Bonjour, je suis particulièrement intéressé à comprendre comment PaloAlto GlobalProtect se compare à d’autres VPNs.
Je suis surtout attentif aux facteurs comme les fonctionnalités de sécurité, la facilité d’utilisation, la performance, et toute caractéristique remarquable qui ferait briller un VPN par rapport aux autres. Que ce soit PaloAlto GlobalProtect, OpenVPN ou tout autre VPN que vous avez essayé, j’aimerais beaucoup entendre vos opinions.
Mon organisation utilise des pare-feux Palo Alto dans plus de 35 sites avec des dizaines de milliers d’utilisateurs, nous ne faisons pas de gestion centralisée de tous les sites et utilisateurs, beaucoup d’administrateurs réseau gèrent l’infrastructure dans toute l’organisation.
Je suis responsable de 7 sites, 13 pare-feux, 5 portails GP, 11 passerelles GP ~1000 utilisateurs.
Nous avons standardisé un seul produit AntiMalware, ce qui facilite la configuration des objets et profils HIP (Host Information Profile) de GP, même si j’ai une poignée de contractants pour lesquels nous avons fait des exceptions.
C’est très mature comparé à mon ancien Juniper SA 2500/4500, et aux appareils concentrateurs VPN Cisco 3030. Avec Palo Alto Networks, vous pouvez placer vos utilisateurs VPN dans différents vSys et routeurs virtuels facilement, alors que mon ancien Cisco nécessitait de faire des sous-interfaces pour envoyer le trafic vers différents routeurs principaux, et les appareils Juniper SA me donnaient l’impression d’être le Far West où n’importe quel client pouvait se connecter à un autre client, mais j’ai reçu cette box configurée par un autre administrateur réseau. Mon Cisco n’avait pas de vérification d’hôte, la vérification d’hôte Juniper était sale et l’utilisateur devait se connecter au réseau avant que cela ne vérifie leur HIP. Juniper avait une capacité pratique de déconnexion d’un utilisateur, alors que GlobalProtect ne l’a pas, il faut contrôler l’accès avec des profils HIP et des politiques de sécurité.
Voici les écueils que je vous recommande d’éviter.
Si vous utilisez Panorama pour gérer vos pare-feux, créez une hiérarchie en couches pour vos règles (règles partagées préalables > règles VPN préalables > règles communes préalables {politiques que vous souhaitez faire correspondre à beaucoup de choses comme des sites entiers ou des sous-réseaux entiers} > règles spécifiques au pare-feu {choses spécifiques à ce seul pare-feu} > règles post-objet)
Placez vos règles VPN en premier, vous pouvez avoir des règles préalables qui font des choses avant, mais plus vous écrivez de règles avant votre VPN, plus vous risquez de permettre des choses auxquelles vous ne vous attendiez pas.
SUPPRIMEZ TOUT CE QUI N’EST PAS EXPRESSEMENT AUTORISÉ. À la fin de votre ensemble de règles VPN, ajoutez une règle de rejet any/any et activez la journalisation pour vous aider lorsque qu’un utilisateur se plains que ça ne fonctionne pas.
ÉTIQUETTES, ÉTIQUETTES, ÉTIQUETTES, et ENCORE DES ÉTIQUETTES. Les étiquettes ne vous coûtent rien et peuvent être très utiles pour suivre les changements, les raisons pour lesquelles quelque chose existe.
Les descriptions sont utiles comme les étiquettes, mais un bon système de balises est bien plus précieux.
FAITES EN SORTE QUE TOUTES VOS RÈGLES EXIGENT HIP QUE VOUS CONTRÔLEZ, gardez les exceptions au minimum et ÉTIQUETEZ lorsque vous avez des exceptions en expliquant pourquoi.
HIP est très puissant mais pas toujours la méthode la plus intuitive, surtout quand vous devez faire une correspondance négative. (Par exemple, je veux un objet HIP pour lorsqu’un utilisateur possède toutes mes exigences sauf le client antivirus supporté, afin de pouvoir écrire une règle spécifique pour leur permettre d’accéder au serveur Antivirus pour télécharger et installer le client. Il y a une case “Installé”, mais GP HIP ne fait pas bien la correspondance lorsqu’on décoche la case, ce que toute personne logique penserait signifier “pas installé”. Faites plutôt les objets HIP normaux avec les versions installées, mais créez un profil négatif qui dit “PAS (hipobj1) ET PAS (hipobj2)” et cela donnera des correspondances pour un résultat négatif.
HIP Windows a une capacité fantastique pour rechercher des clés de registre personnalisées. Pour des exceptions ponctuelles, je leur fais importer une clé de registre sur leur ordinateur avec des longues chaînes que je génère, puis je fais correspondre leur produit antivirus et leur identifiant machine. Si jamais ils changent de machine, ils doivent revenir me voir pour être de nouveau approuvés après validation.
Vous ne pouvez pas très bien faire de capture de paquets utilisateur depuis GP VPN si le trafic passe par un routeur virtuel ou un tunnel IPSec. Si vous avez besoin de capturer efficacement le trafic VPN utilisateur, je recommande de rediriger leur trafic vers une interface physique avant de le renvoyer au réseau. Cette configuration peut sembler étrange, mais c’est une exigence pour certains requirements légaux. Je n’ai pas cette configuration, mais j’ai une PA-220 spécifique pour certains contractants qui ne respectent pas nos règles d’accès, que nous traitons comme n’importe quel autre utilisateur Internet, hors notre pare-feu principal, mais ils terminent leurs pools IP dans des plages contrôlées, puis tunnellisent vers la zone non fiable.
Ne laissez pas les gens vous faire faire du BYOD. Traitez tout et tout le monde comme l’ennemi, utilisez l’architecture Zero Trust, faites supporter cette politique par la direction et justifiez leur choix.
Si possible, faites un TUNNEL COMPLET. Nous faisons du Split Tunneling et je le déteste, car cela expose les utilisateurs à Internet sans inspection de leur trafic.
Faites toujours une connexion AUTO et utilisez le PLAP (Pre-Login Authentication Provider) pour que les utilisateurs soient protégés dès qu’ils entrent leurs identifiants.
Configurez la MFA, nous utilisons DUO et SAML, ce qui permet aux utilisateurs de se connecter avec leurs identifiants en cache, mais ils doivent aussi confirmer via une notification DUO ou une clé.
Faites en sorte que vos règles utilisent l’User-ID autant que possible.
Si vous avez plusieurs sites, planifiez vos sous-réseaux, pools et groupes d’utilisateurs pour faire correspondre les utilisateurs aux passerelles/pools et utilisez des règles cohérentes sur tous les sites.
Les messages HIP peuvent avoir du beau HTML, même si c’est un peu petit dans la fenêtre popup.
C’est beaucoup à prendre en compte, et davantage lorsque vous considérez les fonctionnalités du pare-feu Palo en routage et politiques.
Enfin, quelqu’un a commenté que le support est insuffisant, mais je dirais que vaut mieux payer pour un contrat de support d’entreprise ; Palo Alto Networks a des experts très compétents en support technique. Ils m’ont toujours aidé à résoudre tous les problèmes liés à leur plateforme, et cela fait 8 ans que je fonctionne avec GP, sans rien demander d’impossible.