העבודה מרחוק צוברת תאוצה

אנו נספר לכם על דרך זולה ומאובטחת להבטיח שעובדים מרוחקים מחוברים באמצעות VPN, מבלי לחשוף את החברה לסיכונים מוניטין או פיננסיים ומבלי ליצור בעיות נוספות עבור מחלקת ה-IT והנהלת החברה.

עם התפתחות ה-IT, אפשר היה למשוך עובדים מרוחקים למספר הולך וגדל של תפקידים.

אם קודם לכן בקרב עובדים מרוחקים היו בעיקר נציגים של מקצועות יצירתיים, למשל, מעצבים, קופירייטרים, כיום רואה חשבון, יועץ משפטי ונציגים רבים של מקצועות אחרים יכולים לעבוד בקלות מהבית, לבקר במשרד רק בעת הצורך.

אבל בכל מקרה, יש צורך לארגן עבודה דרך ערוץ מאובטח.

האפשרות הפשוטה ביותר. הגדרנו VPN בשרת, העובד מקבל סיסמת כניסה ומפתח אישור VPN וכן הנחיות כיצד להגדיר לקוח VPN במחשב שלו. ומחלקת ה-IT רואה שהמשימה שלה הושלמה.

הרעיון נראה לא רע, חוץ מדבר אחד: זה חייב להיות עובד שיודע להגדיר הכל לבד. אם אנחנו מדברים על מפתח אפליקציות רשת מוסמך, סביר מאוד שהוא יתמודד עם המשימה הזו.

אבל רואה חשבון, אמן, מעצב, כותב טכני, אדריכל ומקצועות רבים אחרים לא בהכרח צריכים להבין את המורכבויות של הקמת VPN. או שמישהו צריך להתחבר אליו מרחוק ולעזור, או לבוא באופן אישי ולהגדיר הכל במקום. בהתאם לכך, אם משהו מפסיק לעבוד עבורם, למשל, עקב תקלה בפרופיל המשתמש, הגדרות לקוח הרשת אבדו, אז צריך לחזור על הכל מחדש.

חברות מסוימות מספקות מחשב נייד עם תוכנה שכבר מותקנת ולקוח תוכנת VPN מוגדר לעבודה מרחוק. בתיאוריה, במקרה זה, למשתמשים לא אמורות להיות זכויות מנהל. כך נפתרות שתי בעיות: מובטחת לעובדים תוכנה מורשית המתאימה למשימותיהם וערוץ תקשורת מוכן. יחד עם זאת, הם לא יכולים לשנות את ההגדרות בעצמם, מה שמפחית את תדירות השיחות אל
תמיכה טכנית.

במקרים מסוימים זה נוח. לדוגמה, עם מחשב נייד, אתה יכול לשבת בחדר בנוחות במהלך היום, ולעבוד בשקט במטבח בלילה כדי לא להעיר אף אחד.

מה החיסרון העיקרי? אותו דבר כמו פלוס - זה מכשיר נייד שניתן לשאת. משתמשים מתחלקים לשתי קטגוריות: אלה שמעדיפים מחשב שולחני עבור כוח ומסך גדול, ואלה שאוהבים ניידות.

קבוצת המשתמשים השנייה מצביעה בשתי ידיים עבור מחשבים ניידים. לאחר שקיבלו מחשב נייד ארגוני, עובדים כאלה מתחילים ללכת איתו בשמחה לבתי קפה, מסעדות, ללכת לטבע ולנסות לעבוד משם. אם רק זה היה עובד, ולא רק להשתמש במכשיר שהתקבל כמחשב משלך לרשתות חברתיות ובידור אחר.

במוקדם או במאוחר, מחשב נייד ארגוני הולך לאיבוד לא רק יחד עם מידע העבודה בכונן הקשיח, אלא גם עם גישת VPN מוגדרת. אם תיבת הסימון "שמור סיסמה" מסומנת בהגדרות לקוח ה-VPN, הדקות נספרות. במצבים בהם האובדן לא התגלה באופן מיידי, שירות התמיכה לא קיבל הודעה מיידית, או שלא נמצא מיד העובד הנכון בעל זכויות החסימה - זה יכול להפוך לאסון גדול.

לפעמים הגבלת הגישה למידע עוזרת. אבל הגבלת גישה אין פירושה פתרון מלא של הבעיות של אובדן מכשיר; זו רק דרך לצמצם אובדן כאשר נתונים נחשפים ונפגעים.

אתה יכול להשתמש בהצפנה או באימות דו-שלבי, למשל עם מפתח USB. כלפי חוץ, הרעיון נראה טוב, אבל עכשיו אם המחשב הנייד נופל לידיים הלא נכונות, בעליו יצטרך לעבוד קשה כדי לקבל גישה לנתונים, כולל גישה דרך VPN. במהלך תקופה זו, תוכל לחסום את הגישה לרשת הארגונית. והזדמנויות חדשות נפתחות למשתמש המרוחק: לפרוץ למחשב הנייד או למפתח הגישה, או הכל בבת אחת. רשמית, רמת ההגנה עלתה, אבל שירות התמיכה הטכנית לא ישתעמם. בנוסף, כל מפעיל מרחוק יצטרך כעת לרכוש ערכת אימות דו-גורמי (או הצפנה).

סיפור עצוב וארוך נפרד הוא אוסף הנזקים למחשבים ניידים שאבדו או שניזוקו (שזרקו על הרצפה, נשפכו עם תה מתוק, קפה ותאונות אחרות) ומפתחות גישה שאבדו.

מחשב נייד מכיל בין היתר חלקים מכניים כמו מקלדת, מחברי USB ומכסה עם מסך - כל אלו מתבלים לאורך זמן חיי השירות שלהם, מתעוותים, משתחררים ויש לתקן או להחליף (לרוב , המחשב הנייד כולו מוחלף).

אז מה עכשיו? חל איסור מוחלט להוציא מחשב נייד מהדירה ולעקוב
מעבר דירה?

אז למה הם חילקו מחשב נייד?

אחת הסיבות היא שקל יותר להעביר מחשב נייד. בואו נמציא משהו אחר, גם קומפקטי.

אתה יכול להנפיק לא מחשב נייד, אלא כונני הבזק LiveUSB מוגנים עם חיבור VPN שכבר מוגדר, והמשתמש ישתמש במחשב שלו. אבל זו גם הגרלה: האם מכלול התוכנה יפעל על המחשב של המשתמש או לא? ייתכן שהבעיה היא חוסר פשוט במנהלי התקנים הדרושים.

צריך להבין איך לארגן את החיבור של העובדים מרחוק, ורצוי שהאדם לא ייכנע לפיתוי להסתובב בעיר עם מחשב נייד ארגוני, אלא ישב בבית ויעבוד רגוע ללא סיכון לשכוח או מאבד את המכשיר שהופקד עליו איפשהו.

גישת VPN נייחת

מה אם אתה מספק לא התקן קצה, למשל, מחשב נייד, או במיוחד לא כונן הבזק נפרד לחיבור, אלא שער רשת עם לקוח VPN על הסיפון?

למשל, נתב מוכן הכולל תמיכה בפרוטוקולים שונים, בו כבר מוגדר חיבור VPN. העובד המרוחק רק צריך לחבר אליו את המחשב שלו ולהתחיל לעבוד.

אילו בעיות זה עוזר לפתור?

1. ציוד עם גישה מוגדרת לרשת הארגונית באמצעות VPN אינו נלקח מהבית.
2. אתה יכול לחבר מספר מכשירים לערוץ VPN אחד.

כבר כתבנו למעלה שזה נחמד להסתובב בדירה עם מחשב נייד, אבל לרוב קל ונוח יותר לעבוד עם מחשב שולחני.

ואתה יכול לחבר מחשב, מחשב נייד, סמארטפון, טאבלט ואפילו קורא אלקטרוני ל-VPN בנתב - כל דבר שתומך בגישה דרך Wi-Fi או Ethernet קווי.

אם מסתכלים על המצב בצורה רחבה יותר, זו יכולה להיות, למשל, נקודת חיבור למיני-משרד שבו יכולים לעבוד כמה אנשים.

בתוך מקטע מוגן כזה, מכשירים מחוברים יכולים להחליף מידע, אתה יכול לארגן משהו כמו משאב שיתוף קבצים, תוך גישה רגילה לאינטרנט, לשלוח מסמכים להדפסה למדפסת חיצונית וכן הלאה.

טלפוניה לחברות! יש כל כך הרבה בצליל הזה שנשמע איפשהו בצינור! ערוץ VPN מרכזי למספר מכשירים מאפשר לך לחבר סמארטפון באמצעות רשת Wi-Fi ולהשתמש בטלפוניה IP כדי לבצע שיחות למספרים קצרים בתוך הרשת הארגונית.

אחרת, תצטרך לבצע שיחות ניידות או להשתמש ביישומים חיצוניים כגון WhatsApp, מה שלא תמיד עולה בקנה אחד עם מדיניות האבטחה הארגונית.

ומכיוון שאנחנו מדברים על בטיחות, כדאי לשים לב לעובדה חשובה נוספת. עם שער VPN לחומרה, אתה יכול לשפר את האבטחה שלך על ידי שימוש בתכונות בקרה חדשות בשער הכניסה. זה מאפשר לך להגביר את האבטחה ולהעביר חלק מעומס ההגנה על התעבורה לשער הרשת.

איזה פתרון יכול Zyxel להציע למקרה זה?

אנו שוקלים מכשיר שצריך להנפיק לשימוש זמני לכל העובדים שיכולים ורוצים לעבוד מרחוק.

לכן, מכשיר כזה צריך להיות:

• לא יקר;
• אמין (כדי לא לבזבז כסף וזמן על תיקונים);
• זמין לרכישה ברשתות השיווק;
• קל להגדרה (הוא מיועד לשימוש מבלי להתקשר ספציפית
  מומחה מיומן).

לא נשמע ממש אמיתי, נכון?

עם זאת, מכשיר כזה קיים, הוא באמת קיים והוא חינמי
למכירה
- Zyxel ZyWALL VPN2S

VPN2S היא חומת אש של VPN המאפשרת לך להשתמש בחיבור פרטי
נקודה לנקודה ללא תצורה מורכבת של פרמטרי רשת.

איור 1. הופעה של Zyxel ZyWALL VPN2S

מפרט מכשיר קצר

תכונות חומרה

יציאות 10/100/1000 Mbps RJ-45
3 x LAN, 1 x WAN/LAN, 1 x WAN

יציאות USB
2 x USB 2.0

אין מאוורר
כן

קיבולת וביצועי המערכת

תפוקת חומת אש SPI (Mbps)
XNXX Gbps

רוחב פס של VPN (Mbps)
35

מספר מקסימלי של מפגשים בו-זמניים. TCP
50000

מספר מרבי של מנהרות IPsec VPN בו זמנית [5] 20

אזורים הניתנים להתאמה אישית
כן

תמיכה ב-IPv6
כן

מספר מרבי של רשתות VLAN
16

תכונות תוכנה עיקריות

איזון עומסים/כישלון רב-WAN
כן

רשת פרטית וירטואלית (VPN)
כן (IPSec, L2TP over IPSec, PPTP, L2TP, GRE)

לקוח VPN
IPSec/L2TP/PPTP

סינון תוכן
שנה חינם

חומת אש
כן

VLAN/קבוצת ממשק
כן

ניהול רוחב פס
כן

יומן אירועים וניטור
כן

Cloud Helper
כן

שלט רחוק
כן

הערה. הנתונים בטבלה מבוססים על OPAL BE microcode 1.12 ומעלה
גרסה מאוחרת יותר.

אילו אפשרויות VPN נתמכות על ידי ZyWALL VPN2S

למעשה, מהשם ברור שמכשיר ZyWALL VPN2S הוא בעיקר
נועד לחבר עובדים מרוחקים ומיני סניפים באמצעות VPN.

• פרוטוקול L2TP Over IPSec VPN מסופק עבור משתמשי קצה.
• כדי לחבר מיני-משרדים, ניתנת תקשורת באמצעות אתר-אל-אתר IPSec VPN.
• כמו כן, באמצעות ZyWALL VPN2S אתה יכול לבנות איתו חיבור L2TP VPN
  ספק שירות לגישה מאובטחת לאינטרנט.

יש לציין שחלוקה זו מותנית מאוד. לדוגמה, אתה יכול
נקודה מרוחקת להגדיר חיבור אתר לאתר IPSec VPN עם יחיד
משתמש בתוך ההיקף.

כמובן, כל זה באמצעות אלגוריתמי VPN קפדניים (IKEv2 ו-SHA-2).

שימוש במספר WANs

לעבודה מרחוק, העיקר שיהיה ערוץ יציב. למרבה הצער, עם היחיד
לא ניתן להבטיח זאת עם קו תקשורת אפילו מהספק האמין ביותר.

ניתן לחלק את הבעיות לשני סוגים:

• ירידה במהירות - פונקציית איזון העומס Multi-WAN תעזור בכך
  שמירה על חיבור יציב במהירות הנדרשת;
• כשל בערוץ - למטרה זו משמשת הפונקציה Multi-WAN failover
  הבטחת סבילות לתקלות בשיטת השכפול.

אילו יכולות חומרה קיימות עבור זה:

• ניתן להגדיר את יציאת ה-LAN הרביעית כיציאת WAN נוספת.
• יציאת ה-USB יכולה לשמש לחיבור מודם 3G/4G, המספק
  ערוץ גיבוי בצורת תקשורת סלולרית.

אבטחת רשת מוגברת

כאמור, זהו אחד היתרונות העיקריים של שימוש מיוחד
מכשירים מרכזיים.

ל-ZyWALL VPN2S יש פונקציית חומת אש SPI (Stateful Packet Inspection) למניעת סוגים שונים של התקפות, כולל DoS (Denial of Service), התקפות באמצעות כתובות IP מזויפות, כמו גם גישה מרחוק בלתי מורשית למערכות, תעבורת רשת וחבילות חשודות.

כהגנה נוספת, למכשיר יש סינון תוכן כדי לחסום גישת משתמשים לתוכן חשוד, מסוכן וזר.

הגדרה מהירה וקלה ב-5 שלבים עם אשף ההגדרה

כדי להגדיר חיבור במהירות, יש אשף הגדרה נוח וגרפיקה
ממשק במספר שפות.

איור 2. דוגמה לאחד ממסכי אשף ההתקנה.

לניהול מהיר ויעיל, Zyxel מציעה חבילה שלמה של כלי עזר לניהול מרחוק שבאמצעותם תוכל להגדיר את VPN2S ולנטר אותו בקלות.

היכולת לשכפל הגדרות מפשטת מאוד את ההכנה של מספר מכשירי ZyWALL VPN2S להעברה לעובדים מרוחקים.

תמיכה ב-VLAN

למרות העובדה ש-ZyWALL VPN2S מיועד לעבודה מרחוק, הוא תומך ב-VLAN. זה מאפשר לך להגביר את אבטחת הרשת, למשל, אם המשרד של יזם בודד מחובר, שיש לו Wi-Fi לאורחים. פונקציות VLAN סטנדרטיות, כגון הגבלת תחומי שידור, צמצום תעבורה משודרת ויישום מדיניות אבטחה, מבוקשות ברשתות ארגוניות, אך באופן עקרוני ניתן להשתמש בהן גם בעסקים קטנים.

תמיכת VLAN שימושית גם לארגון רשת נפרדת, למשל, עבור טלפוניה IP.

כדי להבטיח פעולה עם VLAN, התקן ZyWALL VPN2S תומך בתקן IEEE 802.1Q.

תמצות

הסיכון לאבד מכשיר נייד עם ערוץ VPN מוגדר דורש פתרונות מלבד הפצת מחשבים ניידים ארגוניים.

השימוש בשערי VPN קומפקטיים וזולים מאפשר לך לארגן בקלות את עבודתם של עובדים מרוחקים.

מודל ZyWALL VPN2S תוכנן במקור לחיבור עובדים מרוחקים ומשרדים קטנים.

קישורים שימושיים

→ Zyxel VPN2S - וידאו
→ עמוד ZyWALL VPN2S באתר הרשמי של Zyxel
→ בדיקה: פתרון משרד קטן VPN2S + נקודת גישה ל-WiFi
→ צ'אט טלגרם "Zyxel Club"
→ ערוץ טלגרם "Zyxel News"

מקור: www.habr.com