Nous vous présenterons un moyen peu coûteux et sécurisé de garantir que les employés distants sont connectés via VPN, sans exposer l'entreprise à des risques de réputation ou financiers et sans créer de problèmes supplémentaires pour le service informatique et la direction de l'entreprise.
Avec le développement de l’informatique, il est devenu possible d’attirer des collaborateurs distants vers un nombre croissant de postes.
Si auparavant parmi les travailleurs à distance se trouvaient principalement des représentants des professions créatives, par exemple des designers, des rédacteurs, aujourd'hui un comptable, un conseiller juridique et de nombreux représentants d'autres professions peuvent facilement travailler à domicile, en se rendant au bureau uniquement lorsque cela est nécessaire.
Mais dans tous les cas, il est nécessaire d’organiser le travail via un canal sécurisé.
L'option la plus simple. Nous mettons en place un VPN sur le serveur, l'employé reçoit un mot de passe de connexion et une clé de certificat VPN, ainsi que des instructions sur la façon de configurer un client VPN sur son ordinateur. Et le service informatique considère sa tâche accomplie.
L'idée ne semble pas mauvaise, à une exception près : il faut que ce soit un salarié qui sache tout configurer tout seul. Si nous parlons d'un développeur d'applications réseau qualifié, il est très probable qu'il s'acquitte de cette tâche.
Mais un comptable, un artiste, un designer, un rédacteur technique, un architecte et bien d’autres professions n’ont pas nécessairement besoin de comprendre les subtilités de la configuration d’un VPN. Soit quelqu'un doit se connecter à eux à distance et les aider, soit venir en personne et tout mettre en place sur place. Par conséquent, si quelque chose cesse de fonctionner pour eux, par exemple en raison d'un problème dans le profil utilisateur, les paramètres du client réseau ont été perdus, alors tout doit être répété à nouveau.
Certaines entreprises fournissent un ordinateur portable avec un logiciel déjà installé et un logiciel client VPN configuré pour le travail à distance. En théorie, dans ce cas, les utilisateurs ne devraient pas disposer de droits d'administrateur. De cette manière, deux problèmes sont résolus : les employés ont la garantie de disposer d'un logiciel sous licence adapté à leurs tâches et d'un canal de communication prêt à l'emploi. Dans le même temps, ils ne peuvent pas modifier les paramètres eux-mêmes, ce qui réduit la fréquence des appels à
soutien technique.
Dans certains cas, c'est pratique. Par exemple, en disposant d'un ordinateur portable, vous pouvez vous asseoir confortablement dans votre chambre le jour et travailler tranquillement dans la cuisine la nuit pour ne réveiller personne.
Quel est le principal inconvénient ? Le même avantage est qu'il s'agit d'un appareil mobile qui peut être transporté. Les utilisateurs se répartissent en deux catégories : ceux qui préfèrent un ordinateur de bureau pour la puissance et un grand écran, et ceux qui aiment la portabilité.
Le deuxième groupe d’utilisateurs vote à deux mains pour les ordinateurs portables. Après avoir reçu un ordinateur portable d'entreprise, ces employés commencent à l'accompagner avec joie dans les cafés, les restaurants, à aller dans la nature et à essayer de travailler à partir de là. Si seulement cela fonctionnait et ne se contentait pas d'utiliser l'appareil reçu comme votre propre ordinateur pour les réseaux sociaux et autres divertissements.
Tôt ou tard, un ordinateur portable d'entreprise est perdu non seulement avec les informations professionnelles sur le disque dur, mais également avec l'accès VPN configuré. Si la case « enregistrer le mot de passe » est cochée dans les paramètres du client VPN, alors les minutes comptent. Dans les situations où la perte n'a pas été immédiatement découverte, le service d'assistance n'a pas été immédiatement informé ou le bon employé ayant le droit de bloquer n'a pas été immédiatement trouvé - cela peut se transformer en un grand désastre.
Parfois, limiter l’accès à l’information est utile. Mais limiter l’accès ne signifie pas résoudre complètement les problèmes de perte d’un appareil ; c’est simplement un moyen de réduire les pertes lorsque les données sont divulguées et compromises.
Vous pouvez utiliser le cryptage ou l'authentification à deux facteurs, par exemple avec une clé USB. Extérieurement, l'idée semble bonne, mais maintenant, si l'ordinateur portable tombe entre de mauvaises mains, son propriétaire devra travailler dur pour accéder aux données, y compris l'accès via VPN. Pendant ce temps, vous pouvez réussir à bloquer l'accès au réseau d'entreprise. Et de nouvelles opportunités s'ouvrent à l'utilisateur distant : pirater soit l'ordinateur portable, soit la clé d'accès, ou tout à la fois. Formellement, le niveau de protection a augmenté, mais le service d'assistance technique ne s'ennuiera pas. De plus, chaque opérateur distant devra désormais acheter un kit d'authentification (ou de cryptage) à deux facteurs.
Une autre histoire, triste et longue, est la collecte des dommages causés aux ordinateurs portables perdus ou endommagés (jetés au sol, renversés avec du thé sucré, du café et d'autres accidents) et des clés d'accès perdues.
Entre autres choses, un ordinateur portable contient des pièces mécaniques, telles qu'un clavier, des connecteurs USB et un couvercle avec un écran - tous ces éléments s'usent avec le temps, se déforment, se détachent et doivent être réparés ou remplacés (le plus souvent , l'ordinateur portable entier est remplacé).
Et maintenant ? Il est strictement interdit de sortir un ordinateur portable de l'appartement et de suivre
en mouvement?
Pourquoi alors ont-ils distribué un ordinateur portable ?
L’une des raisons est qu’un ordinateur portable est plus facile à transférer. Inventons autre chose, également compact.
Vous pouvez émettre non pas un ordinateur portable, mais des clés USB LiveUSB protégées avec une connexion VPN déjà configurée, et l'utilisateur utilisera son propre ordinateur. Mais c’est aussi une loterie : l’assemblage du logiciel fonctionnera-t-il ou non sur l’ordinateur de l’utilisateur ? Le problème peut être un simple manque de pilotes nécessaires.
Il faut réfléchir à comment organiser la connexion des salariés à distance, et il est souhaitable que la personne ne succombe pas à la tentation de se promener en ville avec un ordinateur portable d'entreprise, mais reste assise à la maison et travaille sereinement sans risquer d'oublier ou perdre l'appareil qui lui a été confié quelque part.
Accès VPN stationnaire
Que se passe-t-il si vous ne fournissez pas un appareil final, par exemple un ordinateur portable, ni surtout pas une clé USB séparée pour la connexion, mais une passerelle réseau avec un client VPN intégré ?
Par exemple, un routeur prêt à l'emploi qui prend en charge divers protocoles, dans lequel une connexion VPN est déjà configurée. Il suffit au collaborateur distant d’y connecter son ordinateur et de commencer à travailler.
Quels problèmes cela aide-t-il à résoudre ?
- Les équipements avec un accès configuré au réseau d'entreprise via VPN ne sont pas sortis de la maison.
- Vous pouvez connecter plusieurs appareils à un seul canal VPN.
Nous avons déjà écrit plus haut qu'il est agréable de pouvoir se déplacer dans l'appartement avec un ordinateur portable, mais qu'il est souvent plus facile et plus pratique de travailler avec un ordinateur de bureau.
Et vous pouvez connecter un PC, un ordinateur portable, un smartphone, une tablette et même une liseuse au VPN du routeur – tout ce qui prend en charge l'accès via Wi-Fi ou Ethernet filaire.
Si l’on considère la situation de manière plus large, il pourrait s’agir par exemple d’un point de connexion pour un mini-bureau où plusieurs personnes peuvent travailler.
Au sein d'un tel segment protégé, les appareils connectés peuvent échanger des informations, vous pouvez organiser quelque chose comme une ressource de partage de fichiers, tout en ayant un accès normal à Internet, envoyer des documents à imprimer vers une imprimante externe, etc.
Téléphonie d'entreprise ! Il y a tellement de choses dans ce son qui sonnent quelque part dans le tube ! Un canal VPN centralisé pour plusieurs appareils permet de connecter un smartphone via un réseau Wi-Fi et d'utiliser la téléphonie IP pour passer des appels vers des numéros courts au sein du réseau d'entreprise.
Sinon, vous devrez passer des appels mobiles ou utiliser des applications externes telles que WhatsApp, ce qui n'est pas toujours conforme à la politique de sécurité de l'entreprise.
Et puisque nous parlons de sécurité, il convient de noter un autre fait important. Avec une passerelle VPN matérielle, vous pouvez améliorer votre sécurité en utilisant de nouvelles fonctionnalités de contrôle sur la passerelle d'entrée. Cela vous permet d'augmenter la sécurité et de transférer une partie de la charge de protection du trafic vers la passerelle réseau.
Quelle solution Zyxel peut-elle proposer pour ce cas ?
Nous réfléchissons à un appareil qui devrait être délivré pour une utilisation temporaire à tous les employés qui peuvent et souhaitent travailler à distance.
Par conséquent, un tel appareil doit être :
- peu coûteux;
- fiable (afin de ne pas perdre de temps et d'argent en réparations) ;
- disponible à l'achat dans les chaînes de vente au détail;
- facile à mettre en place (il est destiné à être utilisé sans appeler spécifiquement
spécialiste formé).
Cela ne semble pas très réel, n'est-ce pas ?
Pourtant, un tel dispositif existe, il existe réellement et est gratuit
- Zyxel ZyWALL VPN2S
VPN2S est un pare-feu VPN qui vous permet d'utiliser une connexion privée
point à point sans configuration complexe des paramètres réseau.
Figure 1. Apparence de Zyxel ZyWALL VPN2S
Brève spécification de l'appareil
Caractéristiques matérielles
Ports RJ-10 100/1000/45 XNUMX Mbit/s
3 x LAN, 1 x WAN/LAN, 1 x WAN
Prises USB
2 x USB 2.0
Pas de ventilateur
Oui
Capacité et performances du système
Débit du pare-feu SPI (Mbps)
1.5 Gbps
Bande passante VPN (Mbps)
35
Nombre maximum de sessions simultanées. TCP
50000
Nombre maximum de tunnels VPN IPsec simultanés [5] 20
Zones personnalisables
Oui
Prise en charge IPv6
Oui
Nombre maximum de VLAN
16
Principales fonctionnalités du logiciel
Équilibrage de charge/basculement multi-WAN
Oui
Réseau privé virtuel (VPN)
Oui (IPSec, L2TP sur IPSec, PPTP, L2TP, GRE)
Client VPN
IPSec/L2TP/PPTP
Filtrage du contenu
1 an gratuit
Pare-feu
Oui
Groupe VLAN/Interface
Oui
Gestion de la bande passante
Oui
Journal des événements et surveillance
Oui
Assistant Cloud
Oui
Télécommande
Oui
Note. Les données du tableau sont basées sur le microcode OPAL BE 1.12 ou supérieur
version ultérieure.
Quelles options VPN sont prises en charge par ZyWALL VPN2S
En fait, d'après son nom, il est clair que l'appareil ZyWALL VPN2S est principalement
conçu pour connecter les employés distants et les mini-succursales via VPN.
- Le protocole VPN L2TP Over IPSec est fourni aux utilisateurs finaux.
- Pour connecter les mini-bureaux, une communication via VPN Site-to-Site IPSec est fournie.
- De plus, en utilisant ZyWALL VPN2S, vous pouvez créer une connexion VPN L2TP avec
fournisseur de services pour un accès Internet sécurisé.
Il convient de noter que cette division est très conditionnelle. Par exemple, vous pouvez
point distant configurer une connexion VPN IPSec site à site avec un seul
utilisateur à l’intérieur du périmètre.
Bien entendu, tout cela en utilisant des algorithmes VPN stricts (IKEv2 et SHA-2).
Utilisation de plusieurs WAN
Pour le travail à distance, l'essentiel est d'avoir un canal stable. Malheureusement, avec le seul
Cela ne peut pas être garanti avec une ligne de communication, même auprès du fournisseur le plus fiable.
Les problèmes peuvent être divisés en deux types :
- baisse de vitesse - la fonction d'équilibrage de charge Multi-WAN vous y aidera
maintenir une connexion stable à la vitesse requise ; - panne sur le canal - à cet effet, la fonction de basculement Multi-WAN est utilisée pour
assurer la tolérance aux pannes en utilisant la méthode de duplication.
Quelles sont les capacités matérielles disponibles pour cela :
- Le quatrième port LAN peut être configuré comme port WAN supplémentaire.
- Le port USB peut être utilisé pour connecter un modem 3G/4G, qui fournit
canal de secours sous forme de communication cellulaire.
Sécurité réseau accrue
Comme mentionné ci-dessus, c'est l'un des principaux avantages de l'utilisation de systèmes spéciaux.
appareils centralisés.
ZyWALL VPN2S dispose d'une fonction de pare-feu SPI (Stateful Packet Inspection) pour contrer divers types d'attaques, notamment le DoS (Denial of Service), les attaques utilisant des adresses IP usurpées, ainsi que l'accès à distance non autorisé aux systèmes, le trafic réseau et les packages suspects.
Comme protection supplémentaire, l'appareil dispose d'un filtrage de contenu pour bloquer l'accès des utilisateurs aux contenus suspects, dangereux et superflus.
Configuration rapide et facile en 5 étapes avec assistant de configuration
Pour établir rapidement une connexion, il existe un assistant de configuration pratique et un graphique
interface en plusieurs langues.
Figure 2. Un exemple d'un des écrans de l'assistant de configuration.
Pour une gestion rapide et efficace, Zyxel propose un package complet d'utilitaires d'administration à distance avec lesquels vous pouvez facilement configurer VPN2S et le surveiller.
La possibilité de dupliquer les paramètres simplifie grandement la préparation de plusieurs appareils ZyWALL VPN2S pour le transfert vers des employés distants.
Prise en charge des VLAN
Bien que ZyWALL VPN2S soit conçu pour le travail à distance, il prend en charge le VLAN. Cela vous permet d'augmenter la sécurité du réseau, par exemple si le bureau d'un entrepreneur individuel est connecté et dispose d'un réseau Wi-Fi invité. Les fonctions VLAN standard, telles que la limitation des domaines de diffusion, la réduction du trafic transmis et l'application de politiques de sécurité, sont demandées dans les réseaux d'entreprise, mais elles peuvent en principe également être utilisées dans les petites entreprises.
La prise en charge du VLAN est également utile pour organiser un réseau séparé, par exemple pour la téléphonie IP.
Pour garantir le fonctionnement avec VLAN, l'appareil ZyWALL VPN2S prend en charge la norme IEEE 802.1Q.
Résumant
Le risque de perdre un appareil mobile avec un canal VPN configuré nécessite des solutions autres que la distribution d'ordinateurs portables d'entreprise.
L'utilisation de passerelles VPN compactes et peu coûteuses permet d'organiser facilement le travail des collaborateurs distants.
Le modèle ZyWALL VPN2S a été initialement conçu pour connecter les travailleurs distants et les petits bureaux.
Liens utiles
→
→
→
→
→
Source: habr.com