سنخبرك عن طريقة غير مكلفة وآمنة لضمان اتصال الموظفين عن بعد عبر VPN، دون تعريض الشركة لمخاطر السمعة أو المخاطر المالية ودون خلق مشاكل إضافية لقسم تكنولوجيا المعلومات وإدارة الشركة.
مع تطور تكنولوجيا المعلومات، أصبح من الممكن جذب الموظفين عن بعد إلى عدد متزايد من الوظائف.
إذا كان من بين العاملين عن بعد في وقت سابق ممثلو المهن الإبداعية بشكل رئيسي، على سبيل المثال، يمكن للمصممين ومؤلفي النصوص، والآن المحاسب والمستشار القانوني والعديد من ممثلي المهن الأخرى العمل بسهولة من المنزل، وزيارة المكتب فقط عند الضرورة.
ولكن على أية حال، من الضروري تنظيم العمل من خلال قناة آمنة.
الخيار الأبسط. نقوم بإعداد VPN على الخادم، ويتم منح الموظف كلمة مرور لتسجيل الدخول ومفتاح شهادة VPN، بالإضافة إلى تعليمات حول كيفية إعداد عميل VPN على جهاز الكمبيوتر الخاص به. ويعتبر قسم تكنولوجيا المعلومات أن مهمته قد انتهت.
يبدو أن الفكرة ليست سيئة، باستثناء شيء واحد: يجب أن يكون الموظف الذي يعرف كيفية تكوين كل شيء بمفرده. إذا كنا نتحدث عن مطور تطبيقات شبكة مؤهل، فمن المحتمل جدًا أنه سيتعامل مع هذه المهمة.
لكن المحاسب والفنان والمصمم والكاتب الفني والمهندس المعماري والعديد من المهن الأخرى لا يحتاجون بالضرورة إلى فهم تعقيدات إعداد VPN. إما أن يحتاج شخص ما إلى الاتصال بهم عن بعد وتقديم المساعدة، أو الحضور شخصيًا وإعداد كل شيء على الفور. وفقا لذلك، إذا توقف شيء ما عن العمل، على سبيل المثال، بسبب خلل في ملف تعريف المستخدم، فقد فقدت إعدادات عميل الشبكة، فيجب تكرار كل شيء من جديد.
توفر بعض الشركات جهاز كمبيوتر محمولًا مزودًا ببرامج مثبتة بالفعل وعميل برنامج VPN مهيأ للعمل عن بعد. من الناحية النظرية، في هذه الحالة، لا ينبغي أن يكون لدى المستخدمين حقوق المسؤول. وبهذه الطريقة، يتم حل مشكلتين: ضمان تزويد الموظفين ببرامج مرخصة تناسب مهامهم وقناة اتصال جاهزة. وفي الوقت نفسه، لا يمكنهم تغيير الإعدادات من تلقاء أنفسهم، مما يقلل من تكرار المكالمات إلى
دعم فني.
في بعض الحالات يكون هذا مناسبًا. على سبيل المثال، بوجود جهاز كمبيوتر محمول، يمكنك الجلوس بشكل مريح في غرفتك أثناء النهار، والعمل بهدوء في المطبخ ليلاً حتى لا توقظ أحداً.
ما هو العيب الرئيسي؟ نفس الشيء الزائد - إنه جهاز محمول يمكن حمله. ينقسم المستخدمون إلى فئتين: أولئك الذين يفضلون الكمبيوتر المكتبي للحصول على الطاقة والشاشة الكبيرة، وأولئك الذين يحبون سهولة النقل.
المجموعة الثانية من المستخدمين تصوت بكلتا يديها لأجهزة الكمبيوتر المحمولة. بعد استلام جهاز كمبيوتر محمول خاص بالشركة، يبدأ هؤلاء الموظفون بالذهاب معه بسعادة إلى المقاهي والمطاعم والذهاب إلى الطبيعة ومحاولة العمل من هناك. لو كان الأمر كذلك، وليس مجرد استخدام الجهاز المستلم كجهاز كمبيوتر خاص بك للشبكات الاجتماعية وغيرها من وسائل الترفيه.
عاجلاً أم آجلاً، سيتم فقدان الكمبيوتر المحمول الخاص بالشركة ليس فقط مع معلومات العمل الموجودة على القرص الصلب، ولكن أيضًا مع الوصول إلى VPN الذي تم تكوينه. إذا تم تحديد مربع الاختيار "حفظ كلمة المرور" في إعدادات عميل VPN، فسيتم احتساب الدقائق. في المواقف التي لم يتم فيها اكتشاف الخسارة على الفور، لم يتم إخطار خدمة الدعم على الفور، أو لم يتم العثور على الموظف المناسب الذي يتمتع بحقوق الحظر على الفور - يمكن أن يتحول هذا إلى كارثة كبيرة.
في بعض الأحيان يساعد تقييد الوصول إلى المعلومات. لكن الحد من الوصول لا يعني حل مشاكل فقدان الجهاز بشكل كامل، بل هو مجرد وسيلة لتقليل الخسائر عند الكشف عن البيانات واختراقها.
يمكنك استخدام التشفير أو المصادقة الثنائية، على سبيل المثال باستخدام مفتاح USB. ظاهريًا، تبدو الفكرة جيدة، ولكن الآن إذا وقع الكمبيوتر المحمول في الأيدي الخطأ، فسيتعين على مالكه العمل بجد للوصول إلى البيانات، بما في ذلك الوصول عبر VPN. خلال هذا الوقت، يمكنك إدارة حظر الوصول إلى شبكة الشركة. وتفتح فرص جديدة للمستخدم البعيد: اختراق الكمبيوتر المحمول أو مفتاح الوصول أو كل ذلك مرة واحدة. رسميًا، ارتفع مستوى الحماية، لكن خدمة الدعم الفني لن تشعر بالملل. بالإضافة إلى ذلك، سيتعين على كل مشغل عن بعد الآن شراء مجموعة أدوات المصادقة الثنائية (أو التشفير).
قصة منفصلة حزينة وطويلة هي مجموعة الأضرار التي لحقت بأجهزة الكمبيوتر المحمولة المفقودة أو التالفة (التي ألقيت على الأرض، وانسكبت مع الشاي الحلو والقهوة وغيرها من الحوادث) وفقدت مفاتيح الوصول.
من بين أشياء أخرى، يحتوي الكمبيوتر المحمول على أجزاء ميكانيكية، مثل لوحة المفاتيح وموصلات USB وغطاء بشاشة - كل هذا يستهلك عمر الخدمة بمرور الوقت، ويتشوه، ويصبح مفككًا ويجب إصلاحه أو استبداله (في أغلب الأحيان ، يتم استبدال الكمبيوتر المحمول بالكامل).
فماذا الآن؟ يمنع منعا باتا إخراج جهاز كمبيوتر محمول من الشقة وتتبعه
متحرك؟
لماذا إذن أعطوا جهاز كمبيوتر محمول؟
أحد الأسباب هو أن الكمبيوتر المحمول أسهل في النقل. دعونا نتوصل إلى شيء آخر، مضغوط أيضًا.
لا يمكنك إصدار جهاز كمبيوتر محمول، ولكن محركات أقراص فلاش LiveUSB محمية مع اتصال VPN تم تكوينه بالفعل، وسيستخدم المستخدم جهاز الكمبيوتر الخاص به. ولكن هذا أيضًا بمثابة يانصيب: هل سيتم تشغيل تجميع البرنامج على جهاز الكمبيوتر الخاص بالمستخدم أم لا؟ قد تكون المشكلة هي الافتقار البسيط إلى برامج التشغيل الضرورية.
نحن بحاجة إلى معرفة كيفية تنظيم اتصال الموظفين عن بعد، ومن المستحسن ألا يستسلم الشخص لإغراء التجول في المدينة باستخدام كمبيوتر محمول خاص بالشركة، بل يجلس في المنزل ويعمل بهدوء دون التعرض لخطر النسيان أو فقدان الجهاز الموكل إليه في مكان ما.
وصول VPN ثابت
ماذا لو لم تقم بتوفير جهاز نهائي، على سبيل المثال، جهاز كمبيوتر محمول، أو على وجه الخصوص ليس محرك أقراص فلاش منفصل للاتصال، ولكن بوابة شبكة مع عميل VPN على متنها؟
على سبيل المثال، جهاز توجيه جاهز يتضمن دعمًا للبروتوكولات المختلفة التي تم تكوين اتصال VPN بها بالفعل. يحتاج الموظف البعيد فقط إلى توصيل جهاز الكمبيوتر الخاص به به وبدء العمل.
ما هي القضايا التي يساعد هذا في حلها؟
- لا يتم إخراج المعدات ذات الوصول المهيأ إلى شبكة الشركة عبر VPN من المنزل.
- يمكنك توصيل عدة أجهزة بقناة VPN واحدة.
لقد كتبنا بالفعل أعلاه أنه من الجيد أن تكون قادرًا على التنقل في الشقة باستخدام جهاز كمبيوتر محمول، ولكن غالبًا ما يكون العمل مع جهاز كمبيوتر مكتبي أسهل وأكثر ملاءمة.
ويمكنك توصيل جهاز كمبيوتر شخصي أو كمبيوتر محمول أو هاتف ذكي أو جهاز لوحي وحتى قارئ إلكتروني بشبكة VPN الموجودة على جهاز التوجيه - أي شيء يدعم الوصول عبر شبكة Wi-Fi أو شبكة إيثرنت سلكية.
إذا نظرت إلى الوضع على نطاق أوسع، فقد يكون هذا، على سبيل المثال، نقطة اتصال لمكتب صغير حيث يمكن للعديد من الأشخاص العمل.
ضمن هذا القطاع المحمي، يمكن للأجهزة المتصلة تبادل المعلومات، ويمكنك تنظيم شيء مثل مورد مشاركة الملفات، مع الوصول العادي إلى الإنترنت، وإرسال المستندات للطباعة إلى طابعة خارجية، وما إلى ذلك.
الهاتفية للشركات! هناك الكثير في هذا الصوت الذي يبدو في مكان ما في الأنبوب! تتيح لك قناة VPN المركزية للعديد من الأجهزة توصيل هاتف ذكي عبر شبكة Wi-Fi واستخدام الاتصال الهاتفي عبر بروتوكول الإنترنت لإجراء مكالمات إلى أرقام قصيرة داخل شبكة الشركة.
بخلاف ذلك، سيتعين عليك إجراء مكالمات عبر الهاتف المحمول أو استخدام تطبيقات خارجية مثل WhatsApp، وهو ما لا يتوافق دائمًا مع سياسة أمان الشركة.
وبما أننا نتحدث عن السلامة، فمن الجدير بالذكر حقيقة أخرى مهمة. باستخدام بوابة VPN الخاصة بالأجهزة، يمكنك تحسين أمانك باستخدام ميزات التحكم الجديدة في بوابة الدخول. يتيح لك ذلك زيادة الأمان وتحويل جزء من حمل حماية حركة المرور إلى بوابة الشبكة.
ما الحل الذي يمكن أن يقدمه Zyxel لهذه الحالة؟
نحن نفكر في إصدار جهاز للاستخدام المؤقت لجميع الموظفين الذين يمكنهم ويريدون العمل عن بعد.
ولذلك، ينبغي أن يكون مثل هذا الجهاز:
- غير مكلفة؛
- موثوقة (حتى لا تضيع المال والوقت في الإصلاحات)؛
- متاحة للشراء في سلاسل البيع بالتجزئة؛
- سهل الإعداد (يُقصد استخدامه دون الاتصال على وجه التحديد
متخصص مدرب).
لا يبدو حقيقيا جدا، أليس كذلك؟
ومع ذلك، فإن مثل هذا الجهاز موجود، وهو موجود بالفعل وهو مجاني
- زيكسيل ZyWALL VPN2S
VPN2S هو جدار حماية VPN يسمح لك باستخدام اتصال خاص
من نقطة إلى نقطة دون تكوين معقد لمعلمات الشبكة.
الشكل 1. ظهور Zyxel ZyWALL VPN2S
مواصفات الجهاز مختصرة
ميزات الأجهزة
منافذ RJ-10 بسرعة 100/1000/45 ميجابت في الثانية
3 × شبكة LAN، 1 × شبكة WAN/LAN، 1 × شبكة WAN
منافذ USB
2 X USB 2.0
لا مروحة
نعم
قدرة النظام وأدائه
إنتاجية جدار الحماية SPI (ميغابت في الثانية)
1.5 جيجابايت في الثانية
عرض النطاق الترددي VPN (ميجابت في الثانية)
35
الحد الأقصى لعدد الجلسات المتزامنة. برنامج التعاون الفني
50000
الحد الأقصى لعدد أنفاق IPsec VPN المتزامنة [5] 20
مناطق قابلة للتخصيص
نعم
دعم IPv6
نعم
الحد الأقصى لعدد شبكات VLAN
16
ميزات البرنامج الرئيسية
توازن تحميل شبكات WAN المتعددة/تجاوز الفشل
نعم
شبكة افتراضية خاصة (VPN)
نعم (IPSec، L2TP عبر IPSec، PPTP، L2TP، GRE)
عميل VPN
IPSec/L2TP/PPTP
تصفية المحتوى
1 سنة مجانا
جدار الحماية
نعم
شبكة محلية ظاهرية/مجموعة الواجهة
نعم
إدارة عرض النطاق الترددي
نعم
سجل الأحداث والرصد
نعم
مساعد السحابة
نعم
جهاز التحكم
نعم
ملاحظة. تعتمد البيانات الموجودة في الجدول على الرمز الصغير OPAL BE 1.12 أو أعلى
إصدار لاحق.
ما هي خيارات VPN التي يدعمها ZyWALL VPN2S
في الواقع، من الاسم يتضح أن جهاز ZyWALL VPN2S هو في المقام الأول
مصممة لربط الموظفين عن بعد والفروع الصغيرة عبر VPN.
- يتم توفير بروتوكول L2TP Over IPSec VPN للمستخدمين النهائيين.
- لتوصيل المكاتب الصغيرة، يتم توفير الاتصال عبر Site-to-Site IPSec VPN.
- أيضًا، باستخدام ZyWALL VPN2S، يمكنك إنشاء اتصال L2TP VPN باستخدامه
مزود الخدمة للوصول الآمن إلى الإنترنت.
وتجدر الإشارة إلى أن هذا التقسيم مشروط للغاية. على سبيل المثال، يمكنك
نقطة بعيدة تكوين اتصال موقع إلى موقع IPSec VPN مع واحد
المستخدم داخل محيط.
بالطبع، كل هذا باستخدام خوارزميات VPN الصارمة (IKEv2 وSHA-2).
استخدام شبكات WAN متعددة
بالنسبة للعمل عن بعد، الشيء الرئيسي هو أن يكون لديك قناة مستقرة. لسوء الحظ، مع الوحيد
ولا يمكن ضمان ذلك باستخدام خط اتصال حتى من المزود الأكثر موثوقية.
ويمكن تقسيم المشاكل إلى نوعين:
- انخفاض السرعة - ستساعد وظيفة موازنة التحميل Multi-WAN في ذلك
الحفاظ على اتصال مستقر بالسرعة المطلوبة؛ - فشل في القناة - لهذا الغرض يتم استخدام وظيفة تجاوز فشل شبكة WAN المتعددة
ضمان التسامح مع الخطأ باستخدام طريقة الازدواجية.
ما هي إمكانيات الأجهزة المتوفرة لهذا:
- يمكن تكوين منفذ LAN الرابع كمنفذ WAN إضافي.
- يمكن استخدام منفذ USB لتوصيل مودم 3G/4G، والذي يوفر ذلك
قناة احتياطية في شكل اتصالات خلوية.
زيادة أمن الشبكة
كما ذكر أعلاه، هذه هي واحدة من المزايا الرئيسية لاستخدام خاص
الأجهزة المركزية.
يحتوي ZyWALL VPN2S على وظيفة جدار الحماية SPI (Stateful Packet Inspection) لمواجهة أنواع مختلفة من الهجمات، بما في ذلك DoS (Denial of Service)، والهجمات باستخدام عناوين IP المخادعة، بالإضافة إلى الوصول عن بعد غير المصرح به إلى الأنظمة، وحركة مرور الشبكة والحزم المشبوهة.
كحماية إضافية، يحتوي الجهاز على تصفية المحتوى لمنع وصول المستخدم إلى المحتوى المشبوه والخطير والدخيل.
إعداد سريع وسهل في 5 خطوات باستخدام معالج الإعداد
لإعداد اتصال بسرعة، يوجد معالج إعداد مناسب ورسوم بيانية
واجهة بعدة لغات.
الشكل 2. مثال على إحدى شاشات معالج الإعداد.
من أجل إدارة سريعة وفعالة، تقدم Zyxel حزمة كاملة من أدوات الإدارة عن بعد التي يمكنك من خلالها تكوين VPN2S ومراقبتها بسهولة.
تعمل القدرة على تكرار الإعدادات على تبسيط إعداد أجهزة ZyWALL VPN2S المتعددة إلى حد كبير لنقلها إلى الموظفين البعيدين.
دعم شبكة محلية ظاهرية
على الرغم من أن ZyWALL VPN2S مصمم للعمل عن بعد، إلا أنه يدعم شبكة VLAN. يتيح لك ذلك زيادة أمان الشبكة، على سبيل المثال، إذا كان مكتب رجل أعمال فردي متصلاً بشبكة Wi-Fi للضيوف. وظائف VLAN القياسية، مثل الحد من مجالات البث، وتقليل حركة المرور المرسلة وتطبيق سياسات الأمان، مطلوبة في شبكات الشركات، ولكن من حيث المبدأ يمكن استخدامها أيضًا في الشركات الصغيرة.
يعد دعم VLAN مفيدًا أيضًا في تنظيم شبكة منفصلة، على سبيل المثال، للاتصال الهاتفي عبر بروتوكول الإنترنت (IP).
لضمان التشغيل باستخدام شبكة VLAN، يدعم جهاز ZyWALL VPN2S معيار IEEE 802.1Q.
تلخص
يتطلب خطر فقدان جهاز محمول مزود بقناة VPN مهيأة حلولاً أخرى غير توزيع أجهزة الكمبيوتر المحمولة الخاصة بالشركات.
يتيح لك استخدام بوابات VPN المدمجة وغير المكلفة تنظيم عمل الموظفين عن بعد بسهولة.
تم تصميم نموذج ZyWALL VPN2S في الأصل لتوصيل العاملين عن بعد والمكاتب الصغيرة.
وصلات مفيدة
→
→
→
→
→
المصدر: www.habr.com