Le informaremos sobre una forma económica y segura de garantizar que los empleados remotos estén conectados a través de VPN, sin exponer a la empresa a riesgos financieros o de reputación y sin crear problemas adicionales para el departamento de TI y la dirección de la empresa.
Con el desarrollo de la TI, ha sido posible atraer empleados remotos a un número cada vez mayor de puestos.
Si antes entre los trabajadores remotos había principalmente representantes de profesiones creativas, por ejemplo, diseñadores, redactores, ahora un contador, un asesor legal y muchos representantes de otras profesiones pueden trabajar fácilmente desde casa, visitando la oficina solo cuando sea necesario.
Pero en cualquier caso, es necesario organizar el trabajo a través de un canal seguro.
La opción más sencilla. Configuramos una VPN en el servidor, el empleado recibe una contraseña de inicio de sesión y una clave de certificado de VPN, así como instrucciones sobre cómo configurar un cliente VPN en su computadora. Y el departamento de TI considera su tarea cumplida.
La idea no parece mala, salvo por una cosa: debe ser un empleado que sepa montarlo todo por sí solo. Si hablamos de un desarrollador de aplicaciones de red cualificado, es muy probable que pueda hacer frente a esta tarea.
Pero un contador, artista, diseñador, escritor técnico, arquitecto y muchas otras profesiones no necesariamente necesitan comprender las complejidades de configurar una VPN. O alguien necesita conectarse con ellos de forma remota y ayudarlos, o venir en persona y configurar todo en el momento. En consecuencia, si algo deja de funcionar para ellos, por ejemplo, debido a un problema en el perfil de usuario, se perdió la configuración del cliente de red, entonces todo debe repetirse nuevamente.
Algunas empresas proporcionan una computadora portátil con software ya instalado y un cliente de software VPN configurado para trabajo remoto. En teoría, en este caso, los usuarios no deberían tener derechos de administrador. De esta manera se resuelven dos problemas: se garantiza a los empleados un software con licencia adecuado a sus tareas y un canal de comunicación ya preparado. Al mismo tiempo, no pueden cambiar la configuración por sí solos, lo que reduce la frecuencia de las llamadas a
apoyo técnico.
En algunos casos esto resulta conveniente. Por ejemplo, al tener una computadora portátil, puede sentarse cómodamente en su habitación durante el día y trabajar tranquilamente en la cocina por la noche para no despertar a nadie.
¿Cuál es la principal desventaja? Lo mismo que una ventaja: es un dispositivo móvil que se puede transportar. Los usuarios se dividen en dos categorías: los que prefieren una PC de escritorio por su potencia y un monitor grande, y los que aman la portabilidad.
El segundo grupo de usuarios vota con ambas manos por los portátiles. Habiendo recibido una computadora portátil corporativa, estos empleados comienzan a ir con alegría a cafés, restaurantes, ir a la naturaleza e intentar trabajar desde allí. Si tan solo funcionara, y no solo usara el dispositivo recibido como su propia computadora para redes sociales y otros entretenimientos.
Tarde o temprano, una computadora portátil corporativa se pierde no solo con la información de trabajo en el disco duro, sino también con el acceso VPN configurado. Si la casilla de verificación "guardar contraseña" está marcada en la configuración del cliente VPN, los minutos cuentan. En situaciones en las que la pérdida no se descubrió de inmediato, no se notificó de inmediato al servicio de soporte o no se encontró de inmediato al empleado adecuado con derecho a bloquear, esto puede convertirse en un gran desastre.
A veces ayuda limitar el acceso a la información. Pero limitar el acceso no significa resolver completamente los problemas de perder un dispositivo; es sólo una forma de reducir las pérdidas cuando los datos se divulgan y se ven comprometidos.
Puede utilizar cifrado o autenticación de dos factores, por ejemplo con una llave USB. Exteriormente, la idea parece buena, pero ahora, si el portátil cae en las manos equivocadas, su propietario tendrá que trabajar duro para conseguir acceso a los datos, incluido el acceso a través de VPN. Durante este tiempo, podrás gestionar bloquear el acceso a la red corporativa. Y se abren nuevas oportunidades para el usuario remoto: piratear el portátil, la clave de acceso o todo a la vez. Formalmente, el nivel de protección ha aumentado, pero el servicio de soporte técnico no se aburrirá. Además, cada operador remoto ahora tendrá que adquirir un kit de autenticación (o cifrado) de dos factores.
Una historia larga y triste aparte es el cobro de daños por computadoras portátiles perdidas o dañadas (arrojadas al suelo, derramadas con té dulce, café y otros accidentes) y las claves de acceso perdidas.
Entre otras cosas, una computadora portátil contiene piezas mecánicas, como un teclado, conectores USB y una tapa con pantalla; todo esto con el tiempo desgasta su vida útil, se deforma, se afloja y debe repararse o reemplazarse (la mayoría de las veces , se reemplaza todo el portátil).
¿Y ahora qué? Está estrictamente prohibido sacar un ordenador portátil del apartamento y realizar un seguimiento
¿emocionante?
¿Por qué entonces regalaron una computadora portátil?
Una razón es que una computadora portátil es más fácil de transferir. Propongamos algo más, también compacto.
No puede emitir una computadora portátil, sino unidades flash LiveUSB protegidas con una conexión VPN ya configurada, y el usuario usará su propia computadora. Pero esto también es una lotería: ¿el conjunto de software se ejecutará en la computadora del usuario o no? El problema puede ser una simple falta de los controladores necesarios.
Es necesario descubrir cómo organizar la conexión de los empleados de forma remota, y es deseable que la persona no sucumba a la tentación de deambular por la ciudad con un portátil corporativo, sino que se siente en casa y trabaje tranquilamente sin riesgo de olvidarse o perder el dispositivo que se le había confiado en alguna parte.
Acceso VPN estacionario
¿Qué sucede si no proporciona un dispositivo final, por ejemplo una computadora portátil, o especialmente no una unidad flash separada para la conexión, sino una puerta de enlace de red con un cliente VPN a bordo?
Por ejemplo, un enrutador listo para usar que incluye soporte para varios protocolos, en el que ya está configurada una conexión VPN. El empleado remoto sólo necesita conectar su ordenador y empezar a trabajar.
¿Qué problemas ayuda esto a resolver?
- Los equipos con acceso configurado a la red corporativa vía VPN no se sacan de casa.
- Puede conectar varios dispositivos a un canal VPN.
Ya escribimos anteriormente que es bueno poder moverse por el apartamento con una computadora portátil, pero a menudo es más fácil y conveniente trabajar con una computadora de escritorio.
Y puede conectar una PC, una computadora portátil, un teléfono inteligente, una tableta e incluso un lector electrónico a la VPN del enrutador, cualquier cosa que admita acceso a través de Wi-Fi o Ethernet por cable.
Si miramos la situación de forma más amplia, esto podría ser, por ejemplo, un punto de conexión para una minioficina en la que pueden trabajar varias personas.
Dentro de un segmento tan protegido, los dispositivos conectados pueden intercambiar información, puede organizar algo como un recurso para compartir archivos, mientras tiene acceso normal a Internet, enviar documentos para imprimir en una impresora externa, etc.
Telefonía corporativa! ¡Hay tantas cosas en este sonido que suenan en algún lugar del tubo! Un canal VPN centralizado para varios dispositivos le permite conectar un teléfono inteligente a través de una red Wi-Fi y utilizar telefonía IP para realizar llamadas a números cortos dentro de la red corporativa.
De lo contrario, habría que realizar llamadas al móvil o utilizar aplicaciones externas como WhatsApp, lo que no siempre se ajusta a la política de seguridad corporativa.
Y ya que estamos hablando de seguridad, cabe señalar otro dato importante. Con una puerta de enlace VPN de hardware, puede mejorar su seguridad mediante el uso de nuevas funciones de control en la puerta de enlace de ingreso. Esto le permite aumentar la seguridad y transferir parte de la carga de protección del tráfico a la puerta de enlace de la red.
¿Qué solución puede ofrecer Zyxel para este caso?
Estamos considerando un dispositivo que debería entregarse para uso temporal a todos los empleados que puedan y quieran trabajar de forma remota.
Por lo tanto, dicho dispositivo debería ser:
- barato;
- confiable (para no perder dinero y tiempo en reparaciones);
- disponible para su compra en cadenas minoristas;
- fácil de configurar (está diseñado para usarse sin llamar específicamente
especialista capacitado).
No suena muy real, ¿verdad?
Sin embargo, tal dispositivo existe, realmente existe y es gratuito.
-Zyxel ZyWALL VPN2S
VPN2S es un firewall VPN que te permite usar una conexión privada
punto a punto sin configuración compleja de parámetros de red.
Figura 1. Apariencia de Zyxel ZyWALL VPN2S
Breve especificación del dispositivo
Características de hardware
Puertos RJ-10 de 100/1000/45 Mbps
3 x LAN, 1 x WAN/LAN, 1 x WAN
puertos USB
2 2.0 x USB
sin ventilador
Sí
Capacidad y rendimiento del sistema.
Rendimiento del cortafuegos SPI (Mbps)
1.5 Gbps
Rendimiento de VPN (Mbps)
35
Número máximo de sesiones simultáneas. tcp
50000
Número máximo de túneles VPN IPsec simultáneos [5] 20
Zonas personalizables
Sí
Compatibilidad con IPv6
Sí
Número máximo de VLAN
16
Principales características del software
Equilibrio de carga/conmutación por error de múltiples WAN
Sí
Red privada virtual (VPN)
Sí (IPSec, L2TP sobre IPSec, PPTP, L2TP, GRE)
Cliente VPN
IPSec/L2TP/PPTP
Filtrado de contenidos
1 año gratis
cortafuegos
Sí
VLAN/Grupo de interfaz
Sí
Gestión de ancho de banda
Sí
Registro y monitoreo de eventos
Sí
Ayudante de la nube
Sí
Control remoto
Sí
Nota. Los datos de la tabla se basan en el microcódigo OPAL BE 1.12 o superior.
versión posterior.
¿Qué opciones de VPN son compatibles con ZyWALL VPN2S?
En realidad, por el nombre queda claro que el dispositivo ZyWALL VPN2S es principalmente
diseñado para conectar empleados remotos y minisucursales a través de VPN.
- El protocolo VPN L2TP sobre IPSec se proporciona para los usuarios finales.
- Para conectar minioficinas, se proporciona comunicación a través de VPN IPSec de sitio a sitio.
- Además, utilizando ZyWALL VPN2S puedes crear una conexión VPN L2TP con
proveedor de servicios para acceso seguro a Internet.
Cabe señalar que esta división es muy condicional. Por ejemplo, puedes
El punto remoto configura una conexión VPN IPSec de sitio a sitio con un único
usuario dentro del perímetro.
Por supuesto, todo ello utilizando estrictos algoritmos VPN (IKEv2 y SHA-2).
Usando múltiples WAN
Para el trabajo remoto lo principal es tener un canal estable. Desafortunadamente, con el único
Esto no se puede garantizar con una línea de comunicación ni siquiera del proveedor más confiable.
Los problemas se pueden dividir en dos tipos:
- caída de la velocidad: la función de equilibrio de carga Multi-WAN ayudará con esto
mantener una conexión estable a la velocidad requerida; - falla en el canal; para este propósito, se utiliza la función de conmutación por error Multi-WAN
asegurando la tolerancia a fallas utilizando el método de duplicación.
¿Qué capacidades de hardware existen para esto?
- El cuarto puerto LAN se puede configurar como un puerto WAN adicional.
- El puerto USB se puede utilizar para conectar un módem 3G/4G, que proporciona
Canal de respaldo en forma de comunicación celular.
Mayor seguridad de la red
Como se mencionó anteriormente, esta es una de las principales ventajas de utilizar especiales.
Dispositivos centralizados.
ZyWALL VPN2S tiene una función de firewall SPI (Stateful Packet Inspection) para contrarrestar varios tipos de ataques, incluidos DoS (Denial of Service), ataques que utilizan direcciones IP falsificadas, así como acceso remoto no autorizado a sistemas, tráfico de red y paquetes sospechosos.
Como protección adicional, el dispositivo cuenta con filtrado de contenido para bloquear el acceso del usuario a contenido sospechoso, peligroso y extraño.
Configuración rápida y sencilla en 5 pasos con asistente de configuración
Para configurar rápidamente una conexión, hay un práctico asistente de configuración y gráficos
Interfaz en varios idiomas.
Figura 2. Un ejemplo de una de las pantallas del asistente de configuración.
Para una gestión rápida y eficiente, Zyxel ofrece un paquete completo de utilidades de administración remota con las que puedes configurar VPN2S y monitorearlo fácilmente.
La capacidad de duplicar configuraciones simplifica enormemente la preparación de múltiples dispositivos ZyWALL VPN2S para transferirlos a empleados remotos.
Soporte VLAN
A pesar de que ZyWALL VPN2S está diseñado para trabajo remoto, es compatible con VLAN. Esto le permite aumentar la seguridad de la red, por ejemplo, si está conectada la oficina de un empresario individual que tiene Wi-Fi para invitados. Las funciones estándar de VLAN, como limitar los dominios de transmisión, reducir el tráfico transmitido y aplicar políticas de seguridad, son muy solicitadas en las redes corporativas, pero en principio también se pueden utilizar en las pequeñas empresas.
La compatibilidad con VLAN también es útil para organizar una red separada, por ejemplo, para telefonía IP.
Para garantizar el funcionamiento con VLAN, el dispositivo ZyWALL VPN2S es compatible con el estándar IEEE 802.1Q.
En resumen
El riesgo de perder un dispositivo móvil con un canal VPN configurado requiere soluciones distintas a la distribución de portátiles corporativos.
El uso de puertas de enlace VPN compactas y económicas le permite organizar fácilmente el trabajo de los empleados remotos.
El modelo ZyWALL VPN2S fue diseñado originalmente para conectar trabajadores remotos y oficinas pequeñas.
Enlaces de interés
→
→
→
→
→
Fuente: habr.com
