1 © 2005 Cisco Systems, Inc. All rights reserved. IPv6 Update Cisco Groupe LASER – 24 Mai 2005...

1© 2005 Cisco Systems, Inc. All rights reserved.IPv6

Update Cisco

Groupe LASER – 24 Mai 2005

[email protected]

222© 2005 Cisco Systems, Inc. All rights reserved.

Agenda

• Matin–IPv6 update

–Wifi

•Architecture pour les universités

•Stratégie Swan Cisco – intégration Airespace

• Après-midi–Sécurité

•Dans les Campus

•Sur le poste utilisateur

•Pour les acces nomades


Sécurisation du campusCisco


Sécurisation intelligente/intégrée au réseau Evolution de l’approche sécurité

Equipements dédiés sécurité

• Appliances de sécurité positionnées dans le réseau

• Sécurité avancée des équipements réseau

• Outils de management séparés

FW

IDS

VPN

2000

Sécurité Intégrée

• Modules de services en sécurité intégrés dans l’ infrastructure

• FW + Détection d’intrusion + VPN

• Outils de management intégrés

FWIDS VPN

2002

Sécurisation intelligente du réseau

• Sécurité intégrée completement à l’infrastructure réseau

• Auto défense, protection, prévention, guérison

• Contrôler les accès: qui? quoi?

Today

FWIDS VPNIdentityL2,3 Hardening,

HIPS


Stratégie de sécurité globaleProtection des accès/communications, durcissement du réseau

SiSi SiSi

IntranetInternet

Th

reat

Def

ense Protéger les accès:

• FW+IDS intégrés au réseauDétection et prévention des attaques externes.

Protéger le réseau interne: • Sécurité intégrée aux catalysts

Protection contre les attaques internes

Protection des stations/serveurs:

• Cisco Security Agent (CSA)Protection contre les infections

Tru

st a

nd

Id

enti

ty Contrôle des accès utilisateurs:

• Identity-Based NetworkingQui? Comment? Quoi?

Sécurisation des connections:• IPSec VPN• SSLVPN

Confidentialité voix/données

Sec

ure

Co

mm

.


VLAN de quarantaine

Utilisateur autorisé. Peut accéder aux

serveurs internes de l’entreprise

Utilisateur autorisé

Sécurité intelligente intégrée du LAN

Protection avancée contre les nouveaux risques:

“Man-in-the-Middle”“DHCP Server Spoofing”“IP Address Spoofing”

Sécurité intégrée des Catalysts

Détecte et protège Intrusion Protection System

(IPS)

Protection des stations/serveurs (CSA)

Man in theMiddle Attack

Record‘data’

“Controller l’accès au réseau et définir la politique d’utilisation du réseau

Cisco Identity BasedNetworking Services (IBNS)

Accès interditaux utilisateurs non autorisés

Prévention contreAP pirates


Attaques sur le LAN Protection par la sécurité de niveau 2 des Catalyst

• MAC Address Flooding AttackOutil: macof (part of dsniff package)

Envoie des SYN avec des adresses MAC src et dst aléatoiresLorsque la table CAM est pleine, le commutateur bascule en mode hub (32K entrées)Utilisation d’adresses IP aléatoires incluant des IP multicast pouvant dégrader les performances

réseau par le traitement/routage de ces fausses IP multicast.

• DHCP Rogue server AttackOutils: gobbler ou un DHCP server pirate

Permet des attaques Man in the middle en remplacant l’adresse IPDNS ou IP GWPerte du service DHCP

• DHCP StarvationOutil: gobbler

Multiples requêtes DHCP afin d’utiliser l’ensemble du scopeDHCP disponible

• ARP Spoofing or ARP Poisoning AttackOutils: ettercap, dsniff, arpspoof

Découverte de la topologie L2 (MAC) par ARP et DNS reverse Name Lookup. Attaques Man in the middle avec capture de paquet et découverte des mots de passe

S2


Sécurisation du LANDurcissement du réseau commuté


Quelle sécurisation a t’on aujourd’hui?Manuelle, statique

Fonctions et recommendations courantes:

• Port Security / VMPS

• ACL/ filtrage

• VLAN

• Eteindre les ports non utilisés et les placer dans des VLANs inactifs.

• Configurer les ports d’accès en trunk off

• Ne pas utiliser le VLAN natif comme VLAN d’accès

• Sécuriser l’administration des équipements (out of band, SNMP community string, passwords, AAA)


CorporateNetwork

Comment améliorer la sécurisation?Dynamique, automatisée

WirelessLAN

• Contrôle de l’adressage pour empêcher l’usurpation d’adresse:

Adresse IPAdresse MAC

• Contrôle de l’accès au réseauQui?Equipement utilisé?Ressources accessibles?

• Contrôle du remplissage de la table CAM

• Sécurisation du protocol STP

• Protection DoS: Gestion de bande passante/policing


Nouvelles Fonctionnalités de sécurisation du Campus

Accès• Dynamic Port security • BPDU guard• DHCP snooping• IP Source Guard• Dynamic ARP inspection • Private VLAN• Authentification 802.1x • Détection de ‘rogue AP’

Backbone / Distribution• Root guard• DHCP snooping• IP Source Guard• Dynamic ARP inspection• Flow policing


BPDU/Root guardPrévention des attaques sur le spanning tree

MENACE:

• L’attaquant envoie des BPDU s’annonçant comme un pont de priorité 0- détourne trafic vers lui

• Un nouveau switch est installé et provoque une recalculation du STP

CONTREMESURE:

• BPDU Guard

• Root guard

• BPDU Loop guard

SwitchNon autorisé

Enterprise Server

Cisco Secure ACS

Serveur

Incorrect STP Info

BPDU Guard

Switch Autorisé

Root Guard

SwitchNon autorisé

Switch Autorisé


Port security - IntroductionCorruption de l’étanchéité du switching et des VLANs

MENACE:• Outils disponibles permettant de simuler des

paquets provenant d’un grand nombre d’adresses MAC différentes.

• Le but étant de remplir la table CAM du commutateur afin que celui ci reviennent à un mode Hub.

• Permet alors de collecter l’ensemble du trafic réseau.

CONTRE MESURE:

• Utiliser la fonction ‘port security’ pour limiter ces attaques.

• Permet de bloquer le port ainsi que l’envoi de traps SNMP

00:0e:00:aa:aa:aa00:0e:00:bb:bb:bb

Seulement 3 adresses MAC autorisées sur le port: 4ieme

bloquée132,000 Bogus MACs


CorporateNetwork

Port Security Détail

‘Static secure MAC address’ Configuration manuelle des adresses MAC autorisées par port‘Dynamic secure MAC address’ Limitation du nombre maximal d’adresses MAC de la table CAM par port ‘Sticky secure MAC address’Apprentissage dynamique des adresses MAC et configuration persistante de ces adresses


SiSi

Serveur DHCP

Réponses DHCPRequêtes DHCP

Cisco Innovation

Cisco Innovation

Corruption du DHCP

Fonction DHCP SnoopingFonction DHCP Snooping

Trusted

Untrusted

DHCP SnoopingProtection contre les attaques sur DHCP

MENACE:• Volontaire – Un utilisateur se fait passer

pour le serveur DHCP d’entreprise.

• Non volontaire – un utilisateur installe ou héberge un serveur DHCP (routeur/serveur)

CONTRE MESURE:• Le commutateur a connaissance de la

localisation (trusted port) du serveur DHCP.

• Tout réponse DHCP reçue sur un autre port (untrusted port) sera bloquée

• Le port trusted sera le port trunk si le serveur n’est pas local au commutateur


IP Source GuardProtection contre IP Spoofing

10.1.1.110.1.1.2

J’annonce10.1.1.2

CONTRE MESURE:

• Le commutateur fait l’apprentissage par DHCP snooping des adresses IP derrière chaque port.

• Le commutateur analyse les adresses IP source et bloque le trafic ne correspondant pas aux adresses IP connues

MENACE:

• Configurer statiquement son adresse IP est un moyen d’usurper l’identité d’un autre équipement réseau.

• L’IP spoofing permet de passer à travers les règles de filtrage, de lancer de façon anonyme des attaques DoS,…


ARP FunctionFonctionnement Normal

• Avant de communiquer avec une autre station, une station envoie une demande ARP (ARP request) pour connaitre l’adresse MAC correspondant à l’adresse IP qu’il souhaite contacter.

Cette requête ARP est broadcastée en utilisant le protocol 0806

• Toutes les stations du subnet recoivent et processent la requête. La station ayant l’adresse IP demandée répond avec son adresse MAC par le biais d’un ARP reply.

Qui est10.1.1.4?

Je suis 10.1.1.4Voici ma MAC @


PromiscuousPort

PromiscuousPort

Community‘A’

Community‘B’

IsolatedPorts

Primary VLAN

Community VLAN

Community VLAN

Isolated VLAN

Only One Subnet!

xx xx xx xx

Private VLANsPrévention du ARP spoofing

• PVLANs permet d’isoler des stations dans le même VLAN

• Passe par la création de communautés à l’intérieur d’un VLAN.


Dynamic ARP InspectionPrévention du ARP spoofing

Mon GW est10.1.1.1

10.1.1.1 10.1.1.2

Je suis votre GW: 10.1.1.1

Envoi de Gratuitous ARP pour changer la correspondance ARP/IP dans les tables ARP des stations

CONTRE MESURE:

• Le commutateur fait l’apprentissage par ‘DHCP snooping’ des correspondances MAC/IP derrière chaque port.

• Le commutateur analyse les réponses ARP et GARP et bloque tout paquet anormal.

• ARP ACLs: configuration statique des MAC/IP

MENACE:

Outils permettant de générer des messages ARP pour usurpation d’identité:

• Réponses ARP

• Gratuitous ARP (GARP)

Commutateur avec DAI bloque

l’ARP


Demo flash

• file:///D:/Documents%20and%20Settings/fhadj/Desktop/LAser/Demos.htm


Cisco AironetCatalyst 6500Catalyst

4000/4500Catalyst

3550/2950/3750Cisco ACS Server

Fonctionnalité de sécuritéDisponibilité produits

CAT6500CatOS

CAT6500OS4k/4500 Cat

OS4k/4500

IOS2950/2970

3550/3560

3750

Root Guard 6.1.1 12.1(22)E1 6.3 12.1(13)EW12.0(5.2)WC1

12.1(11)AX

12.1(4)EA1

12.1(19)EA1

12.1(11)AX

BPDU Guard 6.412.1(22)E1

5.5(19) 12.1(13)EW12.1(9)EA1

12.1(11)AX

12.1(9)EA1

12.1(19)EA112.1(11)AX

Port Security7.6(1) 12.1(13)E 5.1(1) 12.1(13)EW

12.0(5.2)WC1

12.1(11)AX

12.1(8)EA1

12.1(19)EA112.1(11)AX

DHCP Snooping8.3(1) 12.2(17a)SX2 N/A 12.1(12c)EW

12.1(19)EA1 (EI)

12.1(19)EA1

12.1(19)EA1

12.1(19)EA112.1(19)EA1

DAI 8.3(1) 12.2(17a)SX2 N/A12.1(19)EW

N/A

N/A

Roadmap

12.2(20)SE (EMI)

12.2(20)SE

(EMI)

IP Source Guard8.3(1) 12.2(17a)SX2 N/A 12.1(13)EW N/A

N/A

Roadmap

12.2(20)SE

(EMI)

12.2(20)SE

(EMI)

Private VLAN

Edge- - - -

12.0(5.2)WC1

12.1(11)AX

12.1(4)EA1

12.2(20)SE

(EMI)

12.1(11)AX

*Pour plus de détail sur le support produit et les versions disponibles: http://www.cisco.com


Sécurisation du LAN Contrôle de l’accès au réseau (IBNS)


Contrôle d’accès sur identité

Contrôle d’accès au réseau avec IBNSContrôler ‘QUI’ accède au réseau et ‘COMMENT’

• Contrôle effectué sur chaque port du commutateur• Seuls les utilisateurs autorisés auront accès au réseau.• Utilisateurs non autorisés bloqués ou placés dans des guest VLANs

Politiques individuelles(BW, VLAN, QoS, etc…)

Réseau LAN

Utilisateurs/equipements authorisés

Utilisateurs/equipements non-authorisés


IBNS Authentification: 802.1x / EAP

Données/exchanges classiques

Traffic d’authentification

Trafic 802.1X Trafic RADIUS

Echanges d’authentification entre client et serveur Radius

Le commutateur fait la conversion de 802.1x vers Radius et inversement.

Le commutateur bloque tout sauf le trafic d’authentification.

EAP sur RADIUSRADIUS Server

EAP sur L2


Après l’authentification…Configuration de paramètres individuels …

Suite à l’authentification, il est possible de configurer dynamiquement certains paramètres au niveau du port:

• 802.1X avec VLANs

• 802.1X avec Port Security

• 802.1X avec VVID

• 802.1X Guest VLANs

• 802.1X avec ACLsRequête de login

Informations personnelle

sVérification dans la DB

Succès!Application de la politique

C’est John DoeIl appartient au VLAN RH

L’utilisateur a accès au LAN, et

est placé dans son VLAN

Le switch applique la politique et ouvre le port

LAN

• recherche du VLAN RH• RH = VLAN 5 • configure le port sur le VLAN 5


Cisco AironetCatalyst 6500Catalyst

4000/4500Catalyst

3550/2950/3750Cisco ACS Server

Identity-Based Networking ServicesDisponibilité produits

CAT6500CatOS

CAT6500IOS

4k/4500 Cat OS

4k/4500IOS

2950/2970

3550/3560

3750

802.1x w/ VLAN Assignment

7.5.1 12.1(13)E 7.5.1 12.1(19)EW12.1(12c)EA1

12.1(14)EA1

12.1(12c)EA1

12.1(19)EA112.1(14)EA1

802.1x w/ AVVID 7.5.1 12.1(13)E 8.1 Q4CY03 Roadmap12.1(12c)ea1

12.1(14)EA1

12.1(12c)EA1

12.1(19)EA112.1(14)EA1

802.1x w/ Guest VLAN

7.5.1 Roadmap 8.1 Q4CY03 12.1(19)EW12.1(14 )ea1

12.1(14)EA1

12.1(14)EA1

12.1(19)EA112.1(14)EA1

802.1x w/ Port Security

7.5.1 Roadmap 8.1 Q4CY03 12.2(18)EW12.1(12c)ea1

12.1(19)EA1

12.1(12c)EA1

12.1(19)EA112.1(19)EA1

802.1x w/ DHCP 7.6.1 NA NA NANA

NA

NA

NANA

802.1x w/ Guest VLAN/Port

7.7.1 (Target) NA NA NANA

NA

NA

NANA

802.1x w/ ACL 8.3(1) Roadmap NA RoadmapNA

12.1(14)EA1

NA

12.1(19)EA112.1(14)EA1

Accounting NA NA NA 12.2(18)EW12.1(20)EA212.1(

20)EA2

12.1(20)EA2

12.1(20)EA212.2(20)SE

*Pour plus de détail sur le support produit et les versions disponibles: http://www.cisco.com


Employé Receptioniste Invité

Cisco Identity—Extensions RADIUS A venir…

• Assignement d’ACL pour la QoS (policing par user/port)

• Accounting par user/port

• Contrôle de conformité de l’équipement (NAC)

CiscoSecure ACS RADIUS

Serveurs


Agenda


–Wifi




•Dans les Campus




Sécurisation du Poste utilisateurNAC : Network Admition control


Cisco Self-Defending Network

Durcissement du réseau

Contrôlerenforcé

de l’accès auréseau

Durcissement des serveurs et des postes

de travail

IOSIOS NACNACCSACSA

CSA : Cisco Security AgentNAC : Network Admission control

IBNS : Identity Based Network ServicesIOS : Internetworking Operating System


Cisco Network Admission Control (NAC)

• Cisco-led, Multi-partner Program

Limits damage from viruses & worms

Coalition of market leading vendors

• Restricts and Controls Network Access

Endpoint device interrogated for policy compliance

Network determines appropriate admission enforcement: permit, deny, quarantine, restrict

• A Cisco Self-Defending Network Initiative

Dramatically improves network’s ability to identify, prevent, and adapt to threats


Cisco Network AdmissionControl Program

Hosts Attempting

Network Access

Security Credential Checking

Cisco Network Access Device

Security Policy Enforcement

Cisco Policy Server

Security Policy Creation

Endpoint Policy Evaluation

Anti- Virus client

Cisco Security

Agent

Cisco Trust Agent

• Extends NAC beyond endpoint security posture to include application and software status

• Leverages existing customer investment in Anti-Virus, IBM-Tivoli and Cisco products

• Provides foundation for endpoint remediation

Tivoli Software

Agent

Tivoli Policy

Trend Micro


Why Network Admission Control?

BRANCH CAMPUS

1. Non-compliant endpointattempts connection

2. Connection allowed

CORPORATE NETCORPORATE NET

3. Infection spreads;endpoints exposed


Cisco Network Admission Control: What It Does

BRANCH CAMPUS

1. Non-compliant endpointattempts connection

2. Quarantine/remediation

3. Infection containment;endpoints secured

RemediationRemediationCiscoTrust Agent

CORPORATE NETCORPORATE NET

QuarantineQuarantine


Cisco NAC Solution Overview

NAC Solution:NAC Solution: Leverage the network to intelligently enforce access privileges based on endpoint security posture

Validates Validates allall hosts hosts

Ubiquitous solution for Ubiquitous solution for allall connection methodsconnection methods

Supports Multiple AV vendors & Supports Multiple AV vendors & Cisco Security AgentCisco Security Agent

Leverages customer investments Leverages customer investments in Cisco network and AV solutionsin Cisco network and AV solutions

Quarantine & remediation servicesQuarantine & remediation services

Deployment scalabilityDeployment scalability

NAC Characteristics:NAC Characteristics:

Policy (AAA) Svr

Vendor Vendor SvrSvr

Hosts Attempting

Network Access

Network Access Devices

Policy Server Policy Server Decision Decision

PointsPoints

Credentials Credentials

EAP/UDP,

EAP/802.1x

RADIUS

Credentials

HTTPS

Access Rights

Notification

Cisco Trust Agent

1 2

4

5

6

2a

Comply?

Enforcement

3


NAC Deployment ScenariosComprehensive Compliance Validation

Main OfficeBranch OfficeBranch Office

Internet

Remote Access

Dial-in NAS

RA IPsec VPN

Campus FW

Edge Router

Vendor Server

AAA Server (ACS)

Branch Branch Router Router

RADIUS (posture)

SSLEAP/UDPEAP/UDP

1111

1: Branch office complianceEnforce on L3 router and firewall

22EAP/UDPEAP/UDP

after IPsecafter IPsec

2: Remote access complianceExtension of “Are You There”

33

TBD

3: Dial-in access compliance

EAP 802.1x EAP 802.1x (wireless)(wireless)

44

4: Wireless campus protectionQuarantine with ACLs/VLANS

Extension of 802.1x55

EAP 802.1x EAP 802.1x (wired)(wired)

5: Campus Access and data center protection

Quarantine with ACLs/ VLANS

Extension of wired 802.1x


Layer 3 System Flow

CTA Router

NetworkACS

VendorServer

IP

EAPoUDPEAPoRADIUS HCAP

1. IP packet triggers Intercept ACL on router

Intercept ACL determines initial & interim network access

2. Router triggers posture validation with CTA (EAPoUDP)

3. CTA sends posture credentials to router (EAPoUDP)

4. Router sends posture credentials to ACS (EAPoRADIUS)

5. ACS can proxy portions of posture authentication to vendor server(s) (HCAP)

6. ACS validates posture, determines authorization rights (Healthy, Checkup, Quarantine)

7. ACS sends authorization policy to router (ACLs, URL redirection)

Notification may be sent to applications on host also

8. Host IP access granted (or denied, restricted, URL redirected)

1

2

3

4

5

67

8


Component: Cisco Trust Agent (CTA)

• Plug-in interface to register and query various vendor provided posture providers

• Multiplexes and demultiplexes posture requests to posture credential providers based on vendor and application type

• Acts as posture provider for itself and basic host information CTA version, OS type and OS version

• Communicates with routers using Extensible Authentication Protocol over User Datagram Protocol (EAPoUDP)

• Displays informational messages to user

• Responds to Status Query messages

• Note: CTA does not secure itself, the NAC-enabled applications or the hostRecommend standard host security measures to protecthost environment, including CSA


Component: Routers

• Policy enforcement point• Detects devices that must be postured• Triggers posture process (based on Intercept-ACL)

Relays posture credentials to ACS

• Periodic full reassessment (revalidation timer)• Periodic L3 Status Query

To signal posture change on the hostEnsure host is same host that was previously validated

• Enforce access rightsDynamic ACLsOptional URL redirection (key for non-responsive device feedback)Applied to appropriate interface

• Handles non-responsive devicesSupports exception list based on IP or MAC addressesSupports exception lists on ACS using Network Access Restrictions (NAR)


Periodic Reassessment

1. Inactive Endpoint – Confirm inactive endpoint has not changed

Called “L3 EAP Status Query”: New EAP method between CTA and router (not ACS)

Router periodically polls to make sure:

1) CTA is still there

2) It’s the same validated device

3) Posture hasn’t changed

2. Reassess Active Endpoint – Confirm continued compliance

CTA indicates posture change by not responding to Status Query, triggers revalidation


NAC Process Flow Diagram


NAC Process FlowSample Topology and Scenario

AAA ServerIP: 10.1.1.25

AV Vendor ServerIP: 10.1.1.30

File ServerIP: 10.10.10.10

LaptopIP: 192.168.1.150

WorkstationIP: 192.168.1.10

NAC Enforcement Point

User on Laptop Needs to Access Files Stored on File Server

DNS ServerIP: 10.20.20.20

Remediation ServerIP: 10.30.30.30


TerminologyIntercept and Default ACLs

• Intercept ACLAccess control list that defines what network traffic will trigger posture validation process by the routerStandard or Extended ACL syntax

“permit” perform posture validation on specific traffic“deny” do not perform posture validation on specified traffic

Applied to router interface(s)

• Interface (or Default) ACL Access control list that defines network traffic that will be permitted by default without requiring posture validationTraffic can match both the Intercept and Default ACLs

Access specified by Default ACL is permitted while posture validation is performedStandard or extended ACL syntaxApplied to router interface(s)If not defined, than all traffic passed throughDownloadable ACL (based on policy) modifies this ACL






LaptopIP: 192.168.1.150



NAC Process FlowStep 1: Laptop DNS Lookup for File Server

NAC1(config)# ip admission name NAC eapoudp list 102

NAC1(config)# access-list 102 permit ip host 192.168.1.0 any

…

NAC1(config)# access-list 101 permit udp any host 10.20.20.20 eq 53

NAC1(config)# access-list 101 permit udp any host 192.168.150.1 eq 21862

…

NAC1(config)# interface e0/0

NAC1(config-if)# ip access-group 101 in

NAC1(config-if)# ip admission NAC

Default ACLAccess to DNS Server is Permitted

Dest IP Source IP Dest Port

10.20.20.20 192.168.1.150 53

Intercept ACLInitial Packet from Laptop Triggers the Intercept ACL

Default ACLyou should “permit EAPoUDP ” for the routers interface facing the hosts

192.168.150.1



NAC Process FlowSteps 2 to 3




LaptopIP: 192.168.1.150



Step 2: NAD (Router) Challenges CTA for Posture

Client Application(Anti-virus)

Anti-Virus Posture Plugin

Client Application(HIPS/CSA)

CTA Service

XYZ—service Posture Plugin

Client Application

(XYZ—service)

CTA Posture Plugin

Logging Service

EAP Methods

HIPS/CSA Posture Plugin

Step 3: Posture Credentials are Collected by CTA



NAC Process Flow Step 4: Posture Credentials Sent to AAAServer

AAA ServerIP: 10.1.1.25 AV Vendor Server

IP: 10.1.1.30


LaptopIP: 192.168.1.150



Step 4: Laptop Returns Posture Credentials that are Forwarded to AAA Server for Validation


Optional: AAA Server Can Proxy Vendor Specific Credentials to Vendor Server for Validation







LaptopIP: 192.168.1.150


DNS ServerIP: 10.20.20.20 Remediation Server

IP: 10.30.30.30

NAC Process Flow Laptop Doesn’t Comply with Policy (Quarantine)

Laptop Can Connect to Remediaton Server to Update Itself to Get into Compliance

AAA Server Pushes Configuration to Router to Only Allow Laptop Access to Remediation Serverpermit ip host 192.168.1.150 host 10.30.30.30

Optional: AAA Server Sends Notification to Laptop that Can be Displayed by CTA to User






LaptopIP: 192.168.1.150



IP: 10.30.30.30

NAC Process FlowLaptop Complies with Policy (Healthy)

AAA Server Pushes Configuration to Router to Allow Laptop Complete Network Access

permit ip host 192.168.1.150 any



NAC Process Flow“Non-Responsive” Host




LaptopIP: 192.168.1.150



Step 3: NAD Challenges CTA for Posture


Workstation Doesn’t Have CTA Installed

• Workstation will not be able to respond to router challenge for posture credentials

• Router will timeout waiting for CTA response• Devices that do not respond to NAC challenge

are called “non-responsive”



NAC Process Flow AAA Server Handling of “Non-Responsive” Hosts




LaptopIP: 192.168.1.150



Workstation Doesn’t Have CTA Installed


NAD Sends “Clientless” User Credentials to AAA Server to Indicate that Host Is Non-Responsive

AAA Server Pushes Configuration for “Clientless” User to Routerpermit ip host 192.168.1.150 any

Workstation Is Permitted Access to DNS and File Servers






LaptopIP: 192.168.1.150


IP: 10.30.30.30

NAC Process FlowRouter Exception Lists for “Non-Responsive” Hosts

NAC1(config)# identity policy NAC-CL

NAC1(config-identity-policy)# description NAC policy for authorized devices

NAC1(config-identity-policy)# access-group NACacl

…

NAC1(config)# ip access-list extended NACacl

NAC1(config-ACL)# permit ip any host 10.10.10.10

…

NAC1(config)#identity profile eapoudp

NAC1(config)# description Exception list for CTA-less devices

NAC1(config-identity-prof)# device authorize ip-address 192.168.1.10 policy NAC-CL

NOTE: Appropriate For Fixed Devices (e.g., Printers), ACS “Clientless” Host Functionality More Appropriate For Non-fixed Devices/Hosts


Clientless Host Configuration

Router(config)#

eou clientless username name

NAC1(config)# eou clientless username clientless

NAC1(config)# eou clientless password cisco123

NAC1(config)# eou allow clientless

Create clientless authentication attributes

• Create an eou username for clientless hosts

• Create a password for eou clientless hosts

eou clientless password password

• Allows return of clientless username/password

eou allow clientless


How Downloadable ACLs Are Used

Downloadable ACL “Quarantine”permit tcp any host 10.1.1.30 eq wwwpermit tcp any host 10.30.30.30 eq www

PA

NAD

ACS

Dynamic ACL

Host 192.168.1.150

interface Ethernet0/0 ip access-group 101 in Extended IP access list 101

Downloaded ACL

permit tcp host 192.168.1.150 host 10.1.1.30 eq wwwpermit tcp host 192.168.1.150 host 10.30.30.30 eq www

10 permit udp any host 10.20.20.20 eq domain 20 deny ip any 10.0.0.0 0.255.255.255

Extended IP access list xACSACLx-IP-quarantine-409036df10 permit tcp any host 10.1.1.30 eq www20 permit tcp any host 10.30.30.30 eq www


Example Local Policy

• Any of the credentials forwarded to the ACS server can be verified via local rules on the ACS server

• Typical local rules will be OS specific credentials and anything that doesn’t have its ownpolicy server

• Rule sets are evaluated in order and if none succeed, the Default Rule is applied…

15Hotfixes/Hotfixes/PatchesPatches

Default Rule(Falls Through)

OS Nameand Version


Cisco IOS Troubleshooting Commands

show eou all

show eou ip x.x.x.x

show access-list [number | name]

nac-demo-router#show eou all-----------------------------------------------------------------Address Interface AuthType Posture-Token Age(min)-----------------------------------------------------------------192.168.1.101 Ethernet0/0 EAP Healthy 48192.168.1.103 Ethernet0/0 CLIENTLESS Unknown 0192.168.1.102 Ethernet0/0 EAP Quarantine 7

Extended IP access list 103 permit ip host 192.168.1.102 192.168.0.0 0.0.0.255 permit tcp host 192.168.1.102 207.46.0.0 0.0.255.255 eq www permit tcp host 192.168.1.102 207.46.0.0 0.0.255.255 eq 443 (18 matches) permit tcp host 192.168.1.102 208.172.0.0 0.0.255.255 eq www (10 matches) permit tcp host 192.168.1.102 131.107.99.244 eq www deny ip host 192.167.1.102 any deny ip host 192.168.1.103 172.16.0.0 0.0.255.255 permit ip host 192.168.1.103 any (246 matches) 10 permit ip any any (26036 matches)

Dynamic ACLs

Interface ACL

nac-demo-router#show eou ip 192.168.1.102Address : 192.168.1.102Interface : Ethernet0/0AuthType : EAPPostureToken : QuarantineAge(min) : 7URL Redirect : http://windowsupdate.microsoft.comACL Name : #ACSACL#-IP-quarantine-4075189bRevalidation Period : 600 SecondsStatus Query Period : 30 Seconds


CompositionNetwork Access Devices

CISCO Integrated Service RoutersDISPONIBLE

CISCO VPN 3000VPN OS 4.7

Now

CISCO PIX2005

CISCO CATALYST2005

CISCO AIRONET2005


Router Platform Support

• NAC support available in 12.3(8)T3 IOS images with Security

Advanced Security , Advanced Services, and Advanced Enterprise images

Yes—older platforms with NAC support only in the Classic IOS FW Feature Sets in 12.3T, these Routers do not have the Advanced newer images in 12.3T

IP BaseIP Base

IP VoiceIP Voice

Advanced Security

Advanced Security

Advanced IP Services

Advanced IP Services

Enterprise Base

Enterprise Base

Enterprise Services

Enterprise Services

SP Services

SP Services

Advanced Enterprise ServicesAdvanced Enterprise ServicesYes *Cisco 83x

TBDCisco 74xx, 73xx, 71xx

NoCisco 3620

NoCisco 2600 non-XM Models

NoCisco 1750, 1720, 1710

NoCisco 3660-CO Series

NoCisco 4500

YesCisco 1701,1711, 1712, 1721, 1751, 1751-V, 1760

Yes *Cisco 72xx

TBDCisco 5xxx

Yes

Yes *

Yes

Cisco 3640, 3660-ENT Series

Cisco 2600XM, 2691

Cisco 37xx

New access routers will support NAC


Switch Platforms Progressive Functional Tiers

Platform, Supervisor OS Feature

6500 – Sup2*, 32, 720 Native IOS LAN & WAN

6500 – Sup2*, 32, 720 Hybrid LAN & WAN

4000, 4500 – Sup2+, 3-6 IOS LAN & WAN

6500 – Sup2*, 32 CATOS LAN L2-3

3550, 3560, 3750 EMI, SMI LAN L2-3

2950 EI, SI LAN L2 Basic

2940, 2955, 2970 All LAN L2 Basic

6500 – Sup32/Café All TBD

6500 – Sup1A All TBD

5000 All No

4000/4500 CATOS No

2900XM All No

• LAN L2 Basic (EAPo802.1x)

Use when CTA & 802.1x deployed & limited non-NAC capable endpoints

Dynamic VLAN assignment

Single devices, IP phone + device

• LAN L2 Enhanced (EAPo802.1x)

Use in 802.1x environments with mixed NAC & non-NAC capable endpoints)

Supports non-responsive device assessment

• LAN L2-3 (EAPoUDP)

Use in non-802.1x, non-VLAN environments, and with shared media scenarios off an L2 port (e.g. hubs)

Dynamic PACL & URL redirection

• LAN & WAN (EAPoUDP)

Same functionality as phase 1 routers

Dynamic RACL & URL redirection


NAC Client – End User Experience

Takes one ping to authenticate machine.

CTA Popup


Phase 1 Logical ComponentsPhase 1 Logical Components

Network AccessDevice

AAA Server

CTA Vendor Policy Server

Plug-ins

CTA

SecurityApp

CTA RADIUSEAPoUDP HCAP

Main AV Main AV VendorsVendorsMain AV Main AV VendorsVendors

EAPoUDPEAPoUDPEAPoUDPEAPoUDP RADIUSRADIUSRADIUSRADIUS


Routers Routers (83x-72xx)(83x-72xx)Routers Routers (83x-72xx)(83x-72xx)NT, XP, 2000NT, XP, 2000NT, XP, 2000NT, XP, 2000 Cisco Secure ACSCisco Secure ACSCisco Secure ACSCisco Secure ACS

Shipping


Network AccessDevice

AAA Server

CTA Vendor Policy Server

Plug-ins

CTA

SecurityApp

CTA RADIUSEAPoUDP HCAP

Phase 1.5 and 2.0 Roadmap Feature SummaryPhase 1.5 and 2.0 Roadmap Feature Summary

Non-responsive Audit Server

Non-Responsive system, broad API license

EAPo802.1x, Proprietary

1.5: Switches (GW), VPN 3000

Switches (LAN), WAP

Linux, Solaris, 2003


EAPoUDPEAPoUDPEAPoUDPEAPoUDP RADIUSRADIUSRADIUSRADIUS


Routers Routers (83x-72xx)(83x-72xx)Routers Routers (83x-72xx)(83x-72xx)NT, XP, 2000NT, XP, 2000NT, XP, 2000NT, XP, 2000

Cisco Secure ACSCisco Secure ACSCisco Secure ACSCisco Secure ACS

Broad API LicenseBroad API LicenseBroad API LicenseBroad API License

In Progress

Shipping


IBNS & NAC Phase 1 (Gateway IP) Operation

IBNS (Identity)

NAC (Posture)

L2 (802.1x)

L3 (EAPoUDP)

RADIUS

RADIUS

1. 802.1x Authentication2. Optional 802.1x Policy assignment3. DHCP4. NAC at first L3 Gateway

1. 802.1x Authentication2. Optional 802.1x Policy assignment3. DHCP4. NAC at first L3 Gateway

Switch(Dot1x enabled)


IBNS & NAC Phase 2 (LAN Port 802.1x) Operation

Identity + Posture

L2 (802.1x) RADIUS

1. 802.1x Authentication2. Single Tunnel, Multiple Transactions3. Identity Authentication4. NAC Posture Validation5. Policy Assignment6. DHCP

1. 802.1x Authentication2. Single Tunnel, Multiple Transactions3. Identity Authentication4. NAC Posture Validation5. Policy Assignment6. DHCP

Switch(Dot1x enabled)


Phase 2 CTA Enhancements

• Support EAPo802.1x Communications

Strategy: engage multiple vendors for supplicant support

Seed with at least one vendor through a NAC-only “lite” OEM

Existing supplicants require extensions

• Embed OS Patch & Hotfix in CTA

Move host OS gathering from CSA to CTA

• Customer File API

Custom credential gathering interface

Read tag/value data from a file

File created by customer script

• Platform Ports

Windows 2003, Solaris, Red Hat Linux

Considering MACOS, SUSE Linux, others

New feature support may vary per OS


Current Program Participants

ANTI VIRUS

PATCH MGT

INITIAL SPONSORS

CLIENT SECURITY


URLs

• www.cisco.com/go/selfdefend

Brochures (4)

Building a Self-Defending Network - Solutions Overview (PDF - 910 KB)

Cisco Self-Defending Networks Poster (side 2) (PDF - 600 KB)

Cisco Self-Defending Networks Poster (side 1) (PDF - 960 KB)

Intelligent Networking with Integrated Network Security (PDF - 720 KB)

White Papers (1)

Core Elements of the Cisco Self-Defending Network Strategy

Presentations (2)

Network Admission Control Overview Demo (Flash - 4 MB)

Protecting Business with the Cisco Self-Defending Network Initiative (Flash - 5 MB)

Relevant Networking Solutions


URLs

• www.cisco.com/go/NAC

Cisco Network Admission Control ProgramCisco Trust Agent 1.0 Data SheetNAC-Enabled Routers

Brochures (1)

Network Admission Control At-a-Glance (PDF - 52 KB)

Q&A (1)

Network Admission Control

White Papers (6)

Cisco Application & Content Networking Sys Sol for Network Admission Control

Implementing Network Admission Control - Phase One Configuration and Deployment (PDF - 2 MB)

Monitoring and Reporting Tool Integration - Failed Attempts 2004-07-08.csv (PDF - 790 KB)

Monitoring and Reporting Tool Integration - Passed Authentications 2004-07-08 (PDF - 12 MB)

Monitoring and Reporting Tool Integration into Network Admission Control

Network Admission Control

Presentations (3)

Cisco Security Vision & Cisco Network Admission Control (PDF - 3 MB)

Network Admission Control Overview Demo (Flash - 4 MB)

Network Admission Control: Phase 1 Requirements (PDF - 4 MB)

Release Notes (1) Release Notes for Network Admission Control, Release 1.0


Demo flash

• nac demo\Tutorial_Trend_Remediation.html


Agenda


–Wifi




•Dans les Campus




Remote access

VPN : SSL tunnel, SSL proxy, SSL port forwarding , IPSec, etc …


Cisco Strategy for Remote AccessUsing “Best Fit” IPSec and SSL VPN Technologies

SSL VPN IPSEC VPN

• PARTNER—Few apps/servers, tight access control, no control over desktop software environment, firewall traversal

• DOCTOR—Occasional access, few apps, no desktop software control

• ENGINEER—Many servers/apps, needs native app formats, VoIP, frequent access, long connect times

• ACCOUNT MANAGER—Diverse apps, home-grown apps, always works from enterprise-managed desktop

Central Site

Doctor at HomeUnmanaged Desktop

Supply PartnerExtranet

Account ManagerMobile User

Software EngineerTelecommuter

VPNIP/Internet


SSL VPN IPSEC VPN

Broad Application Access: Clientless, Thin Client & Network-Layer Client Modes

Endpoint Security without Compromise

Clientless Terminal Services Support

Per-User/Group Portal and Access Customization

Broad Browser Support

• “Easy VPN” for Touchless Client Management

• Automated VPN Client Updates for Ease of Client Deployment & Versioning

• Integrated Endpoint Security

• Proactive Endpoint Security Posture Assessment

• Flexible Access Controls

VPN 3000 Concentrator Solution OverviewFeatures and Benefits

• Clustering & Load Balancing

• Flexible User Authentication & Access Control

• Broad End-System OS Support

• Group-Based User Management

• Unified Web-Based Management

Foundation Features for Ease of Operations


See an On-Line WebVPN Demo

Go to: www.cisco.com/go/sslvpndemo


Concentrateurs Cisco VPN 3000 Une solution unifiée pour les accès VPN et SSL

• Solution intégrée SSL et VPN• Load Balancing dynamique par utilisateur dans le

cluster• Multiples méthodes d’authentifications• Magagement WEB intégré

SMBSMB ENTERPRISEENTERPRISEROBOROBOSOHOSOHO

VPN 300550 sessions SSL VPN

VPN 3020200 sessions SSL VPN

VPN 3030 ou +500 sessions SSL VPN

Pri

x

Fonctions

VPN 3030 en ClusterN x 500 sessions SSL VPN


Cisco ASA 5510, 5520, and 5540 PlatformsKey Platform Metrics

FeaturesASA 5510

(► Sec Plus)ASA 5520

ASA 5520VPN Plus

ASA 5540ASA 5540VPN Plus

ASA 5540VPN Premium

Real World Firewall Throughput(300 / 1400 Byte)

100 / 200 Mbps 200 / 400 Mbps 200 / 400 Mbps 400 / 550 Mbps 400 / 550 Mbps 400 / 550 Mbps

Real World VPN Throughput(300 / 1400 Byte)

50 / 100 Mbps 100 / 200 Mbps 100 / 200 Mbps 200 / 360 Mbps 200 / 360 Mbps 200 / 360 Mbps

Real World IPS Throughput(500 Byte)

100 Mbpswith SSM-AIP 10






Maximum Connections 32,000 ► 64,000 130,000 130,000 280,000 280,000 280,000

S2S and IPSec RA VPN Peers 50 ► 150 300 750 500 2,000 5,000

SSL VPN Connections Shared Shared Shared Shared Shared, up to 1,250 Shared, up to 2,500

VPN Clustering / Load Bal. No Yes Yes Yes Yes Yes

High Availability None ► A/S A/A and A/S A/A and A/S A/A and A/S A/A and A/S A/A and A/S

Interfaces3 x 10/100 + OOB

► 5 10/1004 x 10/100/1000,

1 10/1004 x 10/100/1000,

1 10/1004 x 10/100/1000,

1 10/1004 x 10/100/1000,

1 10/1004 x 10/100/1000,

1 10/100

Security Contexts No Up to 10 Up to 10 Up to 50 Up to 50 Up to 50

VLANs Supported 0 ► 10 25 25 100 100 100

Comparable PIX Model PIX 515E R/DMZ PIX 515E UR PIX 515E UR PIX 525+ PIX 525+ PIX 525+

Comparable VPN3K Model VPN 3005- VPN 3005++ VPN 3020 VPN 3015 VPN 3030 VPN 3060

© 2004 Cisco Systems, Inc. All rights reserved.ASA 5500 Intro 818181

Real world performance based on real traffic mix, all svcs running concurrently and logging enabled.


Cisco VPN Are You There (AYT)How it works: Endpoint Security Assessment

I want to open a VPN connection…

Is Cisco Security Agent running?

Secure VPN Tunnel

InternetVPN Concentrator Corporate

Network

OK for VPN

NO CSA running

YES CSA is running

Remote User with Cisco IPSec Client

CSA

AYT also supports the following firewalls:

•The Cisco Integrated Client FW•Network ICE BlackICE Defender •Sygate Personal Firewall •Sygate Personal Firewall Pro •Sygate Security Agent•Zone Labs ZoneAlarm•Zone Labs ZoneAlarm Pro


Cisco VPN-SSL 3 modes de fonctionnements possibles

Accès d’un poste inconnu• PC personnel au domicile• Cybercafé• Poste d’une entreprise externe• Protection de l’environnement indispensable

Accès d’un poste inconnu• PC personnel au domicile• Cybercafé• Poste d’une entreprise externe• Protection de l’environnement indispensable

Accès d’un partenaire• Environnement non contrôlé• Sécurité du postes non connus• privilèges systèmes inconnus

Accès d’un partenaire• Environnement non contrôlé• Sécurité du postes non connus• privilèges systèmes inconnus

Client leger : Port Forwarding• Connexion Reverse proxy « firewaled »Connexion Reverse proxy « firewaled »• Accès Web, Email, Agenda et autres applications TCPAccès Web, Email, Agenda et autres applications TCP• Petite applet java dynamiquement téléchargéePetite applet java dynamiquement téléchargée• Meilleure solution pour un accès contrôlés à certaines Meilleure solution pour un accès contrôlés à certaines applications à partir d’un poste externeapplications à partir d’un poste externe

Accès en mode proxy, sans client• Connexion Reverse proxy “firewalled”Connexion Reverse proxy “firewalled”• Accès aux applications Web et CitrixAccès aux applications Web et Citrix• Aucun logiciel téléchargéAucun logiciel téléchargé• Meilleure option pour un accès limité aux Meilleure option pour un accès limité aux applications WEB à partir de postes non contrôlésapplications WEB à partir de postes non contrôlés

Postes de l’entreprise• Environnement logiciel contrôlé• Politique de sécurité connue• Applications multiples• Connexion complète à l’intranet désiré

Postes de l’entreprise• Environnement logiciel contrôlé• Politique de sécurité connue• Applications multiples• Connexion complète à l’intranet désiré

Client SSL Tunneling• Connexion persistante offrant un accès complet aux Connexion persistante offrant un accès complet aux ressources de l’intranet ressources de l’intranet• Utilise un client léger dynamiquement téléchargéUtilise un client léger dynamiquement téléchargé• Meilleure option pour un accès illimités aux applications Meilleure option pour un accès illimités aux applications de l’entreprise pour les employésde l’entreprise pour les employés


Application Proxy pour HTTP

• La connexion client est protégée par SSL le serveur est utilisé en proxy applicatif

Deux connexions TCP et http sont utilisées, seule la connexion client-concentrateur est protégée par SSL

Le flux HTML est inspecté et modifié à la volée

HTMLInspection

HTMLInspectionHTMLHTML

HTTPSSL

HTTPSSL

TCP/IPTCP/IP

HTTPSSL

HTTPSSL

TCP/IPTCP/IP TCP/IPTCP/IP

HTMLHTML

TCP/IPTCP/IP

HTTPHTTP HTTPHTTP

Concentrateur

ServeurIntranet http

Utilisateurdistant

IP : 1.2.3.4

http://www.cisco.frhttps://1.2.3.4/http/0/www.cisco.fr


Application Proxy pour HTTPS

• La connexion client est protégée par SSL, le serveur est utilisé en proxy applicatif

Deux connexions TCP et SSL sont utilisées

Le flux HTML est inspecté et modifié à la volée

Utilisateurdistant

HTMLHTML

HTTPSSL

HTTPSSL

TCP/IPTCP/IP

InspectionHTML

InspectionHTML

HTTPSSL

HTTPSSL

TCP/IPTCP/IP

HTMLHTML

HTTPSSL

HTTPSSL

TCP/IPTCP/IP

Concentrateur

ServeurIntranet SSL

HTTPSSL

HTTPSSL

TCP/IPTCP/IP

https://www.cisco.fr

IP : 1.2.3.4

https://1.2.3.4/https/0/www.cisco.fr


Application Proxy pour les serveurs de fichiers

Utilisateurdistant

Convertisseur

HTML <-> CIFS

Convertisseur

HTML <-> CIFSHTMLHTML

HTTPSSL

HTTPSSL

TCP/IPTCP/IP

HTTPSSL

HTTPSSL

TCP/IPTCP/IP

SMBSMB

TCP/IPTCP/IP

CIFSCIFS

SMBSMB

TCP/IPTCP/IP

Concentrateur

Serveur de Fichierde l’Intranet

IP : 1.2.3.4

• La connexion client est protégée par SSL le serveur est utilisé en proxy applicatif

Deux connexions TCP sont utilisées seule la connexion client-concentrateur est protégée par SSL

Le concentrateur effectue une conversion entre le flux HTML et le flux CIFS utilisé pour le dialogue avec le serveur de fichier

SMB : Server Message BlockCIFS : Common Internet File System


Accès en mode proxySupport des PDA

• Pocket PC 2003

OS: Windows CE

Navigateur: Pocket Internet Explorer (PIE)

SW: Microsoft + OEMs

• Le navigateur intégré dans Windows CE 2003 est compatible avec le mode proxy.


VPN-SSL en mode Tunnel

Fonctions

• Permet un accès complet aux applications “comme en IPSEC”

• Moins de 250 Ko à télécharger sous la forme d’une applet Java, Active X ou .EXE

• Pas de reboot nécessaire

• Le client peut-être supprimé à la fin de la session ou installé de manière permanente

• Compatible avec le Softphone Cisco pour le support de la téléphonie sur IP

• Compatible Windows 2000 et XP

Bénéfices

• Téléchargement rapide du client

• Plusieurs méthodes d’installation pour une meilleure compatibilité

• Pas de reboot = utilisateur happy

• Aucune trace du client après la session pour plus de sécurité

• Support des applications multimédias

• Administration centralisée

Résultat de l’expérience Cisco dans le domaine du VPN et de l’encryption : Client léger, stable et simple à supporter


Connexion à l’URL du WEB-VPN

Téléchargement du client

Connexion TCP (port x ou defaut 443)

Initiation Connexion SSL

Certificat SSL du serveur

Connexion achevée

Client VPN SSL Cisco

VPN-SSL en mode Tunnel Mode opératoire

Note: Le client est “poussé” via Active X, Java, ou .exe

ConcentrateurVPN 3000


VPN-SSL en mode Tunnel L’interface

Statistiques

Téléchargements

Le tunnel est monté


La technologie : VIRTUAL SECURE DESKTOPProtège les informations sécurisées

supprime : cookies, cache du navigateur / historique fichier en attachement des emails, etc. à la fin de la connexion SSL/VPN

Protège contre l’exploitation de ces informations et contre la pénétration du système

Sécurisation du poste de travail pour les connexions WEB VPN

• Le bureau virtuel sécurisé est transparent pour l’utilisateur et crée automatiquement un environnement sécurisé sous Windows 2000 ou XP

• L’utilisateur a toujours accès à l’ensemble des ressources de son PC

• Toutes les applications et process qui tournent dans le bureau virtuel sécurisé sont contrôlés

• Le bureau virtuel crée un file system encrypté à la volée et rien n’est écris en clair sur le disque.


Cisco Secure DesktopL’interface utilisateur

Anti-XAnti-X


Cisco Secure DesktopHow it Works

Step One: A user on the road connects with the concentrator and logs in

Step Four: At Logout the Virtual Desktop that the user has been working in is eradicated and the user is notified

Enterprise HQ

Employee-Owned Desktop

www…

Clientless SSL VPN

Step Two: The concentrator pushes down the Cisco Secure Desktop

Cisco Secure Desktop

Step Three: An encrypted sandbox or hard drive partition is created for the user to work in

Note: CSD download and eradication is seamless to the user. If the user forgets to terminate the session auto-timeout will close the session and erase all session information


Cisco Secure DesktopSecurisation de la session – Encryption

Historique du navigateur : www.competitor.com/jobs www.etrade.com/myportfolioMessages WebMail : employee evaluation trade secretDocuments word : attorney_letter.docTableurs excel : Salaries.xls Sales foresact.xls

Secure Vault

A546FGHR72466723HKFV287943276H546FGHR724JUHB3787SBHYLM8733NMH8UW3KIUJ98HHD8K9DD0KNWHFSGT653JKIL0387GB73MZDPQK7

Bureau Standard Bureau Sécurisé


• Téléchargement et installation rapide• Usage transparent, pas de nouvelle interface à intégrer • Accès à l’ensembles des ressources hard et soft du PC• Nettoyage automatique de la session et des données

Pour l’utilisateur final

Pour le gestionnaire du système• Contrôle des utilisateurs

• téléchargement et installation facile• l’utilisateur est guidé dans la session (un click seulement)• l’utilisateur ne peut pas sauver un document dans la partie non encryptée du disque• Interface utilisateur customisable• Look and feel• Paramètres de Windows, du navigateur et des applications

• Ajoute des fonctions de sécurité• Time Out automatique de la session

Fonctions de Securité

Protège contre la fuite des données

Protège contre les codes malicieux

Assure confidentialité de l’utilisateur

Facile à implémenter et à superviser

Fonctions et avantages


Demo :

• SSL-VPN + CSD https://vpn3000.showroom.cisco-ilm.com

username cisco password cisco123

• WEB- VPNOpen web broswer and http or https to 171.69.230.86

Login

Full access Username:testuser

Full access Password:testuser

Limited access Username:limituser

Limited access Password:limituser

https://vpn3000.showroom.cisco-ilm.com/

1 © 2005 Cisco Systems, Inc. All rights reserved. IPv6 Update Cisco Groupe LASER – 24 Mai 2005...

Documents

Transcript of 1 © 2005 Cisco Systems, Inc. All rights reserved. IPv6 Update Cisco Groupe LASER – 24 Mai 2005...