Θα σας πούμε για έναν φθηνό και ασφαλή τρόπο για να διασφαλίσετε ότι οι απομακρυσμένοι υπάλληλοι συνδέονται μέσω VPN, χωρίς να εκτίθεται η εταιρεία σε κινδύνους φήμης ή οικονομικούς και χωρίς να δημιουργηθούν πρόσθετα προβλήματα στο τμήμα πληροφορικής και στη διαχείριση της εταιρείας.
Με την ανάπτυξη της πληροφορικής, κατέστη δυνατή η προσέλκυση απομακρυσμένων υπαλλήλων σε έναν αυξανόμενο αριθμό θέσεων.
Εάν νωρίτερα μεταξύ των απομακρυσμένων εργαζομένων υπήρχαν κυρίως εκπρόσωποι δημιουργικών επαγγελμάτων, για παράδειγμα, σχεδιαστές, κειμενογράφοι, τώρα ένας λογιστής, ένας νομικός σύμβουλος και πολλοί εκπρόσωποι άλλων επαγγελμάτων μπορούν εύκολα να εργαστούν από το σπίτι, επισκεπτόμενοι το γραφείο μόνο όταν είναι απαραίτητο.
Αλλά σε κάθε περίπτωση, είναι απαραίτητο να οργανωθεί η εργασία μέσω ενός ασφαλούς καναλιού.
Η απλούστερη επιλογή. Ρυθμίζουμε ένα VPN στον διακομιστή, ο υπάλληλος λαμβάνει έναν κωδικό πρόσβασης σύνδεσης και ένα κλειδί πιστοποιητικού VPN, καθώς και οδηγίες για τη ρύθμιση ενός πελάτη VPN στον υπολογιστή του. Και το τμήμα πληροφορικής θεωρεί το έργο του ολοκληρωμένο.
Η ιδέα φαίνεται να μην είναι κακή, εκτός από ένα πράγμα: πρέπει να είναι ένας υπάλληλος που ξέρει πώς να ρυθμίσει τα πάντα μόνος του. Αν μιλάμε για έναν εξειδικευμένο προγραμματιστή εφαρμογών δικτύου, είναι πολύ πιθανό να ανταπεξέλθει σε αυτό το έργο.
Αλλά ένας λογιστής, καλλιτέχνης, σχεδιαστής, τεχνικός συγγραφέας, αρχιτέκτονας και πολλά άλλα επαγγέλματα δεν χρειάζεται απαραίτητα να κατανοούν τις περιπλοκές της δημιουργίας ενός VPN. Είτε κάποιος πρέπει να συνδεθεί μαζί τους εξ αποστάσεως και να βοηθήσει, είτε να έρθει αυτοπροσώπως και να ρυθμίσει τα πάντα επί τόπου. Αντίστοιχα, εάν κάτι σταματήσει να λειτουργεί για αυτούς, για παράδειγμα, λόγω σφάλματος στο προφίλ χρήστη, οι ρυθμίσεις πελάτη δικτύου έχουν χαθεί, τότε όλα πρέπει να επαναληφθούν ξανά από την αρχή.
Ορισμένες εταιρείες παρέχουν φορητό υπολογιστή με ήδη εγκατεστημένο λογισμικό και διαμορφωμένο πρόγραμμα-πελάτη λογισμικού VPN για απομακρυσμένη εργασία. Θεωρητικά, σε αυτήν την περίπτωση, οι χρήστες δεν θα πρέπει να έχουν δικαιώματα διαχειριστή. Με αυτόν τον τρόπο επιλύονται δύο προβλήματα: οι εργαζόμενοι έχουν εγγυημένη άδεια χρήσης λογισμικού που ταιριάζει στις εργασίες τους και ένα έτοιμο κανάλι επικοινωνίας. Ταυτόχρονα, δεν μπορούν να αλλάξουν τις ρυθμίσεις από μόνοι τους, γεγονός που μειώνει τη συχνότητα των κλήσεων
τεχνική υποστήριξη.
Σε ορισμένες περιπτώσεις αυτό είναι βολικό. Για παράδειγμα, έχοντας ένα φορητό υπολογιστή, μπορείτε να κάθεστε άνετα στο δωμάτιό σας κατά τη διάρκεια της ημέρας και να εργάζεστε ήσυχα στην κουζίνα το βράδυ για να μην ξυπνήσετε κανέναν.
Ποιο είναι το βασικό μειονέκτημα; Το ίδιο με ένα συν - είναι μια φορητή συσκευή που μπορεί να μεταφερθεί. Οι χρήστες χωρίζονται σε δύο κατηγορίες: σε αυτούς που προτιμούν έναν επιτραπέζιο υπολογιστή για ισχύ και μια μεγάλη οθόνη και σε αυτούς που αγαπούν τη φορητότητα.
Η δεύτερη ομάδα χρηστών ψηφίζει και με τα δύο χέρια για φορητούς υπολογιστές. Έχοντας λάβει ένα εταιρικό φορητό υπολογιστή, τέτοιοι υπάλληλοι αρχίζουν να πηγαίνουν με χαρά μαζί του σε καφετέριες, εστιατόρια, πηγαίνουν στη φύση και προσπαθούν να εργαστούν από εκεί. Μακάρι να λειτουργούσε και όχι απλώς να χρησιμοποιήσετε τη συσκευή που λάβατε ως δικό σας υπολογιστή για κοινωνικά δίκτυα και άλλη ψυχαγωγία.
Αργά ή γρήγορα, ένας εταιρικός φορητός υπολογιστής χάνεται όχι μόνο μαζί με τις πληροφορίες εργασίας στον σκληρό δίσκο, αλλά και με τη διαμορφωμένη πρόσβαση VPN. Εάν το πλαίσιο ελέγχου "αποθήκευση κωδικού πρόσβασης" είναι επιλεγμένο στις ρυθμίσεις του προγράμματος-πελάτη VPN, τότε τα λεπτά μετράνε. Σε περιπτώσεις όπου η απώλεια δεν ανακαλύφθηκε αμέσως, η υπηρεσία υποστήριξης δεν ειδοποιήθηκε αμέσως ή ο κατάλληλος υπάλληλος με τα δικαιώματα αποκλεισμού δεν βρέθηκε αμέσως - αυτό μπορεί να μετατραπεί σε μεγάλη καταστροφή.
Μερικές φορές ο περιορισμός της πρόσβασης σε πληροφορίες βοηθά. Ωστόσο, ο περιορισμός της πρόσβασης δεν σημαίνει πλήρη επίλυση των προβλημάτων απώλειας μιας συσκευής· είναι απλώς ένας τρόπος για να μειωθούν οι απώλειες όταν τα δεδομένα αποκαλύπτονται και διακυβεύονται.
Μπορείτε να χρησιμοποιήσετε κρυπτογράφηση ή έλεγχο ταυτότητας δύο παραγόντων, για παράδειγμα με κλειδί USB. Εξωτερικά, η ιδέα φαίνεται καλή, αλλά τώρα αν ο φορητός υπολογιστής πέσει σε λάθος χέρια, ο ιδιοκτήτης του θα πρέπει να εργαστεί σκληρά για να αποκτήσει πρόσβαση στα δεδομένα, συμπεριλαμβανομένης της πρόσβασης μέσω VPN. Κατά τη διάρκεια αυτής της περιόδου, μπορείτε να καταφέρετε να αποκλείσετε την πρόσβαση στο εταιρικό δίκτυο. Και νέες ευκαιρίες ανοίγονται για τον απομακρυσμένο χρήστη: να χακάρει είτε τον φορητό υπολογιστή είτε το κλειδί πρόσβασης είτε όλα ταυτόχρονα. Τυπικά, το επίπεδο προστασίας έχει αυξηθεί, αλλά η υπηρεσία τεχνικής υποστήριξης δεν θα βαρεθεί. Επιπλέον, κάθε απομακρυσμένος χειριστής θα πρέπει τώρα να αγοράσει ένα κιτ ελέγχου ταυτότητας (ή κρυπτογράφησης) δύο παραγόντων.
Μια ξεχωριστή θλιβερή και μεγάλη ιστορία είναι η συλλογή ζημιών για χαμένους ή κατεστραμμένους φορητούς υπολογιστές (πεταγμένους στο πάτωμα, χυμένους με γλυκό τσάι, καφέ και άλλα ατυχήματα) και χαμένα κλειδιά πρόσβασης.
Μεταξύ άλλων, ένας φορητός υπολογιστής περιέχει μηχανικά μέρη, όπως πληκτρολόγιο, υποδοχές USB και καπάκι με οθόνη - όλα αυτά φθείρουν τη διάρκεια ζωής τους με την πάροδο του χρόνου, παραμορφώνονται, χαλαρώνουν και πρέπει να επισκευαστούν ή να αντικατασταθούν (τις περισσότερες φορές , αντικαθίσταται ολόκληρος ο φορητός υπολογιστής).
Και τώρα τι? Απαγορεύεται αυστηρά η έξοδος φορητού υπολογιστή από το διαμέρισμα και η πίστα
κίνηση?
Γιατί τότε έδωσαν ένα φορητό υπολογιστή;
Ένας λόγος είναι ότι ένας φορητός υπολογιστής μεταφέρεται πιο εύκολα. Ας καταλήξουμε σε κάτι άλλο, επίσης συμπαγές.
Μπορείτε να εκδώσετε όχι φορητό υπολογιστή, αλλά προστατευμένες μονάδες flash LiveUSB με ήδη διαμορφωμένη σύνδεση VPN και ο χρήστης θα χρησιμοποιήσει τον δικό του υπολογιστή. Αλλά αυτό είναι επίσης μια λοταρία: θα τρέχει η διάταξη λογισμικού στον υπολογιστή του χρήστη ή όχι; Το πρόβλημα μπορεί να είναι η απλή έλλειψη των απαραίτητων προγραμμάτων οδήγησης.
Πρέπει να καταλάβουμε πώς να οργανώσουμε τη σύνδεση των εργαζομένων από απόσταση και είναι επιθυμητό το άτομο να μην υποκύψει στον πειρασμό να περιπλανηθεί στην πόλη με ένα εταιρικό φορητό υπολογιστή, αλλά να κάθεται στο σπίτι και να εργάζεται ήρεμα χωρίς τον κίνδυνο να ξεχάσει ή χάνοντας κάπου τη συσκευή που του εμπιστεύτηκαν.
Σταθερή πρόσβαση VPN
Τι θα συμβεί αν δεν παρέχετε μια τελική συσκευή, για παράδειγμα, φορητό υπολογιστή ή ειδικά όχι μια ξεχωριστή μονάδα flash για σύνδεση, αλλά μια πύλη δικτύου με έναν πελάτη VPN επί του σκάφους;
Για παράδειγμα, ένας έτοιμος δρομολογητής που περιλαμβάνει υποστήριξη για διάφορα πρωτόκολλα, στα οποία έχει ήδη διαμορφωθεί μια σύνδεση VPN. Ο απομακρυσμένος υπάλληλος χρειάζεται απλώς να συνδέσει τον υπολογιστή του σε αυτόν και να αρχίσει να λειτουργεί.
Ποια θέματα βοηθάει στην επίλυση;
- Εξοπλισμός με διαμορφωμένη πρόσβαση στο εταιρικό δίκτυο μέσω VPN δεν βγαίνει από το σπίτι.
- Μπορείτε να συνδέσετε πολλές συσκευές σε ένα κανάλι VPN.
Γράψαμε ήδη παραπάνω ότι είναι ωραίο να μπορείτε να μετακινηθείτε στο διαμέρισμα με φορητό υπολογιστή, αλλά είναι συχνά πιο εύκολο και πιο βολικό να εργάζεστε με έναν επιτραπέζιο υπολογιστή.
Και μπορείτε να συνδέσετε έναν υπολογιστή, έναν φορητό υπολογιστή, ένα smartphone, ένα tablet, ακόμη και έναν ηλεκτρονικό αναγνώστη στο VPN του δρομολογητή - οτιδήποτε υποστηρίζει πρόσβαση μέσω Wi-Fi ή ενσύρματου Ethernet.
Εάν εξετάσετε την κατάσταση ευρύτερα, αυτό θα μπορούσε να είναι, για παράδειγμα, ένα σημείο σύνδεσης για ένα μίνι γραφείο όπου μπορούν να εργαστούν πολλά άτομα.
Μέσα σε ένα τέτοιο προστατευμένο τμήμα, οι συνδεδεμένες συσκευές μπορούν να ανταλλάσσουν πληροφορίες, μπορείτε να οργανώσετε κάτι σαν έναν πόρο κοινής χρήσης αρχείων, ενώ έχετε κανονική πρόσβαση στο Διαδίκτυο, να στείλετε έγγραφα για εκτύπωση σε έναν εξωτερικό εκτυπωτή κ.λπ.
Εταιρική τηλεφωνία! Υπάρχουν τόσα πολλά σε αυτόν τον ήχο που ακούγεται κάπου στο σωλήνα! Ένα κεντρικό κανάλι VPN για πολλές συσκευές σάς επιτρέπει να συνδέσετε ένα smartphone μέσω ενός δικτύου Wi-Fi και να χρησιμοποιήσετε την τηλεφωνία IP για να πραγματοποιήσετε κλήσεις σε σύντομους αριθμούς εντός του εταιρικού δικτύου.
Διαφορετικά, θα έπρεπε να πραγματοποιείτε κλήσεις από κινητά ή να χρησιμοποιείτε εξωτερικές εφαρμογές όπως το WhatsApp, κάτι που δεν συνάδει πάντα με την εταιρική πολιτική ασφάλειας.
Και μιας και μιλάμε για ασφάλεια, αξίζει να σημειωθεί ένα άλλο σημαντικό γεγονός. Με μια πύλη VPN υλικού, μπορείτε να βελτιώσετε την ασφάλειά σας χρησιμοποιώντας νέες δυνατότητες ελέγχου στην πύλη εισόδου. Αυτό σας επιτρέπει να αυξήσετε την ασφάλεια και να μετατοπίσετε μέρος του φορτίου προστασίας της κυκλοφορίας στην πύλη δικτύου.
Τι λύση μπορεί να προσφέρει η Zyxel για αυτήν την περίπτωση;
Εξετάζουμε μια συσκευή που θα πρέπει να εκδοθεί για προσωρινή χρήση σε όλους τους εργαζόμενους που μπορούν και θέλουν να εργαστούν εξ αποστάσεως.
Επομένως, μια τέτοια συσκευή θα πρέπει να είναι:
- φτηνός;
- αξιόπιστο (για να μην χάνετε χρήματα και χρόνο για επισκευές).
- Διατίθεται για αγορά σε αλυσίδες λιανικής.
- εύκολο στη ρύθμιση (προορίζεται για χρήση χωρίς συγκεκριμένη κλήση
εκπαιδευμένος ειδικός).
Δεν ακούγεται πολύ αληθινό, σωστά;
Ωστόσο, μια τέτοια συσκευή υπάρχει, υπάρχει πραγματικά και είναι δωρεάν
- Zyxel ZyWALL VPN2S
Το VPN2S είναι ένα τείχος προστασίας VPN που σας επιτρέπει να χρησιμοποιείτε μια ιδιωτική σύνδεση
από σημείο σε σημείο χωρίς σύνθετη διαμόρφωση παραμέτρων δικτύου.
Εικόνα 1. Εμφάνιση του Zyxel ZyWALL VPN2S
Σύντομη προδιαγραφή συσκευής
Χαρακτηριστικά υλικού
Θύρες RJ-10 100/1000/45 Mbps
3 x LAN, 1 x WAN/LAN, 1 x WAN
Θύρες USB
2 2.0 x USB
Κανένας θαυμαστής
Ναί
Χωρητικότητα και απόδοση συστήματος
Παροχή τείχους προστασίας SPI (Mbps)
1.5 Gbps
Διανομή VPN (Mbps)
35
Μέγιστος αριθμός ταυτόχρονων συνεδριών. TCP
50000
Μέγιστος αριθμός ταυτόχρονων IPsec VPN τούνελ [5] 20
Προσαρμόσιμες ζώνες
Ναί
Υποστήριξη IPv6
Ναί
Μέγιστος αριθμός VLAN
16
Κύρια χαρακτηριστικά λογισμικού
Υπόλοιπο φόρτωσης πολλαπλών WAN/Αποτυχία
Ναί
Εικονικό ιδιωτικό δίκτυο (VPN)
Ναι (IPSec, L2TP έναντι IPSec, PPTP, L2TP, GRE)
VPN πελάτης
IPSec/L2TP/PPTP
Φιλτράρισμα περιεχομένου
1 χρόνος δωρεάν
Τείχος προστασίας
Ναί
VLAN/ομάδα διεπαφής
Ναί
Διαχείριση εύρους ζώνης
Ναί
Καταγραφή συμβάντων και παρακολούθηση
Ναί
Cloud Helper
Ναί
Τηλεχειριστήριο
Ναί
Σημείωση. Τα δεδομένα στον πίνακα βασίζονται στον μικροκωδικό OPAL BE 1.12 ή μεταγενέστερο
μεταγενέστερη έκδοση.
Ποιες επιλογές VPN υποστηρίζονται από το ZyWALL VPN2S
Στην πραγματικότητα, από το όνομα είναι σαφές ότι η συσκευή ZyWALL VPN2S είναι κυρίως
έχει σχεδιαστεί για τη σύνδεση απομακρυσμένων υπαλλήλων και μίνι υποκαταστημάτων μέσω VPN.
- Το πρωτόκολλο L2TP Over IPSec VPN παρέχεται για τελικούς χρήστες.
- Για τη σύνδεση mini-γραφείων, παρέχεται επικοινωνία μέσω Site-to-Site IPSec VPN.
- Επίσης, χρησιμοποιώντας το ZyWALL VPN2S μπορείτε να δημιουργήσετε μια σύνδεση VPN L2TP
πάροχος υπηρεσιών για ασφαλή πρόσβαση στο Διαδίκτυο.
Πρέπει να σημειωθεί ότι αυτή η διαίρεση είναι πολύ υπό όρους. Για παράδειγμα, μπορείτε
το απομακρυσμένο σημείο διαμορφώστε μια σύνδεση IPSec VPN από ιστότοπο σε ιστότοπο με ένα μόνο
χρήστη εντός της περιμέτρου.
Φυσικά, όλα αυτά χρησιμοποιώντας αυστηρούς αλγόριθμους VPN (IKEv2 και SHA-2).
Χρήση πολλαπλών WAN
Για απομακρυσμένη εργασία, το κύριο πράγμα είναι να έχετε ένα σταθερό κανάλι. Δυστυχώς, με το μόνο
Αυτό δεν μπορεί να διασφαλιστεί με μια γραμμή επικοινωνίας ακόμη και από τον πιο αξιόπιστο πάροχο.
Τα προβλήματα μπορούν να χωριστούν σε δύο τύπους:
- πτώση της ταχύτητας - η λειτουργία εξισορρόπησης φορτίου Multi-WAN θα σας βοηθήσει σε αυτό
διατήρηση σταθερής σύνδεσης στην απαιτούμενη ταχύτητα. - αποτυχία στο κανάλι - για το σκοπό αυτό χρησιμοποιείται η λειτουργία ανακατεύθυνσης Multi-WAN
εξασφάλιση ανοχής σφαλμάτων χρησιμοποιώντας τη μέθοδο διπλασιασμού.
Ποιες δυνατότητες υλικού υπάρχουν για αυτό:
- Η τέταρτη θύρα LAN μπορεί να διαμορφωθεί ως πρόσθετη θύρα WAN.
- Η θύρα USB μπορεί να χρησιμοποιηθεί για τη σύνδεση ενός μόντεμ 3G/4G, το οποίο παρέχει
εφεδρικό κανάλι με τη μορφή κυψελοειδούς επικοινωνίας.
Αυξημένη ασφάλεια δικτύου
Όπως αναφέρθηκε παραπάνω, αυτό είναι ένα από τα κύρια πλεονεκτήματα της χρήσης ειδικών
κεντρικές συσκευές.
Το ZyWALL VPN2S διαθέτει λειτουργία τείχους προστασίας SPI (Stateful Packet Inspection) για την αντιμετώπιση διαφόρων τύπων επιθέσεων, συμπεριλαμβανομένων DoS (Denial of Service), επιθέσεων που χρησιμοποιούν πλαστές διευθύνσεις IP, καθώς και μη εξουσιοδοτημένη απομακρυσμένη πρόσβαση σε συστήματα, ύποπτη κίνηση δικτύου και πακέτα.
Ως πρόσθετη προστασία, η συσκευή διαθέτει φιλτράρισμα περιεχομένου που εμποδίζει την πρόσβαση των χρηστών σε ύποπτο, επικίνδυνο και ξένο περιεχόμενο.
Γρήγορη και εύκολη εγκατάσταση 5 βημάτων με τον οδηγό εγκατάστασης
Για να ρυθμίσετε γρήγορα μια σύνδεση, υπάρχει ένας βολικός οδηγός εγκατάστασης και γραφικό
διεπαφή σε πολλές γλώσσες.
Εικόνα 2. Ένα παράδειγμα μιας από τις οθόνες του οδηγού εγκατάστασης.
Για γρήγορη και αποτελεσματική διαχείριση, το Zyxel προσφέρει ένα πλήρες πακέτο βοηθητικών προγραμμάτων απομακρυσμένης διαχείρισης με τα οποία μπορείτε εύκολα να διαμορφώσετε το VPN2S και να το παρακολουθήσετε.
Η δυνατότητα αντιγραφής ρυθμίσεων απλοποιεί σημαντικά την προετοιμασία πολλαπλών συσκευών ZyWALL VPN2S για μεταφορά σε απομακρυσμένους υπαλλήλους.
Υποστήριξη VLAN
Παρά το γεγονός ότι το ZyWALL VPN2S έχει σχεδιαστεί για απομακρυσμένη εργασία, υποστηρίζει VLAN. Αυτό σας επιτρέπει να αυξήσετε την ασφάλεια του δικτύου, για παράδειγμα, εάν είναι συνδεδεμένο το γραφείο ενός μεμονωμένου επιχειρηματία, το οποίο διαθέτει Wi-Fi επισκεπτών. Οι τυπικές λειτουργίες VLAN, όπως ο περιορισμός των τομέων εκπομπής, η μείωση της μεταδιδόμενης κίνησης και η εφαρμογή πολιτικών ασφαλείας, είναι περιζήτητες στα εταιρικά δίκτυα, αλλά κατ' αρχήν μπορούν να χρησιμοποιηθούν και σε μικρές επιχειρήσεις.
Η υποστήριξη VLAN είναι επίσης χρήσιμη για την οργάνωση ενός ξεχωριστού δικτύου, για παράδειγμα, για τηλεφωνία IP.
Για να διασφαλιστεί η λειτουργία με VLAN, η συσκευή ZyWALL VPN2S υποστηρίζει το πρότυπο IEEE 802.1Q.
Συνοψίζοντας
Ο κίνδυνος απώλειας μιας κινητής συσκευής με διαμορφωμένο κανάλι VPN απαιτεί λύσεις άλλες από τη διανομή εταιρικών φορητών υπολογιστών.
Η χρήση συμπαγών και φθηνών πυλών VPN σάς επιτρέπει να οργανώνετε εύκολα την εργασία των απομακρυσμένων υπαλλήλων.
Το μοντέλο ZyWALL VPN2S σχεδιάστηκε αρχικά για να συνδέει απομακρυσμένους εργαζόμενους και μικρά γραφεία.
χρήσιμοι σύνδεσμοι
→
→
→
→
→
Πηγή: www.habr.com