Räägime teile odavast ja turvalisest viisist, kuidas tagada kaugtöötajate ühendus VPN-i kaudu, ilma et ettevõte puutuks kokku maine- või finantsriskidega ning tekitaks IT-osakonnale ja ettevõtte juhtkonnale lisaprobleeme.
IT arenguga on saanud võimalikuks kaugtöötajate meelitamine üha suuremale hulgale ametikohtadele.
Kui varem olid kaugtöötajate hulgas peamiselt loominguliste elukutsete esindajad, näiteks disainerid, tekstikirjutajad, siis nüüd saavad raamatupidaja, õigusnõustaja ja paljud teiste elukutsete esindajad hõlpsasti kodus töötada, külastades kontorit vaid vajadusel.
Kuid igal juhul on vaja töö korraldada turvalise kanali kaudu.
Lihtsaim variant. Seadistame serveris VPN-i, töötajale antakse sisselogimisparool ja VPN-i sertifikaadi võti ning juhised, kuidas oma arvutis VPN-klienti seadistada. Ja IT-osakond loeb oma ülesande täidetuks.
Idee ei tundu olevat halb, välja arvatud üks asi: see peab olema töötaja, kes teab, kuidas kõike ise seadistada. Kui me räägime kvalifitseeritud võrgurakenduste arendajast, siis on väga tõenäoline, et ta saab selle ülesandega hakkama.
Kuid raamatupidaja, kunstnik, disainer, tehniline kirjanik, arhitekt ja paljud teised elukutsed ei pea tingimata mõistma VPN-i seadistamise keerukust. Kas keegi peab nendega eemalt ühenduse looma ja aitama või tulema isiklikult kohale ja seadistama kõik kohapeal. Seega, kui miski lakkab nende jaoks töötamast, näiteks kasutajaprofiili tõrke tõttu, on võrgukliendi seaded kadunud, tuleb kõike uuesti korrata.
Mõned ettevõtted pakuvad kaugtööks juba installitud tarkvaraga sülearvutit ja konfigureeritud VPN-tarkvara klienti. Teoreetiliselt ei tohiks kasutajatel sel juhul administraatoriõigusi olla. Nii lahendatakse kaks probleemi: töötajatele on tagatud nende ülesannetele sobiv litsentseeritud tarkvara ja valmis suhtluskanal. Samal ajal ei saa nad seadeid ise muuta, mis vähendab numbrile helistamise sagedust
tehniline abi.
Mõnel juhul on see mugav. Näiteks sülearvutit omades saad päeval mugavalt oma toas istuda ja öösel vaikselt köögis tööd teha, et mitte kedagi üles äratada.
Mis on peamine puudus? Sama plussiks – tegemist on kaasaskantava mobiilseadmega. Kasutajad jagunevad kahte kategooriasse: need, kes eelistavad võimsuse ja suure monitori jaoks lauaarvutit, ning need, kes armastavad kaasaskantavust.
Teine grupp kasutajaid hääletab kahe käega sülearvutite poolt. Olles saanud ettevõtte sülearvuti, hakkavad sellised töötajad sellega rõõmsalt kohvikutesse, restoranidesse minema, loodusesse minema ja proovivad sealt edasi töötada. Kui see vaid töötaks, mitte ei kasutaks saadud seadet lihtsalt oma arvutina suhtlusvõrgustike ja muu meelelahutuse jaoks.
Varem või hiljem läheb ettevõtte sülearvuti kaotsi mitte ainult koos kõvakettal oleva tööteabega, vaid ka konfigureeritud VPN-juurdepääsuga. Kui VPN-kliendi seadetes on märgitud ruut "Salvesta parool", loetakse minuteid. Olukordades, kus kaotust kohe ei avastatud, tugiteenust koheselt ei teavitatud või ei leitud kohe õiget blokeerimisõigusega töötajat – see võib kujuneda suureks katastroofiks.
Mõnikord aitab teabele juurdepääsu piiramine. Kuid juurdepääsu piiramine ei tähenda seadme kaotsimineku probleemide täielikku lahendamist, see on lihtsalt viis andmete avalikustamise ja ohustamise korral kadude vähendamiseks.
Kasutada saab krüptimist või kahefaktorilist autentimist, näiteks USB-võtmega. Väliselt tundub idee hea, kuid nüüd, kui sülearvuti satub valedesse kätesse, peab selle omanik andmetele, sealhulgas VPN-i kaudu juurdepääsu saamiseks kõvasti tööd tegema. Selle aja jooksul saate blokeerida juurdepääsu ettevõtte võrgule. Ning kaugkasutajale avanevad uued võimalused: häkkida kas sülearvutisse või pääsuvõtmesse või kõike korraga. Formaalselt on kaitsetase tõusnud, kuid tehnilise toe teenusega ei hakka igav. Lisaks peab iga kaugoperaator nüüd ostma kahefaktorilise autentimise (või krüptimise) komplekti.
Omaette kurb ja pikk lugu on kahjutasude sissenõudmine kadunud või kahjustatud sülearvutite (põrandale visatud, magusa tee, kohvi ja muude õnnetuste tõttu) ja kaotatud juurdepääsuvõtmete eest.
Muuhulgas sisaldab sülearvuti mehaanilisi osi, nagu klaviatuur, USB-pistikud ja ekraaniga kaas – kõik need kuluvad aja jooksul oma kasutusiga, deformeeruvad, lähevad lahti ja tuleb parandada või välja vahetada (kõige sagedamini , vahetatakse välja kogu sülearvuti).
Mis siis nüüd? Sülearvuti korterist ja rajast välja viimine on rangelt keelatud
kolides?
Miks nad siis sülearvuti välja andsid?
Üks põhjus on see, et sülearvutit on lihtsam teisaldada. Mõtleme välja midagi muud, ka kompaktset.
Saate väljastada mitte sülearvuti, vaid kaitstud LiveUSB-mälupulgad, mille VPN-ühendus on juba konfigureeritud, ja kasutaja kasutab oma arvutit. Kuid see on ka loterii: kas tarkvarakomplekt töötab kasutaja arvutis või mitte? Probleemiks võib olla lihtsalt vajalike draiverite puudumine.
Peame välja mõtlema, kuidas korraldada töötajate sidet distantsilt ning on soovitav, et inimene ei alluks kiusatusele ettevõtte sülearvutiga mööda linna ringi seigelda, vaid istuks kodus ja töötaks rahulikult, riskimata unustada või talle usaldatud aparaat kuhugi kaotama.
Statsionaarne VPN-juurdepääs
Mis siis, kui pakute ühendamiseks mitte lõppseadet, näiteks sülearvutit või eriti mitte eraldi välkmälu, vaid võrgulüüsi koos VPN-kliendiga?
Näiteks erinevate protokollide tuge sisaldav valmisruuter, milles VPN-ühendus on juba konfigureeritud. Kaugtöötaja peab lihtsalt oma arvuti sellega ühendama ja tööle asuma.
Milliseid probleeme see aitab lahendada?
- Seadmeid, millel on VPN-i kaudu konfigureeritud juurdepääs ettevõtte võrgule, majast välja ei viida.
- Ühe VPN-kanaliga saate ühendada mitu seadet.
Eespool juba kirjutasime, et sülearvutiga on tore korteris ringi liikuda, kuid lauaarvutiga on sageli lihtsam ja mugavam töötada.
Ja ruuteri VPN-iga saate ühendada arvuti, sülearvuti, nutitelefoni, tahvelarvuti ja isegi e-lugeri – kõike, mis toetab juurdepääsu Wi-Fi või juhtmega Etherneti kaudu.
Kui vaadata olukorda laiemalt, siis see võib olla näiteks minikontori liitumispunkt, kus saab töötada mitu inimest.
Sellises kaitstud segmendis saavad ühendatud seadmed vahetada teavet, saate korraldada midagi failijagamisressursi sarnast, omades samal ajal tavalist Interneti-juurdepääsu, saata dokumente printimiseks välisesse printerisse ja nii edasi.
Firmatelefon! Selles helis on nii palju, mis kuskil torus kõlab! Tsentraliseeritud VPN-kanal mitme seadme jaoks võimaldab ühendada nutitelefoni Wi-Fi võrgu kaudu ja kasutada IP-telefoni, et helistada ettevõtte võrgus olevatele lühinumbritele.
Vastasel juhul peaksite tegema mobiilikõnesid või kasutama väliseid rakendusi, nagu WhatsApp, mis ei ole alati ettevõtte turvapoliitikaga kooskõlas.
Ja kuna me räägime ohutusest, siis tasub ära märkida veel üks oluline fakt. Riistvaralise VPN-lüüsi abil saate oma turvalisust suurendada, kasutades sissepääsulüüsi uusi juhtimisfunktsioone. See võimaldab suurendada turvalisust ja suunata osa liikluskaitse koormusest võrgulüüsile.
Millist lahendust saab Zyxel selle juhtumi jaoks pakkuda?
Kaalume seadet, mis tuleks väljastada ajutiseks kasutamiseks kõigile töötajatele, kes saavad ja soovivad kaugtööd teha.
Seetõttu peaks selline seade olema:
- odav;
- usaldusväärne (et mitte raisata raha ja aega remondile);
- saadaval jaemüügikettides;
- lihtne seadistada (see on mõeldud kasutamiseks ilma spetsiaalselt helistamata
koolitatud spetsialist).
Ei kõla väga reaalselt, eks?
Kuid selline seade on olemas, see on tõesti olemas ja on tasuta
- Zyxel ZyWALL VPN2S
VPN2S on VPN-i tulemüür, mis võimaldab kasutada privaatset ühendust
punkt-punkt ilma võrguparameetrite keeruka konfigureerimiseta.
Joonis 1. Zyxel ZyWALL VPN2S välimus
Seadme lühikirjeldus
Riistvara omadused
10/100/1000 Mbps RJ-45 pordid
3 x LAN, 1 x WAN/LAN, 1 x WAN
USB-pordid
2 x USB 2.0
Pole ventilaatorit
Jah
Süsteemi võimsus ja jõudlus
SPI tulemüüri läbilaskevõime (Mbps)
1.5 Gbps
VPN ribalaius (Mbps)
35
Maksimaalne samaaegsete seansside arv. TCP
50000
Samaaegsete IPseci VPN-tunnelite maksimaalne arv [5] 20
Kohandatavad tsoonid
Jah
IPv6 tugi
Jah
Maksimaalne VLAN-ide arv
16
Peamised tarkvara omadused
Mitme WAN-i koormusbilanss/tõrkesiirde
Jah
Virtuaalne privaatne võrk (VPN)
Jah (IPSec, L2TP üle IPSec, PPTP, L2TP, GRE)
VPN klient
IPSec/L2TP/PPTP
Sisu filtreerimine
1 aasta tasuta
Tulemüür
Jah
VLAN/liideserühm
Jah
Ribalaiuse haldus
Jah
Sündmuste logi ja jälgimine
Jah
Pilveabiline
Jah
Pult
Jah
Märkus. Tabeli andmed põhinevad OPAL BE mikrokoodil 1.12 või uuemal
hilisem versioon.
Milliseid VPN-i valikuid ZyWALL VPN2S toetab
Tegelikult on nime järgi selge, et ZyWALL VPN2S seade on peamiselt
loodud kaugtöötajate ja minifiliaalide ühendamiseks VPN-i kaudu.
- Protokoll L2TP Over IPSec VPN on mõeldud lõppkasutajatele.
- Minikontorite ühendamiseks pakutakse sidet Site-to-Site IPSec VPN-i kaudu.
- Samuti saate ZyWALL VPN2S-i kasutades luua L2TP VPN-ühenduse
turvalise Interneti-juurdepääsu teenusepakkuja.
Tuleb märkida, et see jaotus on väga tingimuslik. Näiteks saate
kaugpunkt konfigureerida Site-to-Site IPSec VPN-ühendust üheainsaga
kasutaja perimeetri sees.
Seda kõike muidugi rangete VPN-algoritmide (IKEv2 ja SHA-2) abil.
Mitme WAN-i kasutamine
Kaugtöö jaoks on peamine, et kanal oleks stabiilne. Kahjuks ainukesega
Seda ei saa tagada isegi kõige usaldusväärsema teenusepakkuja sideliiniga.
Probleemid võib jagada kahte tüüpi:
- kiiruse langus – Multi-WAN koormuse tasakaalustamise funktsioon aitab selles
stabiilse ühenduse säilitamine vajaliku kiirusega; - rike kanalil - selleks kasutatakse Multi-WAN-i tõrkesiirde funktsiooni
veataluvuse tagamine dubleerimismeetodi abil.
Millised riistvara võimalused on selleks olemas:
- Neljandat LAN-porti saab konfigureerida täiendava WAN-pordina.
- USB-porti saab kasutada 3G/4G modemi ühendamiseks, mis tagab
varukanal mobiilside kujul.
Suurenenud võrgu turvalisus
Nagu eespool mainitud, on see spetsiaalse kasutamise üks peamisi eeliseid
tsentraliseeritud seadmed.
ZyWALL VPN2S-il on SPI (Stateful Packet Inspection) tulemüüri funktsioon, mis võitleb erinevat tüüpi rünnakute vastu, sealhulgas DoS (teenuse keelamine), võltsitud IP-aadresse kasutavad rünnakud, aga ka volitamata kaugjuurdepääs süsteemidele, kahtlane võrguliiklus ja paketid.
Täiendava kaitsena on seadmel Sisu filtreerimine, et blokeerida kasutaja juurdepääs kahtlasele, ohtlikule ja kõrvalisele sisule.
Kiire ja lihtne 5-astmeline seadistamine häälestusviisardi abil
Ühenduse kiireks seadistamiseks on mugav häälestusviisard ja graafiline
liides mitmes keeles.
Joonis 2. Ühe häälestusviisardi ekraani näide.
Kiireks ja tõhusaks haldamiseks pakub Zyxel täielikku kaughaldusutiliitide paketti, mille abil saate VPN2S-i hõlpsalt konfigureerida ja seda jälgida.
Seadete dubleerimise võimalus lihtsustab oluliselt mitme ZyWALL VPN2S seadme ettevalmistamist kaugtöötajatele üleandmiseks.
VLAN tugi
Vaatamata asjaolule, et ZyWALL VPN2S on mõeldud kaugtööks, toetab see VLAN-i. See võimaldab teil suurendada võrgu turvalisust, näiteks kui ühendatud on üksikettevõtja kontor, kus on külaliste WiFi. Standardsed VLAN-funktsioonid, nagu ringhäälingu domeenide piiramine, edastatava liikluse vähendamine ja turvapoliitikate rakendamine, on nõutud ettevõtete võrkudes, kuid põhimõtteliselt saab neid kasutada ka väikeettevõtetes.
VLAN-i tugi on kasulik ka eraldi võrgu korraldamisel, näiteks IP-telefoni jaoks.
VLAN-iga töö tagamiseks toetab ZyWALL VPN2S seade IEEE 802.1Q standardit.
Kokkuvõtteks
Konfigureeritud VPN-kanaliga mobiilseadme kaotamise oht nõuab muid lahendusi kui ettevõtte sülearvutite levitamine.
Kompaktsete ja odavate VPN-lüüside kasutamine võimaldab hõlpsasti korraldada kaugtöötajate tööd.
ZyWALL VPN2S mudel oli algselt loodud kaugtöötajate ja väikeste kontorite ühendamiseks.
Kasulikud lingid
→
→
→
→
→
Allikas: www.habr.com