recherche

LOADING
PREV
NEXT
http://s2b-net.fr/modules/mod_image_show_gk4/cache/flash.Anyconnect-IPADgk-is-100.png
http://s2b-net.fr/modules/mod_image_show_gk4/cache/flash.PaloAlto.PaloAltogk-is-100.JPG
http://s2b-net.fr/modules/mod_image_show_gk4/cache/flash.cisco.Cisco-Nexusgk-is-100.jpg
http://s2b-net.fr/modules/mod_image_show_gk4/cache/images.flash.S2B-NET Offre reseau securitegk-is-100.png
http://s2b-net.fr/modules/mod_image_show_gk4/cache/flash.Aloha-Load-balancergk-is-100.JPG
http://s2b-net.fr/modules/mod_image_show_gk4/cache/flash.merakigk-is-100.jpg

Nos solutions Innovantes

  • VPN SSL et IPAD
  • PaloAlto Firewall de nouv...
  • Cisco Nexus Virtualisatio...
  • Catalogue Solutions
  • Aloha, Load Balanceur Per...
  • Meraki, l'infrastructure ...

VPN SSL et IPAD

Soyez dans l'air du temps...   Mettez en oeuvre une solution innovante de mobilité, choissez d'aillier le Cisco VPN SSL à vos tablettes et smartphones.

En Savoir Plus

PaloAlto Firewall de nouvelle génération

Palo Alto, les firewalls de Nouvelle génération WEB 2.0 Palo Alto Networks propose des Firewalls nouvelle génération qui permettent : Avoir une visibilité et un contrôle des applications Protéger le réseau des menaces

En Savoir Plus

Cisco Nexus Virtualisation

Virtualisez, consolidez, mutualisez nos infrastructures réseaux grâce aux solutions Cisco Nexus   Virtualisation vos infrastructures avec les fonctions de VDC (Virtual Devide Context) Optimisez vos liaisons et la redondance grace au VPC (Virtual

En Savoir Plus

Catalogue Solutions

S2B-Net vous apporte l'ensemble du savoir-faire technique en matière de réseau et de la sécurité S2B-Net dispose d'un catalogue d'offre de service et de produit complet, lui permettant de répondre et

En Savoir Plus

Aloha, Load Balanceur Performant

 Disponibilité et performance de vos applications ne sont plus des options. L'optimisation des performances des serveurs obtenue grâce à ALOHA LoadBalancer.

En Savoir Plus

Meraki, l'infrastructure cloud réseau

Cisco Meraki Meraki MR LAN WiFi Meraki MS Commutateurs Ethernet Meraki MX Appliances de sécurité Meraki SM Gestion des appareils mobiles     Cisco Meraki : Une solution infrastructure réseau complètement gérée dans le Cloud Les solutions réseaux

En Savoir Plus

IPS Cisco

IPS, le complément du Firewall

Les fonctionnalités de prévention d’intrusion, permettent de se protéger du trafic malicieux, tels que les vers réseau, les dénis de service, et les tentatives d’exploitation de vulnérabilités.


 

ips

Les modules IPS s'appuie sur une base de plus de 4000 signature.

  • Virtualisation ; quatre context
  • Corrélation Globale et Filtrage par Réputation
  • Analyse protocolaire
  • Analyse heuristique
  • Détection d'nomalies comportementale
  • Risk Rating ; Calcul du niveau de risque
  • Threat Rating ; Calcul du risque résiduel

 

 

Aperçu

Présentation :

Module AIP-SSM

Il est possible d’équiper certains modèles d’ASA d’un module hardware offrant les fonctions IPS. Ce module, AIP-SSM (Advanced Inspection Prevention Security Services Module) sur la gamme ASA 5510-5540 et AIP-SSC (Advanced Inspection Prevention Security Services Card), dispose de son propre système d’exploitation (Cisco IPS version 6 ou 7), qui équipe également la gamme de boîtiers de prévention d’intrusion Cisco IPS 4200.

gamme-ips

Ce service apparaît dans la topologie du réseau exactement comme un vrai boîtier, subissant les mêmes contraintes de design, mais avec les avantages de faire l’économie d’un boîtier et d’une administration unique. Ce service IPs est intégré dans l'ASA comme un proxy transparent.

Corrélation Globale et Filtrage par Réputation

L’équipe de veille en charge des mises à jour est intégrée aux Threat Operation Centers de Cisco SIO (500 personnes dans 8 sites). Ils bénéficient donc des informations temps-réels remontées dans SensorBase permettant d’affecter une note de réputation aux adresses IP d’Internet sur la base de plus de 200 critères. Ceci a permis de passer d’un monde d’IPS réseaux à un monde de réseaux d’IPS, c'est-à-dire un monde dans lequel les IPS Cisco contribuent à enrichir SensorBase afin d’avoir des mises à jour temps réel sur les menaces et pouvoir les contrer sans effort d’administration et de suivi de ces dernières (ces fonctions étant assurées dans les Threat Operation Center).

L’objectif est clair : Bloquer plus d’attaques, tout en simplifiant l’exploitation des IPS.

 

Le filtrage par réputation fonctionne à deux niveaux :

  • Les adresses IP qui sur Internet sont à la source d’attaques massives, répétées, et qui ne génèrent pas de traffic légitime sont détectées par SensorBase et notées avec une réputation dégradée. Ainsi, elles sont filtrées par le module IPS immédiatement, sans analyse de contenu. On estime que 15 à 20% des attaques seront bloquées sur ce critère.
  • Les autres flux rentrent dans le moteur d’analyse de contenu. Dans ce mode, la réputation est utilisée pour enrichir le calcul de risque de l’événement, permettant ainsi d’augmenter la pertinence de la détection et de bloquer plus d’attaques (voir le chapitre sur le calcul de risque)

 

La sonde est en permanence connectée à SensorBase, et reçoit des updates en quasi temps-réel (toutes les 5 minutes).

Point clés :

Module additionnel dans les firewalls ASA 5500

Augmententation du niveau de sécurité

Bloquer plus d'attaque

Filtrage par réputation des IP source

Mise à jours en temps réel des nouvelles attaques

Contre-mesure

Administration simplifié

Faible Fault possitif

Détails

Méthode de fonctionnement du Module IPS Cisco ASA

Le service IPS est intégré dans l’ASA comme un proxy transparent. Pour être transparent, le module SSM ne change pas les adresses IP ni les ports TCP qui sont utilisés par le client et le serveur. Cette intégration est totalement transparente vis à vis des fonctionnalités courantes de type firewall, NAT, AAA, multi-contextes, firewall transparent, etc.

Concrètement l’ASA commence par sélectionner les paquets éligibles à l’inspection IPS à l’aide de ces règles spécifiques. Ces paquets sont ensuite redirigés, via le backplane, vers le module SSM pour y être inspectés.

 

On peut utiliser deux méthodes différentes pour faire inspecter les paquets par le service de détection/blocage d’intrusions du module SSM :

  • Le mode coupure (ou « inline ») : sur l’ASA, le module SSM opère sur le trafic consécutivement au service firewall. Les paquets du trafic qui correspondent aux règles du service firewall sont obligés de transiter par le module SSM. Le flux est inspecté et en fonction du contenu (malicieux ou non), peut être bloqué à l’aide de contre mesures. Le flux sain est réinjecté dans l’ASA pour poursuivre son chemin.
  • En mode IDS, ou promiscuité (ou « promiscuous ») : les paquets du trafic qui doit être analysé sont dupliqués et leurs copies envoyées au module SSM pour y être inspectées. Cependant, les paquets originaux poursuivent leur chemin comme si de rien n’était à travers les strates de l’ASA.

Méthode de détection Intélligente de IPS

La base de connaissance est donc composée à la fois de :

    • Signatures de type pattern matching : Il s’agit de signatures capables de détecter une séquence fixe d’octets contenue dans un seul et même paquet.
    • Signatures de type pattern matching contextuel : Il s’agit de signatures considérant l’ordre d’arrivée des paquets dans un flux TCP et capable de reconstruire la séquence disséminée sur plusieurs paquets. Ainsi, cela demande de maintenir une table d’état sur les flux TCP capturés.
    • Signatures basées sur de l’analyse protocolaire (se référer au paragraphe suivant qui y est dédié) permettant de baser les signatures sur des vulnérabilités et non sur des exploits.
    • Signatures basées sur l’analyse heuristique :Ce sont des signatures basées sur des algorithmes logiques comme des évaluations statistiques du trafic présenté en capture. Elles sont souvent utilisées pour détecter des scans de reconnaissance ou des tentatives d’inondation (flooding).
    • Signatures basées sur la détection d’anomalies : Ce type de signatures est typiquement fait pour indiquer un type de trafic déviant d’un usage courant (nombre d'occurrences, volume d’échanges, statistique). Se référez au paragraphe qui y est dédié ci-après.
    • Signatures basées sur l’anomalie protocolaire :Une sonde IPS peut se déclencher sur un usage illégal d’un protocole (analyse protocolaire), mais elle peut aussi se déclencher sur un usage inhabituel de ce même protocole (anomalie protocolaire).

Analyse protocolaire

L’analyse structurelle des paquets est la première étape de l’analyse protocolaire. En analysant individuellement chaque champ de l’entête IP pour le comparer aux formats connus (définition des bits, règles de conformité par rapport aux RFC correspondantes, etc…), il devient possible d’identifier des paquets symptomatiques d’anomalies.

L’étape suivante consiste à appliquer un parsing intelligent. Cela permet de simuler l’exécution de la commande pour confirmer leur comportement. Les parseurs simulent à la fois les process et les applications pour déterminer l’effet réel du trafic sur le réseau. L’analyse protocolaire fournit une méthode rapide et efficace d’analyse des flux tout en minimisant le nombre de calculs nécessaires pour identifier le schéma d’une attaque.

Cette analyse est d’autant plus juste qu’elle permet de déterminer ce qu’est le paquet et comment il va se comporter sur le réseau, plutôt que se baser sur ce qu’il peut paraître.

Les bénéfices directs de l’analyse protocolaire permettent :

  •  De garantir l’immunité de l’IPS sensor face aux techniques d’évasion : encodage d’URLs en unicode, fragmentation IP/TCP, packet overlapping, rpc record marking, SNMP OID translation, telnet avec options d’insertion, ou encore des techniques utilisées dans des outils comme ADMutate, stick, snot, whisker, fragrouter.
  •  De réduire les faux positifs.
  •  De vérifier la conformité protocolaire des échanges en contrôlant les champs du protocole pour y déceler des valeurs suspicieuses ou illégales, comme des trous dans les nombres utilisés ou des recoupements, vérifier le checksum ou des modifications CRC.- Shellcode Polymorphique

 

Détection d’anomalies comportementale

analyse_comportementalUne autre approche, complémentaire à la précédente, consiste à analyser le trafic pendant un temps donné, puis à définir un ou plusieurs profils de trafic correspondant à des conditions « acceptables» d’activité et enfin, à surveiller constamment le trafic réseau et générer des alertes lorsque le trafic observé est hors-profil.

Ce mécanisme de détection d’anomalies, disponible depuis la version logicielle IPS 6.0, permet donc d’identifier des anomalies comme des intrusions de type « flooding », des pics d’activité anormaux générés par du trafic viral. Il servira aussi à identifier les hôtes infectés et tentant de répandre l’infection à d’autres machines vulnérables sur le même réseau. L’intégration d’algorithmes de détection d’anomalies permet enfin de détecter et stopper les attaques Jour-J puisqu’on détecte automatiquement de nouvelles menaces sans même avoir de signatures spécifiques.

Le principe d’apprentissage du trafic se fait lors de l’activation du mode Learning où la sonde :

 

Construit un profil comportemental du réseau :

  • Observe le trafic courant sur le réseau surveillé
  • Apprend quels sont les services qui ont un comportement de scanning
  •  Autorise le moteur de détection d’anomalies à identifier les attaques virales même si elles utilisent un taux faible d’infections dans le but d’éviter d’être détecté
  •  Apprend quels sont les services qui ont un comportement de scanning

Calcul du niveau de risque (Risk Rating)

 

IPS-RiskRatingLors du déploiement d’une technologie IPS, une des difficultés principales est de répondre à la question : « Quel trafic dois-je bloquer ? ». Il est impossible de parcourir toutes les signatures et de définir manuellement comment réagir. L’approche prise par Cisco pour relever ce défi consiste, lorsqu’un trafic malsain est détecté, à effectuer un calcul de risque sur l’événement.

Cet indice de risque ou Risk Rating tient compte des éléments suivants avant déclenchement d'une réponse: la qualité de la signature, la criticité de l'hôte attaqué, la dangerosité de la technique d'intrusion, la réputation de l’adresse IP source et la vulnérabilité de l'hôte attaqué.

 

La réaction de l’IPS face à une attaque dépendra donc de la valeur de ce risque. Ainsi, la politique de sécurité sur l’IPS consiste simplement à définir les règles Niveau de Risque Réaction, sans avoir à plonger dans chacune des signatures, ce qui simplifie grandement l’administration.

Il s’agit d’une fonctionnalité permettant de jouer sur plusieurs paramètres afin de définir la criticité d’un évènement tout en tenant compte du contexte environnant dans le contexte se trouve la sonde IPS. Cela permet aussi de définir à l’avance des actions de notification ou de mise en place de contre mesures en adéquation avec la dangerosité de l’intrusion tout en tenant compte de la spécificité d’un contexte client.

 

Action et contre-mesure

 

En fonction du risque, deux types différents d'actions peuvent être envisagés : actions de notification et actions de blocage.

Notification :

  • Produce Alert / Verbose Alert : Affichage d'une alerte synthétisant les principales informations concernant l'intrusion ou plus détaillée
  • Request SNMP Trap : Envoi d'un trap SNMP détaillant les informations principales de l'intrusion
  • Capture de paquets : Il est également possible, lors de l'activation d'une signature, d'enregistrer tout ou partie de la conversation de l'attaquant (enregistrement d'un paquet simple, de la connexion incriminée, de toutes les connexions suivantes, avec la possibilité de spécifier la durée d'enregistrement en minutes, en nombre de paquets, ou en nombre d'octets).

Contre-mesure de blocage :

Sur détection des événements, il est possible de déclencher plusieurs types de contre-mesure :

  • Reset TCP connection : Envoi simultané d'un TCP FIN à l'attaquant et à la victime pour terminer la connexion TCP.
  • Deny Attacker/Connection/Packet inline : Suppression du paquet courant et éventuellement des futurs paquets de la connexion ou de toutes les connexions issues de l'attaquant (repéré par son @IP) pour une période de temps déterminée. Il s'agit donc rejeter momentanément tout ou partie des échanges et connexions issus de l'attaquant vers/depuis le réseau.

Il est également possible de prendre deux mesures complémentaires :

  • Request Block Host/Connection : Envoi par la sonde IPS sur un équipement filtrant de niveau 3 d'une requête de reconfiguration à distance pour blocage temporaire des futures demandes de connexion issues de l'attaquant (sur l'adresse IP ou bien sur l'adresse et le protocole) qui a servi a véhiculer le schéma de l'attaque.
  • Rate Limiting : Distribution, via un canal de communication sécurisé, d'une commande à la demande sur les équipements d'infrastructure périphériques Cisco (routeurs et switches) pour limiter le trafic (type DoS) lorsqu'un seuil acceptable est dépassé. Cela permet à la sonde de limiter dynamiquement un trafic ICMP/UDP/TCP dangereux sur les points stratégiques du réseau. Ces requêtes de « rate-limiting » sont basées sur des informations telles que adresse IP source, ports destination et type de service (ACLs rate limit).

 

Administration IPS Express Manager

La technologie IPS est souvent perçue comme complexe et la majorité des coûts opérationnels sur les IPS proviennent des investigations sur attaques, des phases de blocage et de réglage, etc….

  • Cisco a porté beaucoup d’énergie sur le développement et la fourniture d’une solution d’administration IPS permettant à ses clients de relever les défis posés par la gestion de ces technologies, et en particulier :
  • La gestion des déploiements à moyenne et grande échelle
  • La définition et le déploiement de la politique de détection/prévention d’intrusions
  • L’automatisation des tâches opérationnelles telles que les mises à jour hebdomadaires et le tri des évènements.

 

L’interface graphique d’administration centralisée IPS Manager Express (IME) fournit, gratuitement, les services suivants :

  • Management et surveillance complète des sondes IPS déployées à petite/moyenne échelle (10 sondes maximum)
  • Configuration des politiques en se basant sur les niveaux de risque (wizards d’aide pour la configuration initiale des sondes)
  • Mesure et surveillance de l’état de santé des sondes IPS (jauge, indicateurs, métriques, alertes sur dépassement de seuils)
  • Tableaux de bord personnalisables en temps réel
  • Affichage des évènements en temps réel et historisé (filtre, moteur de recherche)
  • Policy Lookup pour retrouver les évènements générés par une signature donnée
  • Reverse Policy Lookup pour retrouver une signature ayant générés un ou plusieurs événements donnés.
  • Système de notification par email/epage d’évènements
  • Mécanisme de mise à jour automatique des signatures via CCO
  • Outils de reporting (avec format d’exports des rapports générés)
  • Support de fils RSS pour se tenir au courant des alertes/menaces courantes 

 Tableau de bord :

  • Management de plusieurs sondes (maximum 10) :

IPS-EM-sensors

   

  • Dashboard :

 

  • Event Viewer :

 

 

 

 

  • Policy/Risk

 

 

 

Caratéristiques

Les caractéristiques des quatre modules disponibles pour les ASA5500 sont résumées ci-dessous :

 

AIP-SSC

AIP-SSM-10

AIP-SSM-20

AIP-SSM-40

Débit IPS et Firewall simultané

75 Mbps sur Cisco ASA 5505

• 150 Mbps sur Cisco ASA 5510

• 225 Mbps sur Cisco ASA 5520

 

• 300 Mbps sur Cisco ASA 5510

• 375 Mbps sur Cisco ASA 5520

• 500 Mbps sur Cisco ASA 5540

• 450 Mbps with Cisco ASA 5520

• 650 Mbps with Cisco ASA 5540

Spécifications techniques

 

Mémoire

512 MB

1 GB

2 GB

4 GB

Flash

512 MB

256 MB

256 MB

2 GB

Ces modules ne contiennent pas de disque dur et ne remettent donc pas en cause l’exceptionnelle fiabilité de la plateforme ASA.

 

arrow_up_red1 Retour

Réseau, Sécurité, Wifi, Filtrage URL, Installation,  Administration...

Des questions, Demandes d'informations, Contactez-Nous

 

Vous souhaitez en savoir plus sur nos offres, entrez en contact avec un commercial, merci de laisser vos coordonnées.
Nous vous recontacterons très rapidement