Hum, ça dépend ce qu'on entend par NAC. 802.1x ça juste marche dans la
plupart des cas et ça fait le job de contrôle d'accès L2.
Maintenant, si tu veux partir sur plus complexe avec des produits avec
clients lourds installés sur les postes qui vérifient l'état de
l'antivirus, les MaJ appliquées et les logiciels installés,
effectivement c'est souvent un peu lourd, et passer au firewall / VPN
pour contrôler les flux IP c'est souvent suffisant.
Tout ça c'est dépendant d'une politique de sécurité. Si ton job c'est de
verrouiller l'accès au réseau, alors 802.1x fait le café si tes
équipements sont assez homogènes et supportent le 802.1x. Si ton job
c'est de verrouiller l'accès aux services (aka du cloud over IP), alors
oui un bon firewall/IPS/Détection d'applications et VPN fait le job.
Mais c'est clair que les produits de NAC et d'enforcement des postes de
travail, c'est vite une usine à gaz, surtout en si tu as autre chose que
du windose.
Fabien
Le 01-09-2020 17:34, A Gaillard a écrit :
Hello,
Même retour que Guillaume, le NAC c'est beau sur le papier.
En vrai à installer ça coute 2 bras, c'est hyper compliqué à gérer, dès
que
t'as de l'historique (type vieux téléphones, vieilles caisses, vieilles
caméras, etc.) tu fais des exceptions qui cassent une bonne partie de
la
plus-value sécurité. Et à gérer pendant la vie de la solution, tu as
besoin
d'une équipe dédiée, à la fois technique pour comprendre ce qu'il se
passe,
et capable de répondre aux "clients" interne lorsque madame michu
n'arrive
pas à se brancher sur la prise RJ45 du bureau de Michel qui, lui, avait
une
exception pour faire fonctionner son fax.
Les quelques clients qu'on a accompagné sur le sujet avait de belles
ambitions, mais s'en sont souvent arrêté à la moitié de la phase 1
lorsqu'ils n'ont pas fait retour arrière.
Je conseillerais donc d'éviter de partir dans ce genre de projet pour
éviter de perdre des sous en société de conseil, en gestion de projet,
en
équipements, en support, en recrutement d'équipe, et au passage
permettre
d'économiser 2 ans de la vie de plusieurs personnes :)
Adrien.
Le mar. 1 sept. 2020 à 16:20, Guillaume Tournat via frnog
<frnog@frnog.org>
a écrit :
Bonjour,
Cela me parait un meilleur investissement de considérer que le LAN
n'est
plus un réseau de confiance (approche Zero Trust)
et que l'utilisateur doive être connecté en VPN en interne comme en
externe (always on).
De ce fait, les accès sont systématiquement authentifiés. Hormis
l'accès
vpn, tout autre flux => portail captif pour accès web.
Le 01/09/2020 à 15:57, Jerome Lien a écrit :
> Bonjour à tous,
>
> on se pose régulièrement la question d'ajouter un NAC dans notre
> réseau pour mieux gérer les accès wifi/utilisateurs, les branchements de
> tout et n'importe quoi sur les prises réseaux, les déplacements
> d'équipements sans prévenir et voire de la conf de vlan automatique ...
>
> Actuellement on gère +/- 100 vlan pour la segmentation pour + de 5000
IP's
>
> Je pense que certain d'entre vous on cela chez eux, des retours
> d'expériences à partager ?
>
> merci à tous,
> jérôme
>
> ---------------------------
> Liste de diffusion du FRnOG
> http://www.frnog.org/
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
--
Fabien VINCENT
_@beufanet_
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
