Quelqu’un a-t-il récemment compilé un tableau comparatif des Pulse Secure/Cisco/SonicWall/Palo Alto ?
J’espère simplement voir différentes fonctionnalités en face à face. Ou quel est votre préféré en ce moment ? La plupart des discussions que j’ai lues datent d’il y a plus d’un an.
En gros, Fortigate écrase tout le monde en ce moment sur le rapport coût/performance.
Palo Alto fait une meilleure job en détectant plus de choses.
Cisco fait une meilleure job en ayant des gens disponibles quand vous avez besoin d’embaucher quelqu’un.
SonicWall… économisez-vous simplement la tête casse.
Au bout du compte, une appliance VPN concerne deux choses :
sa facilité de vente et son coût
sa compatibilité avec vos utilisateurs finaux ou vos besoins site-à-site
En ce qui concerne le point 1, Fortigate, puis PA, puis Cisco
Pour le point 2, je ne suis pas vraiment sûr ; Cisco AnyConnect est assez largement adopté et disponible sur presque tout ce que vous souhaitez connecter. Les clients IPSec standard sont intégrés à Windows et Mac, donc si vous recherchez juste un VPN dial-up, vous n’avez peut-être pas besoin d’un client VPN.
J’aime Cisco ASA avec AnyConnect ou Check Point. Le nouveau modèle de licence basé sur l’abonnement avec Plus ou Apex semble être beaucoup moins cher qu’avant, probablement pour rester compétitif. C’est très fiable dans les bases installées sur lesquelles j’ai travaillé. Je pense que parce que c’est une partie intégrante de leur suite de sécurité, il reçoit pas mal de R&D. J’entends aussi de bonnes choses sur Fortigate concernant ses capacités de traitement du chiffrement pour le coût. Check Point, comme avec AnyConnect, offre beaucoup de fonctionnalités supplémentaires côté client. Ils investissent aussi beaucoup en R&D. Je ne suis pas très fan de Palo Alto en ce moment parce que leur code semble généralement bogué, et leur support semble avoir des problèmes de personnel ou quelque chose comme ça. Ça m’agace aussi qu’ils enfouissent les CVE dans les notes de version. Donc comme solution tout-en-un, je l’éviterais, et comme solution VPN uniquement, je pense qu’il serait trop cher pour ce seul service.
Je n’ai pas encore eu l’occasion d’étudier PA Global Protect, mais j’espère le faire bientôt. J’ai utilisé tous les autres et je possède Pulse. J’aimerais rester avec Pulse, mais je ne sais pas si je vais, à cause des coûts. AnyConnect est probablement mon choix, mais je cherche aussi à changer de pare-feu (en quittant SonicWALL/Meraki) et je penche probablement pour PAN ou Fortinet, et l’une ou l’autre de leurs solutions SSL VPN pourrait répondre à mes besoins et avoir le plus de sens financièrement.
Pulse et AnyConnect sont vraiment les deux seules choses qui se battent presque à égalité. Pulse a des fonctionnalités qu’AnyConnect ne peut pas faire, et il existe des choses que vous pouvez déployer en conjonction avec AnyConnect et d’autres produits de sécurité Cisco que Pulse ne peut pas offrir. Si vous réduisez aux capacités fondamentales d’une appliance VPN et aux licences de fonctionnalités avec ce produit spécifique, Pulse offre plus de réglages.
SonicWALL SRA semble être coincé dans l’époque Aventail sans réelle progression du produit depuis qu’ils ont été acquis par SonicWALL.
La licence sur Pulse est assez coûteuse. Les licences ne sont plus liées aux appareils (depuis les nouveaux achats de la série PSA), donc vous pouvez au moins transférer l’investissement lors de la mise à niveau du matériel. Pour vous donner une idée, j’ai une quote pour 50 licences Pulse simultanées, achat perpétuel à 6160 $ + 600 $ pour 1 an de support. 100 licences en achat perpétuel coûtent 7500 $ pour 100 licences + 943 $ pour 1 an de support. Une licence d’abonnement d’un an pour 50 licences simultanées coûte 4862 $.
Une licence Apex AnyConnect d’un an pour 50 licences a un prix catalogue de 14,50 $/chacune ou 725 $ pour 1 an, et 10 $/chacune pour 100 licences ou 1000 $ pour 1 an. Et ce ne sont que les prix catalogue. Vous ne pouvez pas acheter de licences perpétuelles d’AnyConnect Apex (pas la licence “VPN uniquement” Plus), mais le coût de la licence reste en ligne avec le coût de support annuel des licences perpétuelles Pulse, donc vous serez toujours en avance sur le prix, mais vous ne pourrez jamais arrêter de payer pour avoir une solution VPN fonctionnelle.
Pulse a été très bon pendant de nombreuses années, Cisco c’est Cisco (vous savez ce que vous allez obtenir et il y a une grande réserve de talents pour vous aider à le supporter), PA semble toujours en retard côté fonctionnalités client par rapport à AnyConnect. Pour une VPN client uniquement, je les classerais dans cet ordre.
Pulse est la seule chose que j’ai trouvée sur le marché qui semble remotement moderne dans ses fonctionnalités ; rien d’autre ne compare vraiment à la fonctionnalité de leur produit SSL VPN ; presque tout le reste est basé sur un client uniquement, et le client Pulse est plutôt bon aussi. Ils ajoutent des fonctionnalités superflues récemment, essayant de vendre plus de NAC et MDM, mais le produit SSL VPN reste le meilleur à mon avis.
Cisco - ASA est vraiment leur seul atout, et l’ASA est leur produit le plus difficile à gérer.
SonicWall - Juste pas.
PAN - Je ne connais pas beaucoup leur offre VPN client, mais je parie que ce sera cher.
+1 pour Pulse Secure, excellent produit. Vous pouvez télécharger une instance virtuelle de démonstration qui permet quelques utilisateurs permanents sans licence. Cela prend un peu de temps à configurer au départ, mais j’utilise ce produit depuis de nombreuses années.
VPN client, L2L, ou les deux ?
Mon préféré est 6Wind. Un logiciel simple que vous exécutez dans une VM ou en métal nu.
La plupart des fournisseurs de réseau utilisent leur code VPN dans leurs appareils. TIL.
Passé de Pulse à PAN il y a un an (l’appliance Pulse doit être débranchée dans quelques jours en fait). Je suis assez satisfait de Pulse, mais en raison du matériel obsolète (ancien juniper SA) et du prix d’un renouvellement (comme d’autres l’ont dit, le prix est basé sur l’utilisateur et c’est très cher), je ne pouvais pas suivre Pulse.
J’ai donc essayé PAN (je possède déjà des pare-feu PAN partout et il n’y a pas de coût supplémentaire pour utiliser le VPN client), et cela s’est avéré suffisant.
Côté client, il ne fait aucun doute que Pulse est meilleur, plus joli et plus pratique que PAN.
Côté serveur/configuration, Pulse est à la fois beaucoup plus modulaire et plus complexe. Vous pouvez réaliser à peu près tout ce que vous pouvez imaginer, mais cela prend du temps pour tout comprendre.
D’un autre côté, PAN est plus simple (ce qui peut être bien ou mal selon vos besoins), et est plus limité en fonctionnalités (mais dans mon cas, c’est suffisant). Il y a une nouvelle fonctionnalité “VPN sans client” en version bêta avec PANOS 8, que je n’ai pas encore testée.
Je dirais que dans l’ensemble, le VPN PAN est correct, mais si vous ne possédez pas déjà un pare-feu PAN ou si vous ne prévoyez pas d’en acquérir un, il n’y a rien de particulièrement intéressant, et le prix dépend du nombre d’utilisateurs simultanés que vous souhaitez, mais leur VM la plus petite (VM-50) n’est pas très chère (moins de 1000 € dans mon pays) et permet 250 utilisateurs, donc je ne sais pas comment cela se compare à d’autres solutions VPN moyennes, mais cela vaut peut-être le coup, je ne sais pas.
Choisissez-en un 
Il semble que vous compariez des pare-feu, pas des appliances VPN.
Sonicwall… juste pour éviter la migraine.
Je peux confirmer. Je me suis retrouvé dans un magasin Dell d’une manière ou d’une autre et je gère ceux-là. Je préfère de loin FortiGate ou Cisco.
Le VPN de Fortinet est devenu un point sensible. L’EMS ne fonctionne pas bien, surtout pour la multi-tenance, et c’est le seul système pour déployer et gérer les configurations Forticlient.
AnyConnect est solide comme un roc et les mises à jour de politique sont envoyées directement depuis l’ASA ou le routeur.
Je ne suis pas fan de GlobalProtect de PAN.
Je n’ai pas utilisé Pulse, mais j’entends beaucoup de bien.
J’aime penser que mon opinion n’est pas biaisée puisque j’ai travaillé avec beaucoup de pare-feu et de clients VPN, mais si vous me demandez, AnyConnect l’emporte haut la main.
Actuellement dans une boutique SonicWALL… un de nos appareils m’a déconnecté après chaque bouton que je presse. En capturant les paquets, j’ai passé une heure supplémentaire à me reconnecter plus d’une centaine de fois, et ce même avec LastPass activé.
Je suis venu ici pour inclure Fortigate dans la liste. J’apprécie la connexion transparente et la facilité de configuration/utilisation du composant SSL VPN.
En réalité, l’offre VPN de PAN est gratuite pour Windows/OSX. Si vous souhaitez une évaluation de posture ou le support pour appareils mobiles, c’est environ 5000 $ par an. Il n’y a pas de client Linux, et ils ont un support rudimentaire de reverse proxy/web, mais cela pourrait ne pas poser de problème à la plupart des gens. Cependant, il supporte également la double authentification ainsi que RADIUS/TACACS+/LDAP. Si vous avez plusieurs appareils PAN dans le monde, le client peut automatiquement se connecter à l’appareil PAN le plus proche en fonction de la latence de la perspective du client.
Les deux, mais principalement VPN client.
Je songe à passer à des pare-feu PAN, donc leur VPN comme alternative à la poursuite avec Pulse m’intéresse.
Le VPN PAN peut-il faire une connexion pré-login comme avec Pulse, afin que si vous êtes hors réseau et que vous vous connectez à Windows, le VPN se connecte en premier (en utilisant le domaine que vous venez de taper), et une fois connecté, il transmet ces identifiants à Windows pour la connexion, vous donnant une authentification complète (contre un DC) ?
Offre-t-il un vérificateur d’hôte, une reconnaissance de localisation, la possibilité d’avoir différents profils que vous pouvez attribuer à différents groupes d’utilisateurs pour fournir différents niveaux d’accès L3 ?