Re: [FRnOG] [MISC] Problème de résolveurs DNS chez plusieurs FAI français le 1 sep.

2020-09-02 Par sujet Bill Woodcock


> On Sep 3, 2020, at 8:29 AM, Stephane Bortzmeyer  wrote:
> Il semble que le 1er septembre au soir, des pannes de résolveurs DNS
> aient touché plusieurs FAI français dont SFR et Bouygues. La
> simultaneité ou proximité de ces pannes fait penser à une attaque
> (motivations inconnues) plutôt qu'à une panne. (Pas
> de nouvelles sur Orange ou Free ; non touchés ?)
> Si quelqu'un a des détails autres que ce qui est dan les articles
> ci-dessus…
> Comme d'habitude à chaque panne, cela a amené de nombreux utilisateurs
> à migrer vers les résolveurs DNS des GAFA, d'où ils ne reviendront
> probablement pas.

Cela a également été signalé sur la liste de diffusion de l'UKNOF hier :

> Begin forwarded message:
> 
> From: Pim van Stam 
> Subject: [uknof] Large DDoS attacks on nameservers of ISP's
> Date: September 2, 2020 at 11:39:02 AM GMT+2
> To: uknof 
> 
> Hi all,
> 
> In The Netherlands we observe large DDoS attacks targeting ISP’s for more 
> then a week now.
> In the order of magnitude of 15-20 ISP’s are target one after the other. The 
> target within an ISP’s is the infrastructure itself. Mainly the name servers, 
> but also core routers.
> 
> Characteristics:
> * target: mainly namservers of an ISP
> * type: CLDAP and DNS amplification (UDP src port 389 and 53 and a lot of udp 
> fragments, sometimes mistakenly seen as udp port 0)
> * size: between 50G - 260G
> * duration: witrh mitigation: 5 - 60 minutes; without mitigation: hours, I 
> believe up to 6 hours, but maybe even longer
> It looks like the attacker is monitoring if succesful mitigation comes in 
> place. Attack will be stopped in that case and the attacker will move to new 
> target. This is my observation btw.
> 
> What I like to know if this DDoS campaign is a Dutch thing or is 
> international.
> We see also Belgium ISP’s attacked, but they also have presence in NL.
> 
> Has someone observed a DDoS with these characteristics outside NL or BE?
> 
> Best regards,
> 
> Pim van Stam
> NBIP-NaWas


-Bill



signature.asc
Description: Message signed with OpenPGP


Re: [FRnOG] [MISC] Problème de résolveurs DNS chez plusieurs FAI français le 1 sep.

2020-09-02 Par sujet Samuel Thibault
Samuel Thibault, le jeu. 03 sept. 2020 08:44:49 +0200, a ecrit:
> Chez FDN on a aussi eu quelques dizaines de Gbps ciblés vers DNS et
> LNS.

(entre minuit et 2h du matin du 2 septembre)

Samuel


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] Problème de résolveurs DNS chez plusieurs FAI français le 1 sep.

2020-09-02 Par sujet Samuel Thibault
Bonjour,

Stephane Bortzmeyer, le jeu. 03 sept. 2020 08:29:12 +0200, a ecrit:
> Il semble que le 1er septembre au soir, des pannes de résolveurs DNS
> aient touché plusieurs FAI français dont SFR
> 
> 
> et Bouygues
> . La
> simultaneité ou proximité de ces pannes fait penser à une attaque
> (motivations inconnues) plutôt qu'à une panne
> .
>  (Pas
> de nouvelles sur Orange ou Free ; non touchés ?)
> 
> Si quelqu'un a des détails autres que ce qui est dan les articles
> ci-dessus…

Chez FDN on a aussi eu quelques dizaines de Gbps ciblés vers DNS et
LNS.

Samuel


---
Liste de diffusion du FRnOG
http://www.frnog.org/


[FRnOG] [MISC] Problème de résolveurs DNS chez plusieurs FAI français le 1 sep.

2020-09-02 Par sujet Stephane Bortzmeyer
Il semble que le 1er septembre au soir, des pannes de résolveurs DNS
aient touché plusieurs FAI français dont SFR


et Bouygues
. La
simultaneité ou proximité de ces pannes fait penser à une attaque
(motivations inconnues) plutôt qu'à une panne
.
 (Pas
de nouvelles sur Orange ou Free ; non touchés ?)

Si quelqu'un a des détails autres que ce qui est dan les articles
ci-dessus…

Comme d'habitude à chaque panne, cela a amené de nombreux utilisateurs
à migrer vers les résolveurs DNS des GAFA, d'où ils ne reviendront
probablement pas.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


[FRnOG] [JOBS] ** Job Alert ** Hexanet - Recrutement d'un admin réseau sur Reims / LeMans / Angers

2020-09-02 Par sujet Nicolas KARP
Bonjour à tous,

Nous (Hexanet AS34863) recrutons quelques profils techniques (Systèmes /
Réseaux / VoIP) pour renforcer nos équipes techniques et accompagner notre
forte croissance.

Nous avons un backbone national qui commence à être sympa à manager :

* 50 PE MPLS Cisco ASR 1k ou 9k
* 24 PoP et 50 raccos opérateurs
* 300 Fw Fortinet et autant de pfsense
* 2500 routeurs Cisco 800, quelques mikrotik
* 5 datacenters dont 2 en propre sur reims
* Cloud Privé / Cloud Public / Cloud HDS
* Technologies MPLS/VPN ; EVPN ; BGP ; IPv6 ; ...

De quoi se faire plaisir !! En plus de ça, nous avons une équipe motivée et
très sympa :-) 🍻

Nous recherchons un admin réseau voulant faire de l'exploitation niveau 3
sur nos infrastructures dédiées clients (Fortinet, Liens MPLS, EVPN, ...)
et souhaitant devenir expert sur un réseau de type opérateur.
Plus qu'un diplôme, nous recherchons des passionnés.  Nous sommes une
équipe de 13 personnes orientées Réseaux et VoIP.

Le poste est ouvert sur 3 de nos agences : Reims, LeMans et Angers.
https://www.hexanet.fr/jobs/administrateur-reseau-exploitation-hf

Si vous avez des questions, n'hésitez pas à m'envoyer moi un mail ou à me
contacter sur Linkedin ou Twitter.

A très bientôt.

*Nicolas KARP*
Responsable Telecom - Réseau et VoIP chez Hexanet

---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [BIZ] Recherche consultant expert Ubiquiti

2020-09-02 Par sujet OBConseil via frnog

  
  
Bonjour, 
  
  J'ai essayé de répondre en privé à ce message, malheureusement
  Microsoft ne souhaite pas que mon serveur de mail (pourtant
  correctement configuré et présent dans aucune RBL) ne puisse te
  communiquer ma réponse sur une adresse en @live.fr .
  La seule solution serait que je créé un compte Microsoft et que je
  demande, via un formulaire, la mise en white-list de l'IP de mon
  serveur SMTP, et je refuse de cautionner ce genre de comportement
  d'éviction de la part des GAFAM.
  (ce sujet a été évoqué il y a quelques semaines sur cette liste)
  
  Je ne peux que t'inviter à me contacter à l'aide d'une adresse
  mail provenant d'un fournisseur plus respectueux de la netiquette
  et des autres opérateurs. A défaut, bah tant pis.
  Dans tous les cas je te souhaite de trouver les réponses à tes
  questions.
  
  A+
  
  Julien
  
  
  
  
  
  Le 02/09/2020 à 17:04, Sébastien 65 a écrit :


  Bonjour la liste,

Je recherche un consultant expert UBIQUITI (AirMax/AirFiber).

Est-ce qu'il y a quelqu'un dans la liste ou une personne que vous conseilleriez ?

Plus d'info sur le besoin en PV.

Merci

---
Liste de diffusion du FRnOG
http://www.frnog.org/



  




Re: [FRnOG] [FRNOG][TECH] Mikrotik LTE forcer un opérateur

2020-09-02 Par sujet David Ponzone
Ca marche pas le paramètre operator ici:

https://wiki.mikrotik.com/wiki/Manual:Interface/LTE#LTE_Client 


?

> Le 2 sept. 2020 à 17:04, Laurent-Charles FABRE  a écrit :
> 
> Il ne me manque que la manip pour forcer le modem sur un opérateur de mon
> choix
> 
> Laurent-Charles FABRE
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/


[FRnOG] [FRNOG][TECH] Mikrotik LTE forcer un opérateur

2020-09-02 Par sujet Laurent-Charles FABRE
Bonjour la liste,

Ce mail parce que 1 qui sait vaut mieux que moi qui cherche (ce n'est peut
être pas citation originale ;-)

Je dispose de SIM multiopérateur.
Si je ne fais rien, le modem va toujours accrocher le réseau de l'opérateur
qui me fourni les SIM.
Bien sur, il se trouve que la meilleure couverture est souvent chez un
autre opérateur.
Je cherche le moyen de dire à mon modem mikrotik (j"ai le LTE et le LT6)
quel opérateur utiliser.

J'ai bien sur activé le roaming sinon rien ne marche.
Sur  Mikrotik je peux lancer un scan de réseau et trouver tous les
opérateurs visibles.
Sur un Huawei B715 ca marche nickel avec les 4 majors.
Donc je sais que les SIM le permettent bien.

Il ne me manque que la manip pour forcer le modem sur un opérateur de mon
choix

Laurent-Charles FABRE

---
Liste de diffusion du FRnOG
http://www.frnog.org/


[FRnOG] [BIZ] Recherche consultant expert Ubiquiti

2020-09-02 Par sujet Sébastien 65
Bonjour la liste,

Je recherche un consultant expert UBIQUITI (AirMax/AirFiber).

Est-ce qu'il y a quelqu'un dans la liste ou une personne que vous conseilleriez 
?

Plus d'info sur le besoin en PV.

Merci

---
Liste de diffusion du FRnOG
http://www.frnog.org/


RE: [FRnOG] [FRNOG][TECH] Network Access Control

2020-09-02 Par sujet Olivier Pruneyrac
Bonjour,

Je rajouterai quelques VLAN spéciaux et conf à prévoir pour mieux dormir :
- VLAN déploiement sans 802.1x dans une pièce protégée physiquement pour la 
masterisation des postes
- VLAN quarantaine quand les radius sont down avec les droits minimum pour 
accéder aux postes et les administrer

Quelques règles firewall prête mais désactivées pour bloquer l'accès des switch 
vers les radius : cela permet de forcer le passage dans le réseau de 
quarantaine pour tous les postes sur ces switch. On peut gérer la granularité 
suivant son archi switch (zone, étage, site, ...)
Bien utile quand l'admin système balance une GPO par erreur qui entraine de ne 
plus truster la PKI associée au certificat des ISE. Plutôt que de repasser à la 
main sur tous les postes, on force le passage en quarantaine et on balance une 
GPO qui corrige le problème puis on réouvre les accès des switch et tout le 
monde reviens comme avant.

Pour les presta on gèrent avec les principes du wifi byod, c’est-à-dire, un 
portail d'enregistrement filaire et l'équipe support qui ajoute l'@MAC dans le 
bon vlan pour une durée de 1 jour ou 1 semaine (il faut un compte AD sinon on 
n'a aucun accès, pour les guest uniquement en wifi pas de filaire).
Suppression auto de toutes les Mac au bout d'une période d'inactivité sinon on 
décommissionne jamais les exceptions

Cordialement

Olivier Pruneyrac
olivier.pruney...@lugos.fr
+33 6 26 65 68 43

-Original Message-
From: frnog-requ...@frnog.org  On Behalf Of Alexandre 
JAFRI
Sent: 02 September 2020 12:06
To: list-fr...@beufa.net
Cc: frnog 
Subject: Re: [FRnOG] [FRNOG][TECH] Network Access Control

Bonjour à tous,

Je partage tout à fait le retour d'expérience (très détaillé, merci à toi) de 
Baptiste.

J'ai intégré la solution Cisco ISE chez plusieurs clients et le onboarding est 
la clé d'une exploitation réduite car gestion déportée chez l'utilisateur (qui 
est de plus en plus demandeur d'autonomie).

Comme on l'a dit, le NAC/ISE supprime les tâches rébarbatives liées aux VLAN. 
J'ajouterai que ceci permet d'instruire la fonction TrustSec qui permet une 
sécurisation au sein du LAN et ainsi :
1. Ne plus s'arrêter à un filtrage par adresse IP ; 2. Mettre en place du 
filtrage dans des environnements où le ré-adressage n'est pas envisageable 
(industriel, médical, etc.) ; 3. Soulager des firewalls pour des flux qui ne le 
nécessite pas (PC => serveur impression => imprimante).

Et je conseille souvent la mise en place d'ISE + TrustSec que l'upgrade d'un 
cluster de firewalls pour les flux Est-Ouest.

Cordialement,
 
Alexandre Jafri
Stillnetwork  | Directeur Technique | +33 6 10 37 31 96
 

Le 02/09/2020 11:33, « frnog-requ...@frnog.org au nom de Baptiste Chappe » 
 a écrit :

Bonjour,
Je suis d'accord avec le post de Fabien mais le genre de problématique est
largement gérable par une délégation de la gestion au support.
Petit retour sur la mise en place du nac tout frais chez nous.

Taille de l'équipe pour la mise en place : 3 chef de projet et un
intégrateur performant + quelques experts en interne. Environ 6 mois de job
après un rapide poc. Pas trop de le choix de mettre en place ce genre de
techno devant l'évolution croissante de la boîte (+15%ans depuis 10 ans).

Taille équipe projet : 1 intégrateur compétent cisco Gold + 2 CDP + 2
expert tech et une bonne volonté de l'ensemble des utilisateurs DSI.
Taille du run : 6 techs + 3 admins + 2 experts tech
Périmètre : 90 sites en france et un site central.
Coté taille : environ 40 000 prises et 1500 AP Wifi pour 2500 salariés et
1000 prestas, 30 vlans similaires par site distant et 200 sur le site
central. Un peu plus de 4500 IP connectés ce matin sur nos braves DHCP
Windows.

Quand ou ouvre le capot : C'est du Cisco et de l'appliance Cisco ISE. En
soit un gros serveur freeradius. Coté switch, Cisco partout. Un peu
d'Ucopia pour les portal guest pour les différentes populations.

Coté périphérique :
Windows en majorité pour les postes avec du certificat issu des PKI.
Télèphone Cisco géré à la mac sur le voice vlan.
Le reste est à l'@mac (caméra, imprimante...etc). Les postes utilisateurs
tombent dans un vlan par défault. Une fois loggé, le poste bascule sur le
réseaux "DSI" DRH...etc.
Si computer inconnu ou non déclaré, vlan guest avec portal captif.

La clef de la réussite : Le fameux on bording des périphériques (interne,
externe, mac, certificat, whatelse ?) et la cohérence des réseaux (plus
particulièrement les numéros de vlan).
Devant le nombre de périphériques à gérer, on a développé une webinterface
"user friendly support" pour permettre au support N1 de faire les
modifications de mac et groupe de sécurité Windows.

Les difficultés rencontrés : Gestion des groupes de sécurité Windows. Qui
va ou, comment faire pour avoir un onbording performant.
Gestion des exceptions (comment donner du réseaux à u

Re: [FRnOG] [FRNOG][TECH] Network Access Control

2020-09-02 Par sujet Alexandre JAFRI
Bonjour à tous,

Je partage tout à fait le retour d'expérience (très détaillé, merci à toi) de 
Baptiste.

J'ai intégré la solution Cisco ISE chez plusieurs clients et le onboarding est 
la clé d'une exploitation réduite car gestion déportée chez l'utilisateur (qui 
est de plus en plus demandeur d'autonomie).

Comme on l'a dit, le NAC/ISE supprime les tâches rébarbatives liées aux VLAN. 
J'ajouterai que ceci permet d'instruire la fonction TrustSec qui permet une 
sécurisation au sein du LAN et ainsi :
1. Ne plus s'arrêter à un filtrage par adresse IP ;
2. Mettre en place du filtrage dans des environnements où le ré-adressage n'est 
pas envisageable (industriel, médical, etc.) ;
3. Soulager des firewalls pour des flux qui ne le nécessite pas (PC => serveur 
impression => imprimante).

Et je conseille souvent la mise en place d'ISE + TrustSec que l'upgrade d'un 
cluster de firewalls pour les flux Est-Ouest.

Cordialement,
 
Alexandre Jafri
Stillnetwork  | Directeur Technique | +33 6 10 37 31 96
 

Le 02/09/2020 11:33, « frnog-requ...@frnog.org au nom de Baptiste Chappe » 
 a écrit :

Bonjour,
Je suis d'accord avec le post de Fabien mais le genre de problématique est
largement gérable par une délégation de la gestion au support.
Petit retour sur la mise en place du nac tout frais chez nous.

Taille de l'équipe pour la mise en place : 3 chef de projet et un
intégrateur performant + quelques experts en interne. Environ 6 mois de job
après un rapide poc. Pas trop de le choix de mettre en place ce genre de
techno devant l'évolution croissante de la boîte (+15%ans depuis 10 ans).

Taille équipe projet : 1 intégrateur compétent cisco Gold + 2 CDP + 2
expert tech et une bonne volonté de l'ensemble des utilisateurs DSI.
Taille du run : 6 techs + 3 admins + 2 experts tech
Périmètre : 90 sites en france et un site central.
Coté taille : environ 40 000 prises et 1500 AP Wifi pour 2500 salariés et
1000 prestas, 30 vlans similaires par site distant et 200 sur le site
central. Un peu plus de 4500 IP connectés ce matin sur nos braves DHCP
Windows.

Quand ou ouvre le capot : C'est du Cisco et de l'appliance Cisco ISE. En
soit un gros serveur freeradius. Coté switch, Cisco partout. Un peu
d'Ucopia pour les portal guest pour les différentes populations.

Coté périphérique :
Windows en majorité pour les postes avec du certificat issu des PKI.
Télèphone Cisco géré à la mac sur le voice vlan.
Le reste est à l'@mac (caméra, imprimante...etc). Les postes utilisateurs
tombent dans un vlan par défault. Une fois loggé, le poste bascule sur le
réseaux "DSI" DRH...etc.
Si computer inconnu ou non déclaré, vlan guest avec portal captif.

La clef de la réussite : Le fameux on bording des périphériques (interne,
externe, mac, certificat, whatelse ?) et la cohérence des réseaux (plus
particulièrement les numéros de vlan).
Devant le nombre de périphériques à gérer, on a développé une webinterface
"user friendly support" pour permettre au support N1 de faire les
modifications de mac et groupe de sécurité Windows.

Les difficultés rencontrés : Gestion des groupes de sécurité Windows. Qui
va ou, comment faire pour avoir un onbording performant.
Gestion des exceptions (comment donner du réseaux à un presta en charge
d'installer un outil sur le SI Interne pour une seul journée n'ayant pas de
PC de la boite ?)
Le risque : Si perte des PKI Windows, du renouvellement des certificats,
des liaisons au DC ou des serveur radius en eux même, c'est terminé pour
tout le monde. Se prévoir quelques prises non 802.1X dans les
bureaux d'admin.

Concernant la difficultées d'administration : Il faut a mon sens absolument
déléguer les tâches courante de la gestion des accès au support N1. Je
parle en prenant la casquette de
CDP/ExpertTech/SupportTechNiveau3et1//Plombier Réseaux/Sysadmin.

Coté surprise :
Chez Cisco, on paye la taille de l'appliance et le nombre de périphériques
de connectés...
Plein de shadow IT des utilisateurs. C'est dingue le nombre de truc qui
discute uniquement en 443 :)

Conclusion : Fin du game "shadow it" des utilisateurs chez nous mais un
réel gain et simplicité en terme de gestion des réseaux. Ah oui on y gagne
a ce qu'il paraît en sécurité ;)

Baptiste,

Le mar. 1 sept. 2020 à 18:02, Fabien VINCENT FrNOG via frnog <
frnog@frnog.org> a écrit :

> Hum, ça dépend ce qu'on entend par NAC. 802.1x ça juste marche dans la
> plupart des cas et ça fait le job de contrôle d'accès L2.
>
> Maintenant, si tu veux partir sur plus complexe avec des produits avec
> clients lourds installés sur les postes qui vérifient l'état de
> l'antivirus, les MaJ appliquées et les logiciels installés,
> effectivement c'est souvent un peu lourd, et passer au firewall / VPN
> pour contrôler les flux IP c'est souven

Re: [FRnOG] [FRNOG][TECH] Network Access Control

2020-09-02 Par sujet Baptiste Chappe
Bonjour,
Je suis d'accord avec le post de Fabien mais le genre de problématique est
largement gérable par une délégation de la gestion au support.
Petit retour sur la mise en place du nac tout frais chez nous.

Taille de l'équipe pour la mise en place : 3 chef de projet et un
intégrateur performant + quelques experts en interne. Environ 6 mois de job
après un rapide poc. Pas trop de le choix de mettre en place ce genre de
techno devant l'évolution croissante de la boîte (+15%ans depuis 10 ans).

Taille équipe projet : 1 intégrateur compétent cisco Gold + 2 CDP + 2
expert tech et une bonne volonté de l'ensemble des utilisateurs DSI.
Taille du run : 6 techs + 3 admins + 2 experts tech
Périmètre : 90 sites en france et un site central.
Coté taille : environ 40 000 prises et 1500 AP Wifi pour 2500 salariés et
1000 prestas, 30 vlans similaires par site distant et 200 sur le site
central. Un peu plus de 4500 IP connectés ce matin sur nos braves DHCP
Windows.

Quand ou ouvre le capot : C'est du Cisco et de l'appliance Cisco ISE. En
soit un gros serveur freeradius. Coté switch, Cisco partout. Un peu
d'Ucopia pour les portal guest pour les différentes populations.

Coté périphérique :
Windows en majorité pour les postes avec du certificat issu des PKI.
Télèphone Cisco géré à la mac sur le voice vlan.
Le reste est à l'@mac (caméra, imprimante...etc). Les postes utilisateurs
tombent dans un vlan par défault. Une fois loggé, le poste bascule sur le
réseaux "DSI" DRH...etc.
Si computer inconnu ou non déclaré, vlan guest avec portal captif.

La clef de la réussite : Le fameux on bording des périphériques (interne,
externe, mac, certificat, whatelse ?) et la cohérence des réseaux (plus
particulièrement les numéros de vlan).
Devant le nombre de périphériques à gérer, on a développé une webinterface
"user friendly support" pour permettre au support N1 de faire les
modifications de mac et groupe de sécurité Windows.

Les difficultés rencontrés : Gestion des groupes de sécurité Windows. Qui
va ou, comment faire pour avoir un onbording performant.
Gestion des exceptions (comment donner du réseaux à un presta en charge
d'installer un outil sur le SI Interne pour une seul journée n'ayant pas de
PC de la boite ?)
Le risque : Si perte des PKI Windows, du renouvellement des certificats,
des liaisons au DC ou des serveur radius en eux même, c'est terminé pour
tout le monde. Se prévoir quelques prises non 802.1X dans les
bureaux d'admin.

Concernant la difficultées d'administration : Il faut a mon sens absolument
déléguer les tâches courante de la gestion des accès au support N1. Je
parle en prenant la casquette de
CDP/ExpertTech/SupportTechNiveau3et1//Plombier Réseaux/Sysadmin.

Coté surprise :
Chez Cisco, on paye la taille de l'appliance et le nombre de périphériques
de connectés...
Plein de shadow IT des utilisateurs. C'est dingue le nombre de truc qui
discute uniquement en 443 :)

Conclusion : Fin du game "shadow it" des utilisateurs chez nous mais un
réel gain et simplicité en terme de gestion des réseaux. Ah oui on y gagne
a ce qu'il paraît en sécurité ;)

Baptiste,

Le mar. 1 sept. 2020 à 18:02, Fabien VINCENT FrNOG via frnog <
frnog@frnog.org> a écrit :

> Hum, ça dépend ce qu'on entend par NAC. 802.1x ça juste marche dans la
> plupart des cas et ça fait le job de contrôle d'accès L2.
>
> Maintenant, si tu veux partir sur plus complexe avec des produits avec
> clients lourds installés sur les postes qui vérifient l'état de
> l'antivirus, les MaJ appliquées et les logiciels installés,
> effectivement c'est souvent un peu lourd, et passer au firewall / VPN
> pour contrôler les flux IP c'est souvent suffisant.
>
> Tout ça c'est dépendant d'une politique de sécurité. Si ton job c'est de
> verrouiller l'accès au réseau, alors 802.1x fait le café si tes
> équipements sont assez homogènes et supportent le 802.1x. Si ton job
> c'est de verrouiller l'accès aux services (aka du cloud over IP), alors
> oui un bon firewall/IPS/Détection d'applications et VPN fait le job.
>
> Mais c'est clair que les produits de NAC et d'enforcement des postes de
> travail, c'est vite une usine à gaz, surtout en si tu as autre chose que
> du windose.
>
> Fabien
>
> Le 01-09-2020 17:34, A Gaillard a écrit :
> > Hello,
> >
> > Même retour que Guillaume, le NAC c'est beau sur le papier.
> > En vrai à installer ça coute 2 bras, c'est hyper compliqué à gérer, dès
> > que
> > t'as de l'historique (type vieux téléphones, vieilles caisses, vieilles
> > caméras, etc.) tu fais des exceptions qui cassent une bonne partie de
> > la
> > plus-value sécurité. Et à gérer pendant la vie de la solution, tu as
> > besoin
> > d'une équipe dédiée, à la fois technique pour comprendre ce qu'il se
> > passe,
> > et capable de répondre aux "clients" interne lorsque madame michu
> > n'arrive
> > pas à se brancher sur la prise RJ45 du bureau de Michel qui, lui, avait
> > une
> > exception pour faire fonctionner son fax.
> >
> > Les quelques clients qu'on a accompagné sur le sujet