Papasakosime apie nebrangų ir saugų būdą užtikrinti nuotolinių darbuotojų ryšį per VPN, nesukeliant įmonei reputacijos ar finansinės rizikos ir nesukeliant papildomų problemų IT skyriui ir įmonės vadovybei.
Tobulėjant IT, į vis daugiau pozicijų atsirado galimybė pritraukti nuotolinius darbuotojus.
Jei anksčiau tarp nuotolinių darbuotojų daugiausia buvo kūrybinių profesijų atstovai, pavyzdžiui, dizaineriai, tekstų kūrėjai, tai dabar buhalteris, patarėjas teisės klausimais ir daugelis kitų profesijų atstovų gali nesunkiai dirbti iš namų, biure apsilankę tik esant būtinybei.
Bet bet kuriuo atveju būtina organizuoti darbą saugiu kanalu.
Paprasčiausias variantas. Serveryje nustatome VPN, darbuotojui suteikiamas prisijungimo slaptažodis ir VPN sertifikato raktas bei instrukcijos, kaip savo kompiuteryje nustatyti VPN klientą. O IT skyrius savo užduotį laiko baigta.
Idėja lyg ir nebloga, išskyrus vieną dalyką: tai turi būti darbuotojas, kuris moka pats viską sukonfigūruoti. Jei kalbame apie kvalifikuotą tinklo programų kūrėją, labai tikėtina, kad jis susidoros su šia užduotimi.
Tačiau buhalteris, menininkas, dizaineris, techninis rašytojas, architektas ir daugelis kitų profesijų nebūtinai turi suprasti VPN nustatymo subtilybes. Arba kas nors turi prisijungti prie jų nuotoliniu būdu ir padėti, arba atvykti asmeniškai ir viską nustatyti vietoje. Atitinkamai, jei kažkas nustoja veikti, pavyzdžiui, dėl vartotojo profilio trikties, tinklo kliento nustatymai buvo prarasti, tada viską reikia kartoti iš naujo.
Kai kurios įmonės teikia nešiojamąjį kompiuterį su jau įdiegta programine įranga ir sukonfigūruotą VPN programinės įrangos klientą nuotoliniam darbui. Teoriškai tokiu atveju vartotojai neturėtų turėti administratoriaus teisių. Tokiu būdu išsprendžiamos dvi problemos: darbuotojams garantuojama licencijuota, jų užduotis atitinkanti programinė įranga ir paruoštas komunikacijos kanalas. Tuo pačiu metu jie negali patys pakeisti nustatymų, o tai sumažina skambučių dažnumą
Techninė pagalba.
Kai kuriais atvejais tai patogu. Pavyzdžiui, turėdamas nešiojamąjį kompiuterį, dieną gali patogiai sėdėti savo kambaryje, o naktį ramiai dirbti virtuvėje, kad nieko nepažadintum.
Koks pagrindinis trūkumas? Tas pats kaip pliusas – tai mobilus įrenginys, kurį galima nešiotis. Vartotojai skirstomi į dvi kategorijas: tuos, kurie renkasi stalinį kompiuterį dėl energijos tiekimo ir didelio monitoriaus, ir tuos, kurie mėgsta nešiojamumą.
Antroji vartotojų grupė už nešiojamus kompiuterius balsuoja abiem rankomis. Gavę įmonės nešiojamąjį kompiuterį, tokie darbuotojai pradeda su juo džiaugsmingai eiti į kavines, restoranus, eina į gamtą ir bando dirbti iš ten. Jei tik tai veiktų, o ne tik gautą įrenginį naudotų kaip savo kompiuterį socialiniams tinklams ir kitoms pramogoms.
Anksčiau ar vėliau įmonės nešiojamas kompiuteris prarandamas ne tik kartu su darbo informacija standžiajame diske, bet ir su sukonfigūruota VPN prieiga. Jei VPN kliento nustatymuose pažymėtas žymimasis laukelis „Išsaugoti slaptažodį“, minutės skaičiuojamos. Tais atvejais, kai praradimas nebuvo iš karto aptiktas, pagalbos tarnybai nebuvo iš karto pranešta arba nebuvo iš karto rastas tinkamas darbuotojas, turintis teises blokuoti – tai gali virsti didele nelaime.
Kartais padeda apriboti prieigą prie informacijos. Tačiau prieigos ribojimas nereiškia visiško įrenginio praradimo problemų sprendimo – tai tik būdas sumažinti nuostolius, kai duomenys atskleidžiami ir pažeidžiami.
Galite naudoti šifravimą arba dviejų veiksnių autentifikavimą, pavyzdžiui, naudodami USB raktą. Išoriškai idėja atrodo gerai, tačiau dabar, jei nešiojamasis kompiuteris pateks į netinkamas rankas, jo savininkas turės sunkiai dirbti, kad gautų prieigą prie duomenų, įskaitant prieigą per VPN. Per šį laiką galite blokuoti prieigą prie įmonės tinklo. O nuotoliniam vartotojui atsiveria naujos galimybės: nulaužti arba nešiojamąjį kompiuterį, arba prieigos raktą, arba visus iš karto. Formaliai apsaugos lygis pakilo, tačiau techninės pagalbos tarnybai nebus nuobodu. Be to, kiekvienas nuotolinis operatorius dabar turės įsigyti dviejų veiksnių autentifikavimo (arba šifravimo) rinkinį.
Atskira liūdna ir ilga istorija – nuostolių surinkimas už pamestus ar sugadintus nešiojamuosius kompiuterius (išmėtytus ant grindų, apipiltus saldžia arbata, kava ir kitais nelaimingais atsitikimais) bei pamestus prieigos raktus.
Be kita ko, nešiojamajame kompiuteryje yra mechaninių dalių, tokių kaip klaviatūra, USB jungtys, dangtelis su ekranu – visos šios laikui bėgant nusidėvi, deformuojasi, atsilaisvina ir turi būti taisomos arba keičiamos (dažniausiai , pakeistas visas nešiojamas kompiuteris).
Tai kas dabar? Griežtai draudžiama išnešti nešiojamąjį kompiuterį iš buto ir sekti
juda?
Kodėl tada jie išdavė nešiojamąjį kompiuterį?
Viena iš priežasčių yra ta, kad nešiojamąjį kompiuterį lengviau perkelti. Sugalvokime ką nors kita, taip pat kompaktiško.
Galite išduoti ne nešiojamąjį kompiuterį, o apsaugotas „LiveUSB“ „flash drives“ su jau sukonfigūruotu VPN ryšiu, o vartotojas naudosis savo kompiuteriu. Bet tai taip pat yra loterija: ar programinės įrangos rinkinys veiks vartotojo kompiuteryje, ar ne? Problema gali būti paprasčiausias reikalingų tvarkyklių trūkumas.
Reikia sugalvoti, kaip organizuoti darbuotojų ryšį nuotoliniu būdu, ir pageidautina, kad žmogus nepasiduotų pagundai blaškytis po miestą su įmonės nešiojamu kompiuteriu, o sėdėtų namuose ir ramiai dirbtų nerizikuodamas pamiršti ar kažkur pametęs jam patikėtą įrenginį.
Stacionari VPN prieiga
Ką daryti, jei pateiksite ne galutinį įrenginį, pavyzdžiui, nešiojamąjį kompiuterį, o ypač ne atskirą „flash drive“ ryšiui, o tinklo šliuzą su VPN klientu?
Pavyzdžiui, paruoštas maršrutizatorius, kuriame yra įvairių protokolų palaikymas, kuriame jau sukonfigūruotas VPN ryšys. Nuotoliniam darbuotojui tereikia prie jo prijungti savo kompiuterį ir pradėti dirbti.
Kokias problemas tai padeda išspręsti?
- Įranga su sukonfigūruota prieiga prie įmonės tinklo per VPN nėra išnešama iš namų.
- Prie vieno VPN kanalo galite prijungti kelis įrenginius.
Jau rašėme aukščiau, kad malonu judėti bute su nešiojamuoju kompiuteriu, tačiau dažnai lengviau ir patogiau dirbti su staliniu kompiuteriu.
Be to, prie maršruto parinktuvo VPN galite prijungti asmeninį kompiuterį, nešiojamąjį kompiuterį, išmanųjį telefoną, planšetinį kompiuterį ir net el. skaitytuvą – viską, kas palaiko prieigą per „Wi-Fi“ arba laidinį eternetą.
Jei pažvelgtumėte į situaciją plačiau, tai gali būti, pavyzdžiui, mažo biuro, kuriame gali dirbti keli žmonės, prijungimo taškas.
Tokiame apsaugotame segmente prijungti įrenginiai gali keistis informacija, galite organizuoti kažką panašaus į failų dalijimosi išteklius, turėdami įprastą prieigą prie interneto, siųsti dokumentus spausdinti į išorinį spausdintuvą ir pan.
Įmonės telefonija! Šiame garse yra tiek daug, kas skamba kažkur vamzdyje! Centralizuotas VPN kanalas keliems įrenginiams leidžia prijungti išmanųjį telefoną per Wi-Fi tinklą ir naudoti IP telefoniją, kad galėtumėte skambinti trumpaisiais numeriais įmonės tinkle.
Priešingu atveju turėsite skambinti arba naudoti išorines programas, pvz., WhatsApp, o tai ne visada atitinka įmonės saugumo politiką.
O kadangi kalbame apie saugumą, verta atkreipti dėmesį į dar vieną svarbų faktą. Naudodami aparatinės įrangos VPN šliuzą galite padidinti savo saugumą naudodami naujas įėjimo šliuzo valdymo funkcijas. Tai leidžia padidinti saugumą ir dalį eismo apsaugos apkrovos perkelti į tinklo šliuzą.
Kokį sprendimą šiuo atveju gali pasiūlyti Zyxel?
Svarstome apie įrenginį, kurį reikėtų išduoti laikinai naudoti visiems darbuotojams, galintiems ir norintiems dirbti nuotoliniu būdu.
Todėl toks įrenginys turėtų būti:
- nebrangus;
- patikimas (kad nešvaistytų pinigų ir laiko remontui);
- galima įsigyti mažmeninės prekybos tinkluose;
- lengva nustatyti (skirta naudoti specialiai neskambinus
apmokytas specialistas).
Skamba nelabai tikroviškai, tiesa?
Tačiau toks įrenginys egzistuoja, jis tikrai egzistuoja ir yra nemokamas
- „Zyxel ZyWALL VPN2S“.
VPN2S yra VPN ugniasienė, leidžianti naudoti privatų ryšį
taškas į tašką be sudėtingos tinklo parametrų konfigūracijos.
1 pav. Zyxel ZyWALL VPN2S išvaizda
Trumpa įrenginio specifikacija
Aparatinės įrangos savybės
10/100/1000 Mbps RJ-45 prievadai
3 x LAN, 1 x WAN/LAN, 1 x WAN
USB prievadai
2 x USB 2.0
Nėra ventiliatoriaus
Taip
Sistemos pajėgumas ir našumas
SPI ugniasienės pralaidumas (Mbps)
1.5 Gbps
VPN pralaidumas (Mbps)
35
Maksimalus seansų skaičius vienu metu. TCP
50000
Didžiausias vienu metu veikiančių IPsec VPN tunelių skaičius [5] 20
Pritaikomos zonos
Taip
IPv6 palaikymas
Taip
Maksimalus VLAN skaičius
16
Pagrindinės programinės įrangos savybės
Kelių WAN apkrovos balansas / perkrovimas
Taip
Virtualus privatus tinklas (VPN)
Taip (IPSec, L2TP per IPSec, PPTP, L2TP, GRE)
VPN klientas
IPSec/L2TP/PPTP
Turinio filtravimas
1 metai nemokamai
Ugniasienė
Taip
VLAN / sąsajos grupė
Taip
Pralaidumo valdymas
Taip
Įvykių žurnalas ir stebėjimas
Taip
Debesų pagalbininkas
Taip
Nuotolinio valdymo pultas
Taip
Pastaba. Lentelėje pateikti duomenys pagrįsti OPAL BE 1.12 arba naujesne mikrokodais
naujesnė versija.
Kokias VPN parinktis palaiko ZyWALL VPN2S
Tiesą sakant, iš pavadinimo aišku, kad „ZyWALL VPN2S“ įrenginys pirmiausia yra
skirtas nuotoliniams darbuotojams ir mini filialams sujungti per VPN.
- L2TP Over IPSec VPN protokolas yra skirtas galutiniams vartotojams.
- Norint prijungti mini biurus, teikiamas ryšys per „Site-to-Site“ IPSec VPN.
- Be to, naudodami ZyWALL VPN2S galite sukurti L2TP VPN ryšį su
saugios interneto prieigos paslaugų teikėjas.
Pažymėtina, kad šis skirstymas yra labai sąlyginis. Pavyzdžiui, galite
nuotolinis taškas sukonfigūruoja Site-to-Site IPSec VPN ryšį su vienu
vartotojas perimetro viduje.
Žinoma, visa tai naudojant griežtus VPN algoritmus (IKEv2 ir SHA-2).
Naudojant kelis WAN
Dirbant nuotoliniu būdu, svarbiausia turėti stabilų kanalą. Deja, su vienintele
To negalima garantuoti naudojant ryšio liniją net iš patikimiausio teikėjo.
Problemas galima suskirstyti į du tipus:
- greičio sumažėjimas – tai padės Multi-WAN apkrovos balansavimo funkcija
stabilaus ryšio palaikymas reikiamu greičiu; - gedimas kanale – šiuo tikslu naudojama Multi-WAN perjungimo funkcija
gedimų tolerancijos užtikrinimas naudojant dubliavimo metodą.
Kokios aparatinės įrangos galimybės tam yra:
- Ketvirtasis LAN prievadas gali būti sukonfigūruotas kaip papildomas WAN prievadas.
- USB prievadas gali būti naudojamas prijungti 3G/4G modemą, kuris suteikia
atsarginis kanalas korinio ryšio forma.
Padidintas tinklo saugumas
Kaip minėta aukščiau, tai yra vienas iš pagrindinių privalumų naudojant specialius
centralizuoti įrenginiai.
ZyWALL VPN2S turi SPI (stateful Packet Inspection) ugniasienės funkciją, skirtą kovoti su įvairių tipų atakomis, įskaitant DoS (Denial of Service), atakas naudojant suklastotus IP adresus, taip pat neteisėtą nuotolinę prieigą prie sistemų, įtartiną tinklo srautą ir paketus.
Kaip papildoma apsauga, įrenginys turi turinio filtravimą, kuris blokuoja vartotojo prieigą prie įtartino, pavojingo ir pašalinio turinio.
Greita ir paprasta 5 žingsnių sąranka su sąrankos vedliu
Norėdami greitai nustatyti ryšį, yra patogus sąrankos vedlys ir grafinis vaizdas
sąsaja keliomis kalbomis.
2 pav. Vieno iš sąrankos vedlio ekranų pavyzdys.
Greitam ir efektyviam valdymui „Zyxel“ siūlo visą nuotolinio administravimo paslaugų paketą, su kuriuo galite lengvai konfigūruoti VPN2S ir jį stebėti.
Galimybė dubliuoti nustatymus labai supaprastina kelių ZyWALL VPN2S įrenginių paruošimą perduoti nuotoliniams darbuotojams.
VLAN palaikymas
Nepaisant to, kad ZyWALL VPN2S yra skirtas nuotoliniam darbui, jis palaiko VLAN. Tai leidžia padidinti tinklo saugumą, pavyzdžiui, jei yra prijungtas individualaus verslininko biuras, kuriame yra svečių Wi-Fi. Standartinės VLAN funkcijos, tokios kaip transliavimo domenų ribojimas, perduodamo srauto mažinimas ir saugos politikos taikymas, yra paklausios įmonių tinkluose, tačiau iš esmės jas galima naudoti ir mažose įmonėse.
VLAN palaikymas taip pat naudingas organizuojant atskirą tinklą, pavyzdžiui, IP telefonijai.
Norint užtikrinti veikimą su VLAN, ZyWALL VPN2S įrenginys palaiko IEEE 802.1Q standartą.
Apibendrinant
Rizika prarasti mobilųjį įrenginį su sukonfigūruotu VPN kanalu reikalauja kitų sprendimų, nei platinti įmonių nešiojamus kompiuterius.
Kompaktiškų ir nebrangių VPN šliuzų naudojimas leidžia lengvai organizuoti nutolusių darbuotojų darbą.
ZyWALL VPN2S modelis iš pradžių buvo sukurtas nuotoliniams darbuotojams ir mažiems biurams sujungti.
Naudingos nuorodos
→
→
→
→
→
Šaltinis: www.habr.com