Ni rakontos al vi pri malmultekosta kaj sekura maniero certigi, ke foraj dungitoj estas konektitaj per VPN, sen eksponi la kompanion al reputaciaj aŭ financaj riskoj kaj sen krei pliajn problemojn por la IT-fako kaj administrado de la kompanio.
Kun la evoluo de IT, fariĝis eble altiri forajn dungitojn al kreskanta nombro da postenoj.
Se antaŭe inter foraj laboristoj estis ĉefe reprezentantoj de kreaj profesioj, ekzemple, projektistoj, kopiistoj, nun kontisto, jura konsilisto, kaj multaj reprezentantoj de aliaj profesioj povas facile labori hejme, vizitante la oficejon nur kiam necese.
Sed ĉiukaze necesas organizi laboron per sekura kanalo.
La plej simpla opcio. Ni starigas VPN sur la servilo, la dungito ricevas ensalutpasvorton kaj VPN-atestilŝlosilon, same kiel instrukciojn pri kiel agordi VPN-klienton en sia komputilo. Kaj la IT-fako konsideras sian taskon finita.
La ideo ŝajnas esti ne malbona, krom unu afero: ĝi devas esti dungito, kiu scias kiel agordi ĉion memstare. Se ni parolas pri kvalifikita reto-aplika programisto, estas tre verŝajne, ke li traktos ĉi tiun taskon.
Sed librotenisto, artisto, dezajnisto, teknika verkisto, arkitekto kaj multaj aliaj profesioj ne nepre bezonas kompreni la komplikaĵojn de starigo de VPN. Aŭ iu devas konektiĝi al ili malproksime kaj helpi, aŭ veni persone kaj aranĝi ĉion surloke. Sekve, se io ĉesas funkcii por ili, ekzemple, pro misfunkciado en la uzantprofilo, la retaj klientaj agordoj estas perditaj, tiam ĉio devas esti ripetita denove.
Iuj kompanioj provizas tekkomputilon kun programaro jam instalita kaj agordita VPN-programa kliento por fora laboro. En teorio, en ĉi tiu kazo, uzantoj ne devus havi administrantajn rajtojn. Tiel, du problemoj estas solvitaj: dungitoj estas garantiitaj per licenca programaro kiu konvenas al siaj taskoj kaj preta komunika kanalo. Samtempe, ili ne povas ŝanĝi la agordojn per si mem, kio reduktas la oftecon de vokoj al
teknika subteno.
En iuj kazoj ĉi tio estas oportuna. Ekzemple, havante tekkomputilon, vi povas komforte sidi en via ĉambro tage, kaj trankvile labori en la kuirejo nokte por ne veki iun.
Kio estas la ĉefa malavantaĝo? Same kiel pluso - ĝi estas portebla aparato. Uzantoj kategoriiĝas en du kategorioj: tiuj, kiuj preferas labortablon por potenco kaj granda ekrano, kaj tiuj, kiuj amas porteblon.
La dua grupo de uzantoj voĉdonas per ambaŭ manoj por tekkomputiloj. Ricevinte kompanian tekkomputilon, tiaj dungitoj komencas ĝoje iri kun ĝi al kafejoj, restoracioj, iri al la naturo kaj klopodi labori de tie. Se ĝi nur funkcius, kaj ne nur uzi la ricevitan aparaton kiel vian propran komputilon por sociaj retoj kaj aliaj distraĵoj.
Pli aŭ malpli frue, kompania tekkomputilo perdiĝas ne nur kune kun la laborinformoj sur la malmola disko, sed ankaŭ kun agordita VPN-aliro. Se la markobutono "konservi pasvorton" estas markita en la agordoj de VPN-kliento, tiam la minutoj kalkulas. En situacioj, kie la perdo ne estis tuj malkovrita, la subtena servo ne tuj estis sciigita, aŭ la ĝusta dungito kun la rajtoj bloki ne estis tuj trovita - tio povas fariĝi granda katastrofo.
Kelkfoje limigi aliron al informoj helpas. Sed limigi aliron ne signifas tute solvi la problemojn de perdo de aparato; ĝi estas nur maniero redukti perdojn kiam datumoj estas malkaŝitaj kaj endanĝerigitaj.
Vi povas uzi ĉifradon aŭ dufaktoran aŭtentikigon, ekzemple per USB-ŝlosilo. Ekstere, la ideo aspektas bone, sed nun se la tekkomputilo falas en malĝustajn manojn, ĝia posedanto devos multe labori por akiri aliron al la datumoj, inkluzive de aliro per VPN. Dum ĉi tiu tempo, vi povas sukcesi bloki aliron al la kompania reto. Kaj novaj ŝancoj malfermiĝas por la fora uzanto: pirati aŭ la tekkomputilon, aŭ la alirŝlosilon, aŭ ĉion samtempe. Formale, la nivelo de protekto pliiĝis, sed la teknika subtena servo ne enuiĝos. Krome, ĉiu fora operatoro nun devos aĉeti dufaktoran aŭtentikigon (aŭ ĉifradan) ilaron.
Aparta malĝoja kaj longa rakonto estas la kolekto de damaĝoj por perditaj aŭ difektitaj tekkomputiloj (ĵetitaj sur la plankon, disverŝitaj kun dolĉa teo, kafo kaj aliaj akcidentoj) kaj perditaj alirŝlosiloj.
Interalie, tekkomputilo enhavas mekanikajn partojn, kiel klavaron, USB-konektilojn kaj kovrilon kun ekrano - ĉiuj ĉi tiuj eluzas sian funkcidaŭron laŭlonge de la tempo, misformiĝas, malfiksiĝas kaj devas esti riparitaj aŭ anstataŭigitaj (plej ofte. , la tuta tekokomputilo estas anstataŭigita).
Kio do nun? Estas strikte malpermesite elpreni tekkomputilon el la apartamento kaj spuri
moviĝi?
Kial do ili donis tekkomputilon?
Unu kialo estas, ke tekokomputilo estas pli facile translokebla. Ni elpensu ion alian, ankaŭ kompaktan.
Vi povas elsendi ne tekkomputilon, sed protektitajn LiveUSB-memordiskojn kun VPN-konekto jam agordita, kaj la uzanto uzos sian propran komputilon. Sed ĉi tio ankaŭ estas loterio: ĉu la programaro-asembleo funkcios sur la komputilo de la uzanto aŭ ne? La problemo povas esti simpla manko de la necesaj ŝoforoj.
Ni devas eltrovi kiel organizi la ligon de dungitoj malproksime, kaj estas dezirinde, ke la persono ne cedu al la tento vagi tra la urbo kun kompania tekkomputilo, sed sidas hejme kaj laboras trankvile sen risko forgesi aŭ. perdante la aparaton konfiditan al li ie.
Senmova VPN-aliro
Kio se vi provizas ne finan aparaton, ekzemple tekkomputilon, aŭ precipe ne apartan poŝmemorilon por konekto, sed retan enirejon kun VPN-kliento surŝipe?
Ekzemple, preta enkursigilo, kiu inkluzivas subtenon por diversaj protokoloj, en kiuj VPN-konekto jam estas agordita. La fora dungito nur bezonas konekti sian komputilon al ĝi kaj eklabori.
Kiajn problemojn ĉi tio helpas solvi?
- Ekipaĵo kun agordita aliro al la kompania reto per VPN ne estas elprenita el la domo.
- Vi povas konekti plurajn aparatojn al unu VPN-kanalo.
Ni jam skribis supre, ke estas agrable povi movi la apartamenton per tekkomputilo, sed ofte estas pli facile kaj pli oportune labori per labortabla komputilo.
Kaj vi povas konekti komputilon, tekkomputilon, inteligentan telefonon, tablojdon kaj eĉ e-legilon al la VPN sur la enkursigilo - ĉio, kio subtenas aliron per Wi-Fi aŭ kablita Ethernet.
Se vi rigardas la situacion pli vaste, tio povus esti, ekzemple, konektopunkto por mini-oficejo kie pluraj homoj povas labori.
Ene de tia protektita segmento, konektitaj aparatoj povas interŝanĝi informojn, vi povas organizi ion kiel dosieran rimedon, dum havante normalan aliron al Interreto, sendi dokumentojn por presado al ekstera presilo ktp.
Korporacia telefonio! Estas tiom multe en ĉi tiu sono, kiu sonas ie en la tubo! Alcentrigita VPN-kanalo por pluraj aparatoj permesas vin konekti saĝtelefonon per reto Wifi kaj uzi IP-telefonion por voki al mallongaj nombroj ene de la kompania reto.
Alie, vi devus fari moveblajn vokojn aŭ uzi eksterajn aplikojn kiel WhatsApp, kiu ne ĉiam kongruas kun kompania sekureca politiko.
Kaj ĉar ni parolas pri sekureco, indas rimarki alian gravan fakton. Kun aparatara VPN-enirejo, vi povas plibonigi vian sekurecon uzante novajn kontrolajn funkciojn sur la enira enirejo. Ĉi tio ebligas al vi pliigi sekurecon kaj ŝanĝi parton de la trafikprotekta ŝarĝo al la reto-enirejo.
Kian solvon Zyxel povas proponi por ĉi tiu kazo?
Ni pripensas aparaton kiu devus esti eldonita por provizora uzo al ĉiuj dungitoj kiuj povas kaj volas labori malproksime.
Tial tia aparato devus esti:
- malmultekosta;
- fidinda (por ne malŝpari monon kaj tempon por riparoj);
- aĉetebla en podetalaj ĉenoj;
- facile instalebla (ĝi estas intencita por esti uzata sen specife voki
edukita specialisto).
Ne sonas tre reala, ĉu ne?
Tamen tia aparato ekzistas, ĝi vere ekzistas kaj estas senpaga
- Zyxel ZyWALL VPN2S
VPN2S estas VPN-fajrmuro, kiu permesas vin uzi privatan konekton
punkto-al-punkta sen kompleksa agordo de retaj parametroj.
Figuro 1. Apero de Zyxel ZyWALL VPN2S
Mallonga aparato-specifo
Aparataro Trajtoj
10/100/1000 Mbps RJ-45-havenoj
3 x LAN, 1 x WAN/LAN, 1 x WAN
USB-havenoj
2 x USB 2.0
Neniu adoranto
Jes
Sistemkapacito kaj rendimento
SPI-Fajromura Trairo (Mbps)
1.5 Gbps
VPN-Bendolarĝo (Mbps)
35
Maksimuma nombro da samtempaj kunsidoj. TCP
50000
Maksimuma nombro da samtempaj IPsec VPN-tuneloj [5] 20
Agordigeblaj zonoj
Jes
IPv6-subteno
Jes
Maksimuma nombro da VLANoj
16
Ĉefaj Programaraj Trajtoj
Multi-WAN Ŝarĝekvilibro/Failover
Jes
Virtuala privata reto (VPN)
Jes (IPSec, L2TP super IPSec, PPTP, L2TP, GRE)
VPN-kliento
IPSec/L2TP/PPTP
Filtrado de enhavo
1 jaro senpage
Fajromuro
Jes
VLAN/Interfaca Grupo
Jes
Bandwidth Administrado
Jes
Eventprotokolo kaj monitorado
Jes
Nuba Helpanto
Jes
Teleregilo
Jes
Notu. La datumoj en la tabelo baziĝas sur OPAL BE-mikrokodo 1.12 aŭ pli alta
posta versio.
Kiaj VPN-opcioj estas subtenataj de ZyWALL VPN2S
Efektive, de la nomo estas klare, ke la ZyWALL VPN2S-aparato estas ĉefe
desegnita por konekti forajn dungitojn kaj mini-branĉojn per VPN.
- La L2TP Over IPSec VPN-protokolo estas provizita por finaj uzantoj.
- Por konekti mini-oficejojn, komunikado per Site-al-Site IPSec VPN estas provizita.
- Ankaŭ, uzante ZyWALL VPN2S, vi povas konstrui L2TP VPN-konekton kun
servoprovizanto por sekura interreta aliro.
Oni devas rimarki, ke ĉi tiu divido estas tre kondiĉa. Ekzemple, vi povas
fora punkto agordu retejo-al-eja IPSec VPN-konekton kun unuopaĵo
uzanto ene de la perimetro.
Kompreneble, ĉio ĉi uzante striktajn VPN-algoritmojn (IKEv2 kaj SHA-2).
Uzante plurajn WANojn
Por fora laboro, la ĉefa afero estas havi stabilan kanalon. Bedaŭrinde, kun la sola
Ĉi tio ne povas esti garantiita per komunika linio eĉ de la plej fidinda provizanto.
Problemoj povas esti dividitaj en du tipojn:
- malpliiĝo de rapideco - la funkcio de ekvilibra ŝarĝo Multi-WAN helpos ĉi tion
konservante stabilan konekton je la bezonata rapideco; - malsukceso sur la kanalo - por ĉi tiu celo la Multi-WAN malsukcesa funkcio estas uzata por
certigante erartoleremon uzante la duobligan metodon.
Kiaj aparataj kapabloj ekzistas por ĉi tio:
- La kvara LAN-haveno povas esti agordita kiel kroma WAN-haveno.
- La USB-haveno povas esti uzata por konekti 3G/4G modemon, kiu provizas
rezerva kanalo en la formo de ĉela komunikado.
Pliigita reto-sekureco
Kiel menciite supre, ĉi tio estas unu el la ĉefaj avantaĝoj de uzado de speciala
centralizitaj aparatoj.
ZyWALL VPN2S havas fajroŝirmilan funkcion SPI (Stateful Packet Inspection) por kontraŭstari diversajn specojn de atakoj, inkluzive de DoS (Neo de Servo), atakojn uzantajn falsajn IP-adresojn, same kiel neaŭtorizitan foran aliron al sistemoj, suspektinda rettrafiko kaj pakaĵoj.
Kiel kroma protekto, la aparato havas Enhavan filtradon por bloki uzantan aliron al suspektinda, danĝera kaj eksterlanda enhavo.
Rapida kaj facila 5-paŝa agordo kun agordo
Por rapide agordi konekton, ekzistas oportuna instalinstruisto kaj grafika
interfaco en pluraj lingvoj.
Figuro 2. Ekzemplo de unu el la ekranoj de agordaj asistantoj.
Por rapida kaj efika administrado, Zyxel ofertas kompletan pakaĵon de foraj administraj utilecoj, per kiuj vi povas facile agordi VPN2S kaj kontroli ĝin.
La kapablo duobligi agordojn multe simpligas la preparadon de multoblaj ZyWALL VPN2S-aparatoj por translokigo al foraj dungitoj.
VLAN-subteno
Malgraŭ la fakto, ke ZyWALL VPN2S estas desegnita por fora laboro, ĝi subtenas VLAN. Ĉi tio permesas pliigi retan sekurecon, ekzemple, se la oficejo de individua entreprenisto estas konektita, kiu havas gastan Wi-Fi. Normaj VLAN-funkcioj, kiel ekzemple limigado de dissendaj domajnoj, reduktado de transdonita trafiko kaj aplikado de sekurecpolitikoj, estas postulataj en kompaniaj retoj, sed principe ili ankaŭ povas esti uzataj en malgrandaj entreprenoj.
VLAN-subteno ankaŭ utilas por organizi apartan reton, ekzemple por IP-telefonio.
Por certigi funkciadon kun VLAN, la aparato ZyWALL VPN2S subtenas la normon IEEE 802.1Q.
Supre
La risko perdi poŝtelefonon kun agordita VPN-kanalo postulas solvojn krom distribuado de kompaniaj tekkomputiloj.
La uzo de kompaktaj kaj malmultekostaj VPN-enirejoj permesas vin facile organizi la laboron de foraj dungitoj.
La modelo ZyWALL VPN2S estis origine dizajnita por konekti forajn laboristojn kaj malgrandajn oficejojn.
utilaj ligoj
→
→
→
→
→
fonto: www.habr.com