le 06-03-2023 11:29 PM - dernière modification le 17-04-2023 08:25 PM par Jimena Saez
Notre expert
Christophe Sarrazin - Présent chez Cisco depuis début 2000, il a débuté sa carrière comme avant-vente réseau chez Alcatel puis Bay Network/Nortel Network. Christophe Sarrazin occupe aujourd’hui un poste d’Architecte en Cybersécurité chez Cisco et à ce titre il est titulaire du CCIE Security depuis 2005. La sécurité est un domaine transversal aux autres technologies, l’expérience acquise entre le networking et la sécurité font de lui un de nos meilleurs spécialistes du NAC avec une expérience de plus de 20 ans sur les déploiements 802.1x .
Présentation du Community Live
Revenez sur les bases de la connexion sécurisée aux réseaux d'entreprise, filaire et Wi-Fi. Nous avons passé en revue les enjeux de la sécurisation des réseaux d'entreprise, et présenté l'architecture de base du contrôle d'accès ainsi que les protocoles sous-jacents. Retrouvez tous les détails des briques logicielles qui permettent d'assurer ces fonctions et découvrez comment le contrôle d'accès s'inscrit dans une démarche Zero-Trust globale. Pour en savoir plus sur tous les outils et meilleures pratiques qui peuvent vous aider à sécuriser vos réseaux, regardez l'enregistrement.
Pour apprendre davantage connectez-vous et téléchargez une copie du document en pdf.
Poser une nouvelle question
Pour poser une nouvelle question sur cet événement vous devrez créer un nouveau fil de discussion sur la section "Routage et Commutation" ou "Sécurité" et choisir l'étiquette appropriée avant de la soumettre.
Liste des Q&R du Community Live
Retrouvez la liste des questions posées lors du webinaire Community Live de notre événement. Toute question non répondue lors de la séance sera traitée à posteriori ici ou dans le forum de "Questions".
Liste des Questions et Réponses
Réponse (Pascal D.) : Non, seulement sans-fil et filaire. Mais d'autres mécanismes existent en VPN pour abourtir au même résultat. 802.1X est un protocole Layer 2, pas compatible avec du VPN.
Réponse (Pascal D.) : Ce n'est pas simple de comprendre les différences entre AD on-prem & Azure AD. Mais c'est important pour ne pas souhaiter des scénarios impossibles ...
Réponse (Pascal D.) : Oui.
Réponse (Pascal D.) : Ce scénario est possible et soit légitime, soit non. Légitime, le user change de port. Illégitime, les deux sont actifs en même temps. Deux choses, la MAC (en cas de MAB) est un identifiant unique de asset. La dernière information est la bonne. On peut aussi activer (dans le cas de Profiling) le "Anomalie Behavior" qui générera des alarmes en cas d'anomalie.
Réponse (Pascal D.) : https://gblogs.cisco.com/fr/reseaux/do-you-trustsec-la-securite-contextuelle-meme-en-wi-fi/#:~:text=Cisco%20propose%20une%20architecture%20de,de%20l'adressage%20IP%20des
Réponse (Jérôme D.) : Un SGT est un attribut donné par le serveur Radius lors de l'autorisation. C'est un groupe de sécurité qui est indépendant du VLAN et de l'adresse IP. Il est ensuite possible de faire des règles de sécurité avec ce tag. Ca permet d'avoir une sécurité non dépendante de la topologie réseau et aussi de faire de la microsegmentation.
Réponse (Pascal D.) : https://www.cisco.com/go/csta C'est une url avec toutes les possibilités d'intégrations. Avec un peu de recherche, on peut sélectionner les FW uniquement.
Réponse (Pascal D.) : Oui, s'il est compatible, ce qui est le cas de la majorité des marques.
Réponse (Federico Z.) : Bonjour Jérémy. EAP-Chaining / TEAP sont supportés avec le supplicant Cisco AnyConnect ou nativement avec Windows 10, comme évoqué par Christophe. ISE supporte ces méthodes EAP avec tout équipement réseau / NAD qui supporte du 802.1X : le NAD n'intervient pas dans le support/choix de la méthode EAP, qui ne dépend que du client et du serveur d'authentification.
Réponse (Pascal D.) : Les dictionnaires de l'ISE sont extensibles. Soit avec des extensions disponibles directement dans l'ISE, qu'il suffit d'activer. Il est aussi possible de créer vos propres extensions. Dans le cas d'un éditeur inconnu de Cisco.
Réponse (Jérôme D.) : Ca peut faire l'objet d'un webinar dédié! Le serveur radius associe le SGT à la connexion. La règle de sécurité peut être configurée de différente manière: soit elles sont téléchargées par l'équipement depuis ISE en Radius, soit des règles configurées en local sur l'équipement (CLI/GUI). Un équipement réseau va télécharger les règles pour un SGT à partir du moment où il en a connaissance. Un équipement ne télécharge ainsi que les règles (ou SGACLs) utiles. Et ca permet d'être extrêmement efficaces en termes de gestion de ressources.
Réponse (Jérôme D.) : Non, une SGACL est téléchargée par tout équipement configuré pour Trustsec (c'est indépendant du NAD) qui a connaissance d'un SGT particulier. Si par exemple un swicth connecte un device dans le SGT 5, alors il va télécharger toutes les SGACLs qui ont pour destination le SGT 5. Je précise que les SGACLs ne sont pas poussées, elles sont téléchargées.
Réponse (Thomas M.) : Stealthwatch (Cisco Secure Analytics) n'intervient pas, il s'agit bien d'une fonctionnalité porté par DNAC.
Réponse (Pascal D.) : Seul des metadatas sont envoyés dans le cloud. Aucune information personnelle n'est envoyée. Auncun contenu de payload.
Réponse (Thomas M.) : Le trust score n'est pas disponible aujourd'hui sur le dashboard Meraki.
Réponse (Pascal D.) : On y est, le temporal agent et/ou Agentless. Mais plus limité, logique, la table résume les choses.
Réponse (Pascal D.) : L'agentless = agent au travers d'une session web, exécuté dans l'environnement du navigateur, seulement possible si session avec navigateur. Temporal Agent = Un mini anyconnect, qui s'installe le temps de valider la posture et se désinstalle juste après. Différent usage, agentless -> guest, temporal -> partenaire un accès avec un PC non managé.
Réponse (en attente) :
Réponse (Thomas M.) : Effectivement, les équipements Meraki sont managés uniquement depuis le dashboard Meraki et non pas depuis un DNA Center.
Pour plus d'informations, visitez les discussions de Sécurité et de Routage et Commutation.
Si vous avez des questions ou vous rencontrez des problèmes techniques par rapport aux produits Cisco, cliquez ici pour obtenir des informations supplémentaires sans frais. Visitez la page de la Communauté Cisco.
La communauté est un hub pour vous connecter avec vos pairs et les spécialistes Cisco, pour demander de l'aide, partager votre expertise, développer votre réseau et évoluer professionnellement.
Vous êtes un nouvel arrivant ? Cliquez ici pour en savoir plus.
Nous voulons que votre navigation soit la meilleure, donc vous trouverez des liens pour vous aider à être rapidement familiarisé avec la Communauté Cisco :
Parcourez les liens directs de la Communauté et profitez de contenus personnalisés en français