Раскажам аб недарагім і бяспечным спосабе забяспечыць падлучэнне выдаленых супрацоўнікаў па VPN, пры гэтым не ўвяргаючы кампанію ў рэпутацыйнага або фінансавыя рызыкі і не ствараючы дадатковых праблем аддзелу ІТ і кіраўніцтву кампаніі.
З развіццём ІТ стала магчымым прыцягваць выдаленых супрацоўнікаў на ўсё большую колькасць пазіцый.
Калі раней сярод аддальнікаў у асноўным былі прадстаўнікі творчых прафесій, напрыклад, дызайнеры, копірайтэр, то цяпер і бухгалтар, і юрысконсульт, мноства прадстаўнікоў іншых спецыяльнасцяў могуць спакойна працаваць з дому, наведваючы офіс толькі пры неабходнасці.
Але ў любым выпадку неабходна арганізаваць працу праз абаронены канал.
Самы просты варыянт. Наладжваем на серверы VPN, супрацоўніку даецца лагін-пароль і ключ-сертыфікат ад VPN, а таксама і інструкцыя як наладзіць кліент VPN у сябе на кампутары. І аддзел ІТ лічыць сваю задачу выкананай.
Ідэя быццам бы нядрэнная, за выключэннем аднаго: гэта павінен быць супрацоўнік, які ўмее ўсё настройваць самастойна. Калі гаворка ідзе аб кваліфікаваным распрацоўніку сеткавых прыкладанняў – вельмі, верагодна, што ён зладзіцца з гэтай задачай.
Але бухгалтар, мастак, дызайнер, тэхнічны пісьменнік, архітэктар і мноства прадстаўнікоў іншых прафесій не абавязкова павінны разбірацца ў тонкасцях наладкі VPN. Або да іх хтосьці павінен далучыцца выдалена і дапамагчы, альбо прыехаць асабіста і ўсё наладзіць на месцы. Адпаведна, калі ў іх нешта перастае працаваць, напрыклад, з-за збою ў профілі карыстальніка зляцелі наладкі сеткавага кліента, то ўсё трэба паўтарыць спачатку.
Некаторыя кампаніі выдаюць наўтбук з ужо ўсталяваным ПА і наладжаным праграмным кліентам VPN для выдаленай працы. Па ідэі ў гэтым выпадку карыстачы не павінны мець правоў адміністратара. Такім чынам рашаюцца дзве задачы: супрацоўнікі гарантавана забяспечваюцца ліцэнзійным праграмным забеспячэннем, якое падыходзіць пад іх задачы, і гатовым каналам сувязі. Пры гэтым яны не могуць самастойна мяняць наладкі, што зніжае частату зваротаў у
тэхпадтрымку.
У некаторых выпадках гэта зручна. Напрыклад, маючы наўтбук, можна днём з камфортам размясціцца ў пакоі, а ўначы ціхенька папрацаваць на кухні, каб нікога не будзіць.
Які галоўны мінус? Той жа самы, што і плюс - гэта мабільная прылада, якое можна пераносіць. Карыстальнікі дзеляцца на дзве катэгорыі: тыя, хто аддаюць перавагу настольны ПК з-за магутнасці і вялікага манітора і тыя, хто любіць мабільнасць.
Другая група карыстачоў аберуч галасуе за наўтбукі. Атрымаўшы карпаратыўны наўтбук, такія супрацоўнікі пачынаюць радасна хадзіць з ім у кафэ, рэстараны, ездзіць на прыроду і спрабаваць працаваць адтуль. Калі б толькі працаваць, а не проста выкарыстоўваць атрыманы апарат як свой уласны кампутар для сацсетак і іншых забаў.
Рана ці позна карпаратыўны наўтбук губляецца не толькі разам з працоўнай інфармацыяй на цвёрдым дыску, а яшчэ і з настроеным доступам па VPN. Калі варта галачка "захоўваць пароль" у наладах VPN кліента, то рахунак пайшоў на хвіліны. У сітуацыях, калі не адразу знайшлі прапажу, не адразу паведамілі ў службу падтрымкі, не адразу знайшлі патрэбнага супрацоўніка, які мае права для блакіроўкі - гэта можа абярнуцца вялікай бядой.
Часам дапамагае размежаванне доступу да інфармацыі. Але размежаваць доступ – не азначае цалкам вырашыць праблем пры страце прылады, гэта ўсяго толькі спосаб зменшыць страты пры разгалашэнні і кампраметацыі дадзеных.
Можна выкарыстоўваць шыфраванне або двухфактарную аўтэнтыфікацыю, напрыклад, з USB-ключом. Вонкава ідэя выглядае нядрэнна, зараз калі наўтбук патрапіць у чужыя рукі, яго ўладальніку прыйдзецца папацець, каб атрымаць доступ да дадзеных, у тым ліку для доступу па VPN. За гэты час можна паспець перакрыць доступ у карпаратыўную сетку. А перад выдаленым карыстачом адчыняюцца новыя магчымасці: прашляпіць ці наўтбук, ці ключ для доступу, ці ўсё адразу. Фармальна ўзровень абароны павысіўся, але службе тэхпадтрымкі сумаваць не давядзецца. Акрамя гэтага, на кожнага выдаленшчыка зараз давядзецца закупіць камплект для двухфактарнай аўтэнтыфікацыі (або шыфравання).
Асобная сумная і доўгая гісторыя - спагнанне шкоды за страчаныя або сапсаваныя наўтбукі (скінутыя на падлогу, залітыя салодкім чаем, кава, а таксама іншыя няшчасныя выпадкі) і згубленыя ключы доступу.
Апроч усяго іншага, наўтбук утрымоўвае механічныя часткі, такія як клавіятура, USB раздымы, мацаванне вечка з экранам — усё гэта ад часу выпрацоўвае свой рэсурс, дэфармуецца, разбоўтваецца і падлягае рамонту ці замене (часцей за ўсё замене ўсяго наўтбука).
І што зараз? Найстрога забараніць выносіць наўтбук з кватэры і адсочваць
перамяшчэнне?
А навошта тады выдавалі менавіта наўтбук?
Адна з прычын складаецца ў тым, што наўтбук прасцей перадаць. Давайце прыдумаем што-небудзь іншае, таксама кампактнае.
Можна выдаваць не наўтбук, а абароненыя флэшкі LiveUSB з ужо наладжаным падлучэннем VPN, а карыстач будзе выкарыстоўваць свой кампутар. Але і тут латарэя: запусціцца праграмная зборка на кампутары карыстальніка ці не? Праблема можа быць у элементарнай адсутнасці патрэбных драйвераў.
Трэба прыдумаць, як арганізаваць падключэнне супрацоўнікаў на «выдаленні», пры гэтым пажадана, каб чалавек не паддаваўся спакусе пабадзяцца з карпаратыўным наўтбукам па горадзе, а сядзеў бы ў сябе дома і спакойна працаваў без рызыкі дзесьці забыцца або страціць даручанае яму прылада.
Стацыянарны доступ па VPN
А калі выдаваць не канчатковую прыладу, напрыклад, наўтбук, ці тым больш не асобную флешку для падлучэння, а сеткавы шлюз з VPN кліентам на борце?
Напрыклад, гатовы маршрутызатар, улучальны падтрымку розных пратаколаў, у якім ужо загадзя наладжана VPN злучэнне. Выдаленаму супрацоўніку застаецца толькі падлучыць да яго свой кампутар і пачаць працу.
Якія пытанні гэта дапамагае вырашыць?
- Тэхніка з настроеным доступам у карпаратыўную сетку па VPN не выносіцца з дому.
- Можна падлучыць некалькі прылад да аднаго VPN каналу.
Вышэй мы ўжо пісалі, што прыемна мець магчымасць перамяшчацца з наўтбукам па кватэры, але часцяком прасцей і зручней працаваць з настольным кампутарам.
А да VPN на маршрутызатары можна падлучыць і ПК, і наўтбук, і смартфон, і планшэт, і нават электронную кнігу – усё што падтрымлівае доступ па Wi-Fi або правадному Ethernet.
Калі паглядзець на сітуацыю шырэй, гэта можа быць, напрыклад, пункт падключэння для міні-офіса, дзе можа працаваць некалькі чалавек.
Унутры такога абароненага сегмента падлучаныя прылады могуць абменьвацца інфармацыяй, можна арганізаваць нешта накшталт файлаабменнага рэсурсу, пры гэтым мець нармальны доступ у Інтэрнэт, пасылаць дакументы на друк на знешні прынтэр і гэтак далей.
Карпаратыўная тэлефанія! Як шмат у гэтым гуку, які ў трубцы недзе там гучыць! Цэнтралізаваны VPN канал на некалькі прылад дазваляе падключыць смартфон па Wi-Fi сетцы і выкарыстоўваць IP тэлефанію для званкоў на кароткія нумары ўнутры карпаратыўнай сеткі.
Інакш прыйшлося б тэлефанаваць па мабільным або выкарыстоўваць вонкавыя прыкладанні, такія як WhatsApp, што не заўсёды сугучна з карпаратыўнай палітыкай бяспекі.
І раз мы загаварылі аб бяспецы, то варта адзначыць яшчэ адзін немалаважны факт. З апаратным VPN шлюзам можна ўзмацніць абарону шляхам выкарыстання новых функцый кантролю на ўваходным шлюзе. Гэта дазваляе падвысіць бяспеку і перанесці частку нагрузкі па абароне трафіку на сеткавы шлюз.
Якое рашэнне можа прапанаваць Zyxel для гэтага выпадку
Мы разглядаем прыладу, якая падлягае выдачы ў часовае карыстанне ўсім працаўнікам, хто можа і жадае працаваць выдалена.
Таму такая прылада павінна быць:
- недарагім;
- надзейным (каб не марнаваць грошы і час на рамонт);
- даступным для пакупкі ў гандлёвых сетках;
- простым ў наладзе (мяркуецца выкарыстоўваць без выкліку спецыяльна
навучанага спецыяліста).
Гучыць не надта рэальна, праўда?
Аднак такая прылада ёсць, яна рэальна існуе і вольна
- Zyxel ZyWALL VPN2S
VPN2S – гэта міжсеткавы экран VPN, які дазваляе выкарыстоўваць прыватнае злучэнне
point-to-point без складанай наладкі параметраў сеткі.
Малюнак 1. Вонкавы выгляд Zyxel ZyWALL VPN2S
Кароткая спецыфікацыя прылады
Апаратныя асаблівасці
Парты 10/100/1000 Mbps RJ-45
3 x LAN, 1 x WAN/LAN, 1 x WAN
Парты USB
2 х USB 2.0
Адсутнасць вентылятара
Так
Ёмістасць і прадукцыйнасць сістэмы
Прапускная здольнасць міжсеткавага экрана SPI (Mbps)
1.5 Gbps
Прапускная здольнасць VPN (Mbps)
35
Максімальная колькасць адначасовых сесій. TCP
50000
Максімальны лік адначасовых тунэляў IPsec VPN [5] 20
Кастамізуюцца зоны
Так
Падтрымка IPv6
Так
Максімальны лік VLAN
16
Асноўныя функцыі праграмнага забеспячэння
Multi-WAN Load Balance/Failover
Так
Віртуальная прыватная сетка (VPN)
Так (IPSec, L2TP over IPSec, PPTP, L2TP, GRE)
Кліент VPN
IPSec/L2TP/PPTP
Фільтраванне кантэнту
1 год бясплатна
міжсеткавы экран
Так
VLAN/Interface Group
Так
Кіраванне паласой прапускання
Так
Часопіс падзей і маніторынг
Так
Cloud Helper
Так
Выдаленае кіраванне
Так
Заўвага. Дадзеныя ў табліцы прыведзены для мікракода OPAL BE 1.12 або больш
позняй версіі.
Якія варыянты VPN падтрымліваюцца ZyWALL VPN2S
Уласна, з назову відаць, што прылада ZyWALL VPN2S у першую чаргу
праектавалася для сувязі аддаленых супрацоўнікаў і міні-філіялаў па VPN.
- Для канчатковых карыстальнікаў прадугледжаны пратакол L2TP Over IPSec VPN.
- Для падлучэння міні-офісаў прадугледжана сувязь па Site-to-Site IPSec VPN.
- Таксама з дапамогай ZyWALL VPN2S можна пабудаваць злучэнне L2TP VPN з
сэрвіс-правайдэрам для бяспечнага доступу да Інтэрнэту.
Варта адзначыць, што гэты падзел вельмі ўмоўна. Напрыклад, можна на
выдаленай кропцы наладзіць падключэнне Site-to-Site IPSec VPN з адзіным
карыстальнікам ўнутры перыметра.
Зразумела, усё гэта з выкарыстаннем строгіх алгарытмаў VPN (IKEv2 і SHA-2).
Выкарыстанне некалькіх WAN
Для выдаленай працы галоўнае мець стабільны канал. На жаль, з адзінай
лініяй сувязі нават ад самага надзейнага правайдэра гэта нельга гарантаваць.
Праблемы можна падзяліць на два віды:
- падзенне хуткасці - ад гэтага дапаможа функцыя Multi-WAN load balancing для
падтрымання ўстойлівага злучэнне з патрабаванай хуткасцю; - аварыя на канале - для гэтага служыць функцыя Multi-WAN failover для
забеспячэння адмоваўстойлівасці метадам дубліравання.
Якія ёсць для гэтага апаратныя магчымасці:
- Чацвёрты порт LAN можна сканфігураваць як дадатковы порт WAN.
- USB-порт можна выкарыстоўваць для падлучэння 3G/4G мадэма, што забяспечвае
рэзервовы канал у выглядзе сотавай сувязі.
Павышэнне сеткавай бяспекі
Як было сказана вышэй, гэта адна з галоўных пераваг выкарыстання спецыяльных
цэнтралізаваных прылад.
У ZyWALL VPN2S прысутнічае функцыя міжсеткавага экрана SPI (Stateful Packet Inspection) для процідзеяння нападам рознага тыпу, у тым ліку DoS (Denial of Service), нападам з ужываннем падстаўных IP-адрасоў, а таксама ад неаўтарызаванага выдаленага доступу да сістэм, падазронага сеткавага трафіку пакетаў.
У якасці дадатковай абароны ў прыладзе прысутнічае Content filtering для блакавання доступу карыстачоў да падазронага, небяспечнага і старонняга кантэнту.
Хуткая і лёгкая настройка з 5 крокаў з дапамогай майстра налады
Для хуткай наладкі злучэння ёсць зручны майстар наладкі і графічны
інтэрфейс на некалькіх мовах.
Малюнак 2. Прыклад аднаго з экранаў майстра наладкі.
Для аператыўнага і эфектыўнага кіравання Zyxel прапануе поўны пакет утыліт выдаленага адміністравання, з дапамогай якіх можна лёгка наладзіць VPN2S і весці яго маніторынг.
Магчымасць дублявання налад значна спрашчае падрыхтоўку да працы некалькіх прылад ZyWALL VPN2S для перадачы выдаленым супрацоўнікам.
Падтрымка VLAN
Нягледзячы на тое, што ZyWALL VPN2S заменчаны для выдаленай працы, ён падтрымлівае VLAN. Гэта дазваляе падвысіць бяспеку сеткі, напрыклад, калі падлучаны офіс індывідуальнага прадпрымальніка, у якім ёсць гасцявы Wi-Fi. Стандартныя функцыі VLAN, такія, як абмежаванне даменаў broadcast domain, скарачэнне перадаецца трафіку і прымяненне палітык бяспекі запатрабаваны ў карпаратыўных сетках, але ў малым бізнэсе ў прынцыпе, таксама могуць знайсці прымяненне.
Таксама падтрымка VLAN карысная для арганізацыі асобнай сеткі, напрыклад, для IP тэлефаніі.
Для забеспячэння працы з VLAN прылада ZyWALL VPN2S падтрымлівае IEEE 802.1Q стандарт.
Падводзячы вынікі
Рызыка страты мабільнага прылады з настроеным VPN каналам патрабуе іншых рашэнняў, чым раздача карпаратыўных наўтбукаў.
Выкарыстанне кампактных і недарагіх VPN шлюзаў дазваляе без працы арганізаваць працу выдаленых супрацоўнікаў.
Мадэль ZyWALL VPN2S першапачаткова прызначаная для падлучэння выдаленых супрацоўнікаў і невялікіх офісаў.
Карысныя спасылкі
→
→
→
→
→
Крыніца: habr.com