Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • 13 vistas

    Enlace Blindado - Cisco GETVPN - Consultores

    Cargado por

    David Espinoza
    El documento trata sobre la seguridad de Cisco ISR mediante GETVPN. GETVPN proporciona conectividad cifrada de cualquier a cualquier de forma escalable y sin necesidad de túneles. Ofrece rendimiento óptimo para QoS y multicast al mejorar el desempeño de las aplicaciones. GETVPN es adecuado para redes privadas, WAN, FR/ATM, IP y MPLS.

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd

    Enlace Blindado - Cisco GETVPN - Consultores

    Cargado por

    David Espinoza
    13 vistas13 páginas
    El documento trata sobre la seguridad de Cisco ISR mediante GETVPN. GETVPN proporciona conectividad cifrada de cualquier a cualquier de forma escalable y sin necesidad de túneles. Ofrece rendimiento óptimo para QoS y multicast al mejorar el desempeño de las aplicaciones. GETVPN es adecuado para redes privadas, WAN, FR/ATM, IP y MPLS.

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    El documento trata sobre la seguridad de Cisco ISR mediante GETVPN. GETVPN proporciona conectividad cifrada de cualquier a cualquier de forma escalable y sin necesidad de túneles. Ofrece rendimiento óptimo para QoS y multicast al mejorar el desempeño de las aplicaciones. GETVPN es adecuado para redes privadas, WAN, FR/ATM, IP y MPLS.

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Descargar como pdf o txt
    13 vistas13 páginas

    Enlace Blindado - Cisco GETVPN - Consultores

    Cargado por

    David Espinoza
    El documento trata sobre la seguridad de Cisco ISR mediante GETVPN. GETVPN proporciona conectividad cifrada de cualquier a cualquier de forma escalable y sin necesidad de túneles. Ofrece rendimiento óptimo para QoS y multicast al mejorar el desempeño de las aplicaciones. GETVPN es adecuado para redes privadas, WAN, FR/ATM, IP y MPLS.

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Descargar como pdf o txt
    Está en la página 1de 13

    Security on Cisco ISR

    GETVPN
    Lenin Veramendi Salazar
    System Engineer

    © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 1
    10x Performance for Cloud, 2901, 2911,
    3925E, 3925
    3945E, 3945
    Video, and DC Services 2921, 2951
    Performance, Scalability, Availability

    1921, 1941, 1941W

    860, 880, 890

    Virtual Secure Customizable Secure Scalable Rich-


    Office Mobility Applications Collaboration Media Services

    Enhancing the Borderless Experience

    © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 2
    Common Criteria
    Common Criteria es un estándar internacional para evaluar la seguridad y confiabilidad de los
    productos de TI. Es reconocido por más de 26 países de todo el mundo, incluyendo Australia, Canadá,
    Francia, Alemania, Grecia, Italia, Japón, Nueva Zelanda, España, Reino Unido, Corea del Sur y
    Estados Unidos. Muchos de los clientes gubernamentales en todo el mundo consideran a Common
    Criteria un requisito obligatorio para la compra de productos de seguridad de red.
    Common Criteria es una metodología para la evaluación de productos y no se limita a proporcionar
    una especificación. Hay siete niveles de evaluación, y los productos suelen estar dirigidos a EAL2 o
    EAL4. Sólo los niveles 1-4 son objeto de reconocimiento mutuo, lo que significa que una evaluación
    realizada en un país es válido para cualquiera de los países que participan en Common Criteria.
    http://www.cisco.com/web/strategy/government/security_certification/net_business_benefit_seccert_co
    mmon_criteria.html
    Federal Information Processing Standard - FIPS
    El estándar de procesamiento de información federal (Federal Information Processing Standard - FIPS) 140 es un
    estándar del gobierno de EE.UU. y Canadá que especifica los requisitos de seguridad para módulos criptográficos. Un
    módulo criptográfico se define como "el conjunto de hardware, software y / o firmware que implementa las funciones de
    seguridad aprobados (incluidos algoritmos criptográficos y generación de claves) y está contenido dentro de los límites
    criptográficos." El módulo criptográfico es lo que se está validando.
    A un nivel muy alto, los requisitos de la norma FIPS 140 se aplican a las características de módulos siguientes:
    ü La implementación de algoritmos aprobados por FIPS.
    ü La gestión específica del ciclo de vida clave.
    ü Generación aprobada de números aleatorios.
    ü Las pruebas automáticas de algoritmos de cifrado, integridad de imágenes, y generadores de números aleatorios (RNG).
    De los cuatro niveles de validación de FIPS 140, el nivel 1 es el más bajo y el nivel 4 es el más alto. Los requisitos se
    refuerzan mutuamente, y se vuelven más complejos a medida que aumentan los niveles. Los módulos de software (clientes
    VPN, etc) suelen apuntar a un nivel 1 de validación, mientras que los routers VPN suelen centrarse en un Nivel 2 de la
    validación. Muy pocos módulos se validan al nivel 4, ya que este nivel suele ser realizado por proyectos de investigación
    complejos.
    Las validaciones de FIPS 140 solo aplican a una versión específica de software que se ejecuta en cierta versión de hardware.
    Por lo tanto, un planeamiento y estrategia adecuados son una necesidad.
    http://www.cisco.com/web/strategy/government/security_certification/net_business_benefit_seccert_fips140.html

    © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 3
    3
    FIPS Common Criteria
    140-2,
    EAL4
    Level 2

    Cisco® 880 ISR G2 April 2011 Aug 2011


    Cisco 1900 ISR G2  Aug 2011
    Cisco 2900 ISR G2  Aug 2011

    Cisco 3900 ISR G2 April 2011 Aug 2011

    Cisco 7200 VAM2+  

    Cisco 7200 VSA  

    Cisco 7301 VAM2+  


    Cisco 7600 IPsec VPN SPA  
    Catalyst 6500 IPsec VPN SPA  

    cisco.com/go/securitycert
    © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 4
    © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 5
    Deployed Customers Recent Wins

    GETVPN DMVPN
    DMVPN
    DMVPN
    DMVPN
    DMVPN

    GETVPN
    GETVPN
    DMVPN DMVPN

    GETVPN
    GETVPN DMVPN, GETVPN

    DMVPN
    GETVPN IPSec/dVTI
    GRE/IPSec DMVPN

    Note: Not all customers are external references, INTERNAL USE ONLY
    © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 6
    Cisco Group Encrypted Transport -
    GETVPN
    What Is GETVPN?
    Cisco GETVPN delivers a revolutionary solution for tunnel-less,
    any-to-any and confidential branch communication

    • Large-scale any-to-any
    encrypted communication
    Any
    Any--to
    to --Any
    Any • Native routing without
    Connectivity
    Connectivity
    tunnel overlay
    • Optimal for QoS and Multicast
    support—improves application
    Cisco GET
    performance
    VPN
    • Transport agnostic—private
    Scalable Real Time LAN/WAN, FR/ATM, IP, MPLS

    © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 8
    VPN Technology Positioning
    Data Center Core

    Internet
    Edge

    IPSec

    GM GM

    KS KS

    WAN
    Edge
    Remote
    Access
    Internet/
    Shared GET MPLS/Private
    Encrypted Network
    Network

    EzVPN
    Spoke
    DMVPN DMVPN
    Spoke Spoke GET GM GET GM GET GM

    © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 9
    Tunnel-Less VPN—
    A New Security Model
    Any-to-Any Encryption: Before and After GET VPN
    Before: IPSec P2P Tunnels After: Tunnel-Less VPN

    WAN

    Multicast

     Scalability—an issue (N^2 problem)  Scalable architecture for any-to-any


     Overlay routing connectivity and encryption
     Any-to-any instant connectivity can’t  No overlays—native routing
    be done to scale  Any-to-any instant connectivity
     Limited QoS  Enhanced QoS
     Inefficient Multicast replication  Efficient Multicast replication
    © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 10
    Header Preservation
    IPSec Tunnel Mode vs. GETVPN
    IP Header IP Payload
    IP Packet

    IPSec New IP Header ESP IP Header IP Payload


    Tunnel Mode
     IPSec header inserted by VPN Gateway
     New IP Address requires overlay routing

    IP Header IP Payload
    IP Packet

    Group Preserved Header ESP IP Header IP Payload


    Encrypted
    Transport  IP header preserved by VPN Gateway
     Preserved IP Address uses original routing plane

    © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 11
    Group Security Functions
    Routing Member
    Key Server  Forwarding
    Key Server  Replication
     Validate Group Members  Routing
     Manage Security Policy
     Create Group Keys
     Distribute Policy/Keys
    Group
    Member
    Routing
    Members

    Group
    Member
    Group
    Group Member Member
     Encryption Devices
     Route Between Secure/ Unsecure
    Regions Group
     Multicast Participation Member

    © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 12
    Group Security Elements
    KS Cooperative
    Key Servers
    Group Policy Protocol

    Key Encryption Key


    (KEK)

    Traffic Encryption
    Key (TEK) Group
    Member
    Routing
    Members

    Group
    Member
    Group
    Member
    RFC3547:
    Group Domain of
    Interpretation Group
    (GDOI) Member

    © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 13
    Thank you
    Muchas Gracias
    Obrigado

    © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 14

    También podría gustarte