nac cisco vs nap microsoft

nac cisco vs nap microsoft - Sécurité - Systèmes & Réseaux Pro

Marsh Posté le 19-08-2009 à 11:55:14    

Bonjour à tous,  
Est-ce que vous pourriez me renseigner sur les différences entre les deux systèmes ? performances ? avantages/contraintes ? différences ? entre le NAC et NAP.
Sachant que le NAC n'est jamais vraiment parti et n'a jamais vraiment "démarré" si je puis dire ... quel changement avec le NAP 2008? qu'en est-il du NAP ?
Que choisiriez-vous ?  
Merci pour tout,
Stoxiizz


Message édité par stoxiizz le 21-08-2009 à 07:58:58
Reply

Marsh Posté le 19-08-2009 à 11:55:14   

Reply

Marsh Posté le 19-08-2009 à 12:10:41    

Bah j'ai l'impression que Cisco abandonne un peu ses solutions. A confirmer par nos amis dreamer, juju etc.
 
Coté MS, ça tiens toujours même si c un peu marginal le nb d'implémentations, souvent parce que les gens du réseau et systèmes sont des équipes différentes ne travaillant pas souvent ensemble.
 
Les prérequis de NAP sont assez contraignantes (un 2008, des clients Vista, XP SP3 ou Win 7), c'est pas ultra flexible (même si amélioré en 2008 R2) et il faut intégrer ça avec ses solutions FW, antivirus pour avoir un plein potentiel.
 
Si tu arrives à déployer NAP après je  pense que c'est une solution vraiment sympa :)

Reply

Marsh Posté le 19-08-2009 à 12:46:40    

Dreamer a fait un résumé récent sur le fofo a propos du NAC Cisco et le message était clair. Le post date d'il y a moins de 2 mois ca se retrouvera facilement


---------------
Jujudu44
Reply

Marsh Posté le 19-08-2009 à 13:45:49    

Oui, j'en étais l'auteur ....
Mais je dois mettre en place soit du NAC soit du NAP dans mon entreprise et j'aimerai connaître vos avis :)
 
EDIT : http://forum.hardware.fr/hfr/syste [...] 6222_1.htm
 
Voici le lien.


Message édité par stoxiizz le 19-08-2009 à 13:47:43
Reply

Marsh Posté le 20-08-2009 à 09:23:54    

petit up svp ... :hello:

Reply

Marsh Posté le 20-08-2009 à 09:43:31    

honnetement limite toi au 802.1x. Le nac cisco peut bien fonctionner (enfin nac appliance hein :D) mais il faut se limiter à des environnements restreints (pas 5000 postes) avec des postes tous identiques.
 
Si tu commences à avoir du parc hétérogène (des invités, des gens qui font tourner des VMs sur leur poste etc..) t'es mort quelque soit la solution.


---------------
"Parceque toi tu fracasses du migrant à la batte de baseball, c'est ça ?" - Backbone-
Reply

Marsh Posté le 20-08-2009 à 10:46:47    

Bon ben on a le meme avis meme si de mon coté j'ai aucun argument technique à opposer :D
Effectivement c'est beau sur le papier mais en prod... j'ose pas imaginer le bordel :x
802.1x et guest vlan ca fait deja pas mal de choses sympas.


---------------
Jujudu44
Reply

Marsh Posté le 20-08-2009 à 14:09:19    

merci de supprimer les majuscules du titre.

Reply

Marsh Posté le 21-08-2009 à 07:58:14    

j'ai toujours cru que le 802.1x étant en rapport au WLAN pour palier aux failles de sécurité des protocoles de cryptages actuels :D .
guest vlan, s'pour les hôtes non authentifiés non ?
quels avantages par rapport au NAC/NAP selon toi ? :)
merci*
bien à vous,

Reply

Marsh Posté le 21-08-2009 à 08:03:30    

le 802.1x c'est du controle d'accès qui est descendu jusqu'au niveau du port de switch.
 
T'es authentifié tu passes sinon tu passes pas. Après pour ceux qui ont pas le supplicant t'as le guest vlan et pour ceux qui ont raté l'authentification t'as le failed vlan.
 
Mais tu te limites aux credentials de l'utilisateur. Le nac tu vas jusqu'à contrôler l'intégrité du poste (clés de registre, version d'antivirus, d'OS, de patches...) mais tu es beaucoup plus intrusif.
 
802.1x ça reste pas trop compliqué à déployer (donc troubleshooting plus simple)


---------------
"Parceque toi tu fracasses du migrant à la batte de baseball, c'est ça ?" - Backbone-
Reply

Marsh Posté le 21-08-2009 à 08:03:30   

Reply

Marsh Posté le 21-08-2009 à 08:08:59    

création de VLAN dynamiques pour la flexibilité du réseau ? authentification via un serveur radius où l'on définit les profils pour accèder à un VLAN bien précis sinon le user lambda est migré dans le guest VLAN ? les clés de sessions et utilisateurs sont dynamiques ? qu'est-ce qui empêche quelqu'un de cascader un HUB en amont et de partager sa connexion ?

Reply

Marsh Posté le 21-08-2009 à 08:09:25    

on a répondu en même temps, désolé chef :D

Reply

Marsh Posté le 21-08-2009 à 08:21:40    

stoxiizz a écrit :

création association de VLAN dynamiques pour la flexibilité du réseau ?


 
sinon les hubs et tout ça c'est réglé par port security même si cisco fournit du "multi host" dans 802.1x pour prévoir le cas (et un nouveau truc autre dont j'ai oublié le nom)


---------------
"Parceque toi tu fracasses du migrant à la batte de baseball, c'est ça ?" - Backbone-
Reply

Marsh Posté le 21-08-2009 à 08:26:24    

peut tu m'expliquer juste vite fait l'association de VLAn dynamiques ? kézako ? :p
sinon oui le port security, je connais ca, j'avais souvent des violations sur mon syslog qui remontait ce genre d'erreurs lorsque les mecs de cisco branchaient leurs injecteurs de puissances pour les bornes aironet 1200 :D avec X AP qui tournaient derrière !

Reply

Marsh Posté le 21-08-2009 à 09:08:14    

ahhh et dernière chose, lorsque tu dis : " Le nac tu vas jusqu'à contrôler l'intégrité du poste (clés de registre, version d'antivirus, d'OS, de patches...) mais tu es beaucoup plus intrusif. "  
 
Comment çà ? c'est pas censé être plus sécurisé si on fait des analyses étendues pour chaque poste ?

Reply

Marsh Posté le 21-08-2009 à 09:14:51    

stoxiizz a écrit :

peut tu m'expliquer juste vite fait l'association de VLAn dynamiques ?

en fonction des credential de l'utilisateur tu le mets directement dans son bon vlan :)
 
pour le nac pour contrôler les postes t'es obligé de mettre un agent lourd qui est parfois (souvent ?) buggué


Message édité par dreamer18 le 21-08-2009 à 09:15:25

---------------
"Parceque toi tu fracasses du migrant à la batte de baseball, c'est ça ?" - Backbone-
Reply

Marsh Posté le 21-08-2009 à 09:30:44    

Oukey. BOn ben, j'ai intérêt d'envoyer du lourd pour expliquer par a+b qu'il faut faire du 802.1x au lieu du nac/nap

Reply

Marsh Posté le 21-08-2009 à 13:53:17    

Propose leur de rencontrer Dreamer (ou bien moi-meme) :D
 
A noter pour le 802.1x tous les équipements cisco (mais c'est pareil chez les autres cette fois ci) ne gèrent pas le MDA. Donc si t'es en ToIP et que ta boite est béton sur la sécu il faut prévoir le coup pour authentifier séparément le PC et le téléphone.


---------------
Jujudu44
Reply

Marsh Posté le 21-08-2009 à 14:29:05    

Ils sont à fond sur la sécu*... C'est une boîte connue mondialement, on a environ 11 000 personnes sur le site dont 7000 environ utilisateurs.  
On est en ToIP également oui :')

Reply

Marsh Posté le 21-08-2009 à 14:37:43    

alors faites faire une étude et dis à ta direction de rencontrer Cisco directement (ils ont des spécialistes) qui te diront la vérité si tu leur demandes


---------------
"Parceque toi tu fracasses du migrant à la batte de baseball, c'est ça ?" - Backbone-
Reply

Marsh Posté le 22-08-2009 à 14:16:33    

Clairement oui. C'est nimp sinon.
Remarque c'est pas parce qu'on est une grosse boite qu'on fait forcement les choses bien...
Je trouve ça délirant de se lancer dans un projet pareil sans se poser les bonnes questions et analyser les choses de bout en bout.
Dis a ton boss que les fofos c'est pas suffisant pour que tu saches vraiment quoi faire et comment. J'ajouterai également : prenez contact avec des boites qui ont deployés ces solutions et demandez leur comment ca s'est passé et ce que ca donne.


---------------
Jujudu44
Reply

Marsh Posté le 24-08-2009 à 08:18:56    

Sisi je t'assure, ils font les choses biens. Les études ont déjà été faîtes. C'est pas parce-que je pose des questions et que je me renseigne que je vais le mettre en place. Et, si je le met en place ce sera sur un VLAN bien précis et pas sur tout le réseau.

Reply

Marsh Posté le 24-08-2009 à 10:31:40    

Perso si tu as l'occasion de monter ça même juste en POC pour qq users, va y, ça peut être sympa et une bonne XP.
 
Après le NAP chez MS, si tu peux, passe en R2, c'est plus souple niveau règles et met pour commencer que en mode "audit". Ce que j'avais fait c'est mettre en place les logs radius sur SQL Server (sql accounting) et après configurer SQL Reporting services pour avoir des report sur la compliance des clients

Reply

Marsh Posté le 24-08-2009 à 11:30:23    

oui je peux le mettre en place. de toute façon, mon supérieur veut que je teste toutes les solutions et réaliser l'étude puis, faire un choix. Et je vais débuter par NAP.
merci Je@nb

Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed