NAC Cisco - Sécurité - Systèmes & Réseaux Pro
Marsh Posté le 17-07-2009 à 11:57:16
n'espère pas de ROI sur ce genre de solutions.
Dans la presse, le NAC Cisco a mauvaise presse, dans les faits, je ne jugerais pas d'avantage.
Marsh Posté le 17-07-2009 à 14:01:55
Aurais-tu une documentation (détaillée) où ils en parlent en bien/mal ? en mal au vue de ce que tu me dis.
Merci
Marsh Posté le 17-07-2009 à 14:35:34
Ce que j'en sais c'est que ça n'a jamais vraiment pris. Meme les gens de cisco reconnaissent que le produit a ete peu vendu.
C'est un constat, les raisons (techniques ou autres) m'echappent.
Dreamer18 devrait pouvoir nous en dire un peu plus sur le sujet je pense
Marsh Posté le 17-07-2009 à 15:17:21
alors allons-y
Dans le NAC Cisco y a deux "solutions" : le NAC framework et le NAC appliance (ce sont deux produits NAC distincts), et dans les deux cas ça se vend mal.
Le NAC framework c'est "star wars" : ACS, serveurs de remédiation, Cisco Security Agent sur tous les postes (donc $$$) et en gros y a rien qui marche. D'ailleurs les dev. sur Cisco Security Agent sont arrêtés.
J'ai pu tester la solution NAC Appliance (c'est un autre agent qu'il faut installer sur les postes, le Cisco Clean Access Agent). Cisco ne pousse plus que cette solution là devant l'échec cuisant de la première, l'appliance est plutôt sympa, les règles se font assez facilement (de mémoire) mais pour pas trop compliquer le design du réseau il vaut mieux mettre l'appliance en bridge. Globalement il faut rester sur des designs simples (de toute manière quand tu fais du compliqué soit ça marche pas soit c'est la mort à l'exploitation). La GUI est un peu complexe mais avec un doc step by step on s'en sort pas mal.
le produit se vend peu mais c'est le cas de toutes les solutions NAC je crois (complexité d'exploitation, contraintes réseaux, sécu, poste de travail...) ça implique beaucoup d'équipes chez les clients, le ROI n'est pas chiffrable (la sécu n'est qu'un coût) et le plus dur va être de trouver un intégrateur qui a vraiment les compétences sur le produit (je crois qu'il y a un ou deux gus dans le nord de la France chez Telindus qui sont formés dessus, je les avais vu au workshop que j'avais fait).
Donc si t'es grand compte tu prends pas de risque et tu demandes à Cisco de bosser avec Nail El Assad, le britannique qui dépend de la BU et qui fait l'Europe, comme ça t'es sûr d'avoir l'expert ultime sur le produit. Sinon c'est Cisco Advanced Services à 7000$ la journée de presta.
Le NAC est un concept très interessant mais les produits ne sont pas mûrs et vaut mieux se limiter au 802.1x si on veut faire du contrôle jusqu'au port d'accès.
Marsh Posté le 17-07-2009 à 18:46:54
Je crois que la messe est dite, merci Dreamer pour cette brillante intervention
Marsh Posté le 17-07-2009 à 20:59:19
j'le savais
mais tu peux aussi regarder les NAC de Juniper (Infranet Controller) ou d'Enterasys.
Les deux sont comparable en tout point au Cisco NAC Appliance, avec un client peut être un peu plus performant côté Juniper, et une plus grande interopérabilité côté Enterasys.
Marsh Posté le 20-07-2009 à 08:44:08
Merci beaucoup pour vos réponses.
On a déjà du NAC de Juniper Networks.
Même des plateformes d'accélération WAN =D
Marsh Posté le 20-07-2009 à 09:45:13
ouais, mais y'a pas de lien entre l'infranet controler et le WX
Marsh Posté le 20-07-2009 à 10:02:51
Je sais bien ; C'est juste pour dire qu'on a des contacts avec la boîte et qu'on connaît la qualité du matos...........
Marsh Posté le 20-07-2009 à 10:28:20
ben la qualité dépend plus des lignes de produits que du nom du constructeur écrit dessus
Marsh Posté le 20-07-2009 à 14:22:03
mouaif, les DX y avait quelques "anomalies" dessus
Marsh Posté le 20-07-2009 à 14:34:37
c'était vraiment juste du rachat, aucune réintégration de redline dans l'univers juniper, c'est d'ailleurs pour ça qu'ils les ont achevés!
Marsh Posté le 17-07-2009 à 11:31:56
Bonjour,
J'aurai quelques questions relatives au NAC.
Quelqu'un d'entre vous en a déjà-t-il mis en place ? qu'en pensez-vous ? est-ce vraiment utile ? niveau rentabilité ? car je me doute que c'est onéreux c'est CISCO .
Merci