Bonsoir, On a déployé du NAC en multi-sites, multi-vlan, multi-équipements, et c'est... pas simple. La totale, avec réseau de parking, et bientôt un portail captif unifié filaire et wifi si tout va bien Une fois en place, c'est génial, tu peux dire aux utilisateurs de brancher n'importe quoi sur n'importe quelle prise. L'équipe peut enfin se consacrer à des sujets plus intéressants que affecter des vlans
Comme dit plus haut, le 802.1x ça juste marche sur du Windows + AD + certificats via ADCS C'est complètement transparent, y compris lors de la masterisation des postes. A aucun moment l'utilisateur ne s'en rend compte, on gère même l'affectation de vlan selon des groupes utilisateurs AD Bon rien que ça, on ne va pas se le cacher, c'est un peu de boulot, mais une fois en place ca tourne tout seul, quasiment aucune charge de troubleshoot. En revanche, le gros du boulot c'est le reste, car pour qu'un NAC soit vraiment efficace, tout doit être NACé, du sol au plafond. Pour y arriver, ne comptez pas que sur le 802.1x. On a eu beau chercher, et chercher encore, très peu d'équipements en place (en dehors des PCs) étaient capable de faire du 802.1x dans notre contexte Le peu qui était censé le faire (comme nos téléphones IPs) le faisait mal, voir très mal. Et ca nous bloquait pour les équipements normalement auto-provisionnés en sortie de carton (téléphone, borne wifi, DECT, ..), car sans conf 802.1x initiale, pas d'accès au serveur de provisionning.. Bref, on a fait de l'authent MAC en parallèle du 802.1x, pas le choix. Bon, on va pas se le cacher, l'authen MAC c'est plus pour l'affectation automatique des VLANs que pour la sécurité, c'est trop facile à usurper. On a des milliers de prises à gérer, et on affecte quasiment plus aucun vlan à la main. Notre HelpDesk est parfaitement autonome pour déplacer des bureaux, des imprimantes et j'en passe. Au final, on a surtout gagné en réactivité et en flexibilité. Pour conclure, un NAC n'apporte pas grand chose en terme de sécurité Certes ça protège un peu, mais tant que des "potentiels méchants" auront accès physiquement aux équipements et aux prises, vous ne pourrez pas les protéger correctement. Ceci est aussi vrai en 802.1x ultra sécurisé via certificats, car vous ne pourrez pas empêcher la pose d'un man in the middle physique, à l'insu de l'utilisateur réellement connecté à la prise. Il ne vous libérera donc pas de tout filtrer et contrôler via des pare-feux dignes de ce nom. Tout ce qui est sensible devrait en plus être réencapsulé dans des tunnels, ou accéder depuis des postes virtuels distant à mon sens. Et surtout, passez les patchs partout, ca va de soi, et pas uniquement sur les PCs bien sûr. Par contre, l'affectation automatique de vlan sur des milliers de prises, c'est le pied ! Pour rien au monde on ne reviendrai la dessus Enfin pour le sujet du VPN, attention aux perfs. Le VPN ça consomme du CPU sur le poste, et c'est difficile de faire passer beaucoup (vraiment beaucoup) de trafic. Je n'arrive pas à dépasser les 40Mb/s et à condition de plafonner à 100% tous les coeurs de mon i7 Bonne soirée à tous Le mar. 1 sept. 2020 à 20:46, Philippe Bourcier <phili...@frnog.org> a écrit : > Bonsoir, > > 802.1x sans client lourd ca fonctionne parfaitement et ca se déploie > rapidement... > C'était mon approche favorite jusqu'au Covid. > > > Cela me parait un meilleur investissement de considérer que le LAN n'est > plus un réseau de > > confiance (approche Zero Trust) > > et que l'utilisateur doive être connecté en VPN en interne comme en > externe (always on). > > Mais j'avoue que je trouve ca vraiment sexy comme approche de faire du > "tous en VPN", d'autant que les clients VPNs sont bien au point pour ce qui > est du suivi/validation des mises à jour AV/OS pré-connexion... Je trouve > que c'est une très bonne idée. > > > Cordialement, > -- > Philippe Bourcier > web : http://sysctl.org/ > blog : https://www.linkedin.com/today/author/philippebourcier > > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
