Ще ви разкажем за евтин и сигурен начин да гарантирате, че отдалечените служители са свързани чрез VPN, без да излагате компанията на репутационни или финансови рискове и без да създавате допълнителни проблеми за ИТ отдела и ръководството на компанията.
С развитието на ИТ стана възможно привличането на отдалечени служители към все по-голям брой позиции.
Ако по-рано сред отдалечените работници имаше предимно представители на творчески професии, например дизайнери, копирайтъри, сега счетоводител, юрисконсулт и много представители на други професии могат лесно да работят от вкъщи, посещавайки офиса само когато е необходимо.
Но във всеки случай е необходимо да се организира работа чрез защитен канал.
Най-простият вариант. Настройваме VPN на сървъра, на служителя се дава парола за вход и ключ за VPN сертификат, както и инструкции как да настрои VPN клиент на своя компютър. И ИТ отделът смята задачата си за изпълнена.
Идеята изглежда не е лоша, с изключение на едно нещо: трябва да е служител, който знае как да конфигурира всичко сам. Ако говорим за квалифициран разработчик на мрежови приложения, много вероятно е той да се справи с тази задача.
Но счетоводител, художник, дизайнер, технически писател, архитект и много други професии не е задължително да разбират тънкостите на настройката на VPN. Или трябва някой да се свърже с тях дистанционно и да помогне, или да дойде лично и да настрои всичко на място. Съответно, ако нещо спре да работи за тях, например поради грешка в потребителския профил, настройките на мрежовия клиент са загубени, тогава всичко трябва да се повтори отново.
Някои компании предоставят лаптоп с вече инсталиран софтуер и конфигуриран VPN софтуерен клиент за отдалечена работа. На теория в този случай потребителите не трябва да имат администраторски права. По този начин се решават два проблема: служителите гарантирано разполагат с лицензиран софтуер, отговарящ на задачите им, и готов комуникационен канал. В същото време те не могат да променят настройките сами, което намалява честотата на обажданията до
техническа поддръжка.
В някои случаи това е удобно. Например, като имате лаптоп, можете удобно да седите в стаята си през деня и тихо да работите в кухнята през нощта, за да не събудите никого.
Какъв е основният недостатък? Същото като плюс - това е мобилно устройство, което може да се носи. Потребителите попадат в две категории: тези, които предпочитат настолен компютър за мощност и голям монитор, и тези, които обичат преносимостта.
Втората група потребители гласува с две ръце за лаптопи. След като са получили корпоративен лаптоп, такива служители започват с радост да ходят с него в кафенета, ресторанти, отиват сред природата и се опитват да работят от там. Само да работи, а не просто да използвате полученото устройство като собствен компютър за социални мрежи и други забавления.
Рано или късно корпоративен лаптоп се губи не само заедно с работната информация на твърдия диск, но и с конфигуриран VPN достъп. Ако квадратчето за отметка „запазване на паролата“ е отметнато в настройките на VPN клиента, минутите се броят. В ситуации, в които загубата не е открита незабавно, службата за поддръжка не е уведомена незабавно или правилният служител с права за блокиране не е намерен веднага - това може да се превърне в голяма катастрофа.
Понякога ограничаването на достъпа до информация помага. Но ограничаването на достъпа не означава пълно решаване на проблемите със загубата на устройство; това е просто начин да се намалят загубите, когато данните са разкрити и компрометирани.
Можете да използвате криптиране или двуфакторно удостоверяване, например с USB ключ. Външно идеята изглежда добра, но сега, ако лаптопът попадне в неподходящи ръце, неговият собственик ще трябва да се потруди, за да получи достъп до данните, включително достъп през VPN. През това време можете да блокирате достъпа до корпоративната мрежа. И се отварят нови възможности за отдалечения потребител: да хакне или лаптопа, или ключа за достъп, или всичко наведнъж. Формално нивото на защита се е увеличило, но услугата за техническа поддръжка няма да скучае. Освен това всеки отдалечен оператор вече ще трябва да закупи комплект за двуфакторно удостоверяване (или криптиране).
Отделна тъжна и дълга история е събирането на щети за изгубени или повредени лаптопи (хвърлени на пода, разляти със сладък чай, кафе и други инциденти) и изгубени ключове за достъп.
Освен всичко друго, лаптопът съдържа механични части, като клавиатура, USB конектори и капак с екран - всички те износват своя експлоатационен живот с времето, деформират се, разхлабват се и трябва да бъдат ремонтирани или сменени (най-често , целият лаптоп е сменен).
И сега какво? Строго е забранено изнасянето на лаптоп от апартамента и проследяването
движещ се?
Защо тогава са раздали лаптоп?
Една от причините е, че лаптопът е по-лесен за прехвърляне. Да измислим нещо друго, също компактно.
Можете да издадете не лаптоп, а защитени LiveUSB флаш устройства с вече конфигурирана VPN връзка и потребителят ще използва собствения си компютър. Но това също е лотария: ще работи ли софтуерният модул на компютъра на потребителя или не? Проблемът може да е проста липса на необходимите драйвери.
Трябва да измислим как да организираме връзката на служителите от разстояние и е желателно човекът да не се поддава на изкушението да се скита из града с корпоративен лаптоп, а да си седи у дома и да работи спокойно, без риск да забрави или изгубвайки някъде повереното му устройство.
Стационарен VPN достъп
Ами ако не предоставите крайно устройство, например лаптоп, или особено не отделно флаш устройство за връзка, а мрежов шлюз с VPN клиент на борда?
Например готов рутер, който включва поддръжка за различни протоколи, в който вече е конфигурирана VPN връзка. Отдалеченият служител просто трябва да свърже компютъра си към него и да започне работа.
Какви проблеми помага да се решат?
- Оборудване с конфигуриран достъп до корпоративната мрежа чрез VPN не се изнася извън къщата.
- Можете да свържете няколко устройства към един VPN канал.
Вече писахме по-горе, че е хубаво да можете да се движите из апартамента с лаптоп, но често е по-лесно и по-удобно да работите с настолен компютър.
И можете да свържете компютър, лаптоп, смартфон, таблет и дори електронен четец към VPN на рутера - всичко, което поддържа достъп чрез Wi-Fi или кабелен Ethernet.
Ако погледнете ситуацията по-широко, това може да бъде например точка за свързване на мини-офис, където могат да работят няколко души.
В рамките на такъв защитен сегмент свързаните устройства могат да обменят информация, можете да организирате нещо като ресурс за споделяне на файлове, докато имате нормален достъп до интернет, изпращате документи за печат на външен принтер и т.н.
Корпоративна телефония! Има толкова много в този звук, който звучи някъде в тръбата! Централизиран VPN канал за няколко устройства ви позволява да свържете смартфон чрез Wi-Fi мрежа и да използвате IP телефония, за да осъществявате повиквания до кратки номера в рамките на корпоративната мрежа.
В противен случай ще трябва да извършвате мобилни разговори или да използвате външни приложения като WhatsApp, което не винаги е в съответствие с корпоративната политика за сигурност.
И тъй като говорим за безопасност, заслужава да се отбележи още един важен факт. С хардуерен VPN шлюз можете да подобрите сигурността си, като използвате нови контролни функции на входния шлюз. Това ви позволява да увеличите сигурността и да прехвърлите част от натоварването за защита на трафика към мрежовия шлюз.
Какво решение може да предложи Zyxel за този случай?
Обмисляме устройство, което да бъде издадено за временно ползване на всички служители, които могат и искат да работят дистанционно.
Следователно такова устройство трябва да бъде:
- евтин;
- надежден (за да не губите пари и време за ремонт);
- налични за закупуване в търговски вериги;
- лесен за настройка (предназначен е да се използва без конкретно извикване
обучен специалист).
Не звучи много реално, нали?
Такова устройство обаче съществува, то наистина съществува и е безплатно
- Zyxel ZyWALL VPN2S
VPN2S е VPN защитна стена, която ви позволява да използвате частна връзка
от точка до точка без сложна конфигурация на параметрите на мрежата.
Фигура 1. Външен вид на Zyxel ZyWALL VPN2S
Кратка спецификация на устройството
Хардуерни характеристики
10/100/1000 Mbps RJ-45 портове
3 x LAN, 1 x WAN/LAN, 1 x WAN
USB портове
2 х USB 2.0
Без вентилатор
Да
Капацитет и производителност на системата
Пропускателна способност на защитната стена на SPI (Mbps)
1.5 Gbps
VPN честотна лента (Mbps)
35
Максимален брой едновременни сесии. TCP
50000
Максимален брой едновременни IPsec VPN тунели [5] 20
Персонализируеми зони
Да
Поддръжка на IPv6
Да
Максимален брой VLAN
16
Основни софтуерни функции
Multi-WAN балансиране на натоварването/повреда
Да
Виртуална частна мрежа (VPN)
Да (IPSec, L2TP през IPSec, PPTP, L2TP, GRE)
VPN клиент
IPSec/L2TP/PPTP
Филтриране на съдържание
1 година безплатно
Защитна стена
Да
VLAN/интерфейсна група
Да
Управление на честотната лента
Да
Регистър на събития и мониторинг
Да
Облачен помощник
Да
Дистанционно
Да
Забележка. Данните в таблицата се базират на микрокод OPAL BE 1.12 или по-висок
по-късна версия.
Какви VPN опции се поддържат от ZyWALL VPN2S
Всъщност от името става ясно, че устройството ZyWALL VPN2S е основно
предназначен за свързване на отдалечени служители и мини-клонове чрез VPN.
- L2TP Over IPSec VPN протоколът е предоставен за крайни потребители.
- За свързване на мини-офиси е осигурена комуникация чрез Site-to-Site IPSec VPN.
- Освен това, използвайки ZyWALL VPN2S, можете да изградите L2TP VPN връзка
доставчик на услуги за защитен достъп до Интернет.
Трябва да се отбележи, че това разделение е много условно. Например можете
отдалечена точка конфигурирайте IPSec VPN връзка от сайт към сайт с единична
потребител вътре в периметъра.
Разбира се, всичко това с помощта на строги VPN алгоритми (IKEv2 и SHA-2).
Използване на множество WAN
За дистанционна работа основното е да имате стабилен канал. За съжаление с единствената
Това не може да се гарантира с комуникационна линия дори от най-надеждния доставчик.
Проблемите могат да бъдат разделени на два вида:
- спад в скоростта - функцията за балансиране на натоварването на Multi-WAN ще помогне с това
поддържане на стабилна връзка с необходимата скорост; - повреда на канала - за тази цел се използва функцията Multi-WAN failover
осигуряване на устойчивост на грешки чрез метода на дублиране.
Какви хардуерни възможности има за това:
- Четвъртият LAN порт може да бъде конфигуриран като допълнителен WAN порт.
- USB портът може да се използва за свързване на 3G/4G модем, който осигурява
резервен канал под формата на клетъчна комуникация.
Повишена сигурност на мрежата
Както бе споменато по-горе, това е едно от основните предимства на използването на специални
централизирани устройства.
ZyWALL VPN2S има функция за защитна стена SPI (Stateful Packet Inspection) за противодействие на различни видове атаки, включително DoS (Denial of Service), атаки, използващи фалшиви IP адреси, както и неоторизиран отдалечен достъп до системи, подозрителен мрежов трафик и пакети.
Като допълнителна защита, устройството има филтриране на съдържание, за да блокира достъпа на потребителите до подозрително, опасно и чуждо съдържание.
Бърза и лесна настройка в 5 стъпки със съветник за настройка
За бързо настройване на връзка има удобен съветник за настройка и графика
интерфейс на няколко езика.
Фигура 2. Пример за един от екраните на съветника за настройка.
За бързо и ефективно управление, Zyxel предлага пълен пакет от помощни програми за отдалечено администриране, с които можете лесно да конфигурирате VPN2S и да го наблюдавате.
Възможността за дублиране на настройките значително опростява подготовката на множество ZyWALL VPN2S устройства за прехвърляне към отдалечени служители.
VLAN поддръжка
Въпреки факта, че ZyWALL VPN2S е предназначен за отдалечена работа, той поддържа VLAN. Това ви позволява да увеличите сигурността на мрежата, например, ако е свързан офисът на индивидуален предприемач, който има Wi-Fi за гости. Стандартните VLAN функции, като ограничаване на излъчваните домейни, намаляване на предавания трафик и прилагане на политики за сигурност, са търсени в корпоративните мрежи, но по принцип могат да се използват и в малки предприятия.
Поддръжката на VLAN също е полезна за организиране на отделна мрежа, например за IP телефония.
За да се осигури работа с VLAN, устройството ZyWALL VPN2S поддържа стандарта IEEE 802.1Q.
Обобщавайки
Рискът от загуба на мобилно устройство с конфигуриран VPN канал изисква решения, различни от разпространението на корпоративни лаптопи.
Използването на компактни и евтини VPN шлюзове ви позволява лесно да организирате работата на отдалечените служители.
Моделът ZyWALL VPN2S първоначално е проектиран да свързва отдалечени работници и малки офиси.
Полезни връзки
→
→
→
→
→
Източник: www.habr.com