Informarémosche dunha forma barata e segura de garantir que os empregados remotos estean conectados mediante VPN, sen expor a empresa a riscos reputacionais ou financeiros e sen crear problemas adicionais para o departamento de TI e a xestión da empresa.
Co desenvolvemento das TIC, fíxose posible atraer empregados remotos a un número crecente de postos.
Se antes entre os traballadores remotos había principalmente representantes de profesións creativas, por exemplo, deseñadores, redactores, agora un contador, un asesor xurídico e moitos representantes doutras profesións poden traballar facilmente desde casa, visitando a oficina só cando sexa necesario.
Pero, en todo caso, é necesario organizar o traballo a través dunha canle segura.
A opción máis sinxela. Configuramos unha VPN no servidor, o empregado recibe un contrasinal de inicio de sesión e unha clave de certificado VPN, así como instrucións sobre como configurar un cliente VPN no seu ordenador. E o departamento de TI considera rematada a súa tarefa.
A idea parece non estar mal, salvo por unha cousa: debe ser un empregado que saiba configurar todo por si mesmo. Se estamos a falar dun desenvolvedor de aplicacións de rede cualificado, é moi probable que faga fronte a esta tarefa.
Pero un contable, un artista, un deseñador, un escritor técnico, un arquitecto e moitas outras profesións non precisan necesariamente comprender as complejidades de configurar unha VPN. Ou alguén precisa conectarse con eles de forma remota e axudar, ou ben acudir persoalmente e configurar todo no lugar. En consecuencia, se algo deixa de funcionar para eles, por exemplo, debido a unha falla no perfil do usuario, a configuración do cliente de rede perdéronse, entón todo debe repetirse de novo.
Algunhas empresas proporcionan un portátil co software xa instalado e un cliente de software VPN configurado para o traballo remoto. En teoría, neste caso, os usuarios non deberían ter dereitos de administrador. Deste xeito, resólvense dous problemas: garante que os empregados disporán dun software licenciado que se adapte ás súas tarefas e dunha canle de comunicación preparada. Ao mesmo tempo, non poden cambiar a configuración por si mesmos, o que reduce a frecuencia das chamadas a
soporte técnico.
Nalgúns casos, isto é conveniente. Por exemplo, tendo un portátil, podes sentarte comodamente na túa habitación durante o día e traballar tranquilamente na cociña pola noite para non espertar a ninguén.
Cal é a principal desvantaxe? O mesmo que un plus: é un dispositivo móbil que se pode levar. Os usuarios divídense en dúas categorías: os que prefiren un PC de escritorio para poder alimentar e un monitor grande e os que adoran a portabilidade.
O segundo grupo de usuarios vota coas dúas mans os portátiles. Despois de recibir un portátil corporativo, estes empregados comezan a ir con alegría a cafés, restaurantes, ir á natureza e tentar traballar desde alí. Se só funcionase, e non só usar o dispositivo recibido como o seu propio ordenador para as redes sociais e outro entretemento.
Tarde ou cedo, un portátil corporativo pérdese non só xunto coa información de traballo no disco duro, senón tamén co acceso VPN configurado. Se a caixa de verificación "gardar contrasinal" está marcada na configuración do cliente VPN, os minutos contan. En situacións nas que a perda non se descubriu inmediatamente, o servizo de apoio non foi inmediatamente notificado ou non se atopou inmediatamente o empregado axeitado con dereitos de bloqueo, isto pode converterse nun gran desastre.
Ás veces, limitar o acceso á información axuda. Pero limitar o acceso non significa resolver completamente os problemas de perda dun dispositivo; é só unha forma de reducir as perdas cando os datos son revelados e comprometidos.
Podes usar o cifrado ou a autenticación de dous factores, por exemplo cunha chave USB. Exteriormente, a idea parece boa, pero agora se o portátil cae en malas mans, o seu propietario terá que traballar duro para acceder aos datos, incluído o acceso a través da VPN. Durante este tempo, podes bloquear o acceso á rede corporativa. E ábrense novas oportunidades para o usuario remoto: piratear o portátil, ou a chave de acceso, ou todo á vez. Formalmente, o nivel de protección aumentou, pero o servizo de soporte técnico non se aburrirá. Ademais, cada operador remoto agora terá que mercar un kit de autenticación (ou cifrado) de dous factores.
Unha historia triste e longa é a recollida de danos por ordenadores portátiles perdidos ou danados (tirados ao chan, derramados con té doce, café e outros accidentes) e as claves de acceso perdidas.
Entre outras cousas, un portátil contén pezas mecánicas, como un teclado, conectores USB e unha tapa cunha pantalla; todas elas desgastan a súa vida útil co paso do tempo, defórmanse, afóltanse e deben ser reparadas ou substituídas (a maioría das veces). , substitúese o portátil completo).
Entón, que agora? Está terminantemente prohibido sacar un ordenador portátil do apartamento e rastrexar
movendo?
Por que daron entón un portátil?
Unha razón é que un portátil é máis fácil de transferir. Imos facer outra cousa, tamén compacta.
Podes emitir non un portátil, senón unidades flash LiveUSB protexidas cunha conexión VPN xa configurada e o usuario utilizará o seu propio ordenador. Pero isto tamén é unha lotería: o conxunto de software funcionará no ordenador do usuario ou non? O problema pode ser a simple falta dos controladores necesarios.
Necesitamos descubrir como organizar a conexión dos empregados de forma remota, e é desexable que a persoa non sucumba á tentación de pasear pola cidade cun portátil corporativo, senón que se sente na casa e traballe con calma sen o risco de esquecer ou perdendo o aparello que lle encomendaron nalgún lugar.
Acceso VPN estacionario
E se non forneces un dispositivo final, por exemplo, un portátil, ou especialmente non unha unidade flash separada para a conexión, senón unha pasarela de rede cun cliente VPN a bordo?
Por exemplo, un enrutador preparado que inclúe soporte para varios protocolos, nos que xa está configurada unha conexión VPN. O empregado remoto só ten que conectar o seu ordenador a el e comezar a traballar.
Que problemas axuda a resolver?
- Os equipos con acceso configurado á rede corporativa mediante VPN non se sacan da casa.
- Podes conectar varios dispositivos a unha canle VPN.
Xa escribimos anteriormente que é agradable poder moverse polo apartamento cun portátil, pero moitas veces é máis fácil e cómodo traballar cunha computadora de escritorio.
E podes conectar un PC, un portátil, un teléfono intelixente, unha tableta e ata un lector electrónico á VPN do enrutador, calquera cousa que admita o acceso mediante Wi-Fi ou Ethernet con cable.
Se observas a situación de forma máis ampla, este podería ser, por exemplo, un punto de conexión para unha mini-oficina onde poidan traballar varias persoas.
Dentro dese segmento protexido, os dispositivos conectados poden intercambiar información, podes organizar algo así como un recurso para compartir ficheiros, mentres tes acceso normal a Internet, enviar documentos para imprimir a unha impresora externa, etc.
Telefonía corporativa! Hai moito neste son que soa nalgún lugar do tubo! Unha canle VPN centralizada para varios dispositivos permítelle conectar un teléfono intelixente a través dunha rede Wi-Fi e utilizar a telefonía IP para facer chamadas a números curtos dentro da rede corporativa.
En caso contrario, terías que facer chamadas móbiles ou utilizar aplicacións externas como WhatsApp, que non sempre é coherente coa política de seguridade corporativa.
E xa que estamos a falar de seguridade, cabe destacar outro dato importante. Cunha pasarela VPN de hardware, pode mellorar a súa seguranza utilizando novas funcións de control na pasarela de entrada. Isto permítelle aumentar a seguridade e trasladar parte da carga de protección de tráfico á pasarela de rede.
Que solución pode ofrecer Zyxel para este caso?
Estamos considerando un dispositivo que debería emitirse para uso temporal a todos os empregados que poidan e queiran traballar a distancia.
Polo tanto, tal dispositivo debería ser:
- barato;
- fiable (para non perder diñeiro e tempo en reparacións);
- dispoñible para a súa compra en cadeas de venda polo miúdo;
- fácil de configurar (destínase a usar sen chamar específicamente
especialista formado).
Non soa moi real, non?
Non obstante, tal dispositivo existe, realmente existe e é gratuíto
- Zyxel ZyWALL VPN2S
VPN2S é un firewall VPN que che permite usar unha conexión privada
punto a punto sen configuración complexa de parámetros de rede.
Figura 1. Aspecto de Zyxel ZyWALL VPN2S
Breve especificación do dispositivo
Características do hardware
Portos RJ-10 de 100/1000/45 Mbps
3 x LAN, 1 x WAN/LAN, 1 x WAN
Portos USB
2 x USB 2.0
Sen ventilador
Si
Capacidade e rendemento do sistema
Rendimento do firewall SPI (Mbps)
1.5 Gbps
Ancho de banda VPN (Mbps)
35
Número máximo de sesións simultáneas. TCP
50000
Número máximo de túneles VPN IPsec simultáneos [5] 20
Zonas personalizables
Si
Soporte IPv6
Si
Número máximo de VLAN
16
Principais características do software
Balance de carga/conmutación por error multi-WAN
Si
Rede privada virtual (VPN)
Si (IPSec, L2TP sobre IPSec, PPTP, L2TP, GRE)
Cliente VPN
IPSec/L2TP/PPTP
Filtrado de contidos
1 ano gratuíto
Firewall
Si
Grupo de interfaces/VLAN
Si
Xestión de ancho de banda
Si
Rexistro de eventos e seguimento
Si
Cloud Helper
Si
Mando a distancia
Si
Nota. Os datos da táboa baséanse no microcódigo OPAL BE 1.12 ou superior
versión posterior.
Que opcións VPN admite ZyWALL VPN2S
En realidade, polo nome está claro que o dispositivo ZyWALL VPN2S é principalmente
deseñado para conectar empregados remotos e minisucursais mediante VPN.
- O protocolo VPN L2TP Over IPSec ofrécese para os usuarios finais.
- Para conectar mini-oficinas, ofrécese comunicación a través de VPN IPSec de sitio a sitio.
- Ademais, usando ZyWALL VPN2S podes construír unha conexión VPN L2TP
provedor de servizos para o acceso seguro a Internet.
Hai que ter en conta que esta división é moi condicional. Por exemplo, podes
punto remoto configure unha conexión VPN IPSec de sitio a sitio cun único
usuario dentro do perímetro.
Por suposto, todo isto utilizando estritos algoritmos VPN (IKEv2 e SHA-2).
Usando varias WAN
Para o traballo remoto, o principal é ter unha canle estable. Por desgraza, co único
Isto non se pode garantir cunha liña de comunicación nin sequera do provedor máis fiable.
Os problemas pódense dividir en dous tipos:
- caída da velocidade: a función de equilibrio de carga Multi-WAN axudará con isto
manter unha conexión estable á velocidade necesaria; - fallo na canle: para este fin úsase a función de conmutación por fallo Multi-WAN
garantindo a tolerancia a fallos mediante o método de duplicación.
Que capacidades de hardware hai para iso:
- O cuarto porto LAN pódese configurar como un porto WAN adicional.
- O porto USB pódese usar para conectar un módem 3G/4G, que proporciona
canle de reserva en forma de comunicación móbil.
Aumento da seguridade da rede
Como se mencionou anteriormente, esta é unha das principais vantaxes de usar especial
dispositivos centralizados.
ZyWALL VPN2S ten unha función de firewall SPI (Stateful Packet Inspection) para contrarrestar varios tipos de ataques, incluíndo DoS (Denial of Service), ataques que usan enderezos IP falsificados, así como acceso remoto non autorizado a sistemas, tráfico de rede e paquetes sospeitosos.
Como protección adicional, o dispositivo dispón de filtrado de contido para bloquear o acceso dos usuarios a contidos sospeitosos, perigosos e estraños.
Configuración rápida e sinxela de 5 pasos co asistente de configuración
Para configurar rapidamente unha conexión, hai un cómodo asistente de configuración e gráficos
interface en varios idiomas.
Figura 2. Un exemplo dunha das pantallas do asistente de configuración.
Para unha xestión rápida e eficiente, Zyxel ofrece un paquete completo de utilidades de administración remota coas que pode configurar e supervisar VPN2S facilmente.
A posibilidade de duplicar a configuración simplifica moito a preparación de varios dispositivos ZyWALL VPN2S para a súa transferencia a empregados remotos.
Soporte VLAN
A pesar de que ZyWALL VPN2S está deseñado para o traballo remoto, admite VLAN. Isto permítelle aumentar a seguridade da rede, por exemplo, se a oficina dun empresario individual está conectada, que ten wifi para invitados. As funcións VLAN estándar, como limitar dominios de difusión, reducir o tráfico transmitido e aplicar políticas de seguridade, son demandadas nas redes corporativas, pero en principio tamén se poden usar en pequenas empresas.
O soporte VLAN tamén é útil para organizar unha rede separada, por exemplo, para a telefonía IP.
Para garantir o funcionamento con VLAN, o dispositivo ZyWALL VPN2S admite o estándar IEEE 802.1Q.
Resumindo
O risco de perder un dispositivo móbil cunha canle VPN configurada require outras solucións que a distribución de portátiles corporativos.
O uso de pasarelas VPN compactas e baratas permítelle organizar facilmente o traballo dos empregados remotos.
O modelo ZyWALL VPN2S foi deseñado orixinalmente para conectar traballadores remotos e pequenas oficinas.
Ligazóns útiles
→
→
→
→
→
Fonte: www.habr.com