NAC Cisco

NAC Cisco - Sécurité - Systèmes & Réseaux Pro

Marsh Posté le 17-07-2009 à 11:31:56    

Bonjour,  
 
J'aurai quelques questions relatives au NAC.
 
Quelqu'un d'entre vous en a déjà-t-il mis en place ? qu'en pensez-vous ? est-ce vraiment utile ? niveau rentabilité ? car je me doute que c'est onéreux c'est CISCO .
 
Merci

Reply

Marsh Posté le 17-07-2009 à 11:31:56   

Reply

Marsh Posté le 17-07-2009 à 11:57:16    

n'espère pas de ROI sur ce genre de solutions.
 
Dans la presse, le NAC Cisco a mauvaise presse, dans les faits, je ne jugerais pas d'avantage.

Reply

Marsh Posté le 17-07-2009 à 14:01:55    

Aurais-tu une documentation (détaillée) où ils en parlent en bien/mal ? en mal au vue de ce que tu me dis.
 
Merci

Reply

Marsh Posté le 17-07-2009 à 14:35:34    

Ce que j'en sais c'est que ça n'a jamais vraiment pris. Meme les gens de cisco reconnaissent que le produit a ete peu vendu.
C'est un constat, les raisons (techniques ou autres) m'echappent.
Dreamer18 devrait pouvoir nous en dire un peu plus sur le sujet je pense


---------------
Jujudu44
Reply

Marsh Posté le 17-07-2009 à 15:17:21    

alors allons-y :D
 
Dans le NAC Cisco y a deux "solutions" : le NAC framework et le NAC appliance (ce sont deux produits NAC distincts), et dans les deux cas ça se vend mal.
 
Le NAC framework c'est "star wars" : ACS, serveurs de remédiation, Cisco Security Agent sur tous les postes (donc $$$) et en gros y a rien qui marche. D'ailleurs les dev. sur Cisco Security Agent sont arrêtés.
 
J'ai pu tester la solution NAC Appliance (c'est un autre agent qu'il faut installer sur les postes, le Cisco Clean Access Agent). Cisco ne pousse plus que cette solution là devant l'échec cuisant de la première, l'appliance est plutôt sympa, les règles se font assez facilement (de mémoire) mais pour pas trop compliquer le design du réseau il vaut mieux mettre l'appliance en bridge. Globalement il faut rester sur des designs simples (de toute manière quand tu fais du compliqué soit ça marche pas soit c'est la mort à l'exploitation). La GUI est un peu complexe mais avec un doc step by step on s'en sort pas mal.
 
le produit se vend peu mais c'est le cas de toutes les solutions NAC je crois (complexité d'exploitation, contraintes réseaux, sécu, poste de travail...) ça implique beaucoup d'équipes chez les clients, le ROI n'est pas chiffrable (la sécu n'est qu'un coût) et le plus dur va être de trouver un intégrateur qui a vraiment les compétences sur le produit (je crois qu'il y a un ou deux gus dans le nord de la France chez Telindus qui sont formés dessus, je les avais vu au workshop que j'avais fait).
 
Donc si t'es grand compte tu prends pas de risque et tu demandes à Cisco de bosser avec Nail El Assad, le britannique qui dépend de la BU et qui fait l'Europe, comme ça t'es sûr d'avoir l'expert ultime sur le produit. Sinon c'est Cisco Advanced Services à 7000$ la journée de presta.
 
Le NAC est un concept très interessant mais les produits ne sont pas mûrs et vaut mieux se limiter au 802.1x si on veut faire du contrôle jusqu'au port d'accès.


Message édité par dreamer18 le 17-07-2009 à 15:17:56

---------------
"Parceque toi tu fracasses du migrant à la batte de baseball, c'est ça ?" - Backbone-
Reply

Marsh Posté le 17-07-2009 à 18:46:54    

Je crois que la messe est dite, merci Dreamer pour cette brillante intervention :D


---------------
Jujudu44
Reply

Marsh Posté le 17-07-2009 à 20:59:19    

j'le savais :D
 
mais tu peux aussi regarder les NAC de Juniper (Infranet Controller) ou d'Enterasys.
 
Les deux sont comparable en tout point au Cisco NAC Appliance, avec un client peut être un peu plus performant côté Juniper, et une plus grande interopérabilité côté Enterasys.

Reply

Marsh Posté le 20-07-2009 à 08:44:08    

Merci beaucoup pour vos réponses.
On a déjà du NAC de Juniper Networks.
Même des plateformes d'accélération WAN =D
 

Reply

Marsh Posté le 20-07-2009 à 09:45:13    

ouais, mais y'a pas de lien entre l'infranet controler et le WX :D

Reply

Marsh Posté le 20-07-2009 à 10:02:51    

Je sais bien ; C'est juste pour dire qu'on a des contacts avec la boîte et qu'on connaît la qualité du matos...........


Message édité par stoxiizz le 20-07-2009 à 10:03:17
Reply

Marsh Posté le 20-07-2009 à 10:02:51   

Reply

Marsh Posté le 20-07-2009 à 10:28:20    

ben la qualité dépend plus des lignes de produits que du nom du constructeur écrit dessus :D


---------------
"Parceque toi tu fracasses du migrant à la batte de baseball, c'est ça ?" - Backbone-
Reply

Marsh Posté le 20-07-2009 à 10:31:28    

ou pas. :']

Reply

Marsh Posté le 20-07-2009 à 14:08:15    

ça va, Juniper n'a pas encore tous les syndromes Cisco :p

Reply

Marsh Posté le 20-07-2009 à 14:22:03    

mouaif, les DX y avait quelques "anomalies" dessus


---------------
"Parceque toi tu fracasses du migrant à la batte de baseball, c'est ça ?" - Backbone-
Reply

Marsh Posté le 20-07-2009 à 14:34:37    

c'était vraiment juste du rachat, aucune réintégration de redline dans l'univers juniper, c'est d'ailleurs pour ça qu'ils les ont achevés!

Reply

Marsh Posté le 22-07-2009 à 14:37:34    

d'autres interventions svp ?

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed