
Řekneme vám o levném a bezpečném způsobu, jak zajistit, aby byli vzdálení zaměstnanci připojeni přes VPN, aniž by byla společnost vystavena reputačním nebo finančním rizikům a aniž by vznikaly další problémy pro IT oddělení a vedení společnosti.
S rozvojem IT je možné přilákat vzdálené zaměstnance na stále větší počet pozic.
Pokud dříve mezi vzdálenými pracovníky byli především zástupci kreativních profesí, například designéři, copywriteři, nyní účetní, právní poradce a mnoho zástupců dalších profesí může snadno pracovat z domova a navštěvovat kancelář pouze v případě potřeby.
Ale v každém případě je nutné organizovat práci přes zabezpečený kanál.
Nejjednodušší varianta. Nastavíme VPN na serveru, zaměstnanec dostane přihlašovací heslo a klíč k VPN certifikátu a také návod, jak si na svém počítači nastavit VPN klienta. A IT oddělení považuje svůj úkol za splněný.
Nápad se zdá být špatný, až na jednu věc: musí to být zaměstnanec, který si vše umí zařídit sám. Pokud mluvíme o kvalifikovaném vývojáři síťových aplikací, je velmi pravděpodobné, že se s tímto úkolem vyrovná.
Ale účetní, umělec, designér, technický spisovatel, architekt a mnoho dalších profesí nemusí nutně rozumět složitosti nastavení VPN. Buď se k nim někdo potřebuje na dálku připojit a pomoci, nebo přijet osobně a vše nastavit na místě. Pokud jim tedy něco přestane fungovat, například kvůli závadě v uživatelském profilu, dojde ke ztrátě nastavení síťového klienta, je třeba vše opakovat znovu.
Některé společnosti poskytují notebook s již nainstalovaným softwarem a nakonfigurovaným softwarovým klientem VPN pro vzdálenou práci. Teoreticky by v tomto případě uživatelé neměli mít administrátorská práva. Tímto způsobem jsou vyřešeny dva problémy: zaměstnancům je zaručeno poskytnutí licencovaného softwaru, který vyhovuje jejich úkolům, a připraveného komunikačního kanálu. Zároveň nemohou sami změnit nastavení, což snižuje frekvenci hovorů na
technická podpora.
V některých případech je to výhodné. Například s notebookem můžete přes den pohodlně sedět ve svém pokoji a v noci klidně pracovat v kuchyni, abyste nikoho nevzbudili.
Jaká je hlavní nevýhoda? Totéž jako plus – jde o mobilní zařízení, které lze přenášet. Uživatelé spadají do dvou kategorií: ti, kteří preferují stolní PC kvůli napájení a velkému monitoru, a ti, kteří milují přenositelnost.
Druhá skupina uživatelů hlasuje oběma rukama pro notebooky. Po obdržení firemního notebooku s ním tito zaměstnanci začnou radostně chodit do kaváren, restaurací, jít do přírody a snažit se odtud pracovat. Jen kdyby to šlo, a ne jen používat přijaté zařízení jako vlastní počítač pro sociální sítě a další zábavu.
Firemní notebook se dříve nebo později ztratí nejen spolu s pracovními informacemi na pevném disku, ale také s nakonfigurovaným přístupem k VPN. Pokud je v nastavení VPN klienta zaškrtnuto políčko „uložit heslo“, počítají se minuty. V situacích, kdy nebyla ztráta okamžitě zjištěna, nebyla okamžitě upozorněna podpůrná služba nebo nebyl okamžitě nalezen správný pracovník s právy k blokaci - to se může změnit ve velkou katastrofu.
Někdy pomůže omezení přístupu k informacím. Omezení přístupu však neznamená úplné vyřešení problémů se ztrátou zařízení, je to jen způsob, jak snížit ztráty při zveřejnění a kompromitaci dat.
Můžete použít šifrování nebo dvoufaktorovou autentizaci, například pomocí USB klíče. Navenek nápad vypadá dobře, ale pokud se nyní notebook dostane do nesprávných rukou, jeho majitel bude muset tvrdě pracovat, aby získal přístup k datům, včetně přístupu přes VPN. Během této doby se vám podaří zablokovat přístup do podnikové sítě. A pro vzdáleného uživatele se otevírají nové příležitosti: hacknout buď notebook, nebo přístupový klíč, nebo všechny najednou. Formálně se úroveň ochrany zvýšila, ale služba technické podpory se nudit nebude. Navíc si nyní každý vzdálený operátor bude muset zakoupit sadu pro dvoufaktorovou autentizaci (neboli šifrování).
Samostatným smutným a dlouhým příběhem je vymáhání škod za ztracené nebo poškozené notebooky (hozené na podlaze, polité sladkým čajem, kávou a další nehody) a ztracené přístupové klíče.
Notebook mimo jiné obsahuje mechanické části, jako je klávesnice, USB konektory, víko s obrazovkou - to vše časem opotřebovává životnost, deformuje se, uvolňuje a musí se opravit nebo vyměnit (nejčastěji , je vyměněn celý notebook).
Takže co teď? Je přísně zakázáno vynášet notebook z bytu a stopovat
stěhování?
Proč tedy vydali notebook?
Jedním z důvodů je snazší přenos notebooku. Vymyslíme něco jiného, také kompaktního.
Můžete vydat nikoli notebook, ale chráněné flash disky LiveUSB s již nakonfigurovaným připojením VPN a uživatel bude používat svůj vlastní počítač. Ale to je také loterie: poběží softwarová sestava na počítači uživatele nebo ne? Problémem může být prostý nedostatek potřebných ovladačů.
Musíme vymyslet, jak zorganizovat připojení zaměstnanců na dálku a je žádoucí, aby člověk nepodlehl pokušení bloumat se po městě s firemním notebookem, ale seděl doma a v klidu pracoval bez rizika, že zapomene popř. ztratil někde svěřené zařízení.
Stacionární VPN přístup
Co když neposkytnete koncové zařízení, například notebook, nebo zejména ne samostatný flash disk pro připojení, ale síťovou bránu s VPN klientem na palubě?
Například hotový router obsahující podporu různých protokolů, ve kterém je již nakonfigurováno připojení VPN. Vzdálenému zaměstnanci stačí připojit svůj počítač a začít pracovat.
Jaké problémy to pomáhá vyřešit?
- Zařízení s nakonfigurovaným přístupem do podnikové sítě přes VPN není vynášeno z domu.
- K jednomu VPN kanálu můžete připojit několik zařízení.
Již jsme psali výše, že je hezké pohybovat se po bytě s notebookem, ale často je jednodušší a pohodlnější pracovat se stolním počítačem.
A k VPN na routeru můžete připojit PC, notebook, smartphone, tablet a dokonce i elektronickou čtečku – cokoliv, co podporuje přístup přes Wi-Fi nebo kabelový Ethernet.
Pokud se na situaci podíváte šířeji, mohlo by se jednat například o přípojný bod pro minikancelář, kde může pracovat několik lidí.
V rámci takto chráněného segmentu si připojená zařízení mohou vyměňovat informace, můžete organizovat něco jako zdroj pro sdílení souborů a přitom mít normální přístup k internetu, odesílat dokumenty k tisku na externí tiskárnu a tak dále.
Firemní telefonování! V tom zvuku je tolik, co zní někde v trubici! Centralizovaný kanál VPN pro několik zařízení vám umožňuje připojit chytrý telefon prostřednictvím sítě Wi-Fi a používat IP telefonii k volání na krátká čísla v rámci podnikové sítě.
V opačném případě byste museli uskutečňovat mobilní hovory nebo používat externí aplikace, jako je WhatsApp, což není vždy v souladu s firemní bezpečnostní politikou.
A protože se bavíme o bezpečnosti, stojí za zmínku ještě jeden důležitý fakt. S hardwarovou bránou VPN můžete zvýšit své zabezpečení pomocí nových ovládacích funkcí na vstupní bráně. To umožňuje zvýšit zabezpečení a přesunout část zátěže ochrany provozu na bránu sítě.
Jaké řešení může Zyxel pro tento případ nabídnout?
Uvažujeme o zařízení, které by mělo být vydáno k dočasnému použití všem zaměstnancům, kteří mohou a chtějí pracovat na dálku.
Proto by takové zařízení mělo být:
- levný;
- spolehlivé (aby se neztrácely peníze a čas na opravy);
- k zakoupení v maloobchodních řetězcích;
- snadné nastavení (je určeno k použití bez specifického volání
vyškolený specialista).
Nezní to moc reálně, že?
Takové zařízení však existuje, skutečně existuje a je zdarma
— Zyxel ZyWALL VPN2S
VPN2S je VPN firewall, který vám umožňuje používat soukromé připojení
point-to-point bez složité konfigurace síťových parametrů.

Obrázek 1. Vzhled Zyxel ZyWALL VPN2S
Stručná specifikace zařízení
Hardwarové funkce
10/100/1000 Mbps porty RJ-45
3 x LAN, 1 x WAN/LAN, 1 x WAN
USB porty
2 x USB 2.0
Žádný ventilátor
Ano
Kapacita a výkon systému
Propustnost brány SPI Firewall (Mbps)
1.5 Gbps
Propustnost VPN (Mbps)
35
Maximální počet simultánních relací. TCP
50000
Maximální počet simultánních tunelů IPsec VPN [5]
20
Přizpůsobitelné zóny
Ano
podpora IPv6
Ano
Maximální počet VLAN
16
Hlavní softwarové funkce
Multi-WAN Load Balance/Failover
Ano
Virtuální privátní síť (VPN)
Ano (IPSec, L2TP přes IPSec, PPTP, L2TP, GRE)
VPN klient
IPSec/L2TP/PPTP
Filtrování obsahu
1 rok zdarma
Firewall
Ano
Skupina VLAN/rozhraní
Ano
Správa šířky pásma
Ano
Záznam událostí a monitorování
Ano
Cloud Helper
Ano
Dálkové ovládání
Ano
Poznámka. Údaje v tabulce vycházejí z mikrokódu OPAL BE 1.12 nebo vyššího
pozdější verze.
Jaké možnosti VPN podporuje ZyWALL VPN2S
Vlastně už z názvu je jasné, že zařízení ZyWALL VPN2S je primárně
navržený pro připojení vzdálených zaměstnanců a minipoboček přes VPN.
- Pro koncové uživatele je poskytován protokol L2TP Over IPSec VPN.
- Pro připojení minikancelářů je poskytována komunikace přes Site-to-Site IPSec VPN.
- Také pomocí ZyWALL VPN2S můžete vytvořit L2TP VPN připojení
poskytovatel služeb pro bezpečný přístup k internetu.
Je třeba poznamenat, že toto rozdělení je velmi podmíněné. Například můžete
vzdálený bod konfiguruje připojení Site-to-Site IPSec VPN pomocí jediného
uživatele uvnitř perimetru.
To vše samozřejmě pomocí přísných VPN algoritmů (IKEv2 a SHA-2).
Použití více WAN
Pro práci na dálku je hlavní mít stabilní kanál. Bohužel s jediným
To nelze u komunikační linky zaručit ani od nejspolehlivějšího poskytovatele.
Problémy lze rozdělit do dvou typů:
- pokles rychlosti - s tím pomůže funkce Multi-WAN load balancing
udržování stabilního připojení při požadované rychlosti; - porucha na kanálu - k tomuto účelu slouží funkce Multi-WAN failover
zajištění odolnosti proti chybám pomocí duplikační metody.
Jaké hardwarové možnosti k tomu existují:
- Čtvrtý port LAN lze nakonfigurovat jako další port WAN.
- Port USB lze použít pro připojení 3G/4G modemu, který poskytuje
záložní kanál ve formě mobilní komunikace.
Zvýšená bezpečnost sítě
Jak již bylo zmíněno výše, je to jedna z hlavních výhod použití speciálu
centralizovaná zařízení.
ZyWALL VPN2S má funkci firewallu SPI (Stateful Packet Inspection), která odolává různým typům útoků, včetně DoS (Denial of Service), útoků pomocí falešných IP adres, stejně jako neoprávněnému vzdálenému přístupu k systémům, podezřelému síťovému provozu a balíčkům.
Jako další ochranu má zařízení filtrování obsahu, které blokuje přístup uživatelů k podezřelému, nebezpečnému a cizímu obsahu.
Rychlé a snadné nastavení v 5 krocích s průvodcem nastavením
Pro rychlé nastavení připojení je k dispozici praktický průvodce nastavením a grafika
rozhraní v několika jazycích.

Obrázek 2. Příklad jedné z obrazovek průvodce nastavením.
Pro rychlou a efektivní správu nabízí Zyxel kompletní balík utilit pro vzdálenou správu, pomocí kterých můžete VPN2S snadno konfigurovat a monitorovat.
Možnost duplikovat nastavení výrazně zjednodušuje přípravu více zařízení ZyWALL VPN2S pro přenos vzdáleným zaměstnancům.
podpora VLAN
Přestože je ZyWALL VPN2S navržen pro vzdálenou práci, podporuje VLAN. To umožňuje zvýšit zabezpečení sítě, například pokud je připojena kancelář jednotlivého podnikatele, která má Wi-Fi pro hosty. Standardní funkce VLAN, jako je omezení vysílacích domén, snížení přenášeného provozu a uplatňování bezpečnostních politik, jsou žádané v podnikových sítích, ale v zásadě je lze použít i v malých firmách.
Podpora VLAN je také užitečná pro organizaci samostatné sítě, například pro IP telefonii.
Pro zajištění provozu s VLAN podporuje zařízení ZyWALL VPN2S standard IEEE 802.1Q.
Shrnutí
Riziko ztráty mobilního zařízení s nakonfigurovaným kanálem VPN vyžaduje jiná řešení než distribuci podnikových notebooků.
Použití kompaktních a levných bran VPN umožňuje snadno organizovat práci vzdálených zaměstnanců.
Model ZyWALL VPN2S byl původně navržen pro připojení vzdálených pracovníků a malých kanceláří.
Užitečné odkazy
→
→
→
→
→
Zdroj: www.habr.com
