Votre organisation peut être tenue de n’utiliser que des équipements et des logiciels conformes aux normes de sécurité établies par le Département de la défense des États-Unis ou d’autres organismes de certification gouvernementaux. Une fois certifié par une autorité de certification appropriée et configuré conformément aux documents d’orientation propres à la certification, Threat Defense est conçu pour se conformer aux normes de certification suivantes :

• Critères communs (CC) : norme mondiale établie par l’accord international de reconnaissance des critères communs, définissant des exigences pour les produits de sécurité.

• Liste des produits approuvés par le réseau d’information du ministère de la Défense (DoDIN APL) : liste de produits répondant aux exigences de sécurité établies par la Defense Information Systems Agency (DISA) des États-Unis.

  Remarque

  Le gouvernement américain a changé le nom de la liste des produits approuvés pour les capacités unifiées (UCAPL) en APL DODIN. Les références à UCAPL dans cette documentation et dans l’interface Web Management Center peuvent être interprétées comme des références à DODIN APL.

• Normes fédérales de traitement de l’information (FIPS) 140 : spécification des exigences pour les modules de chiffrement.

Les documents d’orientation sur la certification sont disponibles séparément une fois que les certifications des produits sont terminées; la publication de ce guide de renforcement ne garantit pas l’achèvement des certifications de ces produits.

Les paramètres de configuration décrits dans ce document ne garantissent pas une conformité stricte avec toutes les exigences actuelles de l’entité de certification. Pour en savoir plus sur les procédures de renforcement requises, se référer aux lignes directrices relatives à ce produit fournies par l’organisme de certification.

Ce document fournit des conseils pour renforcer la sécurité de votre Threat Defense, mais certaines fonctions du Threat Defense ne permettent pas d’assurer la conformité à la certification, même en utilisant les paramètres de configuration décrits dans le présent document. Pour plus d’informations, voir « Recommandations de conformité pour les certificats de sécurité » dans le guide d’administration de Cisco Secure Firewall Management Center, 7.2. Nous nous sommes efforcés de veiller à ce que ce guide de renforcement et le guide d’administration de Cisco Secure Firewall Management Center, 7.2 n’entrent pas en conflit avec les directives spécifiques à la certification. Si vous observez des contradictions entre la documentation de Cisco et les directives de certification, utilisez les directives de certification ou consultez le propriétaire du système.

Cisco publie régulièrement des mises à jour du logicel Management Center afin de résoudre les problèmes et d’apporter des améliorations. La mise à jour des logiciels de votre système est essentielle au maintien d’un système renforcé. Assurez-vous que votre logiciel système est correctement mis à jour. Pour plus d’informations, consultez le chapitre « Mises à jour du système (System Updates) » du guide d’administration Cisco Secure Firewall Management Center, 7.2, et le guide de mise à niveau Secure Firewall Management Center .

Cisco publie également des mises à jour périodiques des bases de données utilisées par Management Centerpour protéger votre réseau et vos ressources. Pour assurer une protection optimale sur les appareils Threat Defense gérés par un Management Center, maintenez à jour les bases de données de géolocalisation, de règles d’intrusion et de vulnérabilités sur le Management Centerde gestion. Avant de mettre à jour un composant de votre déploiement Secure Firewall, vous devez lire les notes de mise à jour de Cisco Secure Firewall Threat Defense qui accompagnent la mise à jour. Elles fournissent des informations critiques et propres à la version, notamment sur la compatibilité, les conditions préalables, les nouvelles capacités, les changements de comportement et les avertissements. Certaines mises à jour peuvent être volumineuses et prendre un certain temps. Il est conseillé d’effectuer ces mises à jour pendant les périodes de faible utilisation du réseau afin de réduire l’impact sur les performances du système.

Base de données de géolocalisation

La base de données de géolocalisation (GeoDB) est une base de données géographiques (telles que les coordonnées du pays et de la ville) et de données relatives à la connexion (telles que le fournisseur d’accès à Internet, le nom de domaine, le type de connexion) associées aux adresses IP routables. Lorsque le Management Center détecte des informations GeoDB correspondant à une adresse IP détectée, vous pouvez afficher les informations de géolocalisation associées à cette adresse IP. Pour afficher des détails de géolocalisation autres que le pays ou le continent, vous devez installer la GeoDB sur votre système.

Pour mettre à jour la GeoDB à partir de l’interface Web Management Center, utilisez Système > Mises à jour > Mises à jour de géolocalisation, et choisissez l’une des méthodes suivantes :

• Mettre à jour la GeoDB sur un Management Center sans accès à l’internet.

• Mettre à jour la GeoDB sur un Management Center disposant d’un accès à Internet.

• Programmer des mises à jour automatiques récurrentes de la GeoDB sur un Management Center disposant d’un accès à nternet.

Pour plus d’informations, voir « Mettre à jour la base de données de géolocalisation (Update the Geolocation Database) » dans le guide d’administration Cisco Secure Firewall Management Center, 7.2.

Règles en matière d’intrusion

Au fur et à mesure que de nouvelles vulnérabilités sont connues, le groupe Cisco Talos Security Intelligence and Research Group (Talos) publie des mises à jour de règles d’intrusion (également connues sous le nom de Snort Rules Updates, ou SRU) que vous pouvez importer sur votre Management Center, puis mettre en œuvre en déployant la configuration modifiée sur vos appareils gérés. Ces mises à jour ont une incidence sur les règles d’intrusion, les règles du préprocesseur et les politiques qui utilisent ces règles.

L’interface Web Management Center propose trois approches pour mettre à jour des règles d’intrusion, toutes sous Système > Mises à jour > Mises à jour des règles :

• Mettre à jour les règles d’intrusion sur un Management Center sans accès Internet.

• Mettre à jour les règles d’intrusion sur un Management Center disposant d’un accès Internet.

• Programmer des mises à jour automatiques récurrentes des règles d’intrusion sur un Management Center disposant d’un accès à Internet.

Pour plus d’informations, voir « Mise à jour des règles d’intrusion (Update the Intrusion Rules) » dans le guide d’administration Cisco Secure Firewall Management Center, 7.2.

Vous pouvez également importer des règles d’intrusion locales en utilisant Système > Mises à jour > Mises à jour des règles. Vous pouvez créer des règles d’intrusion locales en suivant les instructions du manuel de l’utilisateur de Snort (disponible à l’adresse http://www.snort.org). Avant de les importer dans votre Management Center, consultez les « Bonnes pratiques pour l’importation de règles d’intrusion locales » dans le guide d’administration Cisco Secure Firewall Management Center, 7.2 et assurez-vous que votre processus d’importation de règles d’intrusion locales est conforme à vos politiques de sécurité.

Base de données des vulnérabilités

La base de données des vulnérabilités (VDB) est une base de données des vulnérabilités connues auxquelles les hôtes peuvent être sensibles, ainsi que des empreintes digitales pour les systèmes d’exploitation, les clients et les applications. Le système utilise la VDB pour déterminer si un hôte particulier augmente le risque de compromission.

L’interface Web Management Center propose deux approches pour mettre à jour la VDB :

• Mettre à jour manuellement la VDB (Système > Mises à jour > Mises à jour de produits).

• Planifier les mises à jour de la VDB (Système > Outils > Planification).

Pour plus d’informations, voir « Mise à jour de la base de données des vulnérabilités (Update the Vulnerability Database) » dans le guide d’administration Cisco Secure Firewall Management Center, 7.2.

Listes et flux de renseignements sur la sécurité

Les listes et les flux de renseignements sur la sécurité sont des collections d’adresses IP, de noms de domaine et d’URL que vous pouvez utiliser pour filtrer rapidement le trafic correspondant à l’entrée d’une liste ou d’un flux.

Il existe des flux fournis par le système et des listes prédéfinies. Vous pouvez également utiliser des flux et des listes personnalisés. Pour afficher ces listes et ces flux, choisissez Objects > Object Management > Security Intelligence (Objets > Gestion des objets > Security Intelligence). Dans le cadre des flux fournis par le système, Cisco fournit les flux suivants en tant qu’objets de renseignements sur la sécurité :

• Les flux de renseignements sur la sécurité sont régulièrement mis à jour avec les derniers renseignements sur les menaces de Talos :

  • Cisco-DNS-and-UR-Intelligence-Feed (sous DNS Lists and Flows)

  • Flux de renseignements Cisco (pour les adresses IP, sous Network Lists and Flows)

  Vous ne pouvez pas supprimer les flux fournis par le système, mais vous pouvez modifier (ou désactiver) la fréquence de leurs mises à jour. Le Management Center peut maintenant mettre à jour les données de Cisco-Intelligence-Feed toutes les 5 ou 15 minutes.

• Cisco-TID-Feed (sous Network Lists and Feeds [Listes et flux de réseaux])

  Vous devez activer et configurer Threat Intelligence Director pour utiliser ce flux, qui est une collection de données observables TID.

Pour plus d’informations, voir « Listes et flux de renseignements sur la sécurité (Security Intelligence Lists and Feeds) » dans le guide de configuration Cisco Secure Firewall Management Center Device, 7.2.

Pour appliquer plusieurs changements de configuration de renforcement avec un seul paramètre, choisissez le mode CC ou UCAPL pour le Threat Defense. Appliquez ce paramètre via l’interface Web Management Center dans la stratégie de paramétrage de la plateforme Threat Defense, qui se trouve sous Devices (appareils) > Platform Settings (paramètres de plateforme). La modification ne prend pas effet sur le Threat Defense jusqu’à ce que vous déployiez la nouvelle configuration. Voir « Activer la conformité aux certifications de sécurité » dans le guide d’administration de Cisco Secure Firewall Management Center, 7.2 pour tous les détails.

Le choix de l’une de ces options de configuration entraîne les modifications répertoriées sous « Caractéristiques de la conformité de la certification de sécurité » dans le guide d’administration Cisco Secure Firewall Management Center, 7.2. Sachez que tous les appareils de votre déploiement doivent fonctionner dans le même mode de conformité aux certifications de sécurité.

Mise en garde

Une fois ce paramètre activé, vous ne pouvez plus le désactiver. Consultez « Conformité des certifications de sécurité » dans le guide d’admnistration de Cisco Secure Firewall Management Center, 7.2 pour obtenir des informations complètes avant d’activer le mode CC ou UCAPL. Si vous devez inverser ce paramètre, contactez le Centre d’assistance technique de Cisco pour obtenir de l’aide.

Remarque

L’activation de la conformité aux certifications de sécurité ne garantit pas le respect strict de toutes les exigences du mode de sécurité sélectionné. Les paramètres supplémentaires recommandés pour renforcer votre déploiement au-delà de ceux fournis par les modes CC ou UCAPL sont décrits dans ce document. Pour des informations complètes sur les procédures de renforcement requises pour une conformité totale, se référer aux lignes directrices pour ce produit fournies par l’entité de certification.

IOS NetFlow de Cisco vous permet de surveiller les flux de trafic dans votre réseau en temps réel. Threat Defense peut se coordonner avec certaines fonctionnalités de NetFlow, comme l’affichage et la réinitialisation des compteurs d’exécution. Consultez les commandes CLI show flow-export counters et clear flow-export counters.

L’interface Web Management Center permet de désactiver les messages syslog Threat Defense qui sont redondants avec ceux capturés par NetFlow. Pour ce faire, créez une politique de paramètres de plateforme Threat Defense sous Devices (appareils) > Platform Settings (paramètres de plateforme), et choisissez Syslog (journal système) dans le menu. À l’onglet Syslog Settings (paramètres du journal système), cochez la case NetFlow Equivalent Syslogs (journaux système équivalents à NetFlow) (Utilisez la commande CLI show logging flow-export-syslogs pour déterminer quels messages du journal système sont redondants).

Vous pouvez tirer parti de ces capacités si vous configurez les appareils réseau avec NetFlow. Que les informations de flux soient exportées vers un collecteur distant ou non, vous pouvez utiliser NetFlow de manière réactive si nécessaire. Consultez « Données Netflow » dans le Guide de configuration des périphériques de Cisco Secure Firewall Management Center, 7.2 pour en savoir plus.

Votre déploiement Secure Firewall peut interagir avec d’autres ressources réseau pour un certain nombre de raisons. Le renforcement de ces autres services peut protéger votre système Secure Firewall, ainsi que tous les actifs de votre réseau. Pour identifier tout ce qui doit être traité, essayez de schématiser le réseau et ses composants, les actifs, la configuration du pare-feu, la configuration des ports, les flux de données et les points de connexion.

Établir et respecter un processus de sécurité opérationnelle pour votre réseau qui prend en compte les questions de sécurité.

L’appareil Threat Defense peut interagir avec d’autres appareils de réseau à l’aide d’un certain nombre de protocoles; choisissez les paramètres de configuration pour les communications de réseau afin de protéger l’appareil Threat Defense, ainsi que les données qu’il envoie et reçoit.

• Par défaut, l’appareil Threat Defense autorise jusqu’à 24 fragments par paquet IP et jusqu’à 200 fragments en attente de réassemblage. Vous devrez peut-être autoriser les fragments sur votre réseau si vous avez une application qui fragmente régulièrement les paquets, comme NFS sur UDP. Cependant, les paquets fragmentés sont souvent utilisés dans les attaques par déni de service (DoS), c’est pourquoi nous vous recommandons de ne pas autoriser les fragments.

  • Pour configurer les paramètres des fragments pour un appareil Threat Defense, créez une stratégie de paramètres de plateforme Threat Defense sous Devices (appareils) > Platform Settings (paramètres de plateforme), et choisissez Paramètres Fragment dans le contenu.

  • Pour interdire les fragments dans le trafic réseau traité par un appareil Threat Defense, définissez l’option Chain (Fragment) (Chaîne [Fragment]) sur 1.

  Pour des instructions complètes, consultez « Configurer la gestion des fragments » dans le Guide de configuration des périphériques de Cisco Secure Firewall Management Center, 7.2.

• Pour les appareils Threat Defense gérés par un Management Center, les connexions HTTPS avec le Threat Defense ne peuvent être utilisées que pour télécharger des fichiers de capture de paquets à des fins de dépannage.

  Configurez Threat Defense de manière à n’autoriser l’accès HTTPS que pour les adresses IP qui doivent être autorisées à télécharger des captures de paquets. Dans l’interface Web Management Center, créez une politique de paramètres de plateforme Threat Defense sous Devices (appareils) > Platform Settings (paramètres de plateforme), et choisissez HTTP dans la table des matières. Voir « Configurer HTTP » dans le Guide de configuration des périphériques de Cisco Secure Firewall Management Center, 7.2.

• Par défaut, le Threat Defense peut recevoir des paquets ICMP sur n’importe quelle interface utilisant IPv4 ou IPv6, à deux exceptions près :

  • Le Threat Defense ne répond pas aux demandes d’écho ICMP dirigées vers une adresse de diffusion.

  • Le Threat Defense ne répond qu’au trafic ICMP envoyé à l’interface par laquelle le trafic arrive; vous ne pouvez pas envoyer de trafic ICMP à travers une interface Threat Defense à une interface éloignée.

  Pour protéger un appareil Threat Defense contre les attaques basées sur ICMP, vous pouvez utiliser des règles ICMP pour limiter l’accès ICMP à des hôtes, des réseaux ou des types ICMP sélectionnés. Dans l’interface Web Management Center, créez une politique de paramètres de plateforme Threat Defense sous Devices (appareils) > Platform Settings (paramètres de plateforme) et choisissez Accès ICMP dans la table des matières. Pour en savoir plus, consultez « Configurer les règles d’accès ICMP » dans le Guide de configuration des périphériques de Cisco Secure Firewall Management Center, 7.2.

• Le Threat Defense peut être configuré pour fournir des services DHCP et DDNS (voir « DHCP and DDNS Services for Threat Defense » dans le guide de configuration de périphériques de Cisco Secure Firewall Management Center, 7.2). De par leur nature, ces protocoles sont vulnérables aux attaques. Si vous choisissez de configurer votre Threat Defense pour DHCP ou DDNS, il est important d’appliquer les bonnes pratiques de l’industrie en matière de sécurité, d’assurer la protection physique de vos ressources réseau et de renforcer l’accès des utilisateurs à l’appareil Threat Defense.

• Vous pouvez activer LLDP sur Firepower 1000 Series, 2100 Series et Secure Firewall 3100. Cette fonctionnalité permet au Threat Defense d’échanger des paquets avec ses homologues compatibles avec le protocole LLDP. Par défaut, la transmission et la réception en regard du protocole LLDP sont désactivées sur un port. Les renseignements envoyés par LLDP sont vulnérables aux attaques. Si vous décidez de configurer votre appareil Threat Defense pour LLDP, il est important d’appliquer les bonnes pratiques de l’industrie en matière de sécurité et de contrôler l’accès des utilisateurs au Threat Defense. Nous vous recommandons d’activer uniquement le pare-feu pour recevoir des paquets LLDP de ses homologues pour une sécurité renforcée. Cette action garantit que le pare-feu obtient des informations sur les périphériques homologues sans révéler son identité aux autres périphériques homologues. Pour en savoir plus, consultez « Activation de l’interface physique et configuration des paramètres Ethernet » dans le Guide de configuration des périphériques de Cisco Secure Firewall Management Center, 7.2.

Vous pouvez configurer le Threat Defense pour qu’il fournisse deux types de services de réseau privé virtuel (VPN) : Accès à distance au réseau privé virtuel (RA VPN) et VPN site à site. En fonction de la licence de votre appareil, vous pouvez appliquer un cryptage renforcé aux transmissions VPN de site à site ainsi que le RA VPN. Le VPN avec cryptage renforcé nécessite une licence spéciale. Voir « Licensing for Export-Controlled Functionality » dans le guide Guide d’administration Cisco Secure Firewall Management Center, 7.2.

Réseau privé virtuel d’accès à distance

Pour sécuriser les transmissions de messages à destination et en provenance de clients distants sur des connexions VPN RA, le Threat Defense peut utiliser le protocole de sécurité de la couche de transport (TLS) ou IPsec_IKEv2.

Avant de déployer une configuration de VPN d’accès à distance sur le Threat Defense, le Management Center vérifie que les conditions préalables de la licence sont respectées. Pour plus d’informations, voir le guide de configuration d’appareil Cisco Secure Firewall Management Center, 7.2.

Le VPN d’accès à distance sur Threat Defense prend en charge les fournisseurs d’identité AD, LDAP, SAML et les serveurs AAA RADIUS pour l’authentification. Lorsqu’un utilisateur configure les paramètres AAA pour le VPN d’accès à distance, nous vous recommandons d’utiliser l’une des méthodes d’authentification suivantes pour une sécurité renforcée :

• Certificat client et SAML : chaque utilisateur est authentifié à l’aide d’un certificat client et d’un serveur SAML.

• Certificat client et protocole AAA : chaque utilisateur est authentifié à l’aide d’un certificat client et d’un serveur AAA.

Le VPN d’accès à distance prend en charge l’authentification locale et l’authentification multicertificat.

• Authentification locale : Vous pouvez utiliser cette méthode d’authentification comme méthode d’authentification primaire ou secondaire, ou comme solution de repli au cas où le serveur distant configuré ne serait pas accessible. Nous vous recommandons d’utiliser un mot de passe fort pour l’authentification locale. Pour plus d’informations, voir « Associer un domaine local à une politique VPN d’accès à distance » dans le guide de configuration de Guide de configuration Cisco Secure Firewall Management Center Device, 7.2.

• Authentification multicertificat : vous pouvez utiliser cette méthode d’authentification pour valider le certificat de la machine ou de l’appareil à l’aide de l’authentification par certificat unique. Cette authentification garantit que l’appareil est un appareil émis par l’entreprise et authentifie le certificat d’identité de l’utilisateur pour permettre l’accès au VPN. Nous vous recommandons d’utiliser cette méthode d’authentification. Pour plus d’informations, voir « Configuring Multiple Certificate Authentication » dans le guide de configuration de Guide de configuration Cisco Secure Firewall Management Center Device, 7.2.

Réseau privé virtuel site à site

Pour sécuriser les transmissions de messages à destination et en provenance de réseaux distants sur des connexions VPN site à site, le Threat Defense peut utiliser IPSEC IKEv1 ou IPSEC IKEv2.

Il existe deux types de VPN de site à site : basé sur une politique (Crypto Map) et basé sur une route (Virtual Tunnel Interface [VTI]). Nous vous recommandons d’utiliser le VPN VTI basé sur les routes pour une sécurité renforcée. Pour en savoir plus, consultez « VPN de site à site » dans le Guide de configuration des périphériques de Cisco Secure Firewall Management Center, 7.2.

Lorsque vous configurez les options Threat Defense VPN IKE et IPsec (Devices [Appareils] > VPN > Site To Site [Site à Site] > Add [Ajouter] , et que vous cliquez sur les onglets IKE ou IPsec ), nous vous recommandons ce qui suit :

• Choisissez IKEv2.

• Utilisez une clé forte pour la clé manuelle prépartagée.

• Utiliser la politique IKEv2 par défaut. Par exemple, AES-GCM-NULL-SHA-LATEST.

• Cochez la case Enable Security Association (SA) Strength Enforcement (activer l’application de la force dans les associations de sécurité [SA]).

  Cette option garantit que l’algorithme de chiffrement utilisé par la SA IPsec enfant n’est pas plus puissant que celui de la SA IKE mère.

• Cochez la case Enable Perfect Forward Secrecy (activer la confidentialité de transmission parfaite).

  Cette option génère et utilise une clé de session unique pour chaque échange chiffré. La clé de session unique protège l’échange contre tout déchiffrement ultérieur. Si vous sélectionnez cette option, sélectionnez l’algorithme de dérivation de clé Diffie-Hellman à utiliser lors de la génération de la clé de session PFS dans la liste déroulante Modulus Group (groupe de modules).

Pour plus d’informations sur les options Threat Defense VPN IKE ci-dessus, voir le le guide de configuration de périphériques Cisco Secure Firewall Management Center, 7.2.

Pour configurer ces services, voir « Aperçu VPN » dans le 7.0 guide de configuration de périphériques Cisco Secure Firewall Management Center, 7.2.

Le Management Center prend en charge un large éventail d’algorithmes de chiffrement et de hachage, ainsi que des groupes Diffie-Hellman. Le choix d’un chiffrement fort peut nuire aux performances du système. Vous devez donc trouver un équilibre entre sécurité et performances qui assure une protection suffisante sans compromettre l’efficacité. Pour plus d’informations, voir « Quel est le niveau de sécurité d’une connexion VPN? » (How Secure Should a VPN Connection Be) dans le le guide de configuration de périphériques Cisco Secure Firewall Management Center, 7.2.

Le Threat Defense prend en charge deux types d’utilisateurs :

• Utilisateurs internes : l’appareil consulte une base de données locale pour l’authentification des utilisateurs.

• Utilisateurs externes – Si l’utilisateur n’est pas présent dans la base de données locale, le système interroge un serveur d’authentification LDAP ou RADIUS externe.

Vous pouvez envisager d’établir l’accès des utilisateurs par le biais d’un mécanisme d’authentification externe tel que LDAP ou RADIUS, afin d’intégrer la gestion des utilisateurs à l’infrastructure existante de votre environnement réseau, ou d’exploiter des fonctionnalités telles que l’authentification à deux facteurs. L’établissement d’une authentification externe nécessite la création d’un objet d’authentification externe dans l’interface Web Management Center; les objets d’authentification externe peuvent être partagés pour authentifier les utilisateurs externes pour le Management Center ainsi que pour le Threat Defense.

Sachez que l’utilisation de l’authentification extérieure nécessite la configuration d’un système de noms de domaine (DNS) pour votre déploiement. Veillez à suivre les recommandations de renforcement pour votre DNS. Consultez « Secure the Domain Name System (DNS) » (Sécuriser le système de noms de domaine [DNS])

Cette discussion sur la gestion des utilisateurs se réfère aux fonctions disponibles dans la version  ; toutes les fonctions de configuration d’activation des utilisateurs abordées dans cette section ne s’appliquent pas à toutes les versions Threat Defense. Pour obtenir des informations propres à votre système, consultez la documentation Cisco Secure Firewall Threat Defense propre à votre version.

Threat Defense gérés par Management Center offrent un seul moyen d’accès à l’utilisateur : une interface de ligne de commande à laquelle on peut accéder en utilisant une connexion SSH, un numéro de série ou un clavier et un moniteur pour les appareils physiques. Avec certains paramètres de configuration, ces utilisateurs peuvent également accéder à l’interpréteur de commandes de Linux.

Pour protéger les données du système et leur disponibilité, effectuez des sauvegardes régulières de votre Threat Defense. La fonction de sauvegarde apparaît sous Système > Outils > Sauvegarde et restauration dans l’interface Web Management Center et est décrite dans « Sauvegarde des appareils à distance » dans le guide d’administration de Cisco Secure Firewall Management Center, 7.2. Pour restaurer une configuration Threat Defense sauvegardée, utilisez la commande CLI Threat Defenserestore de l’interface de ligne de commande.

Le Management Center permet de stocker automatiquement les sauvegardes sur un appareil distant. L’utilisation de cette fonction n’est pas recommandée pour un système renforcé car la connexion entre le Management Center et l’appareil de stockage à distance ne peut pas être sécurisée.

Si vous apprenez que la défense contre les menaces est vulnérable aux attaques dans les trente jours suivant une mise à niveau, vous pouvez revenir en arrière si vous avez enregistré un instantané de restauration pendant la mise à niveau (méthode recommandée). Le rétablissement de la défense contre les menaces ramène le logiciel à l'état qu'il avait avant la dernière mise à niveau majeure ou de maintenance. Le rétablissement après l’application d’un correctif supprime également les correctifs.

Pour en savoir plus sur la restauration, y compris les configurations qui sont et ne sont pas restaurées, des directives pour le rétablissement des périphériques à haute disponibilité et en grappe, et toute exigence supplémentaire, consultez le guide de mise à niveau de la version actuellement en cours d’exécution sur le centre de gestion : http://www.cisco.com/go/ftd-fmc-upgrade.

L’interface de ligne de commande Threat Defense permet de télécharger certains fichiers du Threat Defense vers un ordinateur local. Cette fonction est fournie pour que vous puissiez collecter des informations à fournir au Centre d’assistance technique Cisco lors du dépannage de votre système, et ne doit pas être utilisée de manière occasionnelle. Prenez des précautions pour protéger tous les fichiers que vous téléchargez à partir de Threat Defense; choisissez les options les plus sûres lors du téléchargement, sécurisez l’ordinateur local où vous stockez les données et utilisez les protocoles les plus sûrs lorsque vous transmettez des fichiers à l’ATC. En particulier, soyez conscient des risques possibles lorsque vous utilisez les commandes suivantes :

• show asp inspect-dp snort queue-exhaustion [snapshot snapshot_id] [export location]

  L’option export ne prend en charge que TFTP.

• file copy host_name user_id path filename_1 [filename_2 ... filename_n]

  Cette commande transfère des fichiers vers un hôte distant à l’aide d’un protocole FTP non sécurisé.

• copy [/noverify] /noconfirm {/pcap capture:/[buffer_name] | src_url | running-config | startup-config} dest_url

  Les options suivantes pour src_url et dest_url permettent de sécuriser les données copiées :

  • Mémoire flash interne

  • Mémoire du système

  • Clé USB externe en option

  • HTTPS sécurisé avec mot de passe

  • SCP sécurisé avec mot de passe, précisant l’interface cible sur le serveur SCP

  • FTP sécurisé avec mot de passe

  • TFTP sécurisé avec mot de passe, précisant l’interface cible sur le serveur TFTP

  Nous recommandons de ne pas utiliser les options src_url et dest_url suivantes dans un système renforcé :

  • SMB, serveur UNIX, système de fichiers local

  • Système de fichiers de trace de grappe. (Les systèmes dont la conformité aux certifications de sécurité est activée ne prennent pas en charge les grappes).

• cpu profile dump dest_url

  Les options suivantes pour dest_url permettent de sécuriser le vidage des données :

  • Mémoire flash interne

  • Clé USB externe en option

  • HTTPS sécurisé avec mot de passe

  • SMB, serveur UNIX, système de fichiers local

  • SCP sécurisé avec mot de passe, précisant l’interface cible sur le serveur SCP

  • FTP sécurisé avec mot de passe

  • TFTP sécurisé avec mot de passe, précisant l’interface cible sur le serveur TFTP

  Nous déconseillons l’utilisation de systèmes de fichiers en grappe pour les options src_url et dest_url dans un système renforcé.

• file secure-copy host_name user_id path filename_1 [filename_2 ... filename_n]

  Copie le(s) fichier(s) vers un hôte distant à l’aide de SCP.

Le Threat Defense peut envoyer des messages de journal système à un serveur de journaux système externe; choisir des options sécurisées lors de la configuration de la fonctionnalité de journaux système :

1. Créez une politique de paramètres de plateforme Threat Defense sous Devices (appareils) > Platform Settings (paramètres de plateforme), et choisissez Syslog (journal système) dans le contenu. Lors de l’ajout d’un serveur de journaux système sous l’onglet Serveurs syslog (serveur de journal système), choisissez le protocole TCP et à cocher la case Enable secure syslog (activer le journal système sécurisé). Ces options s’appliquent aux messages de journal système générés par le Threat Defense si vous ne les remplacez pas ailleurs dans la configuration de votre appareil.

   Remarque

   Par défaut, lorsque le journal système sécurisé est activé, si un serveur de journaux système utilisant TCP est en panne, le Threat Defense ne transmet pas le trafic. Pour modifier ce comportement, cochez la case Allow user traffic to pass when TCP syslog server is down (autoriser le trafic utilisateur à passer lorsque le serveur de journaux système TCP est hors service).

2. Configurez la journalisation dans vos politiques de contrôle d’accès afin d’hériter des paramètres de journalisation de la politique des paramètres de la plateforme. Choisissez Policies > Access Control <each policy> [chaque politique] > Logging [journalisation], cochez la case Use the syslog settings configured in the FTD Platform Settings policy deployed on the device [Utiliser les paramètres du journal système configurés dans la stratégie des paramètres de la plateforme FTD déployée sur l’appareil].

Avec ces deux paramètres de configuration en place, le journal système Threat Defense se comporte comme suit :

• Les paramètres du journal système de la stratégie des paramètres de la plateforme s’appliquent aux messages du journal système relatifs à l’état de l’appareil et du système, ainsi qu’à la configuration du réseau.

• Les paramètres syslog dans les paramètres de la plate-forme s’appliquent aux syslogs pour les événements de connexion et de renseignements de sécurité, à moins que vous ne remplaciez le paramètre de la politique de contrôle d’accès à l’un des endroits répertoriés dans « Configuration Locations for Syslogs for Configuration and Security Intelligence Events (All Devices) » dans le guide d’administration de Cisco Secure Firewall Management Center, 7.2. Ces dérogations ne fournissent pas d’option de journal système sécurisée, et nous recommandons donc de ne pas les utiliser dans un environnement sécurisé.

• Les paramètres syslog de la politique des paramètres de la plate-forme s’appliquent aux syslogs pour les événements d’intrusion, sauf si vous remplacez le paramètre de la politique de contrôle d’accès à l’un des endroits répertoriés dans « Configuration Locations for Syslogs for Intrusion Events » dans le guide d’administration de Cisco Secure Firewall Management Center, 7.2. Ces dérogations ne fournissent pas d’option de journal système sécurisée, et nous recommandons donc de ne pas les utiliser dans un environnement sécurisé.

Vous pouvez configurer l’appareil Threat Defense pour qu’il transmette des informations essentielles aux utilisateurs lorsqu’ils se connectent à l’interface de ligne de commande. Du point de vue de la sécurité, la bannière de connexion doit décourager les accès non autorisés :

• Vous vous êtes connecté à un appareil sécurisé. Si vous n’êtes pas autorisé à accéder à cet appareil, déconnectez-vous immédiatement sous peine de poursuites pénales.

Pour configurer la bannière de connexion d’un appareil Threat Defense, créez une stratégie de paramètres de plateforme Threat Defense sous Devices (appareils) > Platform Settings (paramètres de plateforme), et choisissez Banner (bannière) dans la table des matières. Consultez la section « Configuration des bannières » dans le Guide de configuration des périphériques de Cisco Secure Firewall Management Center, version 7.2 pour obtenir des instructions complètes.

Les politiques d’identité utilisent des sources d’identité pour authentifier les utilisateurs du réseau et collecter des données sur les utilisateurs afin de les connaître et de les contrôler. L’établissement des sources d’identité des utilisateurs nécessite une connexion entre le Management Center ou un appareil géré et l’un des types de serveurs suivants :

• Microsoft Active Directory

• Linux Open LDAP

• RADIUS

Important

Bien que vous puissiez établir une connexion sécurisée avec des serveurs LDAP, Microsoft AD ou RADIUS à partir de Threat Defense, le module d’authentification n’est pas conforme à la norme FIPS.

Remarque

Si vous choisissez d’utiliser LDAP ou Microsoft AD pour effectuer l’authentification externe, consultez les informations figurant dans Renforcer les comptes d’utilisateurs externes.

Remarque

Threat Defense utilise chacun de ces serveurs pour prendre en charge une combinaison différente des caractéristiques possibles de l’identité de l’utilisateur. Pour plus de détails, voir « À propos des sources d’identité des utilisateurs » dans le guide de configuration de périphériques de Cisco Secure Firewall Management Center, 7.2.

Sécuriser les connexions avec les serveurs Active Directory et LDAP

Les objets appelés realms (domaines) décrivent les paramètres de connexion associés à un domaine sur un serveur Active Directory ou LDAP. Pour plus d’informations sur la configuration des domaines, voir « Création et gestion de domaines » dans le guide de configuration de périphériques de Cisco Secure Firewall Management Center, 7.2.

Lorsque vous créez un domaine (Domaines > d’intégration > système dans l’interface Web Management Center), gardez à l’esprit les points suivants pour sécuriser les connexions avec les serveurs AD ou LDAP :

Pour les domaines associés aux serveurs Active Directory :

• Choisissez des mots de passe forts pour le mot de passe d’AD Join et le mot de passe du répertoire.

• Lors de l’ajout d’un annuaire à un domaine Active Directory :

  • Sélectionnez STARTTLS ou LDAPS comem mode de chiffrement (ne choisissez pas None [aucun]).

  • Précisez un certificat SSL à utiliser pour l’authentification auprès du contrôleur de domaine Active Directory. Nous recommandons d’utiliser un certificat généré par une autorité de certification mondialement connue et fiable.

Pour les domaines associés aux serveurs LDAP :

• Choisissez des mots de passe forts pour le mot de passe du répertoire.

• Lors de l’ajout d’un répertoire à un domaine LDAP :

  • Sélectionnez STARTTLS ou LDAPS comme mode de chiffrement (ne choisissez pas None [aucun]).

  • Précisez un certificat SSL à utiliser pour l’authentification auprès du serveur LDAP. Nous recommandons d’utiliser un certificat généré par une autorité de certification mondialement connue et fiable.

Sécuriser les connexions avec les serveurs RADIUS

Pour configurer une connexion avec un serveur RADIUS, créez un objet Groupe de serveurs RADIUS (Objects (objets) > Object Management (gestion des objets) > RADIUS Server Group (groupe de serveurs RADIUS) dans l’interface Web Management Center) et ajoutez un serveur RADIUS au groupe. Pour sécuriser la connexion avec le serveur RADIUS, choisissez les options suivantes dans la boîte de dialogue New RADIUS Server (nouveau serveur RADIUS) :

• Fournissez une clé et une clé de confirmation pour chiffrer les données entre l’appareil géré et le serveur RADIUS.

• Précisez une interface pour la connexion qui peut prendre en charge la transmission sécurisée des données.

Remarque

Threat Defense se connecte à un serveur RADIUS pour l’identité de l’utilisateur uniquement si un appareil Threat Defense géré dans le déploiement est configuré pour fournir un accès à distance VPN, qui sera utilisé comme source d’identité de l’utilisateur. Pour plus d’informations sur la configuration et la sécurisation du VPN d’accès à distance, consultez « Harden Network Protocol Settings » (renforcer les paramètres du protocole réseau).

Configuration de l’inscription de certificat à l’aide de l’inscription sur le transport sécurisé

Vous pouvez configurer l’inscription des certificats pour Threat Defense sur un canal sécurisé. L’appareil utilise la fonction : inscription sur le protocole de transport sécurisé, soit Enrollment over Secure Transport (EST), pour obtenir un certificat d’identité auprès de l’autorité de certification. EST utilise TLS pour assurer le transport sécurisé des messages.

Pour configurer EST :

1. Sélectionnez Objects (Objets) > Object Management (Gestion d’objets) > PKI > Cert Enrollment (Inscription de certificat).

2. Cliquez sur Add Cert Enrollment (ajouter une inscription de certificat), puis cliquez sur l’onglet CA Information (renseignements sur l’autorité de certification).

3. Dans la liste déroulante Enrollment Type (type d’inscription), choisissez EST.

Si vous ne souhaitez pas que Threat Defense valide le certificat du serveur EST, nous vous recommandons de ne pas cocher la case Ignore EST Server Certificate Validations (ignorer les validations du certificat du serveur EST). Par défaut, Threat Defense valide le certificat du serveur EST. Le type d’inscription EST ne prend en charge que les clés RSA et ECDSA, et ne prend pas en charge les clés EdDSA. Pour plus d’informations, voir « Objet d’inscription au certificat Options EST » dans le guide de configuration de périphériques de Cisco Secure Firewall Management Center, 7.2.

Sur les versions 7.0 et supérieures du centre de gestion et de Threat Defense, vous ne pouvez pas inscrire de certificats avec des tailles de clé RSA inférieures à 2 048 bits et des clés utilisant SHA-1. Pour ignorer ces restrictions dans le centre de gestion 7.0 gérant la défense contre les menaces exécutant des versions inférieures à 7.0, l’option Enable Weak-Crypto (Activer le chiffrement faible) est proposée (Devices > Certificates[Appareils > Certificats]). Par défaut, l’option weak-crypto est désactivée. Nous vous déconseillons d’activer des clés de cryptage faibles, car ces clés ne sont pas aussi sûres que celles dont la taille est plus élevée. Pour les versions 7.0 et supérieures de Management Center et Threat Defense, vous pouvez activer le chiffrement faible pour permettre la validation des certificats d’homologues, etc. Cependant, cette configuration ne s’applique pas à l’inscription des certificats.

Configuration des validations de certificat

Vous pouvez utiliser un certificat d’autorité de certification (CA) spécifique pour valider les clients SSL ou IPSec, et utiliser un certificat d’autorité de certification pour valider la connexion d’un serveur SSL. Pour configurer les types d’utilisation de la validation :

1. Sélectionnez Objects (Objets) > Object Management (Gestion d’objets) > PKI > Cert Enrollment (Inscription de certificat).

2. Cliquez sur Add Cert Enrollment (ajouter une inscription de certificat), puis cliquez sur l’onglet CA Information (renseignements sur l’autorité de certification).

3. Validation Usage : choisissez parmi les options pour valider le certificat lors d’une connexion VPN.

   • IPsec Client : validez le certificat de la connexion VPN entrante IPsec site vers site.

   • SSL Client : validez un certificat client SSL lors d’une tentative de connexion VPN d’accès à distance.

   • SSL Server : sélectionnez cette option pour valider un certificat de serveur SSL, par exemple en tant que certificat de serveur Cisco Umbrella.

Le périphérique étend les règles de contrôle d’accès en plusieurs entrées de liste de contrôle d’accès en fonction du contenu de tout objet de réseau ou d’interface utilisé dans la règle d’accès. Vous pouvez réduire la mémoire requise pour rechercher des règles de contrôle d’accès en activant la recherche par groupe d’objets (Périphériques > Gestionnaire d'appareil > Périphérique > Paramètres avancés). Lorsque la recherche par groupe d’objets est activée, le système ne développe pas les objets d’interface ou de réseau, mais recherche plutôt les règles d’accès pour les correspondances en fonction des définitions de ces groupes.

Il est important de noter que la recherche par groupe d'objets peut également diminuer les performances de la recherche de règles et donc augmenter l'utilisation de l'unité centrale. Vous devez équilibrer l’incidence sur le processeur et le besoin en mémoire réduits pour la stratégie de contrôle d’accès spécifique. Pour les périphériques Firepower de bas de gamme, comme les séries 1000, 2110 et 2120, l’augmentation de l’utilisation du processeur ralentira le périphérique. Dans la plupart des cas, l’activation de la recherche de groupe d’objets offre une nette amélioration opérationnelle. Par défaut, le paramètre de recherche de groupe d'objets est activé.

Si vous activez la recherche de groupe d’objets, puis configurez et utilisez le périphérique pendant un certain temps, la désactivation de la fonction par la suite pourrait entraîner des résultats indésirables. Si vous désactivez la recherche de groupe d’objets, vos règles de contrôle d’accès existantes seront développées dans la configuration du périphérique en cours d’exécution. Si l‘expansion exige plus de mémoire qu‘il en est disponible, votre appareil pourrait se trouver dans un état incohérent et cela pourrait causer un impact sur la performance. Si votre périphérique fonctionne normalement, vous ne devez pas désactiver la recherche de groupe d'objets une fois que vous l'avez activée. Pour plus d'informations, voir « Configurer la recherche de groupe d'objets » dans le Guide de configuration de dispositif du Cisco Secure Firewall Management Center Device Configuration Guide, 7.2.

Le logiciel Threat Defense dépend d’un micrologiciel et d’un système d’exploitation sous-jacent complexe. Ces composants logiciels sous-jacents comportent leurs propres risques de sécurité qui doivent être pris en compte :

• Mettez en place un processus de sécurité opérationnelle pour votre réseau qui tienne compte des questions de sécurité.

• Pour les appareils Threat Defense modèles 2100, 4100 et 9300, sécurisez le système d’exploitation Firepower eXtensible sur lequel le Threat Defense fonctionne; voir le guide de renforcement Cisco Firepower 4100/9300 FXOS.