Kami akan memberi tahu Anda tentang cara yang murah dan aman untuk memastikan karyawan jarak jauh terhubung melalui VPN, tanpa membuat perusahaan terkena risiko reputasi atau keuangan dan tanpa menimbulkan masalah tambahan bagi departemen TI dan manajemen perusahaan.
Dengan berkembangnya TI, semakin banyak peluang untuk menarik karyawan jarak jauh ke berbagai posisi.
Jika dulu di kalangan pekerja jarak jauh sebagian besar merupakan perwakilan dari profesi kreatif, misalnya desainer, copywriter, kini akuntan, penasihat hukum, dan banyak perwakilan profesi lain dapat dengan mudah bekerja dari rumah, mengunjungi kantor hanya jika diperlukan.
Namun bagaimanapun juga, perlu untuk mengatur pekerjaan melalui saluran yang aman.
Pilihan paling sederhana. Kami menyiapkan VPN di server, karyawan diberikan kata sandi login dan kunci sertifikat VPN, serta instruksi tentang cara menyiapkan klien VPN di komputernya. Dan departemen TI menganggap tugasnya telah selesai.
Idenya tampaknya tidak buruk, kecuali satu hal: itu haruslah seorang karyawan yang tahu cara mengkonfigurasi semuanya sendiri. Jika kita berbicara tentang pengembang aplikasi jaringan yang berkualifikasi, kemungkinan besar dia akan mengatasi tugas ini.
Namun seorang akuntan, artis, desainer, penulis teknis, arsitek, dan banyak profesi lainnya tidak perlu memahami seluk-beluk pengaturan VPN. Entah seseorang perlu terhubung dengan mereka dari jarak jauh dan membantu, atau datang sendiri dan mengatur semuanya saat itu juga. Oleh karena itu, jika sesuatu berhenti berfungsi untuk mereka, misalnya, karena kesalahan pada profil pengguna, pengaturan klien jaringan telah hilang, maka semuanya perlu diulangi lagi.
Beberapa perusahaan menyediakan laptop dengan perangkat lunak yang sudah terinstal dan klien perangkat lunak VPN yang dikonfigurasi untuk pekerjaan jarak jauh. Secara teori, dalam hal ini, pengguna tidak boleh memiliki hak administrator. Dengan cara ini, dua masalah terpecahkan: karyawan dijamin diberikan perangkat lunak berlisensi yang sesuai dengan tugas mereka dan saluran komunikasi yang siap pakai. Pada saat yang sama, mereka tidak dapat mengubah pengaturannya sendiri, sehingga mengurangi frekuensi panggilan
dukungan teknis.
Dalam beberapa kasus, hal ini nyaman. Misalnya dengan memiliki laptop, Anda bisa duduk dengan nyaman di kamar pada siang hari, dan bekerja dengan tenang di dapur pada malam hari agar tidak membangunkan siapa pun.
Apa kelemahan utamanya? Sama seperti nilai tambah - ini adalah perangkat seluler yang dapat dibawa-bawa. Pengguna terbagi dalam dua kategori: mereka yang lebih menyukai PC desktop karena daya dan monitor besar, dan mereka yang menyukai portabilitas.
Kelompok pengguna kedua memilih laptop dengan kedua tangan. Setelah menerima laptop perusahaan, karyawan tersebut mulai dengan gembira pergi bersamanya ke kafe, restoran, pergi ke alam dan mencoba bekerja dari sana. Andai saja itu berhasil, dan tidak hanya menggunakan perangkat yang diterima sebagai komputer Anda sendiri untuk jejaring sosial dan hiburan lainnya.
Cepat atau lambat, laptop perusahaan akan hilang tidak hanya bersama dengan informasi pekerjaan di hard drive, tetapi juga dengan akses VPN yang dikonfigurasi. Jika kotak centang βsimpan kata sandiβ dicentang di pengaturan klien VPN, maka menitnya dihitung. Dalam situasi di mana kerugian tidak segera ditemukan, layanan dukungan tidak segera diberitahu, atau karyawan yang tepat dengan hak pemblokiran tidak segera ditemukan - hal ini dapat berubah menjadi bencana besar.
Terkadang membatasi akses terhadap informasi membantu. Namun membatasi akses tidak berarti menyelesaikan sepenuhnya masalah kehilangan perangkat; ini hanyalah cara untuk mengurangi kehilangan ketika data diungkapkan dan disusupi.
Anda dapat menggunakan enkripsi atau autentikasi dua faktor, misalnya dengan kunci USB. Secara lahiriah, idenya terlihat bagus, tetapi sekarang jika laptop jatuh ke tangan yang salah, pemiliknya harus bekerja keras untuk mendapatkan akses ke data, termasuk akses melalui VPN. Selama waktu ini, Anda dapat memblokir akses ke jaringan perusahaan. Dan peluang baru terbuka bagi pengguna jarak jauh: meretas laptop, atau kunci akses, atau semuanya sekaligus. Secara formal, tingkat perlindungan telah meningkat, namun layanan dukungan teknis tidak akan bosan. Selain itu, setiap operator jarak jauh kini harus membeli kit autentikasi dua faktor (atau enkripsi).
Kisah sedih dan panjang tersendiri adalah kumpulan kerusakan laptop yang hilang atau rusak (terlempar ke lantai, tertumpah teh manis, kopi, dan kecelakaan lainnya) dan hilangnya kunci akses.
Antara lain, laptop berisi komponen mekanis, seperti keyboard, konektor USB, dan penutup dengan layar - semua ini akan menghabiskan masa pakainya seiring waktu, berubah bentuk, longgar dan harus diperbaiki atau diganti (paling sering , seluruh laptop diganti).
Jadi bagaimana sekarang? Dilarang keras membawa laptop keluar apartemen dan melacaknya
bergerak?
Lalu mengapa mereka memberikan laptop?
Salah satu alasannya adalah laptop lebih mudah untuk dipindahkan. Mari kita buat sesuatu yang lain, juga kompak.
Anda tidak dapat mengeluarkan laptop, tetapi flash drive LiveUSB yang dilindungi dengan koneksi VPN yang sudah dikonfigurasi, dan pengguna akan menggunakan komputernya sendiri. Tapi ini juga lotere: apakah perakitan perangkat lunak akan berjalan di komputer pengguna atau tidak? Masalahnya mungkin hanya kurangnya driver yang diperlukan.
Kita perlu memikirkan cara mengatur koneksi karyawan dari jarak jauh, dan diharapkan orang tersebut tidak menyerah pada godaan untuk berkeliling kota dengan laptop perusahaan, tetapi duduk di rumah dan bekerja dengan tenang tanpa risiko lupa atau kehilangan perangkat yang dipercayakan kepadanya di suatu tempat.
Akses VPN stasioner
Bagaimana jika Anda tidak menyediakan perangkat akhir, misalnya laptop, atau terlebih lagi bukan flash drive terpisah untuk koneksi, tetapi gateway jaringan dengan klien VPN terpasang?
Misalnya, router siap pakai yang menyertakan dukungan untuk berbagai protokol, di mana koneksi VPN sudah dikonfigurasi. Karyawan jarak jauh hanya perlu menghubungkan komputernya ke komputer tersebut dan mulai bekerja.
Masalah apa saja yang bisa dipecahkan dengan bantuan ini?
- Peralatan dengan akses terkonfigurasi ke jaringan perusahaan melalui VPN tidak dibawa keluar rumah.
- Anda dapat menghubungkan beberapa perangkat ke satu saluran VPN.
Kami sudah menulis di atas bahwa menyenangkan bisa bergerak di sekitar apartemen dengan laptop, tetapi seringkali lebih mudah dan nyaman bekerja dengan komputer desktop.
Dan Anda dapat menghubungkan PC, laptop, ponsel pintar, tablet, dan bahkan e-reader ke VPN di router - apa pun yang mendukung akses melalui Wi-Fi atau Ethernet kabel.
Jika kita melihat situasi secara lebih luas, hal ini dapat berupa, misalnya, titik koneksi untuk sebuah kantor mini dimana beberapa orang dapat bekerja.
Dalam segmen yang dilindungi tersebut, perangkat yang terhubung dapat bertukar informasi, Anda dapat mengatur sesuatu seperti sumber daya berbagi file, sambil memiliki akses normal ke Internet, mengirim dokumen untuk dicetak ke printer eksternal, dan sebagainya.
Telepon perusahaan! Ada begitu banyak suara ini yang terdengar di suatu tempat di dalam tabung! Saluran VPN terpusat untuk beberapa perangkat memungkinkan Anda menghubungkan ponsel cerdas melalui jaringan Wi-Fi dan menggunakan telepon IP untuk melakukan panggilan ke nomor pendek dalam jaringan perusahaan.
Jika tidak, Anda harus melakukan panggilan seluler atau menggunakan aplikasi eksternal seperti WhatsApp, yang tidak selalu sejalan dengan kebijakan keamanan perusahaan.
Dan karena kita berbicara tentang keselamatan, perlu diperhatikan fakta penting lainnya. Dengan gateway VPN perangkat keras, Anda dapat meningkatkan keamanan Anda dengan menggunakan fitur kontrol baru pada gateway masuk. Hal ini memungkinkan Anda untuk meningkatkan keamanan dan mengalihkan sebagian beban perlindungan lalu lintas ke gateway jaringan.
Solusi apa yang bisa ditawarkan Zyxel untuk kasus ini?
Kami sedang mempertimbangkan perangkat yang harus dikeluarkan untuk penggunaan sementara bagi semua karyawan yang dapat dan ingin bekerja dari jarak jauh.
Oleh karena itu, perangkat tersebut harus:
- murah;
- dapat diandalkan (agar tidak membuang-buang uang dan waktu untuk perbaikan);
- tersedia untuk dibeli di rantai ritel;
- mudah diatur (dimaksudkan untuk digunakan tanpa panggilan khusus
spesialis terlatih).
Kedengarannya tidak terlalu nyata, bukan?
Namun alat seperti itu ada, benar-benar ada dan gratis
- Zyxel ZyWALL VPN2S
VPN2S adalah firewall VPN yang memungkinkan Anda menggunakan koneksi pribadi
point-to-point tanpa konfigurasi parameter jaringan yang rumit.
Gambar 1. Tampilan Zyxel ZyWALL VPN2S
Spesifikasi perangkat singkat
Fitur Perangkat Keras
Port RJ-10 100/1000/45Mbps
3xLAN, 1xWAN/LAN, 1xWAN
port USB
2 x USB 2.0
Tidak ada kipas angin
Ya
Kapasitas dan kinerja sistem
Throughput Firewall SPI (Mbps)
1.5 Gbps
Bandwidth VPN (Mbps)
35
Jumlah maksimum sesi simultan. TCP
50000
Jumlah maksimum terowongan VPN IPsec secara simultan [5] 20
Zona yang dapat disesuaikan
Ya
dukungan IPv6
Ya
Jumlah maksimum VLAN
16
Fitur Perangkat Lunak Utama
Keseimbangan Beban/Failover Multi-WAN
Ya
Jaringan pribadi maya (VPN)
Ya (IPSec, L2TP melalui IPSec, PPTP, L2TP, GRE)
klien VPN
IPSec/L2TP/PPTP
Pemfilteran konten
1 tahun gratis
Firewall
Ya
VLAN/Grup Antarmuka
Ya
Manajemen Bandwidth
Ya
Log peristiwa dan pemantauan
Ya
Pembantu Awan
Ya
Pengendali jarak jauh
Ya
Catatan. Data dalam tabel didasarkan pada mikrokode OPAL BE 1.12 atau lebih tinggi
versi yang lebih baru.
Opsi VPN apa yang didukung oleh ZyWALL VPN2S
Sebenarnya dari namanya sudah jelas bahwa perangkat ZyWALL VPN2S ini yang utama
dirancang untuk menghubungkan karyawan jarak jauh dan cabang mini melalui VPN.
- Protokol L2TP Over IPSec VPN disediakan untuk pengguna akhir.
- Untuk menghubungkan kantor mini, komunikasi melalui Site-to-Site IPSec VPN disediakan.
- Selain itu, dengan menggunakan ZyWALL VPN2S Anda dapat membangun koneksi L2TP VPN
penyedia layanan untuk akses Internet yang aman.
Perlu dicatat bahwa pembagian ini sangat sewenang-wenang. Misalnya, Anda bisa
titik jarak jauh mengonfigurasi koneksi VPN IPSec Situs-ke-Situs dengan satu
pengguna di dalam perimeter.
Tentu saja, semua ini menggunakan algoritma VPN yang ketat (IKEv2 dan SHA-2).
Menggunakan beberapa WAN
Untuk pekerjaan jarak jauh, yang utama adalah memiliki saluran yang stabil. Sayangnya, dengan satu-satunya
Hal ini tidak dapat dijamin dengan jalur komunikasi bahkan dari penyedia yang paling dapat diandalkan sekalipun.
Masalah dapat dibagi menjadi dua jenis:
- penurunan kecepatan - fungsi penyeimbangan beban Multi-WAN akan membantu dalam hal ini
menjaga koneksi stabil pada kecepatan yang dibutuhkan; - kegagalan pada saluran - untuk tujuan ini fungsi failover Multi-WAN digunakan
memastikan toleransi kesalahan menggunakan metode duplikasi.
Kemampuan perangkat keras apa yang tersedia untuk ini:
- Port LAN keempat dapat dikonfigurasi sebagai port WAN tambahan.
- Port USB dapat digunakan untuk menghubungkan modem 3G/4G, yang menyediakan
saluran cadangan berupa komunikasi seluler.
Peningkatan keamanan jaringan
Seperti disebutkan di atas, ini adalah salah satu keuntungan utama menggunakan spesial
perangkat terpusat.
ZyWALL VPN2S memiliki fungsi firewall SPI (Stateful Packet Inspection) untuk melawan berbagai jenis serangan, termasuk DoS (Denial of Service), serangan menggunakan alamat IP palsu, serta akses jarak jauh ke sistem yang tidak sah, lalu lintas jaringan dan paket yang mencurigakan.
Sebagai perlindungan tambahan, perangkat memiliki pemfilteran konten untuk memblokir akses pengguna ke konten yang mencurigakan, berbahaya, dan asing.
Penyiapan 5 langkah yang cepat dan mudah dengan wizard penyiapan
Untuk mengatur koneksi dengan cepat, ada wizard pengaturan yang mudah digunakan dan grafis
antarmuka dalam beberapa bahasa.
Gambar 2. Contoh salah satu layar wizard pengaturan.
Untuk manajemen yang cepat dan efisien, Zyxel menawarkan paket lengkap utilitas administrasi jarak jauh yang dengannya Anda dapat dengan mudah mengkonfigurasi VPN2S dan memantaunya.
Kemampuan untuk menduplikasi pengaturan sangat menyederhanakan persiapan beberapa perangkat ZyWALL VPN2S untuk ditransfer ke karyawan jarak jauh.
dukungan VLAN
Terlepas dari kenyataan bahwa ZyWALL VPN2S dirancang untuk pekerjaan jarak jauh, ia mendukung VLAN. Hal ini memungkinkan Anda untuk meningkatkan keamanan jaringan, misalnya, jika kantor pengusaha perorangan yang memiliki Wi-Fi tamu terhubung. Fungsi standar VLAN, seperti membatasi domain siaran, mengurangi lalu lintas yang ditransmisikan, dan menerapkan kebijakan keamanan, sangat dibutuhkan dalam jaringan perusahaan, namun pada prinsipnya juga dapat digunakan dalam usaha kecil.
Dukungan VLAN juga berguna untuk mengatur jaringan terpisah, misalnya untuk IP telephony.
Untuk memastikan pengoperasian dengan VLAN, perangkat ZyWALL VPN2S mendukung standar IEEE 802.1Q.
Meringkas
Risiko kehilangan perangkat seluler dengan saluran VPN yang dikonfigurasi memerlukan solusi selain mendistribusikan laptop perusahaan.
Penggunaan gateway VPN yang ringkas dan murah memungkinkan Anda mengatur pekerjaan karyawan jarak jauh dengan mudah.
Model ZyWALL VPN2S awalnya dirancang untuk menghubungkan pekerja jarak jauh dan kantor kecil.
Berguna Link
β
β
β
β
β
Sumber: www.habr.com