Podle mých zkušeností je klient GlobalProtect plný temných UX vzorů, takže hledám zkratku, jak používat vestavěného klienta macOS VPN místo toho.
Z mého pochopení je PAN GlobalProtect v podstatě jen IP-SEC + X-autentizace. Takže vestavěný Cisco IP-SEC klient by měl “jen fungovat” za správné konfigurace.
Má někdo úspěšně vyndal certifikáty z GlobalProtect, abychom ho mohli trvale odinstalovat?
Co se týče důvodů… považuji GlobalProtect v podstatě za špehovací software. Je záměrně obtížné jej ukončit (musím udržovat/spouštět skripty pro odhlášení služby) a samozřejmě musím při každém přihlášení vložit své heslo. Musím jej používat pro firmu, ve které pracuji, ale jako kontraktor nemám moc na výběr v jejich konfiguraci.
Ano, to je smysl. GP je pro lepší zabezpečení firmy, aby bylo zajištěno, že používáte požadovaný software k udržení vašeho zařízení v bezpečí. Používá HIP kontroly k hodnocení věcí jako jestli máte nainstalované určité záplaty nebo běží specifické aplikace. Je invazivní, protože je určeno pro používání na majetku firmy, kde nemáte žádný vliv na to, co je na počítači.
I jako kontraktor, pokud vám firma nutí používat GP na vašem osobním počítači, rozhodně byste měl vznést námitky a trvat na počítači od nich nebo na VDI k použití.
Straně firewallu pravděpodobně nebude nic jiného akceptovat než GlobalProtect pro VPN připojení, protože je to víc než jen VPN. Možná někdo má jinou zkušenost, ale neočekával bych, že to bude fungovat s jakýmkoli OS nebo obecnými VPN klienty.
Vím jako admin PA, že pokud bych zjistil, že nepoužíváte klienta, měl bych důvod požádat vedení, aby vám vydalo firemní počítač nebo dokonce odebral přístup, protože byste porušil dohodu, kterou podepisují zaměstnanci a dodavatelé ohledně systémových účtů a VPN. Pochybuji, že by to fungovalo, jak už někteří řekli, ale i kdyby ano, jakýkoli klientský software má své zranitelnosti. Řekl bych, že riziko je přibližně stejné. O ohodnocení GP jako spyware je pro mě trochu silné.
Stačí použít VM pro GP. Musím používat GP, Cisco Anyconnect, Fortinet (nepamatuji si, jak se to jmenuje) a OpenVPN v práci k přístupu k různým systémům. Ty RA klienty nechtějí žít pohromadě na jednom systému v klidu. Takže každému dám VM, aby byli spokojení a chrání mé zařízení.
P.S. OpenConnect funguje skvěle jako klient GP.
U/Danappelxx má pravdu. GP je spyware, protože dělá víc než jen poskytuje vzdálený přístup. Ale může to být samozřejmě i důvod, proč je RA software také spyware. Hodnocení endpointů je dostatečný důvod.