Nokia IPSO 3.9 Build035
Nokia IPSO 3.9 Build035 - Released June 17, 2005The Nokia IPSO 3.9 operating system supports the following applications on Nokia appliances :- Check Point VPN-1 NGX R60 Build 458
- Nokia Secure Access System 3.0, 3.1 and 3.1.1 on the IP130, IP350, IP380, and IP1260 appliances
- Nokia Secure Access System 3.1 and 3.1.1 on the 50s, 60s, 100s, and 500sWhat's New in IPSO 3.9 Build035?- Support for Check Point NGX R60
- Dynamic Routing over Virtual Tunnel Interfaces
- Support for OSPFv3
- Check Point Lockout on NSAS Platforms
- Enhanced IPSO Downgrade Over Network Connection
- Jumbo Frames
- VRRP Preempt ModeSupported PlatformsNokia IPSO 3.9 Build035 runs on following Nokia security platforms:
IP120, IP130, IP260, IP265, IP330, IP350, IP380, IP530, IP650, IP710, IP740, IP1220, IP1260, IP2250, 50s, 60s, 100s and 500s
Matrice de compatibilité NOKIA / IPSO
La matrice de compatibilité complète NOKIA / IPSO, elle répertorie tous les équipements sécurité de la gamme NOKIA avec les niveau de version minimales.
DPD - Dead Peer Detection
The IPSec Dead Peer Detection Periodic Message Option feature allows you to configure your router to query the liveliness of its Internet Key Exchange (IKE) peer at regular intervals. The benefit of this approach over the default approach (on-demand dead peer detection) is earlier detection of dead peers. Prerequisites for IPSec Dead Peer Detection PeriodicMessage Option The IPSec Dead Peer Detection Periodic Message Option feature should work with an IKE peer that supports DPD (dead peer detection). Implementations that support DPD include the Cisco VPN 3000 concentrator, Cisco PIX Firewall, Cisco VPN Client, and Cisco IOS software in all modes of operation—site-to-site, Easy VPN remote, and Easy VPN server. Restrictions for IPSec Dead Peer Detection PeriodicMessage Option Using periodic DPD potentially allows the router to detect an unresponsive IKE peer with better response time when compared to on-demand DPD. However, use of periodic DPD incurs extra overhead. When communicating to large numbers of IKE peers, you should consider using on-demand DPD instead. How DPD and Cisco IOS Keepalive Features Work DPD and Cisco IOS keepalives function on the basis of the timer. If the timer is set for 10 seconds, the router will send a "hello" message every 10 seconds (unless, of course, the router receives a "hello" message from the peer). The benefit of IOS keepalives and periodic DPD is earlier detection of dead peers. However, IOS keepalives and periodic DPD rely on periodic messages that have to be sent with considerable frequency. The result of sending frequent messages is that the communicating peers must encrypt and decrypt more packets. DPD also has an on-demand approach. The contrasting on-demand approach is the default. With on-demand DPD, messages are sent on the basis of traffic patterns. For example, if a router has to send outbound traffic and the liveliness of the peer is questionable, the router sends a DPD message to query the status of the peer. If a router has no traffic to send, it never sends a DPD message. If a peer is dead, and the router never has any traffic to send to the peer, the router will not find out until the IKE or IPSec security association (SA) has to be rekeyed (the liveliness of the peer is unimportant if the router is not trying to communicate with the peer). On the other hand, if the router has traffic to send to the peer, and the peer does not respond, the router will initiate a DPD message to determine the state of the peer.Description détaillée de la fonction DPD sur les routeurs Cisco
Une comparaison technique entre PEAP et TTLS
La sécurité VLAN a généralement deux défauts majeurs :
- l'authentification des utilisateurs n'est pas suffisamment forte,
- le niveau cryptage des données est trop faible.
L'authentification forte des utilisateurs est un élément majeur dans la sécurité WLAN car elle interdit l'accès réseau aux utilisateurs non autorisés.
Les protocoles WLAN sont conçut de telle façon, qu'un utilisateur ayant réussit à déjouer les systèmes de contrôle d'accès parvient facilement mettre en défaut les systèmes décryptage des données. L'amélioration des systèmes d'authentification permet directement d'augmenter le niveau de confidentialité des données.
En réponse à ces problèmes d'authentification, l'industrie a développé une série de protocoles d'authentification forte à l'usage des réseaux WLAN. Un de ces principaux standards d'authentification est référencé sous l'appellation IEEE 802.1x qui est basé sur le protocole EAP (IETF Extensible Authentication Protocol). L'asssociation 802.1x et EAP fournit un système d'authentification ouvert capable d'exploiter une grande variété de méthodes d'authentification. Chaque méthode disposant de ces avantages et inconvénients.
Un des principaux challenges dans le déploiement de 802.1x est le choix de la méthode d'authentification car outre le niveau de sécurité elle conditionne en grande partie les choix produits.
Méthode d'autentification TLS802.1X a été développé initialement pour les réseaux traditionnels qui ne requièrent donc pas forcément de solution d'encryption forte. Bien que réalisable, l'écoute du réseau filaire requiert toutefois un accès physique à l'infrastructure et aux équipements réseaux. Dans le cas des réseaux WLAN, l'analyse du trafic est nettement plus simple car l'accès au réseau physique n'est plus une nécessité. L'analyse des trames échangées peut se faire très simplement avec une carte WLAN et divers logiciels d'analyse disponibles librement sur Internet.Les réseaux WLAN ont également des besoins d'authentification qui leurs sont propres. Sans accès physique aux équipements réseaux, l'utilisateur doit être certain de s'attacher à un point d'accès légitime appartenant au réseau d'entreprise et non à un équipement "pirate" utilisé dans le cadre d'une attaque de type "Man in the Middle". En plus de l'authentification des utilisateurs (clients), ces derniers doivent également êtres dans la mesure d'authentifier le réseau ou l'environnement auxquels ils se connectent.Ces deux facteurs, l'encryption forte et l'authentification mutuelle, qui permettent de garantir la transmission des données sensibles au travers d'un réseau WLAN sécurisé et légitime doivent êtres les fils conducteurs de la stratégie d'authentifcation. Dans la pratique, les méthodes basées sur le protocole TLS permettent de répondre aux contraintes exposées, nous disposons ainsi des protocoles suivants :- EAP-Transport Layer Security (EAP-TLS)- Tunneled Transport Layer Security (TTLS)- Protectect EAP (PEAP)En cours de rédaction !
PPTP through PIX Firewall Appliance
PPTP is described in RFC 2637 . This protocol uses a TCP connection that uses port 1723 and an extension of generic routing encapsulation (GRE) [protocol 47] to carry the actual data (PPP frame). The TCP connection is initiated by the client, followed by the GRE connection that is initiated by the server; therefore, to allow PPTP connections through the PIX, you have to configure a one-to-one static translation for the inside host. This document uses the PIX access control list (ACL) syntax that was introduced in PIX version 5.0.1; conduits may also be used, but not in conjunction with ACLs.
Because the connection is initiated as TCP on one port and the response is GRE protocol, it is necessary to configure ACLs to allow the return traffic into the PIX, as the PIX Adaptive Security Algorithm (ASA) does not know the traffic flows are related. PPTP through the PIX with NAT (one-to-one address mapping) works because the PIX uses the port information in the TCP or User Datagram Protocol (UDP) header to keep track of translation. PPTP through the PIX with Port Address Translation (PAT) does not work because there is no concept of ports in GRE.
The PPTP fixup feature in version 6.3 allows the PPTP traffic to traverse the PIX when configured for PAT, performing stateful PPTP packet inspection in the process. The fixup protocol pptp command inspects PPTP packets and dynamically creates the GRE connections and xlates necessary to permit PPTP traffic. Specifically, the firewall inspects the PPTP version announcements and the outgoing call request/response sequence. Only PPTP Version 1, as defined in RFC 2637, is inspected. Further inspection on the TCP control channel is disabled if the version announced by either side is not Version 1. In addition, the outgoing call request and reply sequence is tracked. Connections and/or xlates are dynamically allocated as necessary to permit subsequent secondary GRE data traffic. The PPTP fixup feature must be enabled for PPTP traffic to be translated by PAT.
Ceci revient à dire que dans les versions antérieures à la version 6.3, le support du transit du flux PPTP au travers du PIX est possible mais son application ne peut se faire que dans un cadre bien particulier, à savoir :
Si nous avons un utilisateur du réseau d'entreprise et que ce dernier cherche à joindre un serveur PPTP externe à l'entreprise en transitant au travers du PIX (en version antérieure à la version 6.3) qui met en oeuvre une translation d'adresse N pour 1 ( PAT ou NPAT ) cela ne pourra pas fonctionner. La seule façon de traiter le problème est de mettre en place une translation d'adresse 1 pour 1 (NAT) entre l'adresse interne et une adresse externe et de finier les ACL nécessaires.
Migrating to ASA for VPN 3000 Concentrator Series Administrators
Il existe des nombreuses différences entre les implémentations VPN du VPN 3000 et la nouvelle gamme de produits ASA 55xx.Le document en référence répertorie l'ensemble des divergences : Migrating to ASA for VPN 3000 Concentrator Series Administrators
Configuring an External Server for VPN Concentrator User Authorization
The VPN Concentrator supports user authorization on an external LDAP or RADIUS server. You can use the VPN Concentrator to use an external server, you must configure the server with the correct VPN Concentrator authorization attribute and, from a subset of these attributes, assign specific permissions to individual users.LDAP ServerTo configure your LDAP server to interoperate with the VPN Concentrator, you need define a VPN Concentrator autherization schema that defines the class ans attributes of that class that the VPN Concentrator support.RADIUS ServerTo configure your RADIUS server to interoperate with the VPN Concentrator, you need to load the attributes in the RADIUS configuration.Part of VPN 3000 Series Concentrator Reference Volume I : Configuration
VPN 3000 Dynamic Filters
The VPN 3000 Concentrator ltes you define remote access user filters on an external RADIUS or LDAP server, rather than on the VPN Concentrator. Using external server allows centralized filter management and greater scaleability. Also configuring filters in this way lets you assign filters to a particular tunnel group or a particular user.Note : You can also set up dynamic filter on an LDAP authorization server by using the Cisco AV-Pair attribute.These filters are called dynamic filters because they remain in place inly for the duration of the session to which they apply. When the user authenticates via RADIUS or LDAP, the VPN Concentrator download the filter associated with the user and applie it for the duration of the connection. When connection finishes, the filter drop.You can configure this feature on the RADIUS or LDAP server, not on the VPN Concentrator (the filters you configure on the VPN Concentrator are static).You can configure a dynamic filter on either a user or a group. If both user dynamic filter and group dynamic filter aapply on a single connection, the user filter take precedence. If both dynamic filter and static filter apply on the same connection, the dynamic filter take precedence. The order of precedence is : - A dynamic user filter - A dynamic group filter - A static user filter - A static group filterPart of - VPN 3000 Series Concentrator Reference Volume II : Administration and Monitoring
CheckPoint propose son boîtier VPN-1 Edge Wifi
http://www.checkpoint.com/products/home_promo/vpn-1_edge_w_2005.html
VPN-1 Edge W extends the VPN-1 Edge line of appliances, to provide safe, cost-effective and easy-to-manage wireless access for remote sites. Like VPN-1 Edge, VPN-1 Edge W integrates Check Point's industry-leading VPN-1/FireWall-1 technology with high availability, quick setup and deployment, and scalable management for thousands of gateways. VPN-1 Edge W provides safe wired and wireless connectivity at the remote sites through integration of a secure wireless access point and extensive wireless connectivity options.- Support for 802.11b/g/Super G standards reaching wireless network speeds of up to 108 Mbps
- Extensive wireless coverage of up to 300 meters indoors and up to a full kilometer outdoors with extended range (XR) enabled wireless cards
- Complete firewall isolation between wired and wireless users and between temporary "guest users" and permanent users running VPN client software
- Full port-based and tag-based VLAN support La gamme VPN-1 Edge complète.http://www.checkpoint.com/products/vpn-1_edge/index.html
DSL : Deux à trois fois moins cher que les LS
Moins chères et plus souples, les liaisons DSL fournissent dans la pratique, une qualité de service similaire à celle des liaisons spécialisées. Reste à faire son choix etre ADSL et SDSL.Si les connexions DSL (Digital Subscriber Line) rencontrent un grand succès auprès des PME, c'est d'abord grâe à leur coût, deux à trois fois moins inférieure à celui des lignes spécialisées (LS) pour des débits garantis allan jusqu'à 2 Mbits/s.En plus des économies qu'elles réalisent, les petites structures apprécient la simplicité et la souplesse de mise en oeuvre des technologies DSL.Les entreprises exploitent généralement deux technologies DSL : Sysmetric DSL (SDSL) et Asymetric DSL (ADSL). L'ADSL traditionnelle est parfois employée comme ligne de secours d'une liason SDSL principale, ou lorsque les débits nécessaires sont peu importants et supportent l'asymétrie de la liaison. En revanche, SDSL remplace généralement les anciennes liaisons louées. Cette technologie propose un temps de transit deux à trois fois inférieur à celui de l'ADSL et une disponibilité supérieure à 99,8%. Deux paramètres idéals pour la téléphonie sur IP et les applications transactionnelles.Les débits symétriques garantis de SDSL peuvent atteindre 2Mbit/s et jusqu'à 4Mbits/s een SHDSL (Single Pair High-Speed DSL).Les services associés à la liaison ont aussi leur importance. Les PME délèguent généraleement les plus critiques d'entre eux à l'opérateur. Certains prennent par exemple en charge l'interconnexion VPN, le paramétrage et la télémaintenance des routeurs, la gestion des adresses IP fixes, ....Mais le choix d'une liaison DSL n'est pas toujours simple. Il faut en effet distinguer les offres fondées sur des lignes totalement dégroupées de celles qui reposent sur l'offre de collecte de France Télécom (TurboDSL), car leurs performances et lestarifs ne sont pas les mêmes. De plus il existe des liaisons symétriques et asymétriques avec des débits variables, garantis, crêtes (Burst), etc. Les offres SHDSL reposent, elles, sur deux paires de cuivre plutôt que sur une.Quelle que soit la solution retenue, il est souvent nécessaire d'ouvrir une nouvelle ligne analogique pour y installer la liaison ADSL. L'ouverture de la ligne est généralement réalisée par France Télécom ou ses sous-traitants et le reste des opérations - installation, paramétrage des modems et des routeurs - par l'opérateur. Les délais de mise en oeuvre peuvent ainsi varier de 2 semaines à 4 mois, selon la durée de l'étude, du type d'accès, de l'équipement existant et des sites concernés.La charge liées à l'administration quotidienne d'une liaison DSL est, en revanche presque nulle. L'essentiel consite à consulter les divers journaux et à réaliser des réglages de temps à autre. Pour le reste, l'opérateur prend généralement en charge la télémaintenance des routeurs, voire des coupe-feu.Dans ces conditions, les deux éléments les plus importants pour assurer un fonctionnement optimal au quotidien sont la garantie de temps de rétablissement (GTR) et l'engagement de disponibilité de service. Deux closes assorties de pénalités en cas de non respect. Par exemple, une liaison SDSL, n'a généralement pas plus besoin de liaison de secours qu'une LS. Mais elle permet généralement de passer la GTR à 2 heures pour un surcoût parfois supérieure à 50% ddu coût de la liaison nominale.Quand faut-il choisir une liaison SDSL ?L'ADSL offre des débits garantis allant de 64 à 256 Kbit/s avec des débits crête descendant non garanti pouvant atteindre 2Mbit/s. Il est le remplaçant naturel du RNIS et des LS à bas débit. ls SDSL prend la relève pour les débits plus importants avec des débits garantis symétriques allant jusqu'à 2Mbit/s et plus lorsque le service utilise plusieures paires de cuivre (GHDSL). Comme le SDSL présente des temps de transit deux à trois fois inférieures à ceux de l'ADSL. Il est préconisé pour des applications en temps réel telles que la VoIP.Les offres DSL grand public conviennent-elles aux PME ?
Oui quand l'offre professionnelle d'un FAI n'apporte pas des niveaux de service supérieurs - débit, disponibilité, temps de transit, durée de rétablissement, etc... - garantis par des pénalités een cas de non respect. Mais c'est néanmoins rarement le cas.
CISCO ASA
Les appliances ASA (Adapative Security Appliance) 5500 de CISCO sont des équipements qui combinent dans un même système les fonctions :
- Firewall
- IPS
- Anti-Virus Réseau
- VPN
La gamme ASA 5500 est composé de 3 modèles distincts :
- ASA 5510
- ASA 5520
- ASA 5540 Présentation produit - http://www.cisco.com/en/US/products/ps6120/index.html
Forums Technos
http://4peeps.com/
Les forums de cette communauté sont très actifs et quotidiennement enrichis d'actualités, classées en grand thèmes - Windows, Linux, PDA, Programmation, ...
Les Spyware et autres logiciels espions
Pour mieux identifier les concepts qui recouvrent les logiciels espoins, les spécialistes ont choisit d'identifier trois catégories :- Adware- Spyware- Key LoggersLes Adware désignent les programmes commerciaux installés après consentement plus ou moins explicite de l'utilisateur. Il servent à renvoyer les habitudes de navigation d'un internaute vers un serveur à but commercial.Les Spywares ont également un but commercial, mais pas uniquement : ils peuvent servir à espionner le comportement d'un utilisateur en rapatriant des informations parfois confidentielles. L'installation se fait sans le consentemement de l'utilisateur.Les Key Loggers s'installent également sans le consentement des utilisateurs. Proches des chevaux de Troie, ils mémorisent dans un fichier les saisies du clavier afin de récupérer des informations hautement confidentielles comme les mots de passe ou les numéros de comptes bancaires. Les informations ainsi collectées sont alors renvoyées à un serveur, toujours à l'insu de l'utilisateur.L'infection par ces différents logiciels peut se faire lors de la visite d'un site web douteux, lors de la réception d'un e-mail ou en étant connecté à @ sans protection suffisante.D'une manière générale, le programme indésirable se loge dans les répertoires systèmes et dans le répertoire de démarrage. Il se charge en mémoire, s'exécute et modifie la base de registres.Face à ces différentes menaces, éditeurs et constructeurs proposent de nombreuses parades. Si la méthode de détection des spyware est semblable à celle des virus (base de signatures, détection heuristique, etc) la façon de les supprimer est différente. Certains de ces programmes espions étant d'un usage tout à fait légal, leur suppression systématique n'est pas possible. Les outils de spyware doivent alors se contenter d'averir l'utilisateur, qui lui seul conserve le pouvoir de décision de suppression.
Spyware @voir
http://www.spywareguide.com - informaton générale sur les spywares, répertorie 1500 noms et les descriptifs.
http://www.commentcamarche.net/virus/spywares.php3 - livre des conseils et propose des liens vers des anti-spyware.
http://assiste.free.fr/ - information assez complète sur les logiciels espions avec des exemples détaillés.http://www.spy-bot.net/lists.asp - référence les principaux logiciels suspects, la section "Manual Removal" vous indique comment les supprimer proprement.
Communauté instantanée
http://www.instantmessagingplanet.com/Dédié aux messageries instantanées et à leurs dérivés, Instant Messaging Planet., permet de suivre l'actualité des BlackBerry, Jabber, Skype et autres Gaim, Yahoo!, Messenger et AIM. Il traite également des problèmes de fond : sécurité, gestion des droits, ...
