RE: [FRnOG] [FRNOG][TECH] Network Access Control
Bonjour, Je rajouterai quelques VLAN spéciaux et conf à prévoir pour mieux dormir : - VLAN déploiement sans 802.1x dans une pièce protégée physiquement pour la masterisation des postes - VLAN quarantaine quand les radius sont down avec les droits minimum pour accéder aux postes et les administrer Quelques règles firewall prête mais désactivées pour bloquer l'accès des switch vers les radius : cela permet de forcer le passage dans le réseau de quarantaine pour tous les postes sur ces switch. On peut gérer la granularité suivant son archi switch (zone, étage, site, ...) Bien utile quand l'admin système balance une GPO par erreur qui entraine de ne plus truster la PKI associée au certificat des ISE. Plutôt que de repasser à la main sur tous les postes, on force le passage en quarantaine et on balance une GPO qui corrige le problème puis on réouvre les accès des switch et tout le monde reviens comme avant. Pour les presta on gèrent avec les principes du wifi byod, c’est-à-dire, un portail d'enregistrement filaire et l'équipe support qui ajoute l'@MAC dans le bon vlan pour une durée de 1 jour ou 1 semaine (il faut un compte AD sinon on n'a aucun accès, pour les guest uniquement en wifi pas de filaire). Suppression auto de toutes les Mac au bout d'une période d'inactivité sinon on décommissionne jamais les exceptions Cordialement Olivier Pruneyrac olivier.pruney...@lugos.fr +33 6 26 65 68 43 -Original Message- From: frnog-requ...@frnog.org On Behalf Of Alexandre JAFRI Sent: 02 September 2020 12:06 To: list-fr...@beufa.net Cc: frnog Subject: Re: [FRnOG] [FRNOG][TECH] Network Access Control Bonjour à tous, Je partage tout à fait le retour d'expérience (très détaillé, merci à toi) de Baptiste. J'ai intégré la solution Cisco ISE chez plusieurs clients et le onboarding est la clé d'une exploitation réduite car gestion déportée chez l'utilisateur (qui est de plus en plus demandeur d'autonomie). Comme on l'a dit, le NAC/ISE supprime les tâches rébarbatives liées aux VLAN. J'ajouterai que ceci permet d'instruire la fonction TrustSec qui permet une sécurisation au sein du LAN et ainsi : 1. Ne plus s'arrêter à un filtrage par adresse IP ; 2. Mettre en place du filtrage dans des environnements où le ré-adressage n'est pas envisageable (industriel, médical, etc.) ; 3. Soulager des firewalls pour des flux qui ne le nécessite pas (PC => serveur impression => imprimante). Et je conseille souvent la mise en place d'ISE + TrustSec que l'upgrade d'un cluster de firewalls pour les flux Est-Ouest. Cordialement, Alexandre Jafri Stillnetwork | Directeur Technique | +33 6 10 37 31 96 Le 02/09/2020 11:33, « frnog-requ...@frnog.org au nom de Baptiste Chappe » a écrit : Bonjour, Je suis d'accord avec le post de Fabien mais le genre de problématique est largement gérable par une délégation de la gestion au support. Petit retour sur la mise en place du nac tout frais chez nous. Taille de l'équipe pour la mise en place : 3 chef de projet et un intégrateur performant + quelques experts en interne. Environ 6 mois de job après un rapide poc. Pas trop de le choix de mettre en place ce genre de techno devant l'évolution croissante de la boîte (+15%ans depuis 10 ans). Taille équipe projet : 1 intégrateur compétent cisco Gold + 2 CDP + 2 expert tech et une bonne volonté de l'ensemble des utilisateurs DSI. Taille du run : 6 techs + 3 admins + 2 experts tech Périmètre : 90 sites en france et un site central. Coté taille : environ 40 000 prises et 1500 AP Wifi pour 2500 salariés et 1000 prestas, 30 vlans similaires par site distant et 200 sur le site central. Un peu plus de 4500 IP connectés ce matin sur nos braves DHCP Windows. Quand ou ouvre le capot : C'est du Cisco et de l'appliance Cisco ISE. En soit un gros serveur freeradius. Coté switch, Cisco partout. Un peu d'Ucopia pour les portal guest pour les différentes populations. Coté périphérique : Windows en majorité pour les postes avec du certificat issu des PKI. Télèphone Cisco géré à la mac sur le voice vlan. Le reste est à l'@mac (caméra, imprimante...etc). Les postes utilisateurs tombent dans un vlan par défault. Une fois loggé, le poste bascule sur le réseaux "DSI" DRH...etc. Si computer inconnu ou non déclaré, vlan guest avec portal captif. La clef de la réussite : Le fameux on bording des périphériques (interne, externe, mac, certificat, whatelse ?) et la cohérence des réseaux (plus particulièrement les numéros de vlan). Devant le nombre de périphériques à gérer, on a développé une webinterface "user friendly support" pour permettre au support N1 de faire les modifications de mac et groupe de sécurité Windows. Les difficultés ren
Re: [FRnOG] [FRNOG][TECH] Network Access Control
Bonjour à tous, Je partage tout à fait le retour d'expérience (très détaillé, merci à toi) de Baptiste. J'ai intégré la solution Cisco ISE chez plusieurs clients et le onboarding est la clé d'une exploitation réduite car gestion déportée chez l'utilisateur (qui est de plus en plus demandeur d'autonomie). Comme on l'a dit, le NAC/ISE supprime les tâches rébarbatives liées aux VLAN. J'ajouterai que ceci permet d'instruire la fonction TrustSec qui permet une sécurisation au sein du LAN et ainsi : 1. Ne plus s'arrêter à un filtrage par adresse IP ; 2. Mettre en place du filtrage dans des environnements où le ré-adressage n'est pas envisageable (industriel, médical, etc.) ; 3. Soulager des firewalls pour des flux qui ne le nécessite pas (PC => serveur impression => imprimante). Et je conseille souvent la mise en place d'ISE + TrustSec que l'upgrade d'un cluster de firewalls pour les flux Est-Ouest. Cordialement, Alexandre Jafri Stillnetwork | Directeur Technique | +33 6 10 37 31 96 Le 02/09/2020 11:33, « frnog-requ...@frnog.org au nom de Baptiste Chappe » a écrit : Bonjour, Je suis d'accord avec le post de Fabien mais le genre de problématique est largement gérable par une délégation de la gestion au support. Petit retour sur la mise en place du nac tout frais chez nous. Taille de l'équipe pour la mise en place : 3 chef de projet et un intégrateur performant + quelques experts en interne. Environ 6 mois de job après un rapide poc. Pas trop de le choix de mettre en place ce genre de techno devant l'évolution croissante de la boîte (+15%ans depuis 10 ans). Taille équipe projet : 1 intégrateur compétent cisco Gold + 2 CDP + 2 expert tech et une bonne volonté de l'ensemble des utilisateurs DSI. Taille du run : 6 techs + 3 admins + 2 experts tech Périmètre : 90 sites en france et un site central. Coté taille : environ 40 000 prises et 1500 AP Wifi pour 2500 salariés et 1000 prestas, 30 vlans similaires par site distant et 200 sur le site central. Un peu plus de 4500 IP connectés ce matin sur nos braves DHCP Windows. Quand ou ouvre le capot : C'est du Cisco et de l'appliance Cisco ISE. En soit un gros serveur freeradius. Coté switch, Cisco partout. Un peu d'Ucopia pour les portal guest pour les différentes populations. Coté périphérique : Windows en majorité pour les postes avec du certificat issu des PKI. Télèphone Cisco géré à la mac sur le voice vlan. Le reste est à l'@mac (caméra, imprimante...etc). Les postes utilisateurs tombent dans un vlan par défault. Une fois loggé, le poste bascule sur le réseaux "DSI" DRH...etc. Si computer inconnu ou non déclaré, vlan guest avec portal captif. La clef de la réussite : Le fameux on bording des périphériques (interne, externe, mac, certificat, whatelse ?) et la cohérence des réseaux (plus particulièrement les numéros de vlan). Devant le nombre de périphériques à gérer, on a développé une webinterface "user friendly support" pour permettre au support N1 de faire les modifications de mac et groupe de sécurité Windows. Les difficultés rencontrés : Gestion des groupes de sécurité Windows. Qui va ou, comment faire pour avoir un onbording performant. Gestion des exceptions (comment donner du réseaux à un presta en charge d'installer un outil sur le SI Interne pour une seul journée n'ayant pas de PC de la boite ?) Le risque : Si perte des PKI Windows, du renouvellement des certificats, des liaisons au DC ou des serveur radius en eux même, c'est terminé pour tout le monde. Se prévoir quelques prises non 802.1X dans les bureaux d'admin. Concernant la difficultées d'administration : Il faut a mon sens absolument déléguer les tâches courante de la gestion des accès au support N1. Je parle en prenant la casquette de CDP/ExpertTech/SupportTechNiveau3et1//Plombier Réseaux/Sysadmin. Coté surprise : Chez Cisco, on paye la taille de l'appliance et le nombre de périphériques de connectés... Plein de shadow IT des utilisateurs. C'est dingue le nombre de truc qui discute uniquement en 443 :) Conclusion : Fin du game "shadow it" des utilisateurs chez nous mais un réel gain et simplicité en terme de gestion des réseaux. Ah oui on y gagne a ce qu'il paraît en sécurité ;) Baptiste, Le mar. 1 sept. 2020 à 18:02, Fabien VINCENT FrNOG via frnog < frnog@frnog.org> a écrit : > Hum, ça dépend ce qu'on entend par NAC. 802.1x ça juste marche dans la > plupart des cas et ça fait le job de contrôle d'accès L2. > > Maintenant, si tu veux partir sur plus complexe avec des produits avec > clients lourds installés sur les postes qui vérifient l'état de > l'antivirus, les MaJ appliquées et les logiciels installés, > effectivement c'est souvent un peu lourd, et passer au firewall / VPN > pour contrôler les flux IP c'est souven
Re: [FRnOG] [FRNOG][TECH] Network Access Control
Bonjour, Je suis d'accord avec le post de Fabien mais le genre de problématique est largement gérable par une délégation de la gestion au support. Petit retour sur la mise en place du nac tout frais chez nous. Taille de l'équipe pour la mise en place : 3 chef de projet et un intégrateur performant + quelques experts en interne. Environ 6 mois de job après un rapide poc. Pas trop de le choix de mettre en place ce genre de techno devant l'évolution croissante de la boîte (+15%ans depuis 10 ans). Taille équipe projet : 1 intégrateur compétent cisco Gold + 2 CDP + 2 expert tech et une bonne volonté de l'ensemble des utilisateurs DSI. Taille du run : 6 techs + 3 admins + 2 experts tech Périmètre : 90 sites en france et un site central. Coté taille : environ 40 000 prises et 1500 AP Wifi pour 2500 salariés et 1000 prestas, 30 vlans similaires par site distant et 200 sur le site central. Un peu plus de 4500 IP connectés ce matin sur nos braves DHCP Windows. Quand ou ouvre le capot : C'est du Cisco et de l'appliance Cisco ISE. En soit un gros serveur freeradius. Coté switch, Cisco partout. Un peu d'Ucopia pour les portal guest pour les différentes populations. Coté périphérique : Windows en majorité pour les postes avec du certificat issu des PKI. Télèphone Cisco géré à la mac sur le voice vlan. Le reste est à l'@mac (caméra, imprimante...etc). Les postes utilisateurs tombent dans un vlan par défault. Une fois loggé, le poste bascule sur le réseaux "DSI" DRH...etc. Si computer inconnu ou non déclaré, vlan guest avec portal captif. La clef de la réussite : Le fameux on bording des périphériques (interne, externe, mac, certificat, whatelse ?) et la cohérence des réseaux (plus particulièrement les numéros de vlan). Devant le nombre de périphériques à gérer, on a développé une webinterface "user friendly support" pour permettre au support N1 de faire les modifications de mac et groupe de sécurité Windows. Les difficultés rencontrés : Gestion des groupes de sécurité Windows. Qui va ou, comment faire pour avoir un onbording performant. Gestion des exceptions (comment donner du réseaux à un presta en charge d'installer un outil sur le SI Interne pour une seul journée n'ayant pas de PC de la boite ?) Le risque : Si perte des PKI Windows, du renouvellement des certificats, des liaisons au DC ou des serveur radius en eux même, c'est terminé pour tout le monde. Se prévoir quelques prises non 802.1X dans les bureaux d'admin. Concernant la difficultées d'administration : Il faut a mon sens absolument déléguer les tâches courante de la gestion des accès au support N1. Je parle en prenant la casquette de CDP/ExpertTech/SupportTechNiveau3et1//Plombier Réseaux/Sysadmin. Coté surprise : Chez Cisco, on paye la taille de l'appliance et le nombre de périphériques de connectés... Plein de shadow IT des utilisateurs. C'est dingue le nombre de truc qui discute uniquement en 443 :) Conclusion : Fin du game "shadow it" des utilisateurs chez nous mais un réel gain et simplicité en terme de gestion des réseaux. Ah oui on y gagne a ce qu'il paraît en sécurité ;) Baptiste, Le mar. 1 sept. 2020 à 18:02, Fabien VINCENT FrNOG via frnog < frnog@frnog.org> a écrit : > Hum, ça dépend ce qu'on entend par NAC. 802.1x ça juste marche dans la > plupart des cas et ça fait le job de contrôle d'accès L2. > > Maintenant, si tu veux partir sur plus complexe avec des produits avec > clients lourds installés sur les postes qui vérifient l'état de > l'antivirus, les MaJ appliquées et les logiciels installés, > effectivement c'est souvent un peu lourd, et passer au firewall / VPN > pour contrôler les flux IP c'est souvent suffisant. > > Tout ça c'est dépendant d'une politique de sécurité. Si ton job c'est de > verrouiller l'accès au réseau, alors 802.1x fait le café si tes > équipements sont assez homogènes et supportent le 802.1x. Si ton job > c'est de verrouiller l'accès aux services (aka du cloud over IP), alors > oui un bon firewall/IPS/Détection d'applications et VPN fait le job. > > Mais c'est clair que les produits de NAC et d'enforcement des postes de > travail, c'est vite une usine à gaz, surtout en si tu as autre chose que > du windose. > > Fabien > > Le 01-09-2020 17:34, A Gaillard a écrit : > > Hello, > > > > Même retour que Guillaume, le NAC c'est beau sur le papier. > > En vrai à installer ça coute 2 bras, c'est hyper compliqué à gérer, dès > > que > > t'as de l'historique (type vieux téléphones, vieilles caisses, vieilles > > caméras, etc.) tu fais des exceptions qui cassent une bonne partie de > > la > > plus-value sécurité. Et à gérer pendant la vie de la solution, tu as > > besoin > > d'une équipe dédiée, à la fois technique pour comprendre ce qu'il se > > passe, > > et capable de répondre aux "clients" interne lorsque madame michu > > n'arrive > > pas à se brancher sur la prise RJ45 du bureau de Michel qui, lui, avait > > une > > exception pour faire fonctionner son fax. > > > > Les quelques clients qu'on a accompagné sur le sujet
[MISC] Re: [FRnOG] [FRNOG][TECH] Network Access Control
Re, > On a eu beau chercher, et chercher encore, très peu d'équipements en place > (en dehors des PCs) étaient capable de faire du 802.1x dans notre contexte > Le peu qui était censé le faire (comme nos téléphones IPs) le faisait mal, > voir très mal. En 2013-2014, en mono-vendor (Switches/AP WiFi/Phones), on n'a eut aucun soucis... et même la majorité des imprimantes ont fonctionné en 802.1x. Pour certains vieux machins, il a fallu faire de l'auth MAC, comme toi, mais rarissime et jamais pour des VLANs importants. > Ceci est aussi vrai en 802.1x ultra sécurisé via certificats, car vous ne > pourrez pas empêcher la pose d'un man in the middle physique, à l'insu de > l'utilisateur réellement connecté à la prise. True. > Enfin pour le sujet du VPN, attention aux perfs. > Le VPN ça consomme du CPU sur le poste, et c'est difficile de faire passer > beaucoup (vraiment beaucoup) de trafic. > Je n'arrive pas à dépasser les 40Mb/s et à condition de plafonner à 100% > tous les coeurs de mon i7 Un bon client VPN va utiliser AES-NI et autres CLMUL, pour une conso CPU dans les 30% d'un seul core pour 800+ Mb/s de throughput (idem sur mobile, où il y a aussi les jeux d'instructions AES). Donc là, t'es vraiment tombé sur un mauvais client VPN où un algo bizarre à été choisi côté boitier VPN... Cordialement, -- Philippe Bourcier web : http://sysctl.org blog : https://www.linkedin.com/today/author/philippebourcier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [FRNOG][TECH] Network Access Control
Re, > Oui encore faut il que ce soit transparent le plus possible pour > l'utilisateur. > En 2008 je déployais des Juniper NetScreen SA Avec du Stormshield et des clés > RSA SecureID. C'était > cool, ça marchait bien... Pour un geek. En 2008 on faisait encore des VPNs IPSEC et c'était pas toujours génial (pour rester poli)... On a fait beaucoup de chemin depuis (VPN SSL). Pour les tokens hardware, j'ai toujours été contre les trucs proprios bien opaques... c'est bien triste que des DSIs fassent ce choix-là, mais bon, perso, j'ai beaucoup d'exemples de déploiements/usages VPNs "sans soucis". > Rien n'empêche d'ajouter l'un a l'autre, 802.1x peut être transparent pour le > end user. Oui, toujours du 802.1x pour le LAN/WiFi, mais ensuite on monte le VPN... comme ça l'expérience de connexion au réseau est toujours identique pour local ou remote et il n'y a plus de duplication des règles via VPN ou pas. Ca rajoute un composant sur le chemin, mais la redondance des boîtiers VPNs ca se gère bien et depuis longtemps... Bref, je n'y vois que des avantages. Cordialement, -- Philippe Bourcier web : http://sysctl.org blog : https://www.linkedin.com/today/author/philippebourcier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [FRNOG][TECH] Network Access Control
Bonsoir, On a déployé du NAC en multi-sites, multi-vlan, multi-équipements, et c'est... pas simple. La totale, avec réseau de parking, et bientôt un portail captif unifié filaire et wifi si tout va bien Une fois en place, c'est génial, tu peux dire aux utilisateurs de brancher n'importe quoi sur n'importe quelle prise. L'équipe peut enfin se consacrer à des sujets plus intéressants que affecter des vlans Comme dit plus haut, le 802.1x ça juste marche sur du Windows + AD + certificats via ADCS C'est complètement transparent, y compris lors de la masterisation des postes. A aucun moment l'utilisateur ne s'en rend compte, on gère même l'affectation de vlan selon des groupes utilisateurs AD Bon rien que ça, on ne va pas se le cacher, c'est un peu de boulot, mais une fois en place ca tourne tout seul, quasiment aucune charge de troubleshoot. En revanche, le gros du boulot c'est le reste, car pour qu'un NAC soit vraiment efficace, tout doit être NACé, du sol au plafond. Pour y arriver, ne comptez pas que sur le 802.1x. On a eu beau chercher, et chercher encore, très peu d'équipements en place (en dehors des PCs) étaient capable de faire du 802.1x dans notre contexte Le peu qui était censé le faire (comme nos téléphones IPs) le faisait mal, voir très mal. Et ca nous bloquait pour les équipements normalement auto-provisionnés en sortie de carton (téléphone, borne wifi, DECT, ..), car sans conf 802.1x initiale, pas d'accès au serveur de provisionning.. Bref, on a fait de l'authent MAC en parallèle du 802.1x, pas le choix. Bon, on va pas se le cacher, l'authen MAC c'est plus pour l'affectation automatique des VLANs que pour la sécurité, c'est trop facile à usurper. On a des milliers de prises à gérer, et on affecte quasiment plus aucun vlan à la main. Notre HelpDesk est parfaitement autonome pour déplacer des bureaux, des imprimantes et j'en passe. Au final, on a surtout gagné en réactivité et en flexibilité. Pour conclure, un NAC n'apporte pas grand chose en terme de sécurité Certes ça protège un peu, mais tant que des "potentiels méchants" auront accès physiquement aux équipements et aux prises, vous ne pourrez pas les protéger correctement. Ceci est aussi vrai en 802.1x ultra sécurisé via certificats, car vous ne pourrez pas empêcher la pose d'un man in the middle physique, à l'insu de l'utilisateur réellement connecté à la prise. Il ne vous libérera donc pas de tout filtrer et contrôler via des pare-feux dignes de ce nom. Tout ce qui est sensible devrait en plus être réencapsulé dans des tunnels, ou accéder depuis des postes virtuels distant à mon sens. Et surtout, passez les patchs partout, ca va de soi, et pas uniquement sur les PCs bien sûr. Par contre, l'affectation automatique de vlan sur des milliers de prises, c'est le pied ! Pour rien au monde on ne reviendrai la dessus Enfin pour le sujet du VPN, attention aux perfs. Le VPN ça consomme du CPU sur le poste, et c'est difficile de faire passer beaucoup (vraiment beaucoup) de trafic. Je n'arrive pas à dépasser les 40Mb/s et à condition de plafonner à 100% tous les coeurs de mon i7 Bonne soirée à tous Le mar. 1 sept. 2020 à 20:46, Philippe Bourcier a écrit : > Bonsoir, > > 802.1x sans client lourd ca fonctionne parfaitement et ca se déploie > rapidement... > C'était mon approche favorite jusqu'au Covid. > > > Cela me parait un meilleur investissement de considérer que le LAN n'est > plus un réseau de > > confiance (approche Zero Trust) > > et que l'utilisateur doive être connecté en VPN en interne comme en > externe (always on). > > Mais j'avoue que je trouve ca vraiment sexy comme approche de faire du > "tous en VPN", d'autant que les clients VPNs sont bien au point pour ce qui > est du suivi/validation des mises à jour AV/OS pré-connexion... Je trouve > que c'est une très bonne idée. > > > Cordialement, > -- > Philippe Bourcier > web : http://sysctl.org/ > blog : https://www.linkedin.com/today/author/philippebourcier > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [FRNOG][TECH] Network Access Control
Le 01-09-2020 20:46, Philippe Bourcier a écrit : Bonsoir, 802.1x sans client lourd ca fonctionne parfaitement et ca se déploie rapidement... C'était mon approche favorite jusqu'au Covid. Cela me parait un meilleur investissement de considérer que le LAN n'est plus un réseau de confiance (approche Zero Trust) et que l'utilisateur doive être connecté en VPN en interne comme en externe (always on). Mais j'avoue que je trouve ca vraiment sexy comme approche de faire du "tous en VPN", d'autant que les clients VPNs sont bien au point pour ce qui est du suivi/validation des mises à jour AV/OS pré-connexion... Je trouve que c'est une très bonne idée. Oui encore faut il que ce soit transparent le plus possible pour l'utilisateur. En 2008 je deployai des Juniper NetScreen SA Avec du Stormshield et des clés RSA SecureID. C'était cool, ça marchait bien... Pour un geek. Le problème c'est qu'il faut que ce soit un max transparent pour le end user pour éviter le problème d'interface chaise clavier. Avec le télétravail post covid, je pense que les difficultés des services de support end user doivent s'être complexifiées. Bref, encore une fois, je le vois pas sous cet angle. Pour moi, sécuriser un réseau physique = 802.1x. sécuriser un réseau logique / périmètre et des clients de plus en plus nomades (donc pas sur le réseau physique) = firewall / détection d'application / client vpn un peu plus lourd pour renforcer les mesures avant la connexion. Rien n'empêche d'ajouter l'un a l'autre, 802.1x peut être transparent pour le end user. Cordialement, -- Philippe Bourcier web : http://sysctl.org/ blog : https://www.linkedin.com/today/author/philippebourcier --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Fabien VINCENT _@beufanet_ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [FRNOG][TECH] Network Access Control
Bonsoir, 802.1x sans client lourd ca fonctionne parfaitement et ca se déploie rapidement... C'était mon approche favorite jusqu'au Covid. > Cela me parait un meilleur investissement de considérer que le LAN n'est plus > un réseau de > confiance (approche Zero Trust) > et que l'utilisateur doive être connecté en VPN en interne comme en externe > (always on). Mais j'avoue que je trouve ca vraiment sexy comme approche de faire du "tous en VPN", d'autant que les clients VPNs sont bien au point pour ce qui est du suivi/validation des mises à jour AV/OS pré-connexion... Je trouve que c'est une très bonne idée. Cordialement, -- Philippe Bourcier web : http://sysctl.org/ blog : https://www.linkedin.com/today/author/philippebourcier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [FRNOG][TECH] Network Access Control
Hum, ça dépend ce qu'on entend par NAC. 802.1x ça juste marche dans la plupart des cas et ça fait le job de contrôle d'accès L2. Maintenant, si tu veux partir sur plus complexe avec des produits avec clients lourds installés sur les postes qui vérifient l'état de l'antivirus, les MaJ appliquées et les logiciels installés, effectivement c'est souvent un peu lourd, et passer au firewall / VPN pour contrôler les flux IP c'est souvent suffisant. Tout ça c'est dépendant d'une politique de sécurité. Si ton job c'est de verrouiller l'accès au réseau, alors 802.1x fait le café si tes équipements sont assez homogènes et supportent le 802.1x. Si ton job c'est de verrouiller l'accès aux services (aka du cloud over IP), alors oui un bon firewall/IPS/Détection d'applications et VPN fait le job. Mais c'est clair que les produits de NAC et d'enforcement des postes de travail, c'est vite une usine à gaz, surtout en si tu as autre chose que du windose. Fabien Le 01-09-2020 17:34, A Gaillard a écrit : Hello, Même retour que Guillaume, le NAC c'est beau sur le papier. En vrai à installer ça coute 2 bras, c'est hyper compliqué à gérer, dès que t'as de l'historique (type vieux téléphones, vieilles caisses, vieilles caméras, etc.) tu fais des exceptions qui cassent une bonne partie de la plus-value sécurité. Et à gérer pendant la vie de la solution, tu as besoin d'une équipe dédiée, à la fois technique pour comprendre ce qu'il se passe, et capable de répondre aux "clients" interne lorsque madame michu n'arrive pas à se brancher sur la prise RJ45 du bureau de Michel qui, lui, avait une exception pour faire fonctionner son fax. Les quelques clients qu'on a accompagné sur le sujet avait de belles ambitions, mais s'en sont souvent arrêté à la moitié de la phase 1 lorsqu'ils n'ont pas fait retour arrière. Je conseillerais donc d'éviter de partir dans ce genre de projet pour éviter de perdre des sous en société de conseil, en gestion de projet, en équipements, en support, en recrutement d'équipe, et au passage permettre d'économiser 2 ans de la vie de plusieurs personnes :) Adrien. Le mar. 1 sept. 2020 à 16:20, Guillaume Tournat via frnog a écrit : Bonjour, Cela me parait un meilleur investissement de considérer que le LAN n'est plus un réseau de confiance (approche Zero Trust) et que l'utilisateur doive être connecté en VPN en interne comme en externe (always on). De ce fait, les accès sont systématiquement authentifiés. Hormis l'accès vpn, tout autre flux => portail captif pour accès web. Le 01/09/2020 à 15:57, Jerome Lien a écrit : > Bonjour à tous, > > on se pose régulièrement la question d'ajouter un NAC dans notre > réseau pour mieux gérer les accès wifi/utilisateurs, les branchements de > tout et n'importe quoi sur les prises réseaux, les déplacements > d'équipements sans prévenir et voire de la conf de vlan automatique ... > > Actuellement on gère +/- 100 vlan pour la segmentation pour + de 5000 IP's > > Je pense que certain d'entre vous on cela chez eux, des retours > d'expériences à partager ? > > merci à tous, > jérôme > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Fabien VINCENT _@beufanet_ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [FRNOG][TECH] Network Access Control
Hello, Même retour que Guillaume, le NAC c'est beau sur le papier. En vrai à installer ça coute 2 bras, c'est hyper compliqué à gérer, dès que t'as de l'historique (type vieux téléphones, vieilles caisses, vieilles caméras, etc.) tu fais des exceptions qui cassent une bonne partie de la plus-value sécurité. Et à gérer pendant la vie de la solution, tu as besoin d'une équipe dédiée, à la fois technique pour comprendre ce qu'il se passe, et capable de répondre aux "clients" interne lorsque madame michu n'arrive pas à se brancher sur la prise RJ45 du bureau de Michel qui, lui, avait une exception pour faire fonctionner son fax. Les quelques clients qu'on a accompagné sur le sujet avait de belles ambitions, mais s'en sont souvent arrêté à la moitié de la phase 1 lorsqu'ils n'ont pas fait retour arrière. Je conseillerais donc d'éviter de partir dans ce genre de projet pour éviter de perdre des sous en société de conseil, en gestion de projet, en équipements, en support, en recrutement d'équipe, et au passage permettre d'économiser 2 ans de la vie de plusieurs personnes :) Adrien. Le mar. 1 sept. 2020 à 16:20, Guillaume Tournat via frnog a écrit : > Bonjour, > > Cela me parait un meilleur investissement de considérer que le LAN n'est > plus un réseau de confiance (approche Zero Trust) > > et que l'utilisateur doive être connecté en VPN en interne comme en > externe (always on). > > De ce fait, les accès sont systématiquement authentifiés. Hormis l'accès > vpn, tout autre flux => portail captif pour accès web. > > > Le 01/09/2020 à 15:57, Jerome Lien a écrit : > > Bonjour à tous, > > > > on se pose régulièrement la question d'ajouter un NAC dans notre > > réseau pour mieux gérer les accès wifi/utilisateurs, les branchements de > > tout et n'importe quoi sur les prises réseaux, les déplacements > > d'équipements sans prévenir et voire de la conf de vlan automatique ... > > > > Actuellement on gère +/- 100 vlan pour la segmentation pour + de 5000 > IP's > > > > Je pense que certain d'entre vous on cela chez eux, des retours > > d'expériences à partager ? > > > > merci à tous, > > jérôme > > > > --- > > Liste de diffusion du FRnOG > > http://www.frnog.org/ > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [FRNOG][TECH] Network Access Control
Bonjour, Cela me parait un meilleur investissement de considérer que le LAN n'est plus un réseau de confiance (approche Zero Trust) et que l'utilisateur doive être connecté en VPN en interne comme en externe (always on). De ce fait, les accès sont systématiquement authentifiés. Hormis l'accès vpn, tout autre flux => portail captif pour accès web. Le 01/09/2020 à 15:57, Jerome Lien a écrit : Bonjour à tous, on se pose régulièrement la question d'ajouter un NAC dans notre réseau pour mieux gérer les accès wifi/utilisateurs, les branchements de tout et n'importe quoi sur les prises réseaux, les déplacements d'équipements sans prévenir et voire de la conf de vlan automatique ... Actuellement on gère +/- 100 vlan pour la segmentation pour + de 5000 IP's Je pense que certain d'entre vous on cela chez eux, des retours d'expériences à partager ? merci à tous, jérôme --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [FRNOG][TECH] Network Access Control
Bonjour à tous, on se pose régulièrement la question d'ajouter un NAC dans notre réseau pour mieux gérer les accès wifi/utilisateurs, les branchements de tout et n'importe quoi sur les prises réseaux, les déplacements d'équipements sans prévenir et voire de la conf de vlan automatique ... Actuellement on gère +/- 100 vlan pour la segmentation pour + de 5000 IP's Je pense que certain d'entre vous on cela chez eux, des retours d'expériences à partager ? merci à tous, jérôme --- Liste de diffusion du FRnOG http://www.frnog.org/
