Wy sille jo fertelle oer in goedkeape en feilige manier om te soargjen dat meiwurkers op ôfstân ferbûn binne fia VPN, sûnder it bedriuw bleat te stellen oan reputaasje of finansjele risiko's en sûnder ekstra problemen te meitsjen foar de IT-ôfdieling en bedriuwsbehear.
Mei de ûntwikkeling fan IT is it mooglik wurden om meiwurkers op ôfstân te lûken nei in tanimmend oantal posysjes.
As earder ûnder arbeiders op ôfstân wiene benammen fertsjintwurdigers fan kreative beroppen, bygelyks ûntwerpers, copywriters, no in boekhâlder, in juridysk adviseur, en in protte fertsjintwurdigers fan oare beroppen kinne maklik fan hûs wurkje, en besykje it kantoar allinich as it nedich is.
Mar yn alle gefallen is it nedich om wurk te organisearjen fia in feilich kanaal.
De ienfâldichste opsje. Wy sette in VPN op 'e tsjinner op, de meiwurker krijt in oanmeldwachtwurd en in VPN-sertifikaatkaai, en ek ynstruksjes oer hoe't jo in VPN-kliïnt op syn kompjûter kinne ynstelle. En de IT-ôfdieling achtet har taak foltôge.
It idee liket net min te wêzen, útsein ien ding: it moat in meiwurker wêze dy't alles sels kin ynstelle. As wy it hawwe oer in kwalifisearre ûntwikkelder fan netwurkapplikaasjes, is it heul wierskynlik dat hy dizze taak sil omgean.
Mar in boekhâlder, artyst, ûntwerper, technysk skriuwer, arsjitekt, en in protte oare beroppen hoege net needsaaklik de kompleksjes te begripen fan it ynstellen fan in VPN. Of immen moat har op ôfstân ferbine en helpe, of persoanlik komme en alles op it plak ynstelle. Dêrom, as der wat ophâldt te wurkjen foar har, bygelyks troch in flater yn it brûkersprofyl, binne de ynstellings fan 'e netwurkclient ferlern gien, dan moat alles opnij werhelle wurde.
Guon bedriuwen leverje in laptop mei al ynstalleare software en in konfigureare VPN-softwarekliïnt foar wurk op ôfstân. Yn teory, yn dit gefal moatte brûkers gjin administratorrjochten hawwe. Op dizze wize wurde twa problemen oplost: meiwurkers wurde garandearre foarsjoen fan lisinsje software dy't by harren taken past en in klearmakke kommunikaasjekanaal. Tagelyk kinne se de ynstellings net op harsels feroarje, wat de frekwinsje fan petearen nei fermindert
technyske stipe.
Yn guon gefallen is dit handich. Bygelyks, mei in laptop, kinne jo oerdeis noflik yn jo keamer sitte, en nachts rêstich yn 'e keuken wurkje om gjinien wekker te meitsjen.
Wat is it wichtichste neidiel? Itselde as in plus - it is in mobyl apparaat dat kin wurde droegen. Brûkers falle yn twa kategoryen: dyjingen dy't leaver in buroblêd PC foar macht en in grutte monitor, en dyjingen dy't fan portabiliteit hâlde.
De twadde groep brûkers stimt mei beide hannen foar laptops. Nei it krijen fan in bedriuwslaptop, begjinne sokke meiwurkers bliid mei te gean nei kafees, restaurants, nei de natuer en besykje dêrwei te wurkjen. As it mar soe wurkje, en net allinich it ûntfongen apparaat brûke as jo eigen kompjûter foar sosjale netwurken en oare fermaak.
Ier of letter is in bedriuwslaptop ferlern net allinich tegearre mei de wurkynformaasje op 'e hurde skiif, mar ek mei konfigureare VPN-tagong. As it karfakje "Wachtwurd bewarje" is kontrolearre yn 'e VPN-kliïntynstellingen, dan telle de minuten. Yn situaasjes dêr't it ferlies net daliks ûntdutsen waard, waard de stipetsjinst net fuortendaliks op 'e hichte brocht, of de juste meiwurker mei de rjochten om te blokkearjen waard net fuortendaliks fûn - dit kin in grutte ramp wurde.
Soms helpt it beheinen fan tagong ta ynformaasje. Mar tagong beheine betsjut net dat de problemen fan it ferliezen fan in apparaat folslein oplost wurde; it is gewoan in manier om ferliezen te ferminderjen as gegevens wurde iepenbierre en kompromittearre.
Jo kinne fersifering of twa-faktor autentikaasje brûke, bygelyks mei in USB-kaai. Uterlik sjocht it idee goed, mar no as de laptop yn 'e ferkearde hannen falt, sil har eigener hurd wurkje moatte om tagong te krijen ta de gegevens, ynklusyf tagong fia VPN. Yn dizze tiid kinne jo it beheare om tagong ta it bedriuwsnetwurk te blokkearjen. En nije kânsen iepenje foar de brûker op ôfstân: om de laptop of de tagongskaai te hacken, of alles yn ien kear. Formeel is it nivo fan beskerming ferhege, mar de technyske stipetsjinst sil net ferfeeld wurde. Derneist sil elke operator op ôfstân no in twa-faktora-autentikaasje (as fersifering) kit moatte keapje.
In apart tryst en lang ferhaal is it sammeljen fan skeafergoeding foar ferlern of skansearre laptops (op 'e flier smiten, fersmyt mei swiete tee, kofje en oare ûngemakken) en ferlerne tagongstoetsen.
In laptop befettet ûnder oare meganyske ûnderdielen, lykas in toetseboerd, USB-ferbiningen en in deksel mei in skerm - dit alles slijt har libbensdoer yn 'e rin fan' e tiid, wurde misfoarme, wurde los en moatte reparearre of ferfongen wurde (meast faaks , de hiele laptop wurdt ferfongen).
Dus wat no? It is strang ferbean om in laptop út it appartemint te nimmen en te spoaren
ferpleatse?
Wêrom joegen se dan in laptop út?
Ien reden is dat in laptop makliker is om oer te dragen. Litte wy wat oars betinke, ek kompakt.
Jo kinne net in laptop útjaan, mar beskerme LiveUSB-flash-driven mei in al konfigureare VPN-ferbining, en de brûker sil syn eigen kompjûter brûke. Mar dit is ek in lotterij: sil de software-assemblage op 'e kompjûter fan 'e brûker rinne of net? It probleem kin in ienfâldich gebrek oan de nedige bestjoerders wêze.
Wy moatte útfine hoe't jo de ferbining fan meiwurkers op ôfstân organisearje, en it is winsklik dat de persoan net foarkomt foar de ferlieding om mei in bedriuwslaptop yn 'e stêd te swalkjen, mar thús sit en rêstich wurket sûnder it risiko fan ferjitten of it oan him toevertrouwde apparaat earne kwytreitsje.
Stationary VPN tagong
Wat as jo net in einapparaat leverje, bygelyks in laptop, of foaral gjin aparte flash drive foar ferbining, mar in netwurkpoarte mei in VPN-kliïnt oan board?
Bygelyks in ready-made router dy't stipe omfettet foar ferskate protokollen, wêryn in VPN-ferbining al ynsteld is. De meiwurker op ôfstân moat gewoan syn kompjûter dêrmei ferbine en begjinne te wurkjen.
Hokker problemen helpt dit op te lossen?
- Apparatuer mei ynstelde tagong ta it bedriuwsnetwurk fia VPN wurdt net út it hûs helle.
- Jo kinne ferskate apparaten ferbine mei ien VPN-kanaal.
Wy hawwe hjirboppe al skreaun dat it moai is om mei in laptop troch it appartemint te kinnen, mar it is faak makliker en handiger om te wurkjen mei in buroblêd komputer.
En jo kinne in PC, in laptop, in smartphone, in tablet, en sels in e-reader ferbine mei de VPN op 'e router - alles dat tagong stipet fia Wi-Fi of bedrade Ethernet.
As jo de sitewaasje breder sjogge, kin dat bygelyks in oanslutingspunt wêze foar in minykantoar dêr't meardere minsken wurkje kinne.
Binnen sa'n beskerme segmint kinne ferbûne apparaten ynformaasje útwikselje, jo kinne wat organisearje as in boarne foar dielen fan bestân, wylst jo normale tagong hawwe ta it ynternet, dokuminten stjoere foar printsjen nei in eksterne printer, ensfh.
Bedriuwtelefony! D'r is safolle yn dit lûd dat earne yn 'e buis klinkt! In sintralisearre VPN-kanaal foar ferskate apparaten lit jo in smartphone ferbine fia in Wi-Fi-netwurk en IP-telefony brûke om oproppen te meitsjen nei koarte nûmers binnen it bedriuwsnetwurk.
Oars soene jo mobile petearen moatte meitsje of eksterne applikaasjes brûke lykas WhatsApp, wat net altyd oerienkomt mei bedriuwsfeiligensbelied.
En om't wy it oer feiligens hawwe, is it de muoite wurdich op te merken in oar wichtich feit. Mei in hardware VPN-gateway kinne jo jo feiligens ferbetterje troch nije kontrôlefunksjes te brûken op 'e yngongspoarte. Hjirmei kinne jo feiligens ferheegje en in diel fan 'e ferkearsbeskermingslast nei it netwurkpoarte ferpleatse.
Hokker oplossing kin Zyxel biede foar dizze saak?
Wy beskôgje in apparaat dat foar tydlik gebrûk útjûn wurde moat oan alle meiwurkers dy't op ôfstân wurkje kinne en wolle.
Dêrom moat sa'n apparaat wêze:
- goedkeap;
- betrouber (sa net te fergrieme jild en tiid op reparaasjes);
- beskikber foar oankeap yn detailhannel keatlingen;
- maklik yn te stellen (it is bedoeld om te brûken sûnder spesifyk te skiljen
oplaat spesjalist).
Klinkt net heul echt, krekt?
Sa'n apparaat bestiet lykwols, it bestiet echt en is fergees
- Zyxel ZyWALL VPN2S
VPN2S is in VPN-firewall wêrmei jo in privee ferbining kinne brûke
punt-to-punt sûnder komplekse konfiguraasje fan netwurk parameters.
figuer 1. Uterlik fan Zyxel ZyWALL VPN2S
Koarte apparaat spesifikaasje
Hardware Features
10/100/1000 Mbps RJ-45 havens
3 x LAN, 1 x WAN/LAN, 1 x WAN
USB havens
2 x USB 2.0
Gjin fan
dat
Systeem kapasiteit en prestaasjes
SPI Firewall Trochfier (Mbps)
1.5 Gbps
VPN-bânbreedte (Mbps)
35
Maksimum oantal simultane sesjes. TCP
50000
Maksimum oantal simultane IPsec VPN-tunnels [5] 20
Oanpasbere sônes
dat
IPv6-stipe
dat
Maksimum oantal VLANs
16
Main Software Features
Multi-WAN Load Balance / Failover
dat
Firtuele privee netwurk (VPN)
Ja (IPSec, L2TP oer IPSec, PPTP, L2TP, GRE)
VPN client
IPSec/L2TP/PPTP
Ynhâld filterjen
1 jier fergees
Firewall
dat
VLAN / ynterface Group
dat
Bandwidth Management
dat
Event log en monitoring
dat
Cloud Helper
dat
Ôfstansbetsjinning
dat
Opmerking: De gegevens yn 'e tabel binne basearre op OPAL BE mikrokoade 1.12 of heger
lettere ferzje.
Hokker VPN-opsjes wurde stipe troch ZyWALL VPN2S
Eins, út 'e namme is it dúdlik dat it ZyWALL VPN2S-apparaat primêr is
ûntworpen om meiwurkers op ôfstân en mini-tûken te ferbinen fia VPN.
- It L2TP Over IPSec VPN-protokol wurdt levere foar ein brûkers.
- Om mini-kantoaren te ferbinen, wurdt kommunikaasje fia Site-to-Site IPSec VPN levere.
- Ek mei ZyWALL VPN2S kinne jo in L2TP VPN-ferbining bouwe mei
tsjinst provider foar feilige ynternet tagong.
Dêrby moat opmurken wurde dat dizze ferdieling is tige betingst. Jo kinne bygelyks
ôfstân punt konfigurearje in Site-to-Site IPSec VPN-ferbining mei in inkele
brûker binnen de perimeter.
Fansels, dit alles mei strikte VPN-algoritmen (IKEv2 en SHA-2).
It brûken fan meardere WAN's
Foar wurk op ôfstân is it wichtichste om in stabile kanaal te hawwen. Spitigernôch, mei de ienige
Dit kin net garandearre wurde mei in kommunikaasjeline sels fan 'e meast betroubere provider.
Problemen kinne wurde ferdield yn twa soarten:
- drop yn snelheid - de Multi-WAN load balancing funksje sil helpe mei dit
behâld fan in stabile ferbining mei de fereaske snelheid; - flater op it kanaal - foar dit doel wurdt de Multi-WAN failover-funksje brûkt foar
garandearjen fan fouttolerânsje mei de duplikaasjemetoade.
Hokker hardwaremooglikheden binne d'r foar:
- De fjirde LAN-poarte kin konfigurearre wurde as in ekstra WAN-poarte.
- De USB-poarte kin brûkt wurde om in 3G/4G-modem te ferbinen, dy't foarsjocht
backup kanaal yn 'e foarm fan sellulêre kommunikaasje.
Ferhege netwurk feiligens
Lykas sein hjirboppe, dit is ien fan de wichtichste foardielen fan it brûken fan spesjale
sintralisearre apparaten.
ZyWALL VPN2S hat in SPI (Stateful Packet Inspection) brânmuorrefunksje om ferskate soarten oanfallen tsjin te gean, ynklusyf DoS (Denial of Service), oanfallen mei spoofed IP-adressen, lykas net foech tagong op ôfstân ta systemen, fertochte netwurkferkear en pakketten.
As ekstra beskerming hat it apparaat ynhâldfiltering om brûkers tagong ta fertochte, gefaarlike en bûtenlânske ynhâld te blokkearjen.
Fluch en maklike 5-stap opset mei opset wizard
Om fluch ynstelle in ferbining, der is in handige opset wizard en grafysk
ynterface yn ferskate talen.
figuer 2. In foarbyld fan ien fan de opset wizard skermen.
Foar fluch en effisjint behear biedt Zyxel in folslein pakket fan nutsfoarsjennings foar remote administraasje wêrmei jo VPN2S maklik kinne konfigurearje en kontrolearje.
De mooglikheid om ynstellings te duplisearjen simplifies de tarieding fan meardere ZyWALL VPN2S-apparaten foar oerdracht nei meiwurkers op ôfstân.
VLAN-stipe
Nettsjinsteande it feit dat ZyWALL VPN2S is ûntworpen foar wurk op ôfstân, stipet it VLAN. Hjirmei kinne jo netwurkfeiligens ferheegje, bygelyks as it kantoar fan in yndividuele ûndernimmer ferbûn is, dy't gast Wi-Fi hat. Standert VLAN-funksjes, lykas it beheinen fan útstjoerdomeinen, it ferminderjen fan trochstjoerd ferkear en it tapassen fan befeiligingsbelied, binne yn fraach yn bedriuwsnetwurken, mar kinne yn prinsipe ek brûkt wurde yn lytse bedriuwen.
VLAN-stipe is ek nuttich foar it organisearjen fan in apart netwurk, bygelyks foar IP-telefony.
Om operaasje mei VLAN te garandearjen, stipet it ZyWALL VPN2S-apparaat de IEEE 802.1Q-standert.
Omheech op
It risiko om in mobyl apparaat te ferliezen mei in ynsteld VPN-kanaal fereasket oare oplossingen dan it fersprieden fan bedriuwslaptops.
It gebrûk fan kompakte en goedkeape VPN-poarten kinne jo it wurk fan meiwurkers op ôfstân maklik organisearje.
It ZyWALL VPN2S-model is oarspronklik ûntworpen om arbeiders op ôfstân en lytse kantoaren te ferbinen.
Nuttige keppelings
→
→
→
→
→
Boarne: www.habr.com