Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1473 connectés 

  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Sécurité

  nac cisco vs nap microsoft

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

nac cisco vs nap microsoft

n°57180
stoxiizz
Posté le 19-08-2009 à 11:55:14  profilanswer
 

Bonjour à tous,  
Est-ce que vous pourriez me renseigner sur les différences entre les deux systèmes ? performances ? avantages/contraintes ? différences ? entre le NAC et NAP.
Sachant que le NAC n'est jamais vraiment parti et n'a jamais vraiment "démarré" si je puis dire ... quel changement avec le NAP 2008? qu'en est-il du NAP ?
Que choisiriez-vous ?  
Merci pour tout,
Stoxiizz


Message édité par stoxiizz le 21-08-2009 à 07:58:58
mood
Publicité
Posté le 19-08-2009 à 11:55:14  profilanswer
 

n°57181
Je@nb
Modérateur
Kindly give dime
Posté le 19-08-2009 à 12:10:41  profilanswer
 

Bah j'ai l'impression que Cisco abandonne un peu ses solutions. A confirmer par nos amis dreamer, juju etc.
 
Coté MS, ça tiens toujours même si c un peu marginal le nb d'implémentations, souvent parce que les gens du réseau et systèmes sont des équipes différentes ne travaillant pas souvent ensemble.
 
Les prérequis de NAP sont assez contraignantes (un 2008, des clients Vista, XP SP3 ou Win 7), c'est pas ultra flexible (même si amélioré en 2008 R2) et il faut intégrer ça avec ses solutions FW, antivirus pour avoir un plein potentiel.
 
Si tu arrives à déployer NAP après je  pense que c'est une solution vraiment sympa :)

n°57182
jujudu44
Prophète du CAC
Posté le 19-08-2009 à 12:46:40  profilanswer
 

Dreamer a fait un résumé récent sur le fofo a propos du NAC Cisco et le message était clair. Le post date d'il y a moins de 2 mois ca se retrouvera facilement


---------------
Jujudu44
n°57185
stoxiizz
Posté le 19-08-2009 à 13:45:49  profilanswer
 

Oui, j'en étais l'auteur ....
Mais je dois mettre en place soit du NAC soit du NAP dans mon entreprise et j'aimerai connaître vos avis :)
 
EDIT : http://forum.hardware.fr/hfr/syste [...] 6222_1.htm
 
Voici le lien.


Message édité par stoxiizz le 19-08-2009 à 13:47:43
n°57208
stoxiizz
Posté le 20-08-2009 à 09:23:54  profilanswer
 

petit up svp ... :hello:

n°57209
dreamer18
CDLM
Posté le 20-08-2009 à 09:43:31  profilanswer
 

honnetement limite toi au 802.1x. Le nac cisco peut bien fonctionner (enfin nac appliance hein :D) mais il faut se limiter à des environnements restreints (pas 5000 postes) avec des postes tous identiques.
 
Si tu commences à avoir du parc hétérogène (des invités, des gens qui font tourner des VMs sur leur poste etc..) t'es mort quelque soit la solution.


---------------
"Parceque toi tu fracasses du migrant à la batte de baseball, c'est ça ?" - Backbone-
n°57217
jujudu44
Prophète du CAC
Posté le 20-08-2009 à 10:46:47  profilanswer
 

Bon ben on a le meme avis meme si de mon coté j'ai aucun argument technique à opposer :D
Effectivement c'est beau sur le papier mais en prod... j'ose pas imaginer le bordel :x
802.1x et guest vlan ca fait deja pas mal de choses sympas.


---------------
Jujudu44
n°57228
Krapaud
Modérateur
Posté le 20-08-2009 à 14:09:19  profilanswer
 

merci de supprimer les majuscules du titre.

n°57245
stoxiizz
Posté le 21-08-2009 à 07:58:14  profilanswer
 

j'ai toujours cru que le 802.1x étant en rapport au WLAN pour palier aux failles de sécurité des protocoles de cryptages actuels :D .
guest vlan, s'pour les hôtes non authentifiés non ?
quels avantages par rapport au NAC/NAP selon toi ? :)
merci*
bien à vous,

n°57246
dreamer18
CDLM
Posté le 21-08-2009 à 08:03:30  profilanswer
 

le 802.1x c'est du controle d'accès qui est descendu jusqu'au niveau du port de switch.
 
T'es authentifié tu passes sinon tu passes pas. Après pour ceux qui ont pas le supplicant t'as le guest vlan et pour ceux qui ont raté l'authentification t'as le failed vlan.
 
Mais tu te limites aux credentials de l'utilisateur. Le nac tu vas jusqu'à contrôler l'intégrité du poste (clés de registre, version d'antivirus, d'OS, de patches...) mais tu es beaucoup plus intrusif.
 
802.1x ça reste pas trop compliqué à déployer (donc troubleshooting plus simple)


---------------
"Parceque toi tu fracasses du migrant à la batte de baseball, c'est ça ?" - Backbone-
mood
Publicité
Posté le 21-08-2009 à 08:03:30  profilanswer
 

n°57247
stoxiizz
Posté le 21-08-2009 à 08:08:59  profilanswer
 

création de VLAN dynamiques pour la flexibilité du réseau ? authentification via un serveur radius où l'on définit les profils pour accèder à un VLAN bien précis sinon le user lambda est migré dans le guest VLAN ? les clés de sessions et utilisateurs sont dynamiques ? qu'est-ce qui empêche quelqu'un de cascader un HUB en amont et de partager sa connexion ?

n°57248
stoxiizz
Posté le 21-08-2009 à 08:09:25  profilanswer
 

on a répondu en même temps, désolé chef :D

n°57249
dreamer18
CDLM
Posté le 21-08-2009 à 08:21:40  profilanswer
 

stoxiizz a écrit :

création association de VLAN dynamiques pour la flexibilité du réseau ?


 
sinon les hubs et tout ça c'est réglé par port security même si cisco fournit du "multi host" dans 802.1x pour prévoir le cas (et un nouveau truc autre dont j'ai oublié le nom)


---------------
"Parceque toi tu fracasses du migrant à la batte de baseball, c'est ça ?" - Backbone-
n°57250
stoxiizz
Posté le 21-08-2009 à 08:26:24  profilanswer
 

peut tu m'expliquer juste vite fait l'association de VLAn dynamiques ? kézako ? :p
sinon oui le port security, je connais ca, j'avais souvent des violations sur mon syslog qui remontait ce genre d'erreurs lorsque les mecs de cisco branchaient leurs injecteurs de puissances pour les bornes aironet 1200 :D avec X AP qui tournaient derrière !

n°57253
stoxiizz
Posté le 21-08-2009 à 09:08:14  profilanswer
 

ahhh et dernière chose, lorsque tu dis : " Le nac tu vas jusqu'à contrôler l'intégrité du poste (clés de registre, version d'antivirus, d'OS, de patches...) mais tu es beaucoup plus intrusif. "  
 
Comment çà ? c'est pas censé être plus sécurisé si on fait des analyses étendues pour chaque poste ?

n°57255
dreamer18
CDLM
Posté le 21-08-2009 à 09:14:51  profilanswer
 

stoxiizz a écrit :

peut tu m'expliquer juste vite fait l'association de VLAn dynamiques ?

en fonction des credential de l'utilisateur tu le mets directement dans son bon vlan :)
 
pour le nac pour contrôler les postes t'es obligé de mettre un agent lourd qui est parfois (souvent ?) buggué


Message édité par dreamer18 le 21-08-2009 à 09:15:25

---------------
"Parceque toi tu fracasses du migrant à la batte de baseball, c'est ça ?" - Backbone-
n°57258
stoxiizz
Posté le 21-08-2009 à 09:30:44  profilanswer
 

Oukey. BOn ben, j'ai intérêt d'envoyer du lourd pour expliquer par a+b qu'il faut faire du 802.1x au lieu du nac/nap

n°57273
jujudu44
Prophète du CAC
Posté le 21-08-2009 à 13:53:17  profilanswer
 

Propose leur de rencontrer Dreamer (ou bien moi-meme) :D
 
A noter pour le 802.1x tous les équipements cisco (mais c'est pareil chez les autres cette fois ci) ne gèrent pas le MDA. Donc si t'es en ToIP et que ta boite est béton sur la sécu il faut prévoir le coup pour authentifier séparément le PC et le téléphone.


---------------
Jujudu44
n°57278
stoxiizz
Posté le 21-08-2009 à 14:29:05  profilanswer
 

Ils sont à fond sur la sécu*... C'est une boîte connue mondialement, on a environ 11 000 personnes sur le site dont 7000 environ utilisateurs.  
On est en ToIP également oui :')

n°57282
dreamer18
CDLM
Posté le 21-08-2009 à 14:37:43  profilanswer
 

alors faites faire une étude et dis à ta direction de rencontrer Cisco directement (ils ont des spécialistes) qui te diront la vérité si tu leur demandes


---------------
"Parceque toi tu fracasses du migrant à la batte de baseball, c'est ça ?" - Backbone-
n°57302
jujudu44
Prophète du CAC
Posté le 22-08-2009 à 14:16:33  profilanswer
 

Clairement oui. C'est nimp sinon.
Remarque c'est pas parce qu'on est une grosse boite qu'on fait forcement les choses bien...
Je trouve ça délirant de se lancer dans un projet pareil sans se poser les bonnes questions et analyser les choses de bout en bout.
Dis a ton boss que les fofos c'est pas suffisant pour que tu saches vraiment quoi faire et comment. J'ajouterai également : prenez contact avec des boites qui ont deployés ces solutions et demandez leur comment ca s'est passé et ce que ca donne.


---------------
Jujudu44
n°57343
stoxiizz
Posté le 24-08-2009 à 08:18:56  profilanswer
 

Sisi je t'assure, ils font les choses biens. Les études ont déjà été faîtes. C'est pas parce-que je pose des questions et que je me renseigne que je vais le mettre en place. Et, si je le met en place ce sera sur un VLAN bien précis et pas sur tout le réseau.

n°57356
Je@nb
Modérateur
Kindly give dime
Posté le 24-08-2009 à 10:31:40  profilanswer
 

Perso si tu as l'occasion de monter ça même juste en POC pour qq users, va y, ça peut être sympa et une bonne XP.
 
Après le NAP chez MS, si tu peux, passe en R2, c'est plus souple niveau règles et met pour commencer que en mode "audit". Ce que j'avais fait c'est mettre en place les logs radius sur SQL Server (sql accounting) et après configurer SQL Reporting services pour avoir des report sur la compliance des clients

n°57359
stoxiizz
Posté le 24-08-2009 à 11:30:23  profilanswer
 

oui je peux le mettre en place. de toute façon, mon supérieur veut que je teste toutes les solutions et réaliser l'étude puis, faire un choix. Et je vais débuter par NAP.
merci Je@nb

mood
Publicité
Posté le   profilanswer
 


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Sécurité

  nac cisco vs nap microsoft

 

Sujets relatifs
Cisco VPN site a siteMulti-NAT / ip forwarding / VPN et Cisco
[TOPIC] Toip Cisco, Call Manager, Unity, Uccx....recherche désespéremment IOS Cisco 1600
NAC CiscoActiver Radio1 sur cisco 1200
Tunnel VPN site to site entre cisco 877 / ASA 5510Cisco Call Manager et renvois multiples
Cisco Catalyst 4006 Acces Console, premiere connexionBeson d'aide pour conf interface vlan cisco
Plus de sujets relatifs à : nac cisco vs nap microsoft


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR