Reći ćemo vam o jeftinom i sigurnom načinu da osigurate da su udaljeni zaposleni povezani putem VPN-a, bez izlaganja kompanije reputacijskim ili financijskim rizicima i bez stvaranja dodatnih problema za IT odjel i menadžment kompanije.
Razvojem IT-a postalo je moguće privući udaljene zaposlenike na sve veći broj pozicija.
Ako su ranije među udaljenim radnicima bili uglavnom predstavnici kreativnih profesija, na primjer, dizajneri, copywriteri, sada računovođa, pravni savjetnik i mnogi predstavnici drugih profesija mogu lako raditi od kuće, posjećujući ured samo kada je to potrebno.
Ali u svakom slučaju, potrebno je organizirati rad kroz siguran kanal.
Najjednostavnija opcija. Postavljamo VPN na serveru, zaposlenik dobija lozinku za prijavu i VPN ključ sertifikata, kao i uputstva kako da podesi VPN klijent na svom računaru. I IT odjel smatra svoj zadatak završenim.
Čini se da ideja nije loša, osim jedne stvari: to mora biti zaposlenik koji sve zna sam konfigurirati. Ako govorimo o kvalificiranom programeru mrežnih aplikacija, vrlo je vjerojatno da će se on nositi s ovim zadatkom.
Ali računovođa, umjetnik, dizajner, tehnički pisac, arhitekta i mnoge druge profesije ne moraju nužno razumjeti zamršenosti postavljanja VPN-a. Ili neko treba da se poveže sa njima na daljinu i pomogne, ili dođe lično i sve namjesti na licu mjesta. U skladu s tim, ako im nešto prestane raditi, na primjer, zbog greške u korisničkom profilu, izgubljene su postavke mrežnog klijenta, tada sve treba ponoviti iznova.
Neke kompanije obezbeđuju laptop sa već instaliranim softverom i konfigurisanim VPN softverskim klijentom za daljinski rad. U teoriji, u ovom slučaju korisnici ne bi trebali imati administratorska prava. Na ovaj način rješavaju se dva problema: zaposlenima je zagarantovan licencirani softver koji odgovara njihovim zadacima i gotov kanal komunikacije. Istovremeno, ne mogu sami promijeniti postavke, što smanjuje učestalost poziva na
tehnička podrška.
U nekim slučajevima ovo je zgodno. Na primjer, ako imate laptop, možete udobno sjediti u svojoj sobi tokom dana, a tiho raditi u kuhinji noću kako nikoga ne biste probudili.
Šta je glavni nedostatak? Isto kao plus - to je mobilni uređaj koji se može nositi. Korisnici se dijele u dvije kategorije: oni koji preferiraju desktop računar zbog snage i velikog monitora i oni koji vole prenosivost.
Druga grupa korisnika glasa sa obe ruke za laptopove. Dobivši korporativni laptop, takvi zaposlenici počinju rado ići s njim u kafiće, restorane, odlaze u prirodu i pokušavaju raditi odatle. Kad bi samo funkcionirao, a ne samo da koristite primljeni uređaj kao vlastiti kompjuter za društvene mreže i drugu zabavu.
Prije ili kasnije, korporativni laptop se gubi ne samo zajedno s podacima o radu na tvrdom disku, već i sa konfiguriranim VPN pristupom. Ako je potvrdni okvir „sačuvaj lozinku“ označen u postavkama VPN klijenta, minute se računaju. U situacijama kada gubitak nije odmah otkriven, služba za podršku nije odmah obaviještena ili nije odmah pronađen pravi zaposlenik s pravom blokiranja - to se može pretvoriti u veliku katastrofu.
Ponekad pomaže ograničenje pristupa informacijama. Ali ograničavanje pristupa ne znači potpuno rješavanje problema gubitka uređaja; to je samo način da se smanje gubici kada se podaci otkriju i kompromituju.
Možete koristiti šifriranje ili dvofaktorsku autentifikaciju, na primjer pomoću USB ključa. Spolja, ideja izgleda dobro, ali sada ako laptop padne u pogrešne ruke, njegov vlasnik će morati naporno raditi kako bi dobio pristup podacima, uključujući pristup putem VPN-a. Za to vrijeme možete uspjeti blokirati pristup korporativnoj mreži. I nove mogućnosti otvaraju se udaljenom korisniku: da hakuje ili laptop, ili pristupni ključ, ili sve odjednom. Formalno, nivo zaštite je povećan, ali usluga tehničke podrške neće biti dosadna. Osim toga, svaki udaljeni operater sada će morati kupiti komplet za autentifikaciju (ili enkripciju) s dva faktora.
Posebna tužna i duga priča je naplata štete za izgubljene ili oštećene laptope (bačene na pod, prosute slatkim čajem, kafom i druge nezgode) i izgubljene pristupne ključeve.
Između ostalog, laptop sadrži mehaničke dijelove, kao što su tastatura, USB konektori i poklopac sa ekranom - sve to vremenom istroši svoj vijek trajanja, deformira se, olabavi se i mora se popraviti ili zamijeniti (najčešće , ceo laptop je zamenjen).
Pa, šta sad? Strogo je zabranjeno iznošenje laptopa iz stana i praćenje
kreće?
Zašto su onda dali laptop?
Jedan od razloga je taj što se laptop lakše prenosi. Hajde da smislimo nešto drugo, takođe kompaktno.
Možete izdati ne laptop, već zaštićene LiveUSB fleš diskove s već konfiguriranom VPN vezom, a korisnik će koristiti vlastiti računar. Ali ovo je također lutrija: hoće li se softverski sklop pokrenuti na korisnikovom računaru ili ne? Problem može biti jednostavan nedostatak potrebnih drajvera.
Moramo smisliti kako organizirati vezu zaposlenih na daljinu, a poželjno je da osoba ne podlegne iskušenju lutanja gradom s korporativnim laptopom, već sjedi kod kuće i mirno radi bez rizika da zaboravi ili izgubio negdje povjereni mu uređaj.
Stacionarni VPN pristup
Šta ako ne obezbedite krajnji uređaj, na primer laptop, ili posebno ne poseban fleš disk za povezivanje, već mrežni gateway sa VPN klijentom?
Na primjer, gotov ruter koji uključuje podršku za različite protokole, u kojem je već konfigurirana VPN veza. Udaljeni zaposlenik samo treba da poveže svoj računar na njega i počne da radi.
Koje probleme ovo pomaže u rješavanju?
- Oprema sa konfigurisanim pristupom korporativnoj mreži putem VPN-a ne iznosi se iz kuće.
- Možete povezati nekoliko uređaja na jedan VPN kanal.
Gore smo već pisali da je lijepo moći se kretati po stanu uz laptop, ali je često lakše i praktičnije raditi sa desktop računarom.
I možete povezati PC, laptop, pametni telefon, tablet, pa čak i e-čitač na VPN na ruteru - sve što podržava pristup putem Wi-Fi ili žičanog Etherneta.
Ako posmatrate situaciju šire, ovo može biti, na primjer, spojna tačka za mini-kancelariju u kojoj može raditi nekoliko ljudi.
Unutar takvog zaštićenog segmenta povezani uređaji mogu razmjenjivati informacije, možete organizirati nešto poput resursa za razmjenu fajlova, uz normalan pristup Internetu, slati dokumente na štampanje na eksterni štampač i tako dalje.
Korporativna telefonija! Ima toliko toga u ovom zvuku što zvuči negdje u cijevi! Centralizirani VPN kanal za nekoliko uređaja omogućava vam da povežete pametni telefon putem Wi-Fi mreže i koristite IP telefoniju za upućivanje poziva na kratke brojeve unutar korporativne mreže.
U suprotnom biste morali da upućujete mobilne pozive ili koristite eksterne aplikacije kao što je WhatsApp, što nije uvijek u skladu s korporativnom sigurnosnom politikom.
A pošto govorimo o sigurnosti, vrijedi napomenuti još jednu važnu činjenicu. Uz hardverski VPN gateway, možete poboljšati svoju sigurnost korištenjem novih kontrolnih funkcija na ulaznom prolazu. Ovo vam omogućava da povećate sigurnost i prebacite dio opterećenja zaštite saobraćaja na mrežni gateway.
Koje rješenje Zyxel može ponuditi za ovaj slučaj?
Razmatramo uređaj koji bi trebao biti izdat na privremeno korištenje svim zaposlenima koji mogu i žele raditi na daljinu.
Stoga bi takav uređaj trebao biti:
- jeftino;
- pouzdan (kako ne bi gubili novac i vrijeme na popravke);
- dostupno za kupovinu u maloprodajnim lancima;
- jednostavan za postavljanje (namijenjen je za korištenje bez posebnog pozivanja
obučeni specijalista).
Ne zvuči baš stvarno, zar ne?
Međutim, takav uređaj postoji, on zaista postoji i besplatan je
- Zyxel ZyWALL VPN2S
VPN2S je VPN zaštitni zid koji vam omogućava korištenje privatne veze
point-to-point bez složene konfiguracije mrežnih parametara.
Slika 1. Izgled Zyxel ZyWALL VPN2S
Kratka specifikacija uređaja
Hardverske karakteristike
10/100/1000 Mbps RJ-45 portovi
3 x LAN, 1 x WAN/LAN, 1 x WAN
USB portovi
2 x USB 2.0
Nema ventilatora
Da
Kapacitet i performanse sistema
Propusnost SPI zaštitnog zida (Mbps)
1.5 Gbps
VPN propusni opseg (Mbps)
35
Maksimalan broj istovremenih sesija. TCP
50000
Maksimalan broj istovremenih IPsec VPN tunela [5] 20
Prilagodljive zone
Da
IPv6 podrška
Da
Maksimalan broj VLAN-ova
16
Glavne karakteristike softvera
Multi-WAN balans opterećenja/failover
Da
Virtualna privatna mreža (VPN)
Da (IPSec, L2TP preko IPSec, PPTP, L2TP, GRE)
VPN klijent
IPSec/L2TP/PPTP
Filtriranje sadržaja
1 godina besplatno
Firewall
Da
VLAN/grupa interfejsa
Da
Upravljanje propusnim opsegom
Da
Dnevnik događaja i praćenje
Da
Cloud Helper
Da
Daljinski upravljač
Da
Napomena. Podaci u tabeli su bazirani na OPAL BE mikrokodu 1.12 ili višem
kasnija verzija.
Koje VPN opcije podržava ZyWALL VPN2S
Zapravo, iz naziva je jasno da je ZyWALL VPN2S uređaj prvenstveno
dizajniran za povezivanje udaljenih zaposlenika i mini poslovnica putem VPN-a.
- Za krajnje korisnike obezbeđen je L2TP Over IPSec VPN protokol.
- Za povezivanje mini-kancelarija obezbeđena je komunikacija putem Site-to-Site IPSec VPN-a.
- Također, koristeći ZyWALL VPN2S možete izgraditi L2TP VPN vezu
servis provajdera za siguran pristup Internetu.
Treba napomenuti da je ova podjela vrlo uslovna. Na primjer, možete
udaljenu tačku konfigurirajte Site-to-Site IPSec VPN vezu s jednom
korisnika unutar perimetra.
Naravno, sve to koristeći stroge VPN algoritme (IKEv2 i SHA-2).
Korištenje više WAN-ova
Za daljinski rad, glavna stvar je imati stabilan kanal. Nažalost, sa jedinim
To se ne može garantirati komunikacijskom linijom čak ni od najpouzdanijeg provajdera.
Problemi se mogu podijeliti u dvije vrste:
- pad brzine - Multi-WAN funkcija balansiranja opterećenja će pomoći u tome
održavanje stabilne veze potrebnom brzinom; - kvar na kanalu - u tu svrhu se koristi funkcija Multi-WAN failover
osiguravanje tolerancije grešaka metodom dupliranja.
Koje hardverske mogućnosti postoje za ovo:
- Četvrti LAN port se može konfigurisati kao dodatni WAN port.
- USB port se može koristiti za povezivanje 3G/4G modema, koji omogućava
rezervni kanal u obliku mobilne komunikacije.
Povećana sigurnost mreže
Kao što je već spomenuto, ovo je jedna od glavnih prednosti korištenja specijalnih
centralizovani uređaji.
ZyWALL VPN2S ima funkciju zaštitnog zida SPI (Stateful Packet Inspection) za suzbijanje različitih vrsta napada, uključujući DoS (Denial of Service), napade koji koriste lažne IP adrese, kao i neovlašteni daljinski pristup sistemima, sumnjivi mrežni promet i pakete.
Kao dodatnu zaštitu, uređaj ima filtriranje sadržaja za blokiranje pristupa korisnika sumnjivom, opasnom i stranom sadržaju.
Brzo i jednostavno podešavanje u 5 koraka sa čarobnjakom za podešavanje
Za brzo postavljanje veze postoji zgodan čarobnjak za podešavanje i grafički prikaz
interfejs na nekoliko jezika.
Slika 2. Primjer jednog od ekrana čarobnjaka za podešavanje.
Za brzo i efikasno upravljanje, Zyxel nudi kompletan paket uslužnih programa za udaljenu administraciju pomoću kojih možete lako konfigurisati VPN2S i nadgledati ga.
Mogućnost dupliranja postavki uvelike pojednostavljuje pripremu više ZyWALL VPN2S uređaja za prijenos udaljenim zaposlenima.
VLAN podrška
Unatoč činjenici da je ZyWALL VPN2S dizajniran za daljinski rad, podržava VLAN. To vam omogućava da povećate sigurnost mreže, na primjer, ako je povezan ured individualnog poduzetnika koji ima Wi-Fi za goste. Standardne VLAN funkcije, kao što su ograničavanje domena emitovanja, smanjenje prenošenog saobraćaja i primjena sigurnosnih politika, tražene su u korporativnim mrežama, ali se u principu mogu koristiti iu malim preduzećima.
VLAN podrška je takođe korisna za organizovanje zasebne mreže, na primer, za IP telefoniju.
Da bi se osigurao rad sa VLAN-om, ZyWALL VPN2S uređaj podržava IEEE 802.1Q standard.
Sumiranje
Rizik od gubitka mobilnog uređaja s konfiguriranim VPN kanalom zahtijeva druga rješenja osim distribucije korporativnih prijenosnih računala.
Upotreba kompaktnih i jeftinih VPN gatewaya omogućava vam da lako organizirate rad udaljenih zaposlenika.
ZyWALL VPN2S model je originalno dizajniran za povezivanje udaljenih radnika i malih ureda.
korisni linkovi
→
→
→
→
→
izvor: www.habr.com