise la source, la destination et d’autres paramètres d’un paquet de données pour autoriser ou refuser le paquet.
Le firewall avec état (statefull):
Garde des traces des sessions et des connexions dans une table d’état et les décisions sont prises en fonction de ses états.
Il examine les paquets de données et si quelque chose semble anormal, ils peuvent filtrer les données suspectes.
14. Types de firewall
Le firewall applicatif (NGFW):
Permet de filtrer les communications jusqu’au niveau de la couche 7 du modèle OSI,
Vérifie et rejette tous les paquets qui ne respectent pas les spécifications du protocole visé,
Il utilise à la fois l’inspection stateful et l’inspection approfondie des paquets pour détecter le
trafic malveillant
15. Types de firewall
Les caractéristiques des NGFW:
Les fonctions standard: stateful port/protocol inspection, Network Address translation,
Virtual Private Network
Application identification and filtering
SSH/SSL inspection
Intrusion prevention
Identity service Integration
Malware filtering
16. Quelques firewalls du marché
Cisco Firewall Fortinet firewall Palo Alto Firewall
Juniper Firewall Check Point Firewall Sophos Firewall
17. Déploiement
Routed mode: c’est le comportement par défaut des firewalls. Dans ce mode le firewall agit
comme un équipement de niveau 3 et route les paquets sur la base de sa table de routage.
Transparent mode: encore appelé mode bridge permet au firewall d’opérer au niveau 2 tout
en appliquant les contrôles d’accès sur les paquets transitant entre les interfaces.
18. Virtual firewall
Conçu spécifiquement pour les environnement dans lesquels il serait difficile ou impossible
de déployer des firewalls matériels.
Fournit les mêmes fonctionnalités de sécurité et d’inspection que le firewall physique.
Peut être déployer sur des environnements virtualisés ou cloud.
19. Security zone
Security Zone: une zone est un groupe d’une ou de plusieurs interfaces physiques ou logiques sur
laquelle on peut appliquer une même politique de sécurité,
INISDE
OUTSIDE
DMZ (Demilitarized Zone)
20. High Availability and clustering
La haute disponibilité ou le clustering est un déploiement dans lequel on met deux firewalls (failover)
ou plus (clustering) dans un groupe et synchroniser leur configuration.
Les firewalls doivent être:
De même modèle
De même firewall mode
De même version software
21. High Availability and clustering
Active/standby
Un seul équipement joue le rôle de primaire et est responsable du traitement du trafic pendant que l’autre reste
synchronisé et prend le relais en cas de défaillance sur le primaire.
Active/Active
• Permet aux deux 2 firewalls de traiter activement le trafic en même temps tout en assurant un failover en cas de
panne sur l’un des équipements.
22. High Availability and clustering
Clustering
Regroupe plusieurs firewalls en un seul équipement logique.
Jusqu’à 16 firewalls ou modules combinés en un seul système de traitement du trafic
offre toute la commodité d’un seul équipement (management, intégration dans le réseau)
Mise à l’échelle élastique du débit et des connexions simultanées maximales
Mettre en œuvre une véritable évolutivité en plus d’une haute disponibilité
23. Access control
Filtre le trafic traversant l’équipement via des access-control lists (ACLs)
Un ACL peut contenir un ou plusieurs entrées appelées ACE (Access Control Entries).
Contient un implicit deny à la fin de la liste.
Types d’ACL: Standard ACL, Extended ACL,
24. Access control
Standard ACL
Basé uniquement que sur la source (pas de possibilité de définir la destination)
S’applique plus proche de la destination.
Extended ACL
Plus spécifique sur les ACEs avec adresse IP source et destination
S’applique généralement plus proche de la source
Possibilité d’utiliser les applications et ports pour le filtrage
25. Network Address Translation
Permet la conversion d’adresse IP
Généralement utilisé pour cacher le réseau interne de l’organisation.
Types de translations d’adresse : NAT et PAT
Cisco supporte 4 méthodes de translation:
⁻ Static NAT/PAT
⁻ Dynamic NAT/PAT
⁻ Policy NAT/PAT
⁻ Identity NAT
27. VPN
Un VPN est une connexion logique construit entre deux ou plusieurs devices:
Accès distant
Site à Site (LAN to LAN ou L2L)
Un VPN peut être monté à différents niveau du modèle OSI et n’est pas forcement sécurisé
Layer 2: L2TP, Layer 3: MPLS, Layer 5+: SSL
IPsec est l’implémentation la plus commune et sécurisée d’un VPN L3
Authentification, Confidentialité, Intégrité et protection contre le rejeu
28. VPN
IPsec consiste en plusieurs protocoles et standards
ISAKMP est un Framework décrivant les fonctions de base de l’IPsec pour une communication sécurisé
IKE est une implémentation de ISAKMP
⁻ Disponible en deux versions (IKEv1 et IKEv2)
IPsec repose principalement sur la cryptographie (Encryption, hachage, clé asymétrique, etc.)
29. VPN
Autres composants du Framework IPsec
Control plane
⁻ Gestion de clé: DH, ECDH
⁻ Authentification: PSK, RSA, ECDSA
Data plane
Protocoles de sécurité: ESP, AH
Confidentialité: DES, 3DES, AES, SEAL
Intégrité et authentification de l’origine: MD5, SHA-1, SHA-2
30. VPN
IPsec VPN consiste en 2 phases:
Phase 1
Effectué dans un des deux modes: Main (MM) ou Aggressive (AM)
Phase 2
Quick mode (QM)
Toutes les deux phases utilisent par défaut UDP port 500 pour les négociations
31. VPN
La phase I consiste en 3 échanges
⁻ IKE Policy
⁻ Diffie-Hellman (DH)
⁻ Authentification
Main mode utilise 6 messages pour les 3 échanges
Le mode Aggressive requiert 3 paquets
32. VPN
Quick mode:
Perfect Forward Secracy (PFS)
Encryption et hachage
Trafic intéressant (Proxy Identities ou Encryption domains)
Protocole de sécurité (AH ou ESP)
Tous les paramètres du mode doivent correspondre sur les deux extrémités du tunnel.
34. Proxy web
Une solution avancée de filtrage de contenu Web
Protège les utilisateurs contre les attaques sur internet grâce à différentes techniques de détection.
Bloque les trafics internet des collaborateurs en non-conformité avec la politique de l’organisation.
Possibilité d’appliquer la QoS
⁻ Réservation de la bande passante ou diminution de la bande passante en fonction des sites web visités.
35. Proxy web
Les fonctions de base
Filtrage web
Control d’application
Protection malware
SSL Decryption
DLP et autres
Solution disponible en: Physique, Virtual et Cloud
Quelques solutions de proxy web: Cisco, Fortinet, PAN, Checkpoint, Sophos, etc.
36. Proxy web
Les modes de déploiement
Déploiement explicite: nécessite une intervention sur le navigateur de l’utilisateur de sorte à
rediriger les trafics web à pointer vers le proxy web
Manuel
PAC (Proxy Auto-Configuration) file.
Déploiement transparente: permet la redirection du flux web des utilisateurs de façon
transparente via différentes méthodes (WCCP, PBR)
37. Web Application Firewall
Un pare-feu applicatif qui protège les applications web contre diverses attaques en couche
applicative.
Placé avant l’application web qui doit être protéger afin d’examiner les trafics et appliquer les
mesures de protection nécessaires avant qu’ils n’atteignent le server web.
Fonctionne en mode Reverse proxy et assure la première ligne de défense pour des attaques
visant directement les applications web ou destinés à d’autres utilisateurs.
38. Web Application Firewall
Vise principalement à contrer les vulnérabilités basés sur le top 10 OWASP (Open Web Application
Security Project):
41. NGIPS
Un système de prévention d’intrusion de nouvelle génération.
Cisco a acquis Sourcefire pour étendre ses capacités autour de la protection avancée continue contre les menaces
Règles d’intrusion basé sur Snort
Les évènements IPS peuvent être de 4 catégories :
⁻ True positive
⁻ True negative
⁻ False positive
⁻ False negative
42. NGIPS
Cisco NGIPS offre la visibilité dont vous avez besoin sur votre réseau, notamment en obtenant des informations
sur des périphériques et des applications.
Assure la corrélation des données de manière contextuelles
Il permet d’identifier, classifier et stopper les trafics malicieux.
Autres fonctionnalités de sécurité NGIPS:
⁻ Security Intelligence ( feeds, source Talos)
⁻ IOCs
⁻ Automated Tuning and recommandations
43. NGIPS (Next Gen IPS)
Cisco propose 4 politiques d’intrusion par défaut
Balanced Security and Connectivity
Connectivity over Security
Security over Connectivity
Maximum Detection
Disponible en: Appliance et Virtuel
44. AMP (Advanced Malware Protection)
Cisco AMP est une solution sécurité basé sur le Cloud
Elle permet une protection avancée contre les logiciels malveillants qui va au-delà d’une
détection ponctuelle pour protéger votre organisation
Offre une visibilité et un control à travers le réseau durant tout au long du continuum
d’attaque:
Before
During
After
45. AMP (Advanced Malware Protection)
Cisco AMP permet la détection, le blocage, l’analyse continue et l’alerte rétrospective des logiciels malveillants
avec les fonctionnalités suivantes:
File reputation: AMP analyse les fichiers et bloque ou applique la politique
File sandboxing: AMP analyse les fichiers inconnus pour déterminer le comportement
File retrospection: AMP continue d’analyser les fichiers pour l’évolution des niveaux de menace
L’architecture AMP comprend trois composants principales:
AMP Cloud
AMP Client Connectors
Intelligence sources
48. AAA
Un Framework composé de 3 différentes fonctionnalités de sécurité
Authentication: un processus de vérification d’identité
⁻ Peut inclure plusieurs facteurs/éléments
o Something you know ( ex: mot de passe)
o Something you have ( ex: token)
o Something you are ( ex: biometrics)
Authorization: gère l’application de la politique
o Privilèges, access level/scope etc.
Accounting: permet le suivi et l’enregistrement des activités
o Quand et ou
49. AAA
Peut être déployé directement sur les équipements réseaux
Non évolutif,
Limité en terme de fonctionnalités
Possibilité de faire un déploiement centralisé avec le protocole RADIUS ou TACACS+
50. Identity Service Engine
ISE est un system de gestion d’identité nouvelle génération
Il combine les fonctions de la solution ACS, d’un NAC (Network Admission Control) et d’autres fonctionnalités
Possibilité de l’intégrer avec des bases externes comme AD, LDAP, RSA OTP
Fonctionnalité avancée:
⁻ Profiling
⁻ Posture Assessment
⁻ Centralized Web Authentication (CWA)
⁻ TrustSec
51. Identity Service Engine
Cisco ISE Architecture et Nomenclature:
Node: Une instance individuelle qui exécuté le logiciel Cisco ISE
⁻ Physique
⁻ Virtuel
Persona/Node Type: Détermine le service fourni par un node (nœud) particulier:
⁻ Administration (PAN): Permet à disposition de l’administrateur une interface d’administration pour configurer
les politiques et les configurations liées à la solution.
⁻ Monitoring (MnT): Ce Node est chargé de la collecte des messages logs de tous les autres nodes et générer des
reports.
52. Identity Service Engine
⁻ Policy Service (PSN): ce Node est responsable de l’application des politiques configurées depuis le PAN en
terme d’accès au réseau, de provisioning, profiling, posture, et des services d’accès invité
Rôle: s’applique uniquement qu’aux nodes Administration et Monitoring
⁻ Standalone: lié au déploiement autonome et agit seul
⁻ Primary: rôle dans le déploiement distribué et sert de nœud principal pour toutes les configurations
⁻ Secondary: joue le rôle de backup cas de problème sur le nœud principal pour l’administration
53. Identity Service Engine
ISE est principalement utilisé en tant que serveur AAA dans les 2 cas suivants:
Device administration
54. Identity Service Engine
Network Access
802.1X est un standard définit par IEEE pour le contrôle d’accès au réseau et permettre aucune communication sur le réseau
sans une identification et autorisation préalable de l’utilisateur.
Les composants fondamentales de 802.1X:
Supplicant
Authenticator
Authentication server
55. Identity Service Engine
802.1X s’appui sur le EAP (Extensible Authentication Protocol)
EAP est un protocole d’authentification qui définit le transport et l’utilisation des
informations d’identification (username, passwords, certificates, tokens, OTP, etc.)
EAP types peut être scindé en catégories:
Native EAP (Ex: EAP-MD5, EAP-TLS, EAP-MSCHAPv2, etc.)
Tunneled EAP (Ex: PEAP, EAP-FAST)