Şirkəti reputasiya və ya maliyyə risklərinə məruz qoymadan və İT departamenti və şirkət rəhbərliyi üçün əlavə problemlər yaratmadan uzaqdan işləyən işçilərin VPN vasitəsilə qoşulmasını təmin etməyin ucuz və təhlükəsiz yolu haqqında sizə məlumat verəcəyik.
İT-nin inkişafı ilə uzaqdan işçiləri getdikcə artan vəzifələrə cəlb etmək mümkün olmuşdur.
Əgər əvvəllər ucqar işçilər arasında əsasən yaradıcı peşələrin nümayəndələri, məsələn, dizaynerlər, kopirayterlər var idisə, indi mühasib, hüquq məsləhətçisi və bir çox başqa peşələrin nümayəndələri evdən asanlıqla işləyə bilirlər, yalnız zəruri hallarda ofisə baş çəkirlər.
Amma istənilən halda təhlükəsiz kanal vasitəsilə işi təşkil etmək lazımdır.
Ən sadə variant. Biz serverdə VPN qururuq, işçiyə giriş parolu və VPN sertifikat açarı verilir, həmçinin onun kompüterində VPN müştəri qurmaq barədə təlimatlar verilir. İT departamenti isə öz vəzifəsini başa çatmış hesab edir.
Fikir pis deyil, bir şey istisna olmaqla: hər şeyi öz başına konfiqurasiya etməyi bilən bir işçi olmalıdır. Şəbəkə proqramlarının ixtisaslı bir tərtibatçısından danışırıqsa, çox güman ki, bu vəzifənin öhdəsindən gələcək.
Lakin mühasib, rəssam, dizayner, texniki yazıçı, memar və bir çox digər peşələrin mütləq VPN qurmağın incəliklərini başa düşməsinə ehtiyac yoxdur. Ya kimsə onlarla uzaqdan əlaqə saxlamalı və kömək etməlidir, ya da şəxsən gəlib hər şeyi yerində qurmalıdır. Müvafiq olaraq, əgər onlar üçün bir şey işləməyi dayandırarsa, məsələn, istifadəçi profilindəki bir nasazlıq səbəbindən, şəbəkə müştəri parametrləri itirildisə, hər şeyi yenidən təkrarlamaq lazımdır.
Bəzi şirkətlər artıq quraşdırılmış proqram təminatı ilə noutbuk və uzaqdan işləmək üçün konfiqurasiya edilmiş VPN proqram müştərisi təqdim edir. Teorik olaraq, bu halda istifadəçilərin administrator hüquqları olmamalıdır. Bu yolla iki problem həll edilir: işçilərə tapşırıqlarına uyğun lisenziyalı proqram təminatı və hazır rabitə kanalı ilə təmin olunmağa zəmanət verilir. Eyni zamanda, onlar parametrləri özləri dəyişdirə bilməzlər, bu da zənglərin tezliyini azaldır
texniki dəstək.
Bəzi hallarda bu rahatdır. Məsələn, noutbuka sahib olmaqla, gündüzlər otağınızda rahat otura, gecələr isə heç kimi oyatmamaq üçün sakitcə mətbəxdə işləyə bilərsiniz.
Əsas çatışmazlıq nədir? Bir artı ilə eyni - daşına bilən mobil cihazdır. İstifadəçilər iki kateqoriyaya bölünür: güc üçün masaüstü kompüterə və böyük monitora üstünlük verənlər və daşınma qabiliyyətini sevənlər.
İkinci qrup istifadəçilər noutbuklara iki əllə səs verirlər. Korporativ noutbuk aldıqdan sonra belə işçilər sevinclə onunla kafelərə, restoranlara getməyə, təbiətə getməyə və oradan işləməyə çalışırlar. Kaş bu işləsəydi və alınan cihazı sosial şəbəkələr və digər əyləncələr üçün öz kompüteriniz kimi istifadə etməsəniz.
Gec-tez korporativ noutbuk yalnız sabit diskdəki iş məlumatları ilə yanaşı, həm də konfiqurasiya edilmiş VPN girişi ilə itirilir. VPN müştəri parametrlərində “parolun saxlanması” qutusu işarələnibsə, dəqiqələr sayılır. Zərər dərhal aşkar edilmədiyi hallarda, dəstək xidmətinə dərhal məlumat verilmədi və ya bloklamaq hüququ olan düzgün işçi dərhal tapılmadı - bu, böyük bir fəlakətə çevrilə bilər.
Bəzən məlumat əldə etmək imkanını məhdudlaşdırmaq kömək edir. Lakin girişin məhdudlaşdırılması cihazın itirilməsi ilə bağlı problemlərin tam həlli demək deyil, bu, sadəcə olaraq, məlumatların açıqlanması və ələ keçirildiyi zaman itkiləri azaltmağın bir yoludur.
Şifrələmə və ya iki faktorlu autentifikasiyadan istifadə edə bilərsiniz, məsələn, USB açarı ilə. Xarici olaraq, ideya yaxşı görünür, lakin indi noutbuk səhv əllərə keçərsə, onun sahibi VPN vasitəsilə daxil olmaq da daxil olmaqla məlumatlara çıxış əldə etmək üçün çox çalışmalı olacaq. Bu müddət ərzində siz korporativ şəbəkəyə girişin qarşısını ala bilərsiniz. Uzaq istifadəçi üçün isə yeni imkanlar açılır: ya noutbuku, ya da giriş düyməsini və ya hamısını birdən sındırmaq. Formal olaraq qorunma səviyyəsi artıb, lakin texniki dəstək xidməti cansıxıcı olmayacaq. Bundan əlavə, hər bir uzaq operator indi iki faktorlu autentifikasiya (və ya şifrələmə) dəsti almalı olacaq.
Ayrı bir kədərli və uzun hekayə, itirilmiş və ya zədələnmiş noutbuklar (yerə atılmış, şirin çay, qəhvə və digər qəzalarla tökülmüş) və itirilmiş giriş açarları üçün zərərlərin toplusudur.
Digər şeylərlə yanaşı, noutbukda klaviatura, USB birləşdiriciləri və ekranlı qapaq kimi mexaniki hissələr var - bunların hamısı zaman keçdikcə öz xidmət müddətini köhnəlir, deformasiyaya uğrayır, boşalır və təmir edilməli və ya dəyişdirilməlidir (çox vaxt , bütün noutbuk dəyişdirilib).
İndi nə? Mənzildən noutbuk çıxarmaq və izləmək qəti qadağandır
hərəkət edir?
Bəs niyə noutbuk verdilər?
Səbəblərdən biri laptopun köçürülməsinin daha asan olmasıdır. Gəlin başqa bir şey tapaq, həm də yığcam.
Siz noutbuku deyil, VPN bağlantısı artıq konfiqurasiya edilmiş qorunan LiveUSB flash sürücülərini buraxa bilərsiniz və istifadəçi öz kompüterindən istifadə edəcək. Ancaq bu da bir lotereyadır: proqram məclisi istifadəçinin kompüterində işləyəcək, ya yox? Problem lazımi sürücülərin sadə çatışmazlığı ola bilər.
İşçilərin əlaqəsini uzaqdan necə təşkil edəcəyimizi anlamalıyıq və insanın korporativ noutbuku ilə şəhərdə dolaşmaq şirnikləndirilməsinə tab gətirməməsi, evdə oturması və unutmaq və ya riski olmadan sakit işləməsi arzu edilir. ona əmanət edilən cihazı hardasa itirmək.
Stasionar VPN girişi
Son cihaz deyil, məsələn, noutbuk və ya qoşulma üçün ayrıca bir flash sürücü deyil, bortda VPN müştərisi olan bir şəbəkə şlüzünü təmin etsəniz nə olacaq?
Məsələn, VPN bağlantısı artıq konfiqurasiya edilmiş müxtəlif protokollar üçün dəstəyi ehtiva edən hazır marşrutlaşdırıcı. Uzaqdan işləyən işçi sadəcə kompüterini ona qoşmalı və işə başlamalıdır.
Bu hansı problemləri həll etməyə kömək edir?
- VPN vasitəsilə korporativ şəbəkəyə konfiqurasiya edilmiş çıxışı olan avadanlıq evdən çıxarılmır.
- Bir VPN kanalına bir neçə cihazı qoşa bilərsiniz.
Artıq yuxarıda yazdıq ki, mənzildə noutbukla hərəkət etmək gözəldir, lakin tez-tez masaüstü kompüterlə işləmək daha asan və daha rahatdır.
Və siz kompüteri, noutbuku, smartfonu, planşetinizi və hətta elektron oxucunu marşrutlaşdırıcıdakı VPN-ə qoşa bilərsiniz - Wi-Fi və ya simli Ethernet vasitəsilə girişi dəstəkləyən hər şey.
Vəziyyətə daha geniş baxsanız, bu, məsələn, bir neçə nəfərin işləyə biləcəyi mini-ofis üçün əlaqə nöqtəsi ola bilər.
Belə qorunan seqment daxilində birləşdirilmiş qurğular məlumat mübadiləsi edə bilər, İnternetə normal çıxışı olan halda fayl paylaşma resursu kimi bir şey təşkil edə, sənədləri çap üçün xarici printerə göndərə və s.
Korporativ telefoniya! Borunun bir yerindən səslənən bu səsdə çox şey var! Bir neçə qurğu üçün mərkəzləşdirilmiş VPN kanalı smartfonu Wi-Fi şəbəkəsi vasitəsilə qoşmağa və korporativ şəbəkə daxilində qısa nömrələrə zəng etmək üçün İP telefoniyadan istifadə etməyə imkan verir.
Əks halda, mobil zənglər etməli və ya WhatsApp kimi xarici proqramlardan istifadə etməli olacaqsınız ki, bu da həmişə korporativ təhlükəsizlik siyasətinə uyğun gəlmir.
Təhlükəsizlik haqqında danışdığımız üçün başqa bir vacib faktı qeyd etmək lazımdır. Avadanlıq VPN şlüzü ilə siz giriş şlüzündə yeni nəzarət funksiyalarından istifadə etməklə təhlükəsizliyinizi artıra bilərsiniz. Bu, təhlükəsizliyi artırmağa və trafikin mühafizəsi yükünün bir hissəsini şəbəkə şlüzünə keçirməyə imkan verir.
Zyxel bu iş üçün hansı həlli təklif edə bilər?
Uzaqdan işləməyi bacaran və istəyən bütün işçilərə müvəqqəti istifadə üçün verilməli olan cihazı nəzərdən keçiririk.
Buna görə belə bir cihaz olmalıdır:
- ucuz;
- etibarlı (təmirə pul və vaxt sərf etməmək üçün);
- pərakəndə satış şəbəkələrində satın alına bilər;
- quraşdırmaq asandır (xüsusi zəng etmədən istifadə etmək üçün nəzərdə tutulub
təlim keçmiş mütəxəssis).
Çox real səslənmir, elə deyilmi?
Ancaq belə bir cihaz var, həqiqətən mövcuddur və pulsuzdur
- Zyxel ZyWALL VPN2S
VPN2S şəxsi bağlantıdan istifadə etməyə imkan verən VPN təhlükəsizlik divarıdır
şəbəkə parametrlərinin kompleks konfiqurasiyası olmadan nöqtədən nöqtəyə.
Şəkil 1. Zyxel ZyWALL VPN2S-in görünüşü
Qısa cihaz spesifikasiyası
Avadanlıq Xüsusiyyətləri
10/100/1000 Mbps RJ-45 portları
3 x LAN, 1 x WAN/LAN, 1 x WAN
USB portları
2 x USB 2.0
Azarkeş yoxdur
Bəli
Sistemin tutumu və performansı
SPI Firewall Ötürmə qabiliyyəti (Mbps)
1.5 Gbps
VPN bant genişliyi (Mbps)
35
Eyni vaxtda seansların maksimum sayı. TCP
50000
Максимальное число одновременных туннелей IPsec VPN [5] 20
Fərdiləşdirilə bilən zonalar
Bəli
IPv6 dəstəyi
Bəli
VLAN-ların maksimum sayı
16
Əsas Proqram Xüsusiyyətləri
Çox WAN Yük Balansı/Failover
Bəli
Virtual Şəxsi Şəbəkə (VPN)
Bəli (IPSec, IPSec üzərindən L2TP, PPTP, L2TP, GRE)
VPN müştəri
IPSec/L2TP/PPTP
Məzmun filtrasiyası
1 il pulsuz
Firewall
Bəli
VLAN/İnterfeys Qrupu
Bəli
Bant Genişliyinin İdarə Edilməsi
Bəli
Hadisə qeydi və monitorinqi
Bəli
Bulud Köməkçisi
Bəli
Uzaqdan nəzarət
Bəli
Qeyd edək. Cədvəldəki məlumatlar OPAL BE mikrokodu 1.12 və ya daha yüksəkdir
sonrakı versiya.
ZyWALL VPN2S hansı VPN seçimlərini dəstəkləyir
Əslində, adından aydın olur ki, ZyWALL VPN2S cihazı ilk növbədədir
VPN vasitəsilə uzaq işçiləri və mini filialları birləşdirmək üçün nəzərdə tutulmuşdur.
- L2TP Over IPSec VPN protokolu son istifadəçilər üçün təqdim olunur.
- Mini-ofisləri birləşdirmək üçün Site-to-Site IPSec VPN vasitəsilə əlaqə təmin edilir.
- Həmçinin, ZyWALL VPN2S istifadə edərək, L2TP VPN bağlantısı qura bilərsiniz
təhlükəsiz İnternetə çıxış üçün xidmət təminatçısı.
Qeyd etmək lazımdır ki, bu bölgü çox şərtlidir. Məsələn, edə bilərsiniz
uzaq nöqtə bir Saytdan Sayta IPSec VPN bağlantısını konfiqurasiya edin
perimetr daxilində istifadəçi.
Əlbəttə ki, bütün bunlar ciddi VPN alqoritmlərindən (IKEv2 və SHA-2) istifadə olunur.
Çoxlu WAN-lardan istifadə
Uzaqdan işləmək üçün əsas odur ki, sabit bir kanal olsun. Təəssüf ki, yeganə ilə
Bu, hətta ən etibarlı provayderdən olan rabitə xətti ilə təmin edilə bilməz.
Problemləri iki növə bölmək olar:
- sürətin azalması - Multi-WAN yük balansı funksiyası buna kömək edəcəkdir
tələb olunan sürətdə sabit əlaqənin saxlanması; - kanalda nasazlıq - bu məqsədlə Multi-WAN əvəzetmə funksiyasından istifadə olunur
təkrarlama metodundan istifadə etməklə nasazlığa dözümlülüyün təmin edilməsi.
Bunun üçün hansı hardware imkanları var:
- Dördüncü LAN portu əlavə WAN portu kimi konfiqurasiya edilə bilər.
- USB portu təmin edən 3G/4G modemi qoşmaq üçün istifadə edilə bilər
mobil rabitə şəklində ehtiyat kanal.
Artan şəbəkə təhlükəsizliyi
Yuxarıda qeyd edildiyi kimi, bu, xüsusi istifadənin əsas üstünlüklərindən biridir
mərkəzləşdirilmiş cihazlar.
ZyWALL VPN2S müxtəlif növ hücumlara, o cümlədən DoS (Xidmətdən imtina), saxta IP ünvanlarından istifadə edilən hücumlara, həmçinin sistemlərə, şübhəli şəbəkə trafikinə və paketlərə icazəsiz uzaqdan girişə qarşı çıxmaq üçün SPI (Stateful Packet Inspection) firewall funksiyasına malikdir.
Əlavə qorunma kimi cihazda şübhəli, təhlükəli və kənar məzmuna istifadəçi girişinin qarşısını almaq üçün Məzmun filtrasiyası var.
Quraşdırma sehrbazı ilə sürətli və asan 5 addımlı quraşdırma
Tez bir əlaqə qurmaq üçün rahat quraşdırma sehrbazı və qrafik var
bir neçə dildə interfeys.
Şəkil 2. Quraşdırma ustası ekranlarından birinin nümunəsi.
Sürətli və səmərəli idarəetmə üçün Zyxel VPN2S-i asanlıqla konfiqurasiya edə və ona nəzarət edə biləcəyiniz uzaqdan idarəetmə proqramlarının tam paketini təklif edir.
Parametrləri təkrarlamaq imkanı çoxlu ZyWALL VPN2S cihazlarının uzaq işçilərə ötürülməsi üçün hazırlanmasını xeyli asanlaşdırır.
VLAN dəstəyi
ZyWALL VPN2S-in uzaqdan işləmək üçün nəzərdə tutulmasına baxmayaraq, VLAN-ı dəstəkləyir. Bu, şəbəkə təhlükəsizliyini artırmağa imkan verir, məsələn, qonaq Wi-Fi olan fərdi sahibkarın ofisi qoşulubsa. Yayım domenlərinin məhdudlaşdırılması, ötürülən trafikin azaldılması və təhlükəsizlik siyasətlərinin tətbiqi kimi standart VLAN funksiyaları korporativ şəbəkələrdə tələb olunur, lakin prinsipcə onlardan kiçik bizneslərdə də istifadə oluna bilər.
VLAN dəstəyi ayrıca şəbəkənin təşkili üçün də faydalıdır, məsələn, IP telefoniya üçün.
VLAN ilə işləməyi təmin etmək üçün ZyWALL VPN2S cihazı IEEE 802.1Q standartını dəstəkləyir.
Ümumiləşdirərək
Konfiqurasiya edilmiş VPN kanalı olan mobil cihazı itirmək riski korporativ noutbukların paylanmasından başqa həllər tələb edir.
Kompakt və ucuz VPN şlüzlərindən istifadə uzaqdan olan işçilərin işini asanlıqla təşkil etməyə imkan verir.
ZyWALL VPN2S modeli əvvəlcə uzaq işçiləri və kiçik ofisləri birləşdirmək üçün nəzərdə tutulmuşdu.
Faydalı linklər
→
→
→
→
→
Mənbə: www.habr.com