Cisco Security Agent
Date : 17 Juin 2005
Le 11 novembre 2004 Cisco a émis l'avis de sécurité 63326 relatif à son produit "Cisco Security Agent" ("CSA"). Le Cert-IST ne suit pas ce produit et n'a pas émis d'avis sur cette vulnérabilité (voir le paragraphe "Les failles n'ayant pas fait l'objet d'avis"). Nous avons toutefois jugé opportun de vous faire une brève présentation de ce logiciel de sécurité chargé de protéger les serveurs et stations de travail.
Fonctionnalités
"Cisco Security Agent" remplit les fonctions de garde-barrière personnel et de détecteur d'intrusion de type "système" ("HOST IDS"). C'est-à-dire qu'il est conçu pour :
- bloquer des tentatives d’attaques
- détecter les attaques qui n'ont pû être bloquées.
Cet agent fonctionne sur une analyse "comportementale" permettant la détection et le blocage des attaques inconnues, et assurant donc une protection sans base de référence et sans mise à jour de signatures.
L'agent intègre une empreinte du système (système d'exploitation, applications, matériels) qu'il doit protéger ainsi que des règles "comportementales" comme :
- interdire la connexion au réseau aux applications qui accèdent à un (des) document(s) restreint(s),
- interdire la modification de fichiers système,
- interdire la création de "shell" aux applications qui lisent des données depuis Internet,
- limiter les accès en écriture des serveurs web, aux fichiers de journalisation et aux fichiers temporaires,
- .....
Cet agent est alors capable de détecter une tentative d'intrusion lors des accès aux fichiers, aux registres, ou à la mémoire du système. Il est également capable de contrôler la bonne exécution du code (détection de débordements mémoire) et de surveiller l'activité du réseau.
Architecture générale de la solution
Le logiciel "Cisco Security Agent" est déployé sur les serveurs et stations de travail à protéger ("points d'extrémités" ou "endpoints" dans la terminologie Cisco). Chaque agent communique avec une console "Management Center" pour son administration et lui transmet des rapports via les protocoles HTTP et SSL.
La console "Management Center", accessible depuis un navigateur web, assure, de manière centralisée, toutes les fonctions d'administration des agents :
- distribution,
- création et modification de la politique de sécurité (gestion des empreintes des postes et des règles associées),
- la surveillance d'alertes et la génération de rapports.
Remarques :
- Le module "Cisco Security Agent Profiler" qui s'interconnecte à la console "Management Center" permet d'automatiser l'analyse des activités d'applications spécifiques et l'élaboration de politiques de protection de ces applications.
- En cas d'arrêt de communication entre un "Cisco Security Agent" et la console "Management Center", l'agent est capable de travailler en mode autonome. Il applique la dernière politique de sécurité connue de lui, et mémorise les alertes de sécurité qu'il remonte vers la console lors du rétablissement de la communication.
Architecture d'un agent "Cisco Security Agent"
Au niveau système, l'agent s'installe entre les applications et le noyau, et il intercepte tous les appels du système d'exploitation aux différentes ressources (fichiers, registres, mémoire, réseaux, bibliothèques partagées, ...).
Lorsqu'une application tente d'exécuter une opération, l'agent contrôle si elle est en accord avec les règles de sécurité qu'il doit faire respecter et décide alors de l'action à faire : autorisation, interdiction, enregistrement dans un journal, alerte, ...
Plates-formes acceptant "Cisco Security Agent"
Cisco Security Server Agent :
- Windows 2000 Server et Advanced Server (jusqu'à Service Pack 3)
- Windows NT v4.0 Server et Enterprise Server (Service Pack 5 ou ultérieur)
- Architecture Solaris 8 SPARC (noyau 64 bits)
Cisco Security Desktop Agent :
- Windows NT v4.0 Workstation (Service Pack 5 ou ultérieur)
- Windows 2000 Professional (jusqu'à Service Pack 3)
- Windows XP Professional (jusqu'à Service Pack 1)
Cisco Security Agent Manager
- Windows 2000 Server et Advanced Server (jusqu'à Service Pack 2)
Pour plus d'informations
Présentations de Cisco : http://www.cisco.com/global/FR/products/vpn_security/csa.shtml
Avis de sécurité 63326 de Cisco : http://www.cisco.com/warp/public/707/cisco-sa-20041111-csa.shtml