🥇Fjernarbejde vinder frem

Vi vil fortælle dig om en billig og sikker måde at give fjernmedarbejdere VPN-forbindelser uden at udsætte virksomheden for omdømme- eller økonomiske risici og uden at skabe yderligere problemer for IT-afdelingen og virksomhedens ledelse.

Med udviklingen af IT er det blevet muligt at tiltrække fjernmedarbejdere til et stigende antal stillinger.

Hvis der tidligere blandt fjernarbejdere primært var repræsentanter fra kreative erhverv, for eksempel designere, tekstforfattere, kan revisorer, juridiske rådgivere og mange repræsentanter fra andre erhverv nu nemt arbejde hjemmefra og kun besøge kontoret, når det er nødvendigt.

Men under alle omstændigheder er det nødvendigt at organisere arbejdet via en sikker kanal.

Den enkleste løsning. Vi sætter en VPN op på serveren, medarbejderen får en login-adgangskode og et nøglecertifikat fra VPN'en, samt instruktioner om, hvordan man sætter en VPN-klient op på sin computer. Og IT-afdelingen anser sin opgave for fuldført.

Ideen virker god, bortset fra én ting: det skal være en medarbejder, der ved, hvordan man sætter alt op på egen hånd. Hvis vi taler om en kvalificeret udvikler af netværksapplikationer, er det meget sandsynligt, at han vil klare denne opgave.

Men en revisor, kunstner, designer, teknisk skribent, arkitekt og mange andre fagfolk behøver ikke nødvendigvis at forstå de indviklede detaljer ved VPN-opsætning. Enten skal nogen oprette forbindelse til dem eksternt og hjælpe, eller de skal komme personligt og sætte alt op på stedet. Hvis noget derfor holder op med at virke for dem, for eksempel på grund af en fejl i brugerprofilen, eller netværksklientindstillingerne går tabt, skal alt gentages forfra.

Nogle virksomheder leverer en bærbar computer med forudinstalleret software og en konfigureret VPN-klient til fjernarbejde. I teorien burde brugerne i dette tilfælde ikke have administratorrettigheder. Dette løser to problemer: medarbejderne er garanteret at have licenseret software, der passer til deres opgaver, og en færdig kommunikationskanal. Samtidig kan de ikke selv ændre indstillingerne, hvilket reducerer hyppigheden af opkald til
teknisk support.

I nogle tilfælde er dette praktisk. Hvis du for eksempel har en bærbar computer, kan du komfortabelt slå dig ned på dit værelse om dagen og arbejde stille og roligt i køkkenet om natten for ikke at vække nogen.

Hvad er den største ulempe? Den samme som fordelen - det er en mobil enhed, der kan bæres. Brugerne er opdelt i to kategorier: dem, der foretrækker en stationær pc på grund af dens kraft og store skærm, og dem, der foretrækker mobilitet.

Den anden gruppe brugere stemmer for bærbare computere med begge hænder. Når de har modtaget en virksomhedsbærbar, begynder sådanne medarbejdere med glæde at tage den med på caféer, restauranter, ud i naturen og forsøge at arbejde derfra. Om ikke andet så for at arbejde, og ikke bare bruge den modtagne enhed som deres egen computer til sociale netværk og anden underholdning.

Før eller siden mistes en virksomhedslaptop, ikke kun sammen med arbejdsoplysningerne på harddisken, men også den konfigurerede VPN-adgang. Hvis afkrydsningsfeltet "Gem adgangskode" er markeret i VPN-klientindstillingerne, tæller hvert minut. I situationer, hvor tabet ikke opdages med det samme, supporttjenesten ikke informeres med det samme, den rette medarbejder med rettigheder til at blokere ikke findes med det samme - dette kan udvikle sig til en stor katastrofe.

Nogle gange hjælper det at begrænse adgangen til information. Men begrænsning af adgang betyder ikke fuldstændig at løse problemet med at miste en enhed, det er blot en måde at reducere tab på, når data afsløres og kompromitteres.

Du kan bruge kryptering eller tofaktorgodkendelse, for eksempel med en USB-nøgle. På overfladen ser ideen god ud, for hvis den bærbare computer falder i de forkerte hænder, bliver ejeren nødt til at svede for at få adgang til dataene, inklusive VPN-adgang. I løbet af denne tid kan du blokere adgangen til virksomhedens netværk. Og nye muligheder åbner sig for fjernbrugeren: at miste enten den bærbare computer eller adgangskoden eller begge dele på én gang. Formelt er beskyttelsesniveauet steget, men den tekniske support vil ikke kede sig. Derudover skal du nu købe et tofaktorgodkendelses- (eller krypterings-) sæt til hver fjernbruger.

En separat trist og lang historie er at inddrive erstatning for mistede eller beskadigede bærbare computere (kastet på gulvet, spildt med sød te, kaffe og andre uheld) og mistede adgangsnøgler.

Ud over alt andet indeholder en bærbar computer mekaniske dele såsom et tastatur, USB-porte og en beslag til låg-til-skærm - alt dette slides med tiden, bliver deformeret, løsner sig og skal repareres eller udskiftes (oftest udskiftes hele den bærbare computer).

Så hvad nu? Det er strengt forbudt at tage den bærbare computer med ud af lejligheden og skærmen.
flytter?

Hvorfor gav de så en bærbar computer ud?

En grund er, at en bærbar computer er nemmere at aflevere. Lad os tænke på noget andet, også kompakt.

Du kan ikke udstede en bærbar computer, men beskyttede LiveUSB-flashdrev med en allerede konfigureret VPN-forbindelse, og brugeren vil bruge sin computer. Men også her er det et lotteri: vil softwaren køre på brugerens computer eller ej? Problemet kan ligge i den elementære mangel på de nødvendige drivere.

Vi er nødt til at finde ud af, hvordan vi organiserer forbindelsen mellem medarbejdere, der arbejder eksternt, mens det er ønskeligt, at en person ikke bukker under for fristelsen til at vandre rundt i byen med en virksomhedsbærbar computer, men sidder derhjemme og arbejder roligt uden risiko for at glemme eller miste den enhed, der er betroet ham et sted.

Fast adgang via VPN

Men hvad nu hvis vi ikke udsteder en slutenhed, for eksempel en bærbar computer, eller endnu mere ikke et separat flashdrev til forbindelse, men en netværksgateway med en VPN-klient ombord?

For eksempel en færdiglavet router, der understøtter forskellige protokoller, hvor en VPN-forbindelse allerede er forudkonfigureret. En fjernmedarbejder skal blot tilslutte sin computer til den og begynde at arbejde.

Hvilke problemer hjælper dette med at løse?

Udstyr med konfigureret adgang til virksomhedens netværk via VPN tages ikke ud af hjemmet.
Du kan forbinde flere enheder til én VPN-kanal.

Vi skrev allerede ovenfor, at det er dejligt at kunne bevæge sig rundt i lejligheden med en bærbar computer, men det er ofte nemmere og mere bekvemt at arbejde med en stationær computer.

Og du kan tilslutte en pc, bærbar computer, smartphone, tablet og endda en e-bog til en VPN på en router - alt, der understøtter adgang via Wi-Fi eller kabelbaseret Ethernet.

Hvis vi ser på situationen bredere, kunne dette for eksempel være et forbindelsespunkt til et minikontor, hvor flere personer kan arbejde.

Inden for et sådant beskyttet segment kan tilsluttede enheder udveksle information, man kan organisere noget i retning af en fildelingsressource, samtidig med at man har normal adgang til internettet, sende dokumenter til udskrivning på en ekstern printer og så videre.

Firmatelefoni! Hvor meget er der i denne lyd, der lyder et sted i håndsættet! En centraliseret VPN-kanal til flere enheder giver dig mulighed for at forbinde en smartphone via et Wi-Fi-netværk og bruge IP-telefoni til opkald til korte numre inden for virksomhedens netværk.

Ellers ville du være nødt til at ringe på din mobil eller bruge eksterne applikationer som WhatsApp, hvilket ikke altid er i overensstemmelse med virksomhedens sikkerhedspolitikker.

Og da vi taler om sikkerhed, er det værd at bemærke en anden vigtig kendsgerning. Med en hardware VPN-gateway kan du styrke beskyttelsen ved at bruge nye kontrolfunktioner på den indgående gateway. Dette giver dig mulighed for at øge sikkerheden og overføre en del af trafikbeskyttelsesbelastningen til netværksgatewayen.

Hvilken løsning kan Zyxel tilbyde i dette tilfælde?

Vi overvejer en enhed, der kan udstedes til midlertidig brug til alle medarbejdere, der kan og ønsker at arbejde eksternt.

Derfor bør en sådan enhed være:

billig;
pålidelig (for ikke at spilde penge og tid på reparationer);
kan købes i detailkæder;
nem at sætte op (beregnet til brug uden særligt opkald)
uddannet specialist).

Lyder ikke særlig realistisk, vel?

En sådan enhed findes dog, den findes virkelig og er gratis.
til salg
— Zyxel ZyWALL VPN2S

VPN2S er en VPN-firewall, der giver dig mulighed for at bruge en privat forbindelse
punkt-til-punkt uden komplekse netværksparameterindstillinger.

Figur 1. Zyxel ZyWALL VPN2S' udseende

Kort specifikation af enheden

Hardwarefunktioner

10/100/1000 Mbps RJ-45-porte
3 x LAN, 1 x WAN/LAN, 1 x WAN

USB-porte
2 x USB 2.0

Ingen ventilator
Ja

Systemkapacitet og ydeevne

SPI Firewall-gennemstrømning (Mbps)
1.5 Gbps

VPN-båndbredde (Mbps)
35

Maksimalt antal samtidige TCP-sessioner
50000

Maksimalt antal samtidige IPsec VPN-tunneler [5]
20

Tilpassede zoner
Ja

IPv6-understøttelse
Ja

Maksimalt antal VLAN'er
16

Softwarens hovedfunktioner

Multi-WAN Load Balance/Failover
Ja

Virtuelt privat netværk (VPN)
Ja (IPSec, L2TP over IPSec, PPTP, L2TP, GRE)

VPN-klient
IPSec/L2TP/PPTP

Indholdsfiltrering
1 år gratis

Firewall
Ja

VLAN/Interface-gruppe
Ja

Båndbreddestyring
Ja

Hændelseslog og overvågning
Ja

Cloud-hjælper
Ja

Fjernbetjening
Ja

Bemærk. Dataene i tabellen er angivet for OPAL BE mikrokode 1.12 eller højere
sen version.

Hvilke VPN-muligheder understøttes af ZyWALL VPN2S

Faktisk fremgår det tydeligt af navnet, at ZyWALL VPN2S-enheden primært er
blev designet til at forbinde eksterne medarbejdere og mini-filialer via VPN.

For slutbrugere tilbydes L2TP Over IPSec VPN-protokollen.
For at forbinde mini-kontorer leveres en Site-to-Site IPSec VPN-forbindelse.
Med hjælp fra ZyWALL VPN2S kan du også opbygge en L2TP VPN-forbindelse med
tjenesteudbyder for sikker internetadgang.

Det skal bemærkes, at denne opdeling er ret vilkårlig. For eksempel kan man
fjerntliggende punkt til at konfigurere en Site-to-Site IPSec VPN-forbindelse med en enkelt
bruger inden for perimeteren.

Alt dette gøres selvfølgelig ved hjælp af stærke VPN-algoritmer (IKEv2 og SHA-2).

Brug af flere WAN'er

Til fjernarbejde er det vigtigste at have en stabil kanal. Desværre med kun én
Selv den mest pålidelige udbyders kommunikationslinje kan ikke garantere dette.

Problemer kan opdeles i to typer:

hastighedsfald - Multi-WAN load balancing-funktionen vil hjælpe med dette
opretholdelse af en stabil forbindelse med den krævede hastighed;
kanalfejl - det er dét, Multi-WAN failover-funktionen bruges til
sikring af fejltolerance ved duplikering.

Hvilke hardwarefunktioner er der til dette:

Den fjerde LAN-port kan konfigureres som en ekstra WAN-port.
USB-porten kan bruges til at tilslutte et 3G/4G-modem, som giver
backupkanal i form af mobilkommunikation.

Forbedring af netværkssikkerhed

Som nævnt ovenfor er dette en af de største fordele ved at bruge specielle
centraliserede enheder.

ZyWALL VPN2S har en Stateful Packet Inspection (SPI) firewallfunktion til at modvirke forskellige typer angreb, herunder DoS (Denial of Service), angreb med falske IP-adresser, samt uautoriseret fjernadgang til systemer, mistænkelig netværkstrafik og pakker.

Som en ekstra beskyttelse har enheden indholdsfiltrering for at blokere brugeradgang til mistænkeligt, farligt og irrelevant indhold.

Hurtig og nem opsætning i 5 trin med opsætningsguide

Til hurtig opsætning af forbindelse er der en praktisk opsætningsguide og en grafisk brugerflade
Flersproget grænseflade.

Figur 2. Et eksempel på en af skærmbillederne i opsætningsguiden.

For effektiv og virkningsfuld administration tilbyder Zyxel en komplet pakke af fjernadministrationsværktøjer, der gør det nemt at konfigurere og overvåge VPN2S.

Muligheden for at duplikere indstillinger forenkler i høj grad forberedelsen af flere ZyWALL VPN2S-enheder til distribution til eksterne medarbejdere.

VLAN-understøttelse

Selvom ZyWALL VPN2S er designet til fjernarbejde, understøtter den VLAN. Dette giver dig mulighed for at øge netværkssikkerheden, for eksempel hvis en individuel iværksætters kontor er tilsluttet med gæste-Wi-Fi. Standard VLAN-funktioner, såsom begrænsning af broadcast-domæner, reduktion af transmitteret trafik og anvendelse af sikkerhedspolitikker, er efterspurgte i virksomhedsnetværk, men i princippet kan de også finde anvendelse i små virksomheder.

VLAN-understøttelse er også nyttig til at organisere et separat netværk, for eksempel til IP-telefoni.

For at sikre VLAN-drift understøtter ZyWALL VPN2S-enheden IEEE 802.1Q-standarden.