Ti parleremo di un modo economico e sicuro per garantire la connessione dei dipendenti remoti tramite VPN, senza esporre l'azienda a rischi reputazionali o finanziari e senza creare ulteriori problemi al reparto IT e al management aziendale.
Con lo sviluppo dell’IT è diventato possibile attrarre dipendenti remoti verso un numero crescente di posizioni.
Se prima tra i lavoratori a distanza c'erano principalmente rappresentanti di professioni creative, ad esempio designer, copywriter, ora un contabile, un consulente legale e molti rappresentanti di altre professioni possono facilmente lavorare da casa, visitando l'ufficio solo quando necessario.
Ma in ogni caso è necessario organizzare il lavoro attraverso un canale sicuro.
L'opzione più semplice. Impostiamo una VPN sul server, al dipendente viene fornita una password di accesso e una chiave di certificato VPN, nonché le istruzioni su come configurare un client VPN sul suo computer. E il dipartimento IT considera il suo compito completato.
L'idea sembra non essere male, tranne una cosa: deve essere un dipendente che sappia configurare tutto da solo. Se stiamo parlando di uno sviluppatore di applicazioni di rete qualificato, è molto probabile che si occuperà di questo compito.
Ma un contabile, un artista, un designer, un redattore tecnico, un architetto e molte altre professioni non devono necessariamente comprendere le complessità della configurazione di una VPN. O qualcuno deve connettersi da remoto e aiutarli, oppure venire di persona e impostare tutto sul posto. Di conseguenza, se qualcosa smette di funzionare per loro, ad esempio a causa di un problema tecnico nel profilo utente, le impostazioni del client di rete sono andate perse, è necessario ripetere tutto da capo.
Alcune aziende forniscono un laptop con il software già installato e un client software VPN configurato per il lavoro remoto. In teoria, in questo caso, gli utenti non dovrebbero avere i diritti di amministratore. In questo modo si risolvono due problemi: si garantisce ai dipendenti un software con licenza adatto ai loro compiti e un canale di comunicazione già pronto. Allo stesso tempo, non possono modificare le impostazioni da soli, il che riduce la frequenza delle chiamate a
supporto tecnico.
In alcuni casi questo è conveniente. Ad esempio, avendo un laptop, puoi sederti comodamente nella tua stanza durante il giorno e lavorare tranquillamente in cucina di notte per non svegliare nessuno.
Qual è lo svantaggio principale? Lo stesso vantaggio: è un dispositivo mobile che può essere trasportato. Gli utenti rientrano in due categorie: quelli che preferiscono un PC desktop per la potenza e un monitor di grandi dimensioni e quelli che amano la portabilità.
Il secondo gruppo di utenti vota con entrambe le mani per i laptop. Dopo aver ricevuto un laptop aziendale, tali dipendenti iniziano ad andare con gioia nei bar, nei ristoranti, ad andare nella natura e provare a lavorare da lì. Se solo funzionasse, e non solo utilizzare il dispositivo ricevuto come il proprio computer per i social network e altri divertimenti.
Prima o poi il laptop aziendale va perso non solo con le informazioni di lavoro sul disco rigido, ma anche con l'accesso VPN configurato. Se la casella di controllo "salva password" è selezionata nelle impostazioni del client VPN, i minuti contano. Nelle situazioni in cui la perdita non è stata scoperta immediatamente, il servizio di supporto non è stato immediatamente informato o non è stato trovato immediatamente il dipendente giusto con il diritto di blocco: questo può trasformarsi in un grande disastro.
A volte limitare l’accesso alle informazioni aiuta. Ma limitare l’accesso non significa risolvere completamente i problemi legati alla perdita di un dispositivo; è solo un modo per ridurre le perdite quando i dati vengono divulgati e compromessi.
Puoi utilizzare la crittografia o l'autenticazione a due fattori, ad esempio con una chiave USB. Esteriormente l'idea sembra buona, ma ora se il laptop cade nelle mani sbagliate, il suo proprietario dovrà lavorare sodo per ottenere l'accesso ai dati, compreso l'accesso tramite VPN. Durante questo periodo puoi riuscire a bloccare l'accesso alla rete aziendale. E nuove opportunità si aprono per l'utente remoto: hackerare il laptop, o la chiave di accesso, o tutto in una volta. Formalmente il livello di protezione è aumentato, ma il servizio di supporto tecnico non si annoierà. Inoltre, ogni operatore remoto dovrà ora acquistare un kit di autenticazione (o crittografia) a due fattori.
Una storia triste e lunga a parte è la riscossione dei danni per laptop smarriti o danneggiati (gettati sul pavimento, versati con tè dolce, caffè e altri incidenti) e chiavi di accesso smarrite.
Tra le altre cose, un laptop contiene parti meccaniche, come una tastiera, connettori USB e un coperchio con uno schermo: tutto questo consuma la sua durata nel tempo, si deforma, si allenta e deve essere riparato o sostituito (il più delle volte , l'intero laptop viene sostituito).
Così quello che ora? È severamente vietato portare un laptop fuori dall'appartamento e tracciarlo
in movimento?
Perché allora hanno distribuito un laptop?
Uno dei motivi è che un laptop è più facile da trasferire. Inventiamo qualcos'altro, anche compatto.
Puoi fornire non un laptop, ma unità flash LiveUSB protette con una connessione VPN già configurata e l'utente utilizzerà il proprio computer. Ma anche questa è una lotteria: l’assemblaggio del software funzionerà oppure no sul computer dell’utente? Il problema potrebbe essere una semplice mancanza dei driver necessari.
Bisogna capire come organizzare il collegamento dei dipendenti da remoto, ed è auspicabile che la persona non ceda alla tentazione di girovagare per la città con un laptop aziendale, ma si sieda a casa e lavori con calma senza il rischio di dimenticare o perdendo da qualche parte il dispositivo che gli era stato affidato.
Accesso VPN stazionario
Cosa succede se non fornisci un dispositivo finale, ad esempio un laptop, o soprattutto non un'unità flash separata per la connessione, ma un gateway di rete con un client VPN a bordo?
Ad esempio, un router già pronto che include il supporto per vari protocolli in cui è già configurata una connessione VPN. Il dipendente remoto deve solo connettere il proprio computer e iniziare a lavorare.
Quali problemi aiuta a risolvere?
- Le apparecchiature con accesso configurato alla rete aziendale tramite VPN non vengono portate fuori casa.
- Puoi connettere più dispositivi a un canale VPN.
Abbiamo già scritto sopra che è bello potersi muovere nell'appartamento con un laptop, ma spesso è più semplice e conveniente lavorare con un computer desktop.
E puoi connettere un PC, un laptop, uno smartphone, un tablet e persino un e-reader alla VPN sul router, tutto ciò che supporta l'accesso tramite Wi-Fi o Ethernet cablata.
Se si considera la situazione in modo più ampio, questo potrebbe essere, ad esempio, un punto di collegamento per un miniufficio dove possono lavorare più persone.
All'interno di un segmento così protetto, i dispositivi connessi possono scambiare informazioni, è possibile organizzare qualcosa come una risorsa per la condivisione di file, pur avendo un normale accesso a Internet, inviare documenti per la stampa a una stampante esterna e così via.
Telefonia aziendale! C'è così tanto in questo suono che risuona da qualche parte nel tubo! Un canale VPN centralizzato per più dispositivi consente di connettere uno smartphone tramite rete Wi-Fi e utilizzare la telefonia IP per effettuare chiamate verso numeri brevi all'interno della rete aziendale.
Altrimenti bisognerebbe effettuare chiamate dal cellulare o utilizzare applicazioni esterne come WhatsApp, il che non sempre è coerente con la politica di sicurezza aziendale.
E visto che parliamo di sicurezza, vale la pena notare un altro dato importante. Con un gateway VPN hardware, puoi migliorare la tua sicurezza utilizzando nuove funzionalità di controllo sul gateway di ingresso. Ciò consente di aumentare la sicurezza e spostare parte del carico di protezione del traffico sul gateway di rete.
Quale soluzione può offrire Zyxel per questo caso?
Stiamo valutando un dispositivo che dovrebbe essere rilasciato per uso temporaneo a tutti i dipendenti che possono e vogliono lavorare da remoto.
Pertanto, tale dispositivo dovrebbe essere:
- poco costoso;
- affidabile (per non sprecare tempo e denaro nelle riparazioni);
- disponibile per l'acquisto nelle catene di vendita al dettaglio;
- facile da configurare (è destinato ad essere utilizzato senza chiamare specificatamente
specialista formato).
Non sembra molto reale, vero?
Tuttavia un dispositivo del genere esiste, esiste davvero ed è gratuito
-Zyxel ZyWALL VPN2S
VPN2S è un firewall VPN che ti consente di utilizzare una connessione privata
punto-punto senza configurazione complessa dei parametri di rete.
Figura 1. Aspetto di Zyxel ZyWALL VPN2S
Breve specifica del dispositivo
Caratteristiche hardware
Porte RJ-10 da 100/1000/45Mbps
3 LAN, 1 WAN/LAN, 1 WAN
Porte USB
2 x USB 2.0
Nessun ventilatore
Sì
Capacità e prestazioni del sistema
Velocità effettiva del firewall SPI (Mbps)
1.5 Gbps
Velocità effettiva VPN (Mbps)
35
Numero massimo di sessioni simultanee. TCP
50000
Numero massimo di tunnel VPN IPsec simultanei [5] 20
Zone personalizzabili
Sì
Supporto IPv6
Sì
Numero massimo di VLAN
16
Funzioni software di base
Bilanciamento del carico/failover multi-WAN
Sì
Rete privata virtuale (VPN)
Sì (IPSec, L2TP su IPSec, PPTP, L2TP, GRE)
Cliente VPN
IPSec/L2TP/PPTP
Filtraggio dei contenuti
1 anno gratis
Firewall
Sì
Gruppo VLAN/interfaccia
Sì
Gestione della larghezza di banda
Sì
Registro eventi e monitoraggio
Sì
Aiutante della nuvola
Sì
Telecomando
Sì
Nota. I dati nella tabella si basano sul microcodice OPAL BE 1.12 o versione successiva
versione successiva.
Quali opzioni VPN sono supportate da ZyWALL VPN2S
In realtà, dal nome è chiaro che il dispositivo ZyWALL VPN2S è principalmente
pensato per connettere dipendenti remoti e mini-filiali tramite VPN.
- Per gli utenti finali viene fornito il protocollo VPN L2TP Over IPSec.
- Per connettere i mini-uffici è prevista la comunicazione tramite VPN IPSec Site-to-Site.
- Inoltre, utilizzando ZyWALL VPN2S puoi creare una connessione VPN L2TP
fornitore di servizi per l'accesso sicuro a Internet.
Va notato che questa divisione è molto condizionale. Ad esempio, puoi
punto remoto configurare una connessione VPN IPSec da sito a sito con un singolo
utente all'interno del perimetro.
Naturalmente, tutto questo utilizzando rigorosi algoritmi VPN (IKEv2 e SHA-2).
Utilizzo di più WAN
Per il lavoro a distanza l’importante è avere un canale stabile. Sfortunatamente, con l'unico
Ciò non può essere garantito con una linea di comunicazione nemmeno dal fornitore più affidabile.
I problemi possono essere suddivisi in due tipologie:
- calo di velocità: la funzione di bilanciamento del carico Multi-WAN aiuterà in questo
mantenere una connessione stabile alla velocità richiesta; - guasto sul canale: a questo scopo viene utilizzata la funzione di failover Multi-WAN
garantire la tolleranza agli errori utilizzando il metodo di duplicazione.
Quali capacità hardware sono disponibili per questo:
- La quarta porta LAN può essere configurata come porta WAN aggiuntiva.
- La porta USB può essere utilizzata per collegare un modem 3G/4G, che fornisce
canale di backup sotto forma di comunicazione cellulare.
Maggiore sicurezza della rete
Come accennato in precedenza, questo è uno dei principali vantaggi dell'utilizzo di special
dispositivi centralizzati.
ZyWALL VPN2S dispone di una funzione firewall SPI (Stateful Packet Inspection) per contrastare vari tipi di attacchi, inclusi DoS (Denial of Service), attacchi che utilizzano indirizzi IP falsificati, nonché accesso remoto non autorizzato a sistemi, traffico di rete e pacchetti sospetti.
Come protezione aggiuntiva, il dispositivo è dotato di filtro dei contenuti per bloccare l'accesso degli utenti a contenuti sospetti, pericolosi ed estranei.
Configurazione rapida e semplice in 5 passaggi con procedura guidata di configurazione
Per impostare rapidamente una connessione, è disponibile una comoda configurazione guidata e grafica
interfaccia in diverse lingue.
Figura 2. Un esempio di una delle schermate della procedura guidata di configurazione.
Per una gestione rapida ed efficiente, Zyxel offre un pacchetto completo di utilità di amministrazione remota con cui puoi configurare facilmente VPN2S e monitorarlo.
La possibilità di duplicare le impostazioni semplifica notevolmente la preparazione di più dispositivi ZyWALL VPN2S per il trasferimento ai dipendenti remoti.
Supporto VLAN
Nonostante ZyWALL VPN2S sia progettato per il lavoro remoto, supporta VLAN. Ciò consente di aumentare la sicurezza della rete, ad esempio, se è connesso l'ufficio di un singolo imprenditore, che dispone di Wi-Fi ospite. Le funzioni VLAN standard, come la limitazione dei domini di trasmissione, la riduzione del traffico trasmesso e l'applicazione di politiche di sicurezza, sono richieste nelle reti aziendali, ma in linea di principio possono essere utilizzate anche nelle piccole imprese.
Il supporto VLAN è utile anche per organizzare una rete separata, ad esempio per la telefonia IP.
Per garantire il funzionamento con VLAN, il dispositivo ZyWALL VPN2S supporta lo standard IEEE 802.1Q.
Riassumendo
Il rischio di perdere un dispositivo mobile con un canale VPN configurato richiede soluzioni diverse dalla distribuzione dei laptop aziendali.
L'uso di gateway VPN compatti ed economici consente di organizzare facilmente il lavoro dei dipendenti remoti.
Il modello ZyWALL VPN2S è stato originariamente progettato per connettere lavoratori remoti e piccoli uffici.
Link utili
→
→
→
→
→
Fonte: habr.com