Wir verraten Ihnen eine kostengünstige und sichere Möglichkeit, die Anbindung von Remote-Mitarbeitern über VPN sicherzustellen, ohne das Unternehmen Reputations- oder Finanzrisiken auszusetzen und ohne zusätzliche Probleme für die IT-Abteilung und die Unternehmensleitung zu schaffen.
Mit der Entwicklung der IT ist es möglich geworden, Remote-Mitarbeiter für immer mehr Positionen zu gewinnen.
Gab es früher unter den Fernarbeitern hauptsächlich Vertreter kreativer Berufe, zum Beispiel Designer, Texter, können heute ein Buchhalter, ein Rechtsberater und viele Vertreter anderer Berufe problemlos von zu Hause aus arbeiten und das Büro nur bei Bedarf aufsuchen.
In jedem Fall ist es jedoch notwendig, die Arbeit über einen sicheren Kanal zu organisieren.
Die einfachste Möglichkeit. Wir richten ein VPN auf dem Server ein, der Mitarbeiter erhält ein Login-Passwort und einen VPN-Zertifikatsschlüssel sowie eine Anleitung zur Einrichtung eines VPN-Clients auf seinem Rechner. Und die IT-Abteilung betrachtet ihre Aufgabe als erledigt.
Die Idee scheint nicht schlecht zu sein, bis auf eines: Es muss ein Mitarbeiter sein, der weiß, wie er alles selbst konfiguriert. Wenn es sich um einen qualifizierten Netzwerkanwendungsentwickler handelt, ist es sehr wahrscheinlich, dass er diese Aufgabe bewältigen wird.
Aber ein Buchhalter, Künstler, Designer, technischer Redakteur, Architekt und viele andere Berufe müssen nicht unbedingt die Feinheiten der Einrichtung eines VPN verstehen. Entweder muss sich jemand aus der Ferne mit ihnen in Verbindung setzen und helfen, oder sie kommen persönlich vorbei und richten alles vor Ort ein. Wenn also etwas bei ihnen nicht mehr funktioniert, beispielsweise aufgrund eines Fehlers im Benutzerprofil, sind die Netzwerk-Client-Einstellungen verloren gegangen, muss alles noch einmal wiederholt werden.
Einige Unternehmen stellen für Remote-Arbeiten einen Laptop mit bereits installierter Software und einem konfigurierten VPN-Software-Client zur Verfügung. Theoretisch sollten Benutzer in diesem Fall keine Administratorrechte haben. Auf diese Weise werden zwei Probleme gelöst: Den Mitarbeitern wird garantiert eine lizenzierte Software zur Verfügung gestellt, die zu ihren Aufgaben passt, und ein vorgefertigter Kommunikationskanal. Gleichzeitig können sie die Einstellungen nicht selbst ändern, was die Anrufhäufigkeit verringert
technische Unterstützung.
In manchen Fällen ist das praktisch. Wenn Sie beispielsweise einen Laptop haben, können Sie tagsüber bequem in Ihrem Zimmer sitzen und nachts ruhig in der Küche arbeiten, um niemanden aufzuwecken.
Was ist der Hauptnachteil? Das Gleiche gilt als Pluspunkt: Es handelt sich um ein mobiles Gerät, das man mitnehmen kann. Benutzer lassen sich in zwei Kategorien einteilen: diejenigen, die einen Desktop-PC wegen der Leistung und einem großen Monitor bevorzugen, und diejenigen, die Mobilität lieben.
Die zweite Nutzergruppe stimmt mit beiden Händen für Laptops. Nachdem sie einen Firmenlaptop erhalten haben, beginnen solche Mitarbeiter damit, mit Freude in Cafés und Restaurants zu gehen, in die Natur zu gehen und zu versuchen, von dort aus zu arbeiten. Wenn es nur funktionieren würde und Sie das empfangene Gerät nicht nur als Ihren eigenen Computer für soziale Netzwerke und andere Unterhaltungszwecke nutzen könnten.
Früher oder später geht ein Firmen-Laptop nicht nur mit den Arbeitsinformationen auf der Festplatte verloren, sondern auch mit dem konfigurierten VPN-Zugang. Wenn in den VPN-Client-Einstellungen die Checkbox „Passwort speichern“ aktiviert ist, zählen die Minuten. In Situationen, in denen der Verlust nicht sofort entdeckt wurde, der Support nicht sofort benachrichtigt wurde oder der richtige Mitarbeiter mit den Rechten zur Sperrung nicht sofort gefunden wurde, kann dies zu einer großen Katastrophe werden.
Manchmal hilft es, den Zugang zu Informationen einzuschränken. Die Einschränkung des Zugriffs bedeutet jedoch nicht, dass die Probleme, die mit dem Verlust eines Geräts einhergehen, vollständig gelöst werden können; es ist lediglich eine Möglichkeit, Verluste zu reduzieren, wenn Daten offengelegt und kompromittiert werden.
Sie können eine Verschlüsselung oder eine Zwei-Faktor-Authentifizierung verwenden, beispielsweise mit einem USB-Stick. Äußerlich sieht die Idee gut aus, aber wenn der Laptop nun in die falschen Hände gerät, muss sein Besitzer hart arbeiten, um an die Daten zu gelangen, einschließlich des Zugriffs über VPN. In dieser Zeit können Sie den Zugriff auf das Unternehmensnetzwerk sperren. Und dem Remote-Benutzer eröffnen sich neue Möglichkeiten: entweder den Laptop, den Zugangsschlüssel oder alles auf einmal zu hacken. Formal ist das Schutzniveau gestiegen, aber der technische Support wird sich nicht langweilen. Darüber hinaus muss nun jeder Fernbetreiber ein Zwei-Faktor-Authentifizierungs- (oder Verschlüsselungs-)Kit erwerben.
Eine weitere traurige und lange Geschichte ist die Schadensersatzforderung für verlorene oder beschädigte Laptops (auf den Boden geworfen, mit süßem Tee oder Kaffee verschüttet und andere Unfälle) und verlorene Zugangsschlüssel.
Ein Laptop enthält unter anderem mechanische Teile wie eine Tastatur, USB-Anschlüsse und einen Deckel mit Bildschirm – all diese nutzen sich mit der Zeit ab, verformen sich, lösen sich und müssen repariert oder ersetzt werden (meistens). , der gesamte Laptop wird ausgetauscht).
Und was jetzt? Es ist strengstens verboten, einen Laptop aus der Wohnung mitzunehmen und zu verfolgen
ziehen um?
Warum haben sie dann einen Laptop ausgegeben?
Ein Grund dafür ist, dass ein Laptop einfacher zu transportieren ist. Lasst uns etwas anderes einfallen lassen, auch Kompaktes.
Sie können keinen Laptop, sondern geschützte LiveUSB-Sticks mit bereits konfigurierter VPN-Verbindung ausgeben und der Benutzer verwendet seinen eigenen Computer. Aber auch das ist eine Lotterie: Läuft die Software-Assembly auf dem Computer des Benutzers oder nicht? Das Problem kann einfach darin liegen, dass die erforderlichen Treiber fehlen.
Wir müssen herausfinden, wie wir die Verbindung von Mitarbeitern aus der Ferne organisieren können, und es ist wünschenswert, dass die Person nicht der Versuchung erliegt, mit einem Firmenlaptop durch die Stadt zu wandern, sondern zu Hause sitzt und ruhig arbeitet, ohne Gefahr zu laufen, etwas zu vergessen oder das ihm anvertraute Gerät irgendwo verlieren.
Stationärer VPN-Zugang
Was wäre, wenn Sie kein Endgerät, beispielsweise einen Laptop, oder insbesondere keinen separaten USB-Stick für die Verbindung bereitstellen, sondern ein Netzwerk-Gateway mit einem VPN-Client an Bord?
Zum Beispiel ein vorgefertigter Router, der verschiedene Protokolle unterstützt, in dem bereits eine VPN-Verbindung konfiguriert ist. Der Remote-Mitarbeiter muss lediglich seinen Computer daran anschließen und mit der Arbeit beginnen.
Welche Probleme werden dadurch gelöst?
- Geräte mit konfiguriertem Zugang zum Firmennetzwerk per VPN werden nicht mit aus dem Haus genommen.
- Sie können mehrere Geräte an einen VPN-Kanal anschließen.
Wir haben oben bereits geschrieben, dass es schön ist, sich mit einem Laptop in der Wohnung bewegen zu können, aber oft ist es einfacher und bequemer, mit einem Desktop-Computer zu arbeiten.
Und Sie können einen PC, einen Laptop, ein Smartphone, ein Tablet und sogar einen E-Reader mit dem VPN auf dem Router verbinden – alles, was den Zugriff über WLAN oder kabelgebundenes Ethernet unterstützt.
Wenn man die Situation breiter betrachtet, könnte es sich beispielsweise um einen Anschlusspunkt für ein Minibüro handeln, in dem mehrere Personen arbeiten können.
Innerhalb eines solchen geschützten Segments können angeschlossene Geräte Informationen austauschen, Sie können so etwas wie eine Dateifreigaberessource organisieren und dabei normalen Zugriff auf das Internet haben, Dokumente zum Drucken an einen externen Drucker senden und so weiter.
Firmentelefonie! In diesem Sound steckt so viel, was irgendwo in der Röhre klingt! Über einen zentralen VPN-Kanal für mehrere Geräte können Sie ein Smartphone über ein WLAN-Netzwerk verbinden und über IP-Telefonie kurze Nummern innerhalb des Unternehmensnetzwerks anrufen.
Andernfalls müssten Sie mobil telefonieren oder externe Anwendungen wie WhatsApp nutzen, was nicht immer mit den Sicherheitsrichtlinien des Unternehmens vereinbar ist.
Und da es um Sicherheit geht, ist noch eine weitere wichtige Tatsache erwähnenswert. Mit einem Hardware-VPN-Gateway können Sie Ihre Sicherheit erhöhen, indem Sie neue Kontrollfunktionen am Ingress-Gateway nutzen. Dadurch können Sie die Sicherheit erhöhen und einen Teil der Verkehrsschutzlast auf das Netzwerk-Gateway verlagern.
Welche Lösung kann Zyxel für diesen Fall anbieten?
Wir denken über ein Gerät nach, das allen Mitarbeitern, die remote arbeiten können und wollen, zur vorübergehenden Nutzung zur Verfügung gestellt werden soll.
Daher sollte ein solches Gerät sein:
- preiswert;
- zuverlässig (um kein Geld und keine Zeit für Reparaturen zu verschwenden);
- in Einzelhandelsketten erhältlich;
- einfach einzurichten (es ist für die Verwendung ohne besonderen Aufruf gedacht).
ausgebildete Fachkraft).
Klingt nicht sehr real, oder?
Es gibt jedoch ein solches Gerät, es existiert wirklich und es ist kostenlos
- Zyxel ZyWALL VPN2S
VPN2S ist eine VPN-Firewall, die Ihnen die Nutzung einer privaten Verbindung ermöglicht
Punkt-zu-Punkt ohne komplexe Konfiguration von Netzwerkparametern.
Abbildung 1. Aussehen von Zyxel ZyWALL VPN2S
Kurze Gerätespezifikation
Hardwarefunktionen
10/100/1000 Mbit/s RJ-45-Ports
3 x LAN, 1 x WAN/LAN, 1 x WAN
USB-Anschlüsse
2 x USB 2.0
Kein Ventilator
Ja
Systemkapazität und Leistung
SPI-Firewall-Durchsatz (Mbps)
1.5 Gbps
VPN-Durchsatz (Mbps)
35
Maximale Anzahl gleichzeitiger Sitzungen. TCP
50000
Maximale Anzahl gleichzeitiger IPsec-VPN-Tunnel [5] 20
Anpassbare Zonen
Ja
IPv6-Unterstützung
Ja
Maximale Anzahl von VLANs
16
Hauptfunktionen der Software
Multi-WAN-Lastausgleich/Failover
Ja
Virtuelles privates Netzwerk (VPN)
Ja (IPSec, L2TP über IPSec, PPTP, L2TP, GRE)
VPN-Client
IPSec/L2TP/PPTP
Inhaltsfilterung
1 Jahr kostenlos
Firewall
Ja
VLAN/Schnittstellengruppe
Ja
Bandbreitenmanagement
Ja
Ereignisprotokoll und Überwachung
Ja
Cloud-Helfer
Ja
Fernbedienung
Ja
Hinweis. Die Daten in der Tabelle basieren auf dem OPAL BE-Mikrocode 1.12 oder höher
spätere Version.
Welche VPN-Optionen werden von ZyWALL VPN2S unterstützt?
Tatsächlich geht aus dem Namen hervor, dass es sich in erster Linie um das ZyWALL VPN2S-Gerät handelt
Entwickelt, um Remote-Mitarbeiter und Mini-Filialen über VPN zu verbinden.
- Für Endbenutzer wird das VPN-Protokoll L2TP Over IPSec bereitgestellt.
- Zur Anbindung von Minibüros ist eine Kommunikation über Site-to-Site IPSec VPN vorgesehen.
- Mit ZyWALL VPN2S können Sie außerdem eine L2TP-VPN-Verbindung aufbauen
Dienstleister für sicheren Internetzugang.
Es ist zu beachten, dass diese Aufteilung sehr bedingt ist. Das können Sie zum Beispiel
Remote-Punkt konfigurieren Sie eine Site-to-Site-IPSec-VPN-Verbindung mit einem einzigen
Benutzer innerhalb des Perimeters.
Natürlich alles unter Verwendung strenger VPN-Algorithmen (IKEv2 und SHA-2).
Verwendung mehrerer WANs
Bei der Remote-Arbeit kommt es vor allem auf einen stabilen Kanal an. Leider mit dem einzigen
Dies kann selbst bei einem Kommunikationsanschluss des zuverlässigsten Anbieters nicht gewährleistet werden.
Probleme können in zwei Typen unterteilt werden:
- Geschwindigkeitsabfall – dabei hilft die Multi-WAN-Load-Balancing-Funktion
Aufrechterhaltung einer stabilen Verbindung mit der erforderlichen Geschwindigkeit; - Ausfall des Kanals – hierfür wird die Multi-WAN-Failover-Funktion verwendet
Gewährleistung der Fehlertoleranz durch die Duplikationsmethode.
Welche Hardwaremöglichkeiten gibt es dafür:
- Der vierte LAN-Port kann als zusätzlicher WAN-Port konfiguriert werden.
- Über den USB-Anschluss kann ein 3G/4G-Modem angeschlossen werden, das Folgendes bietet
Backup-Kanal in Form von Mobilfunkkommunikation.
Erhöhte Netzwerksicherheit
Wie oben erwähnt, ist dies einer der Hauptvorteile der Verwendung von Special
zentralisierte Geräte.
ZyWALL VPN2S verfügt über eine SPI-Firewall-Funktion (Stateful Packet Inspection), um verschiedene Arten von Angriffen abzuwehren, darunter DoS (Denial of Service), Angriffe mit gefälschten IP-Adressen sowie unbefugten Fernzugriff auf Systeme, verdächtigen Netzwerkverkehr und Pakete.
Als zusätzlichen Schutz verfügt das Gerät über eine Inhaltsfilterung, um den Benutzerzugriff auf verdächtige, gefährliche und belanglose Inhalte zu blockieren.
Schnelle und einfache Einrichtung in 5 Schritten mit dem Einrichtungsassistenten
Um schnell eine Verbindung einzurichten, gibt es einen komfortablen Setup-Assistenten und eine grafische Benutzeroberfläche
Schnittstelle in mehreren Sprachen.
Abbildung 2. Ein Beispiel für einen der Bildschirme des Einrichtungsassistenten.
Für eine schnelle und effiziente Verwaltung bietet Zyxel ein komplettes Paket an Dienstprogrammen für die Fernverwaltung, mit denen Sie VPN2S einfach konfigurieren und überwachen können.
Die Möglichkeit, Einstellungen zu duplizieren, vereinfacht die Vorbereitung mehrerer ZyWALL VPN2S-Geräte für die Übertragung an Remote-Mitarbeiter erheblich.
VLAN-Unterstützung
Obwohl ZyWALL VPN2S für Remote-Arbeit konzipiert ist, unterstützt es VLAN. Dadurch können Sie die Netzwerksicherheit erhöhen, wenn beispielsweise das Büro eines einzelnen Unternehmers angeschlossen ist, das über Gast-WLAN verfügt. Standard-VLAN-Funktionen wie die Begrenzung von Broadcast-Domänen, die Reduzierung des übertragenen Datenverkehrs und die Anwendung von Sicherheitsrichtlinien sind in Unternehmensnetzwerken gefragt, können aber prinzipiell auch in kleinen Unternehmen eingesetzt werden.
Die VLAN-Unterstützung ist auch nützlich, um ein separates Netzwerk zu organisieren, beispielsweise für IP-Telefonie.
Um den Betrieb mit VLAN zu gewährleisten, unterstützt das ZyWALL VPN2S-Gerät den IEEE 802.1Q-Standard.
Zusammenfassend
Das Risiko, ein mobiles Gerät mit einem konfigurierten VPN-Kanal zu verlieren, erfordert andere Lösungen als die Verteilung von Unternehmens-Laptops.
Durch den Einsatz kompakter und kostengünstiger VPN-Gateways können Sie die Arbeit von Remote-Mitarbeitern einfach organisieren.
Das ZyWALL VPN2S-Modell wurde ursprünglich für die Verbindung von Remote-Mitarbeitern und kleinen Büros entwickelt.
Nützliche Links
→
→
→
→
→
Source: habr.com