Bonjour, Je suis d'accord avec le post de Fabien mais le genre de problématique est largement gérable par une délégation de la gestion au support. Petit retour sur la mise en place du nac tout frais chez nous.
Taille de l'équipe pour la mise en place : 3 chef de projet et un intégrateur performant + quelques experts en interne. Environ 6 mois de job après un rapide poc. Pas trop de le choix de mettre en place ce genre de techno devant l'évolution croissante de la boîte (+15%ans depuis 10 ans). Taille équipe projet : 1 intégrateur compétent cisco Gold + 2 CDP + 2 expert tech et une bonne volonté de l'ensemble des utilisateurs DSI. Taille du run : 6 techs + 3 admins + 2 experts tech Périmètre : 90 sites en france et un site central. Coté taille : environ 40 000 prises et 1500 AP Wifi pour 2500 salariés et 1000 prestas, 30 vlans similaires par site distant et 200 sur le site central. Un peu plus de 4500 IP connectés ce matin sur nos braves DHCP Windows. Quand ou ouvre le capot : C'est du Cisco et de l'appliance Cisco ISE. En soit un gros serveur freeradius. Coté switch, Cisco partout. Un peu d'Ucopia pour les portal guest pour les différentes populations. Coté périphérique : Windows en majorité pour les postes avec du certificat issu des PKI. Télèphone Cisco géré à la mac sur le voice vlan. Le reste est à l'@mac (caméra, imprimante...etc). Les postes utilisateurs tombent dans un vlan par défault. Une fois loggé, le poste bascule sur le réseaux "DSI" DRH...etc. Si computer inconnu ou non déclaré, vlan guest avec portal captif. La clef de la réussite : Le fameux on bording des périphériques (interne, externe, mac, certificat, whatelse ?) et la cohérence des réseaux (plus particulièrement les numéros de vlan). Devant le nombre de périphériques à gérer, on a développé une webinterface "user friendly support" pour permettre au support N1 de faire les modifications de mac et groupe de sécurité Windows. Les difficultés rencontrés : Gestion des groupes de sécurité Windows. Qui va ou, comment faire pour avoir un onbording performant. Gestion des exceptions (comment donner du réseaux à un presta en charge d'installer un outil sur le SI Interne pour une seul journée n'ayant pas de PC de la boite ?) Le risque : Si perte des PKI Windows, du renouvellement des certificats, des liaisons au DC ou des serveur radius en eux même, c'est terminé pour tout le monde. Se prévoir quelques prises non 802.1X dans les bureaux d'admin. Concernant la difficultées d'administration : Il faut a mon sens absolument déléguer les tâches courante de la gestion des accès au support N1. Je parle en prenant la casquette de CDP/ExpertTech/SupportTechNiveau3et1//Plombier Réseaux/Sysadmin. Coté surprise : Chez Cisco, on paye la taille de l'appliance et le nombre de périphériques de connectés... Plein de shadow IT des utilisateurs. C'est dingue le nombre de truc qui discute uniquement en 443 :) Conclusion : Fin du game "shadow it" des utilisateurs chez nous mais un réel gain et simplicité en terme de gestion des réseaux. Ah oui on y gagne a ce qu'il paraît en sécurité ;) Baptiste, Le mar. 1 sept. 2020 à 18:02, Fabien VINCENT FrNOG via frnog < frnog@frnog.org> a écrit : > Hum, ça dépend ce qu'on entend par NAC. 802.1x ça juste marche dans la > plupart des cas et ça fait le job de contrôle d'accès L2. > > Maintenant, si tu veux partir sur plus complexe avec des produits avec > clients lourds installés sur les postes qui vérifient l'état de > l'antivirus, les MaJ appliquées et les logiciels installés, > effectivement c'est souvent un peu lourd, et passer au firewall / VPN > pour contrôler les flux IP c'est souvent suffisant. > > Tout ça c'est dépendant d'une politique de sécurité. Si ton job c'est de > verrouiller l'accès au réseau, alors 802.1x fait le café si tes > équipements sont assez homogènes et supportent le 802.1x. Si ton job > c'est de verrouiller l'accès aux services (aka du cloud over IP), alors > oui un bon firewall/IPS/Détection d'applications et VPN fait le job. > > Mais c'est clair que les produits de NAC et d'enforcement des postes de > travail, c'est vite une usine à gaz, surtout en si tu as autre chose que > du windose. > > Fabien > > Le 01-09-2020 17:34, A Gaillard a écrit : > > Hello, > > > > Même retour que Guillaume, le NAC c'est beau sur le papier. > > En vrai à installer ça coute 2 bras, c'est hyper compliqué à gérer, dès > > que > > t'as de l'historique (type vieux téléphones, vieilles caisses, vieilles > > caméras, etc.) tu fais des exceptions qui cassent une bonne partie de > > la > > plus-value sécurité. Et à gérer pendant la vie de la solution, tu as > > besoin > > d'une équipe dédiée, à la fois technique pour comprendre ce qu'il se > > passe, > > et capable de répondre aux "clients" interne lorsque madame michu > > n'arrive > > pas à se brancher sur la prise RJ45 du bureau de Michel qui, lui, avait > > une > > exception pour faire fonctionner son fax. > > > > Les quelques clients qu'on a accompagné sur le sujet avait de belles > > ambitions, mais s'en sont souvent arrêté à la moitié de la phase 1 > > lorsqu'ils n'ont pas fait retour arrière. > > > > Je conseillerais donc d'éviter de partir dans ce genre de projet pour > > éviter de perdre des sous en société de conseil, en gestion de projet, > > en > > équipements, en support, en recrutement d'équipe, et au passage > > permettre > > d'économiser 2 ans de la vie de plusieurs personnes :) > > > > > > Adrien. > > > > Le mar. 1 sept. 2020 à 16:20, Guillaume Tournat via frnog > > <frnog@frnog.org> > > a écrit : > > > >> Bonjour, > >> > >> Cela me parait un meilleur investissement de considérer que le LAN > >> n'est > >> plus un réseau de confiance (approche Zero Trust) > >> > >> et que l'utilisateur doive être connecté en VPN en interne comme en > >> externe (always on). > >> > >> De ce fait, les accès sont systématiquement authentifiés. Hormis > >> l'accès > >> vpn, tout autre flux => portail captif pour accès web. > >> > >> > >> Le 01/09/2020 à 15:57, Jerome Lien a écrit : > >> > Bonjour à tous, > >> > > >> > on se pose régulièrement la question d'ajouter un NAC dans notre > >> > réseau pour mieux gérer les accès wifi/utilisateurs, les branchements > de > >> > tout et n'importe quoi sur les prises réseaux, les déplacements > >> > d'équipements sans prévenir et voire de la conf de vlan automatique > ... > >> > > >> > Actuellement on gère +/- 100 vlan pour la segmentation pour + de 5000 > >> IP's > >> > > >> > Je pense que certain d'entre vous on cela chez eux, des retours > >> > d'expériences à partager ? > >> > > >> > merci à tous, > >> > jérôme > >> > > >> > --------------------------- > >> > Liste de diffusion du FRnOG > >> > http://www.frnog.org/ > >> > >> > >> --------------------------- > >> Liste de diffusion du FRnOG > >> http://www.frnog.org/ > >> > > > > --------------------------- > > Liste de diffusion du FRnOG > > http://www.frnog.org/ > > -- > Fabien VINCENT > _@beufanet_ > > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
