Біз сізге компанияны беделге немесе қаржылық тәуекелдерге ұшыратпай, АТ бөлімі мен компания басшылығына қосымша проблемалар туғызбай, қашықтағы қызметкерлердің VPN арқылы қосылуын қамтамасыз етудің қымбат емес және қауіпсіз әдісі туралы айтып береміз.
IT-ның дамуымен қашықтағы қызметкерлерді көбірек лауазымдарға тарту мүмкін болды.
Егер бұрын шалғайдағы жұмысшылар арасында негізінен шығармашылық мамандықтардың өкілдері болса, мысалы, дизайнерлер, копирайтерлер болса, қазір есепші, заң кеңесшісі және көптеген басқа мамандықтардың өкілдері қажет кезде ғана кеңсеге барып, үйден оңай жұмыс істей алады.
Бірақ кез келген жағдайда қауіпсіз арна арқылы жұмысты ұйымдастыру қажет.
Ең қарапайым нұсқа. Біз серверде VPN орнаттық, қызметкерге логин құпия сөзі және VPN сертификатының кілті, сондай-ақ оның компьютерінде VPN клиентін орнату туралы нұсқаулар беріледі. Ал IT бөлімі өз міндетін орындалды деп есептейді.
Идея жаман емес сияқты, тек бір нәрседен басқа: бұл бәрін өз бетімен конфигурациялауды білетін қызметкер болуы керек. Егер біз білікті желілік қосымшаны әзірлеуші туралы айтатын болсақ, ол бұл тапсырманы жеңе алады.
Бірақ есепші, суретші, дизайнер, техникалық жазушы, сәулетші және басқа да көптеген мамандықтар үшін VPN орнатудың қыр-сырын түсіну міндетті емес. Немесе біреу оларға қашықтан қосылып, көмектесуі керек немесе жеке келіп, барлығын сол жерде реттеуі керек. Тиісінше, егер олар үшін бірдеңе жұмысын тоқтатса, мысалы, пайдаланушы профиліндегі ақауға байланысты желі клиентінің параметрлері жоғалған болса, барлығын қайтадан қайталау қажет.
Кейбір компаниялар бұрыннан орнатылған бағдарламалық жасақтамасы бар ноутбукті және қашықтан жұмыс істеу үшін конфигурацияланған VPN бағдарламалық құралының клиентін ұсынады. Теориялық тұрғыдан, бұл жағдайда пайдаланушылардың әкімші құқықтары болмауы керек. Осылайша екі мәселе шешіледі: қызметкерлерге олардың міндеттеріне сәйкес келетін лицензиялық бағдарламалық қамтамасыз етумен және дайын байланыс арнасымен қамтамасыз етілуіне кепілдік беріледі. Сонымен бірге олар параметрлерді өздігінен өзгерте алмайды, бұл қоңыраулардың жиілігін азайтады
техникалық көмек.
Кейбір жағдайларда бұл ыңғайлы. Мысалы, ноутбук болса, сіз күндіз бөлмеңізде ыңғайлы отыра аласыз, ал түнде ешкімді оятпау үшін ас үйде тыныш жұмыс істей аласыз.
Негізгі кемшілігі неде? Плюс сияқты - бұл тасымалдауға болатын мобильді құрылғы. Пайдаланушылар екі санатқа бөлінеді: қуат және үлкен монитор үшін жұмыс үстелі компьютерін қалайтындар және портативтілікті жақсы көретіндер.
Пайдаланушылардың екінші тобы ноутбукке екі қолмен дауыс береді. Корпоративтік ноутбукты алған мұндай қызметкерлер онымен дәмханаларға, мейрамханаларға қуанышпен бара бастайды, табиғатқа барып, сол жерден жұмыс істеуге тырысады. Алынған құрылғыны әлеуметтік желілер мен басқа да ойын-сауық үшін жеке компьютер ретінде пайдаланбай, жұмыс істесе ғой.
Ерте ме, кеш пе, корпоративтік ноутбук қатты дискідегі жұмыс ақпаратымен ғана емес, конфигурацияланған VPN қатынасымен де жоғалады. VPN клиентінің параметрлерінде «құпия сөзді сақтау» құсбелгісі қойылса, минуттар есептеледі. Шығын дереу анықталмаған жағдайларда, қолдау қызметіне дереу хабарланбаған немесе бұғаттауға құқығы бар дұрыс қызметкер дереу табылмаған - бұл үлкен апатқа айналуы мүмкін.
Кейде ақпаратқа қол жеткізуді шектеу көмектеседі. Бірақ қол жеткізуді шектеу құрылғыны жоғалту мәселелерін толығымен шешуді білдірмейді, бұл деректер ашылған және бұзылған кездегі жоғалтуларды азайтудың жолы ғана.
Сіз шифрлауды немесе екі факторлы аутентификацияны пайдалана аласыз, мысалы, USB кілтімен. Сыртқы жағынан, идея жақсы көрінеді, бірақ енді ноутбук дұрыс емес қолдарға түссе, оның иесі деректерге, соның ішінде VPN арқылы қол жеткізуге қол жеткізу үшін көп жұмыс істеуі керек. Осы уақыт ішінде сіз корпоративтік желіге кіруді бұғаттай аласыз. Ал қашықтағы пайдаланушы үшін жаңа мүмкіндіктер ашылады: ноутбукты немесе кіру кілтін немесе барлығын бірден бұзу. Ресми түрде қорғаныс деңгейі көтерілді, бірақ техникалық қолдау қызметі жалықтырмайды. Бұдан басқа, әрбір қашықтағы оператор енді екі факторлы аутентификация (немесе шифрлау) жинағын сатып алуы керек.
Жеке қайғылы және ұзақ әңгіме - жоғалған немесе зақымдалған ноутбуктер (еденге лақтырылған, тәтті шай, кофе және басқа да апаттар төгілген) және жоғалған кіру кілттері үшін келтірілген залалдардың жинағы.
Басқа нәрселермен қатар, ноутбукте пернетақта, USB қосқыштары және экраны бар қақпақ сияқты механикалық бөлшектер бар - бұлардың барлығы уақыт өте келе қызмет ету мерзімін тоздырады, деформацияланады, босап қалады және жөндеуге немесе ауыстыруға (көбінесе) қажет. , ноутбук толығымен ауыстырылды).
Енді не істеу керек? Ноутбукты пәтерден алып шығуға және қадағалауға қатаң тыйым салынады
жылжыту?
Неліктен олар ноутбук берді?
Мұның бір себебі - ноутбукты тасымалдау оңайырақ. Тағы бір нәрсе ойлап көрейік, сонымен қатар ықшам.
Сіз ноутбук емес, VPN қосылымы конфигурацияланған қорғалған LiveUSB флэш-дискілерін шығара аласыз және пайдаланушы өз компьютерін пайдаланады. Бірақ бұл да лотерея: бағдарламалық құрал жинағы пайдаланушының компьютерінде жұмыс істей ме, жоқ па? Мәселе қажетті драйверлердің қарапайым жетіспеушілігі болуы мүмкін.
Біз қызметкерлердің байланысын қашықтан қалай ұйымдастыруға болатынын анықтауымыз керек және адамның корпоративтік ноутбукпен қаланы аралау азғыруына көнбей, үйде отырып, ұмытып кету немесе ұмытып кету қаупінсіз тыныш жұмыс істегені жөн. өзіне сеніп тапсырылған құрылғыны бір жерде жоғалтып алу.
Стационарлық VPN қатынасы
Егер сіз соңғы құрылғыны емес, мысалы, ноутбукты немесе әсіресе қосылу үшін бөлек флэш-дискіні емес, бортында VPN клиенті бар желілік шлюзді ұсынсаңыз ше?
Мысалы, VPN қосылымы бұрыннан конфигурацияланған әртүрлі протоколдарға қолдау көрсететін дайын маршрутизатор. Қашықтағы қызметкер оған компьютерін қосып, жұмысқа кірісуі керек.
Бұл қандай мәселелерді шешуге көмектеседі?
- VPN арқылы корпоративтік желіге конфигурацияланған кіру мүмкіндігі бар жабдық үйден шығарылмайды.
- Бір VPN арнасына бірнеше құрылғыны қосуға болады.
Біз жоғарыда ноутбукпен пәтерде қозғалу жақсы екенін жазғанбыз, бірақ жұмыс үстелі компьютерімен жұмыс істеу жиі оңай және ыңғайлы.
Ал сіз компьютерді, ноутбукты, смартфонды, планшетті, тіпті электрондық оқу құралын маршрутизатордағы VPN желісіне қосуға болады - Wi-Fi немесе сымды Ethernet арқылы қол жеткізуді қолдайтын кез келген нәрсе.
Жағдайды кеңірек қарастырсаңыз, бұл, мысалы, бірнеше адам жұмыс істей алатын шағын кеңсеге қосылу нүктесі болуы мүмкін.
Мұндай қорғалған сегмент ішінде қосылған құрылғылар ақпарат алмаса алады, Интернетке қалыпты қатынасы бар файлдарды ортақ пайдалану ресурсы сияқты нәрсені ұйымдастыра алады, құжаттарды сыртқы принтерге басып шығару үшін жібере алады және т.б.
Корпоративтік телефония! Түтіктің бір жерінде естілген бұл дыбыста қаншама бар! Бірнеше құрылғыларға арналған орталықтандырылған VPN арнасы смартфонды Wi-Fi желісі арқылы қосуға және корпоративтік желідегі қысқа нөмірлерге қоңырау шалу үшін IP телефонияны пайдалануға мүмкіндік береді.
Әйтпесе, ұялы телефондарға қоңырау шалуға немесе WhatsApp сияқты сыртқы қолданбаларды пайдалануға тура келеді, бұл әрқашан корпоративтік қауіпсіздік саясатына сәйкес келмейді.
Біз қауіпсіздік туралы айтып отырғандықтан, тағы бір маңызды фактіні атап өткен жөн. Аппараттық VPN шлюзімен кіру шлюзіндегі жаңа басқару мүмкіндіктерін пайдалану арқылы қауіпсіздікті арттыруға болады. Бұл қауіпсіздікті арттыруға және трафикті қорғау жүктемесінің бір бөлігін желілік шлюзге ауыстыруға мүмкіндік береді.
Zyxel бұл жағдайда қандай шешім ұсына алады?
Біз қашықтан жұмыс істей алатын және қалайтын барлық қызметкерлерге уақытша пайдалануға берілетін құрылғыны қарастырып жатырмыз.
Сондықтан мұндай құрылғы болуы керек:
- қымбат емес;
- сенімді (жөндеуге ақша мен уақытты ысырап етпеу үшін);
- бөлшек сауда желілерінде сатып алуға болады;
- орнату оңай (ол арнайы шақырусыз пайдалануға арналған
дайындалған маман).
Бұл өте шынайы емес, солай емес пе?
Дегенмен, мұндай құрылғы бар, ол шынымен бар және тегін
- Zyxel ZyWALL VPN2S
VPN2S - жеке қосылымды пайдалануға мүмкіндік беретін VPN брандмауэр
желі параметрлерінің күрделі конфигурациясынсыз нүктеден нүктеге.
Сурет 1. Zyxel ZyWALL VPN2S сыртқы түрі
Құрылғының қысқаша сипаттамасы
Аппараттық құрал мүмкіндіктері
10/100/1000 Мбит/с RJ-45 порттары
3 x LAN, 1 x WAN/LAN, 1 x WAN
USB порттары
2 х USB 2.0
Жанкүйер жоқ
сол
Жүйенің сыйымдылығы мен өнімділігі
SPI брандмауэрінің өткізу қабілеті (Мбит/с)
1.5 Гбит / с
VPN өткізу қабілеті (Мбит/с)
35
Бір уақыттағы сеанстардың максималды саны. TCP
50000
Бір уақыттағы IPsec VPN туннельдерінің ең көп саны [5] 20
Реттелетін аймақтар
сол
IPv6 қолдауы
сол
VLAN желілерінің максималды саны
16
Бағдарламалық қамтамасыз етудің негізгі мүмкіндіктері
Көп WAN жүктеме балансы/жұмыс істемеуі
сол
Виртуалды жеке желі (VPN)
Иә (IPSec, IPSec арқылы L2TP, PPTP, L2TP, GRE)
VPN клиенті
IPSec/L2TP/PPTP
Мазмұнды сүзу
1 жыл тегін
Брандмауэр
сол
VLAN/интерфейс тобы
сол
Өткізу қабілетін басқару
сол
Оқиғалар журналы және бақылау
сол
Cloud Helper
сол
Қашықтықтан басқару
сол
Ескерту: Кестедегі деректер OPAL BE 1.12 немесе одан жоғары микрокодқа негізделген
кейінгі нұсқасы.
ZyWALL VPN2S қандай VPN опцияларына қолдау көрсетеді
Шын мәнінде, ZyWALL VPN2S құрылғысы ең алдымен атауынан анық
қашықтағы қызметкерлер мен шағын филиалдарды VPN арқылы қосуға арналған.
- L2TP Over IPSec VPN протоколы соңғы пайдаланушылар үшін берілген.
- Мини-офистерді қосу үшін Site-to-Site IPSec VPN арқылы байланыс қамтамасыз етіледі.
- Сондай-ақ, ZyWALL VPN2S көмегімен L2TP VPN қосылымын құруға болады
Интернетке қауіпсіз кіруге арналған қызмет провайдері.
Айта кету керек, бұл бөлу өте шартты. Мысалы, сіз аласыз
қашықтағы нүкте Сайттан Сайтқа IPSec VPN қосылымын жалғыз арқылы теңшеңіз
периметр ішіндегі пайдаланушы.
Әрине, мұның бәрі VPN қатаң алгоритмдерін (IKEv2 және SHA-2) пайдаланады.
Бірнеше WAN пайдалану
Қашықтан жұмыс істеу үшін ең бастысы тұрақты арна болуы керек. Өкінішке орай, жалғызымен
Бұған тіпті ең сенімді провайдердің байланыс желісі арқылы кепілдік берілмейді.
Мәселелерді екі түрге бөлуге болады:
- жылдамдықтың төмендеуі - Multi-WAN жүктемесін теңестіру функциясы бұған көмектеседі
қажетті жылдамдықта тұрақты қосылымды сақтау; - арнадағы ақаулық - бұл үшін Multi-WAN ауыстырып қосу функциясы қолданылады
қайталау әдісі арқылы ақауларға төзімділікті қамтамасыз ету.
Бұл үшін қандай аппараттық мүмкіндіктер бар:
- Төртінші LAN портын қосымша WAN порты ретінде конфигурациялауға болады.
- USB портын қамтамасыз ететін 3G/4G модемін қосу үшін пайдалануға болады
ұялы байланыс түріндегі резервтік арна.
Желінің қауіпсіздігін арттыру
Жоғарыда айтылғандай, бұл арнайы пайдаланудың негізгі артықшылықтарының бірі
орталықтандырылған құрылғылар.
ZyWALL VPN2S әртүрлі шабуыл түрлеріне, соның ішінде DoS (қызмет көрсетуден бас тарту), жалған IP мекенжайларын пайдаланатын шабуылдарға, сондай-ақ жүйелерге рұқсатсыз қашықтан қол жеткізуге, күдікті желі трафигі мен пакеттерге қарсы тұру үшін SPI (Stateful Packet Inspection) брандмауэр функциясына ие.
Қосымша қорғаныс ретінде құрылғыда пайдаланушының күдікті, қауіпті және бөгде мазмұнға кіруіне тыйым салатын Мазмұнды сүзгілеу мүмкіндігі бар.
Орнату шеберімен жылдам және оңай 5 қадамды орнату
Қосылымды жылдам орнату үшін ыңғайлы орнату шебері және графикалық бар
бірнеше тілде интерфейс.
Сурет 2. Орнату шебері экрандарының бірінің мысалы.
Жылдам және тиімді басқару үшін Zyxel қашықтан басқару утилиталарының толық пакетін ұсынады, оның көмегімен VPN2S оңай конфигурациялауға және оны бақылауға болады.
Параметрлерді көшіру мүмкіндігі қашықтағы қызметкерлерге тасымалдау үшін бірнеше ZyWALL VPN2S құрылғыларын дайындауды айтарлықтай жеңілдетеді.
VLAN қолдауы
ZyWALL VPN2S қашықтан жұмыс істеуге арналғанына қарамастан, ол VLAN-ды қолдайды. Бұл желі қауіпсіздігін арттыруға мүмкіндік береді, мысалы, жеке кәсіпкердің кеңсесі қосылған болса, онда қонақ Wi-Fi бар. Таратылым домендерін шектеу, тасымалданатын трафикті азайту және қауіпсіздік саясатын қолдану сияқты стандартты VLAN функциялары корпоративтік желілерде сұранысқа ие, бірақ олар негізінен шағын бизнесте де қолданыла алады.
VLAN қолдауы бөлек желіні ұйымдастыру үшін де пайдалы, мысалы, IP телефония үшін.
VLAN арқылы жұмыс істеуді қамтамасыз ету үшін ZyWALL VPN2S құрылғысы IEEE 802.1Q стандартын қолдайды.
Қорытындылау
Конфигурацияланған VPN арнасы бар мобильді құрылғыны жоғалту қаупі корпоративтік ноутбуктерді таратудан басқа шешімдерді талап етеді.
Ықшам және қымбат емес VPN шлюздерін пайдалану қашықтағы қызметкерлердің жұмысын оңай ұйымдастыруға мүмкіндік береді.
ZyWALL VPN2S моделі бастапқыда қашықтағы жұмысшылар мен шағын кеңселерді қосуға арналған.
Пайдалы сілтемелер
→
→
→
→
→
Ақпарат көзі: www.habr.com