Bonjour à tous,
Je partage tout à fait le retour d'expérience (très détaillé, merci à toi) de
Baptiste.
J'ai intégré la solution Cisco ISE chez plusieurs clients et le onboarding est
la clé d'une exploitation réduite car gestion déportée chez l'utilisateur (qui
est de plus en plus demandeur d'autonomie).
Comme on l'a dit, le NAC/ISE supprime les tâches rébarbatives liées aux VLAN.
J'ajouterai que ceci permet d'instruire la fonction TrustSec qui permet une
sécurisation au sein du LAN et ainsi :
1. Ne plus s'arrêter à un filtrage par adresse IP ;
2. Mettre en place du filtrage dans des environnements où le ré-adressage n'est
pas envisageable (industriel, médical, etc.) ;
3. Soulager des firewalls pour des flux qui ne le nécessite pas (PC => serveur
impression => imprimante).
Et je conseille souvent la mise en place d'ISE + TrustSec que l'upgrade d'un
cluster de firewalls pour les flux Est-Ouest.
Cordialement,
Alexandre Jafri
Stillnetwork | Directeur Technique | +33 6 10 37 31 96
Le 02/09/2020 11:33, « frnog-requ...@frnog.org au nom de Baptiste Chappe »
<frnog-requ...@frnog.org au nom de baptiste.cha...@gmail.com> a écrit :
Bonjour,
Je suis d'accord avec le post de Fabien mais le genre de problématique est
largement gérable par une délégation de la gestion au support.
Petit retour sur la mise en place du nac tout frais chez nous.
Taille de l'équipe pour la mise en place : 3 chef de projet et un
intégrateur performant + quelques experts en interne. Environ 6 mois de job
après un rapide poc. Pas trop de le choix de mettre en place ce genre de
techno devant l'évolution croissante de la boîte (+15%ans depuis 10 ans).
Taille équipe projet : 1 intégrateur compétent cisco Gold + 2 CDP + 2
expert tech et une bonne volonté de l'ensemble des utilisateurs DSI.
Taille du run : 6 techs + 3 admins + 2 experts tech
Périmètre : 90 sites en france et un site central.
Coté taille : environ 40 000 prises et 1500 AP Wifi pour 2500 salariés et
1000 prestas, 30 vlans similaires par site distant et 200 sur le site
central. Un peu plus de 4500 IP connectés ce matin sur nos braves DHCP
Windows.
Quand ou ouvre le capot : C'est du Cisco et de l'appliance Cisco ISE. En
soit un gros serveur freeradius. Coté switch, Cisco partout. Un peu
d'Ucopia pour les portal guest pour les différentes populations.
Coté périphérique :
Windows en majorité pour les postes avec du certificat issu des PKI.
Télèphone Cisco géré à la mac sur le voice vlan.
Le reste est à l'@mac (caméra, imprimante...etc). Les postes utilisateurs
tombent dans un vlan par défault. Une fois loggé, le poste bascule sur le
réseaux "DSI" DRH...etc.
Si computer inconnu ou non déclaré, vlan guest avec portal captif.
La clef de la réussite : Le fameux on bording des périphériques (interne,
externe, mac, certificat, whatelse ?) et la cohérence des réseaux (plus
particulièrement les numéros de vlan).
Devant le nombre de périphériques à gérer, on a développé une webinterface
"user friendly support" pour permettre au support N1 de faire les
modifications de mac et groupe de sécurité Windows.
Les difficultés rencontrés : Gestion des groupes de sécurité Windows. Qui
va ou, comment faire pour avoir un onbording performant.
Gestion des exceptions (comment donner du réseaux à un presta en charge
d'installer un outil sur le SI Interne pour une seul journée n'ayant pas de
PC de la boite ?)
Le risque : Si perte des PKI Windows, du renouvellement des certificats,
des liaisons au DC ou des serveur radius en eux même, c'est terminé pour
tout le monde. Se prévoir quelques prises non 802.1X dans les
bureaux d'admin.
Concernant la difficultées d'administration : Il faut a mon sens absolument
déléguer les tâches courante de la gestion des accès au support N1. Je
parle en prenant la casquette de
CDP/ExpertTech/SupportTechNiveau3et1//Plombier Réseaux/Sysadmin.
Coté surprise :
Chez Cisco, on paye la taille de l'appliance et le nombre de périphériques
de connectés...
Plein de shadow IT des utilisateurs. C'est dingue le nombre de truc qui
discute uniquement en 443 :)
Conclusion : Fin du game "shadow it" des utilisateurs chez nous mais un
réel gain et simplicité en terme de gestion des réseaux. Ah oui on y gagne
a ce qu'il paraît en sécurité ;)
Baptiste,
Le mar. 1 sept. 2020 à 18:02, Fabien VINCENT FrNOG via frnog <
frnog@frnog.org> a écrit :
> Hum, ça dépend ce qu'on entend par NAC. 802.1x ça juste marche dans la
> plupart des cas et ça fait le job de contrôle d'accès L2.
>
> Maintenant, si tu veux partir sur plus complexe avec des produits avec
> clients lourds installés sur les postes qui vérifient l'état de
> l'antivirus, les MaJ appliquées et les logiciels installés,
> effectivement c'est souvent un peu lourd, et passer au firewall / VPN
> pour contrôler les flux IP c'est souvent suffisant.
>
> Tout ça c'est dépendant d'une politique de sécurité. Si ton job c'est de
> verrouiller l'accès au réseau, alors 802.1x fait le café si tes
> équipements sont assez homogènes et supportent le 802.1x. Si ton job
> c'est de verrouiller l'accès aux services (aka du cloud over IP), alors
> oui un bon firewall/IPS/Détection d'applications et VPN fait le job.
>
> Mais c'est clair que les produits de NAC et d'enforcement des postes de
> travail, c'est vite une usine à gaz, surtout en si tu as autre chose que
> du windose.
>
> Fabien
>
> Le 01-09-2020 17:34, A Gaillard a écrit :
> > Hello,
> >
> > Même retour que Guillaume, le NAC c'est beau sur le papier.
> > En vrai à installer ça coute 2 bras, c'est hyper compliqué à gérer, dès
> > que
> > t'as de l'historique (type vieux téléphones, vieilles caisses, vieilles
> > caméras, etc.) tu fais des exceptions qui cassent une bonne partie de
> > la
> > plus-value sécurité. Et à gérer pendant la vie de la solution, tu as
> > besoin
> > d'une équipe dédiée, à la fois technique pour comprendre ce qu'il se
> > passe,
> > et capable de répondre aux "clients" interne lorsque madame michu
> > n'arrive
> > pas à se brancher sur la prise RJ45 du bureau de Michel qui, lui, avait
> > une
> > exception pour faire fonctionner son fax.
> >
> > Les quelques clients qu'on a accompagné sur le sujet avait de belles
> > ambitions, mais s'en sont souvent arrêté à la moitié de la phase 1
> > lorsqu'ils n'ont pas fait retour arrière.
> >
> > Je conseillerais donc d'éviter de partir dans ce genre de projet pour
> > éviter de perdre des sous en société de conseil, en gestion de projet,
> > en
> > équipements, en support, en recrutement d'équipe, et au passage
> > permettre
> > d'économiser 2 ans de la vie de plusieurs personnes :)
> >
> >
> > Adrien.
> >
> > Le mar. 1 sept. 2020 à 16:20, Guillaume Tournat via frnog
> > <frnog@frnog.org>
> > a écrit :
> >
> >> Bonjour,
> >>
> >> Cela me parait un meilleur investissement de considérer que le LAN
> >> n'est
> >> plus un réseau de confiance (approche Zero Trust)
> >>
> >> et que l'utilisateur doive être connecté en VPN en interne comme en
> >> externe (always on).
> >>
> >> De ce fait, les accès sont systématiquement authentifiés. Hormis
> >> l'accès
> >> vpn, tout autre flux => portail captif pour accès web.
> >>
> >>
> >> Le 01/09/2020 à 15:57, Jerome Lien a écrit :
> >> > Bonjour à tous,
> >> >
> >> > on se pose régulièrement la question d'ajouter un NAC dans notre
> >> > réseau pour mieux gérer les accès wifi/utilisateurs, les branchements
> de
> >> > tout et n'importe quoi sur les prises réseaux, les déplacements
> >> > d'équipements sans prévenir et voire de la conf de vlan automatique
> ...
> >> >
> >> > Actuellement on gère +/- 100 vlan pour la segmentation pour + de 5000
> >> IP's
> >> >
> >> > Je pense que certain d'entre vous on cela chez eux, des retours
> >> > d'expériences à partager ?
> >> >
> >> > merci à tous,
> >> > jérôme
> >> >
> >> > ---------------------------
> >> > Liste de diffusion du FRnOG
> >> > http://www.frnog.org/
> >>
> >>
> >> ---------------------------
> >> Liste de diffusion du FRnOG
> >> http://www.frnog.org/
> >>
> >
> > ---------------------------
> > Liste de diffusion du FRnOG
> > http://www.frnog.org/
>
> --
> Fabien VINCENT
> _@beufanet_
>
>
> ---------------------------
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
