Bonjour à tous,  
Est-ce que vous pourriez me renseigner sur les différences entre les deux systèmes ? performances ? avantages/contraintes ? différences ? entre le NAC et NAP.
Sachant que le NAC n'est jamais vraiment parti et n'a jamais vraiment "démarré" si je puis dire ... quel changement avec le NAP 2008? qu'en est-il du NAP ?
Que choisiriez-vous ?  
Merci pour tout,
Stoxiizz

Bah j'ai l'impression que Cisco abandonne un peu ses solutions. A confirmer par nos amis dreamer, juju etc.
 
Coté MS, ça tiens toujours même si c un peu marginal le nb d'implémentations, souvent parce que les gens du réseau et systèmes sont des équipes différentes ne travaillant pas souvent ensemble.
 
Les prérequis de NAP sont assez contraignantes (un 2008, des clients Vista, XP SP3 ou Win 7), c'est pas ultra flexible (même si amélioré en 2008 R2) et il faut intégrer ça avec ses solutions FW, antivirus pour avoir un plein potentiel.
 
Si tu arrives à déployer NAP après je  pense que c'est une solution vraiment sympa

Dreamer a fait un résumé récent sur le fofo a propos du NAC Cisco et le message était clair. Le post date d'il y a moins de 2 mois ca se retrouvera facilement

Oui, j'en étais l'auteur ....
Mais je dois mettre en place soit du NAC soit du NAP dans mon entreprise et j'aimerai connaître vos avis
 
EDIT : http://forum.hardware.fr/hfr/syste [...] 6222_1.htm
 
Voici le lien.

petit up svp ...

honnetement limite toi au 802.1x. Le nac cisco peut bien fonctionner (enfin nac appliance hein ) mais il faut se limiter à des environnements restreints (pas 5000 postes) avec des postes tous identiques.
 
Si tu commences à avoir du parc hétérogène (des invités, des gens qui font tourner des VMs sur leur poste etc..) t'es mort quelque soit la solution.

Bon ben on a le meme avis meme si de mon coté j'ai aucun argument technique à opposer
Effectivement c'est beau sur le papier mais en prod... j'ose pas imaginer le bordel :x
802.1x et guest vlan ca fait deja pas mal de choses sympas.

merci de supprimer les majuscules du titre.

j'ai toujours cru que le 802.1x étant en rapport au WLAN pour palier aux failles de sécurité des protocoles de cryptages actuels .
guest vlan, s'pour les hôtes non authentifiés non ?
quels avantages par rapport au NAC/NAP selon toi ?
merci*
bien à vous,

le 802.1x c'est du controle d'accès qui est descendu jusqu'au niveau du port de switch.
 
T'es authentifié tu passes sinon tu passes pas. Après pour ceux qui ont pas le supplicant t'as le guest vlan et pour ceux qui ont raté l'authentification t'as le failed vlan.
 
Mais tu te limites aux credentials de l'utilisateur. Le nac tu vas jusqu'à contrôler l'intégrité du poste (clés de registre, version d'antivirus, d'OS, de patches...) mais tu es beaucoup plus intrusif.
 
802.1x ça reste pas trop compliqué à déployer (donc troubleshooting plus simple)

création de VLAN dynamiques pour la flexibilité du réseau ? authentification via un serveur radius où l'on définit les profils pour accèder à un VLAN bien précis sinon le user lambda est migré dans le guest VLAN ? les clés de sessions et utilisateurs sont dynamiques ? qu'est-ce qui empêche quelqu'un de cascader un HUB en amont et de partager sa connexion ?

on a répondu en même temps, désolé chef

 
sinon les hubs et tout ça c'est réglé par port security même si cisco fournit du "multi host" dans 802.1x pour prévoir le cas (et un nouveau truc autre dont j'ai oublié le nom)

peut tu m'expliquer juste vite fait l'association de VLAn dynamiques ? kézako ?
sinon oui le port security, je connais ca, j'avais souvent des violations sur mon syslog qui remontait ce genre d'erreurs lorsque les mecs de cisco branchaient leurs injecteurs de puissances pour les bornes aironet 1200 avec X AP qui tournaient derrière !

ahhh et dernière chose, lorsque tu dis : " Le nac tu vas jusqu'à contrôler l'intégrité du poste (clés de registre, version d'antivirus, d'OS, de patches...) mais tu es beaucoup plus intrusif. "  
 
Comment çà ? c'est pas censé être plus sécurisé si on fait des analyses étendues pour chaque poste ?

en fonction des credential de l'utilisateur tu le mets directement dans son bon vlan
 
pour le nac pour contrôler les postes t'es obligé de mettre un agent lourd qui est parfois (souvent ?) buggué

Oukey. BOn ben, j'ai intérêt d'envoyer du lourd pour expliquer par a+b qu'il faut faire du 802.1x au lieu du nac/nap

Propose leur de rencontrer Dreamer (ou bien moi-meme)
 
A noter pour le 802.1x tous les équipements cisco (mais c'est pareil chez les autres cette fois ci) ne gèrent pas le MDA. Donc si t'es en ToIP et que ta boite est béton sur la sécu il faut prévoir le coup pour authentifier séparément le PC et le téléphone.

Ils sont à fond sur la sécu*... C'est une boîte connue mondialement, on a environ 11 000 personnes sur le site dont 7000 environ utilisateurs.  
On est en ToIP également oui :')

alors faites faire une étude et dis à ta direction de rencontrer Cisco directement (ils ont des spécialistes) qui te diront la vérité si tu leur demandes

Clairement oui. C'est nimp sinon.
Remarque c'est pas parce qu'on est une grosse boite qu'on fait forcement les choses bien...
Je trouve ça délirant de se lancer dans un projet pareil sans se poser les bonnes questions et analyser les choses de bout en bout.
Dis a ton boss que les fofos c'est pas suffisant pour que tu saches vraiment quoi faire et comment. J'ajouterai également : prenez contact avec des boites qui ont deployés ces solutions et demandez leur comment ca s'est passé et ce que ca donne.

Sisi je t'assure, ils font les choses biens. Les études ont déjà été faîtes. C'est pas parce-que je pose des questions et que je me renseigne que je vais le mettre en place. Et, si je le met en place ce sera sur un VLAN bien précis et pas sur tout le réseau.

Perso si tu as l'occasion de monter ça même juste en POC pour qq users, va y, ça peut être sympa et une bonne XP.
 
Après le NAP chez MS, si tu peux, passe en R2, c'est plus souple niveau règles et met pour commencer que en mode "audit". Ce que j'avais fait c'est mettre en place les logs radius sur SQL Server (sql accounting) et après configurer SQL Reporting services pour avoir des report sur la compliance des clients

oui je peux le mettre en place. de toute façon, mon supérieur veut que je teste toutes les solutions et réaliser l'étude puis, faire un choix. Et je vais débuter par NAP.
merci Je@nb