Kami akan memberitahu anda tentang cara yang murah dan selamat untuk memastikan pekerja jauh disambungkan melalui VPN, tanpa mendedahkan syarikat kepada risiko reputasi atau kewangan dan tanpa menimbulkan masalah tambahan untuk jabatan IT dan pengurusan syarikat.
Dengan perkembangan IT, ia telah menjadi mungkin untuk menarik pekerja terpencil ke peningkatan bilangan jawatan.
Jika sebelum ini di kalangan pekerja jauh terdapat terutamanya wakil profesion kreatif, sebagai contoh, pereka, penulis salinan, kini seorang akauntan, penasihat undang-undang, dan banyak wakil profesion lain boleh dengan mudah bekerja dari rumah, melawat pejabat hanya apabila perlu.
Tetapi dalam apa jua keadaan, adalah perlu untuk mengatur kerja melalui saluran selamat.
Pilihan yang paling mudah. Kami menyediakan VPN pada pelayan, pekerja diberikan kata laluan log masuk dan kunci sijil VPN, serta arahan tentang cara menyediakan klien VPN pada komputernya. Dan jabatan IT menganggap tugasnya selesai.
Idea itu nampaknya tidak buruk, kecuali satu perkara: ia mestilah seorang pekerja yang tahu cara mengkonfigurasi segala-galanya sendiri. Jika kita bercakap tentang pembangun aplikasi rangkaian yang berkelayakan, kemungkinan besar dia akan mengatasi tugas ini.
Tetapi akauntan, artis, pereka bentuk, penulis teknikal, arkitek, dan banyak lagi profesion lain tidak semestinya perlu memahami selok-belok menyediakan VPN. Sama ada seseorang perlu menyambung kepada mereka dari jauh dan membantu, atau datang sendiri dan menyediakan segala-galanya di tempat. Oleh itu, jika sesuatu berhenti berfungsi untuk mereka, sebagai contoh, disebabkan oleh gangguan dalam profil pengguna, tetapan klien rangkaian telah hilang, maka semuanya perlu diulang sekali lagi.
Sesetengah syarikat menyediakan komputer riba dengan perisian yang telah dipasang dan klien perisian VPN yang dikonfigurasikan untuk kerja jauh. Secara teori, dalam kes ini, pengguna tidak sepatutnya mempunyai hak pentadbir. Dengan cara ini, dua masalah diselesaikan: pekerja dijamin akan dibekalkan dengan perisian berlesen yang sesuai dengan tugas mereka dan saluran komunikasi siap sedia. Pada masa yang sama, mereka tidak boleh menukar tetapan sendiri, yang mengurangkan kekerapan panggilan ke
sokongan teknikal.
Dalam sesetengah kes ini adalah mudah. Sebagai contoh, mempunyai komputer riba, anda boleh duduk dengan selesa di dalam bilik anda pada siang hari, dan bekerja dengan senyap di dapur pada waktu malam supaya tidak membangunkan sesiapa pun.
Apakah kelemahan utama? Sama seperti tambah - ia adalah peranti mudah alih yang boleh dibawa. Pengguna terbahagi kepada dua kategori: mereka yang lebih suka PC desktop untuk kuasa dan monitor besar, dan mereka yang suka mudah alih.
Kumpulan kedua pengguna mengundi dengan kedua-dua tangan untuk komputer riba. Setelah menerima komputer riba korporat, pekerja sedemikian mula gembira pergi bersamanya ke kafe, restoran, pergi ke alam semula jadi dan cuba bekerja dari sana. Sekiranya ia akan berfungsi, dan bukan hanya menggunakan peranti yang diterima sebagai komputer anda sendiri untuk rangkaian sosial dan hiburan lain.
Lambat laun, komputer riba korporat hilang bukan sahaja bersama maklumat kerja pada cakera keras, tetapi juga dengan akses VPN yang dikonfigurasikan. Jika kotak semak "simpan kata laluan" ditandakan dalam tetapan klien VPN, maka minit dikira. Dalam situasi di mana kerugian tidak ditemui serta-merta, perkhidmatan sokongan tidak dimaklumkan serta-merta, atau pekerja yang betul dengan hak untuk menyekat tidak ditemui serta-merta - ini boleh bertukar menjadi bencana besar.
Kadangkala mengehadkan akses kepada maklumat membantu. Tetapi mengehadkan akses tidak bermakna menyelesaikan sepenuhnya masalah kehilangan peranti; ia hanyalah satu cara untuk mengurangkan kerugian apabila data didedahkan dan dikompromi.
Anda boleh menggunakan penyulitan atau pengesahan dua faktor, contohnya dengan kunci USB. Secara luaran, idea itu kelihatan bagus, tetapi sekarang jika komputer riba jatuh ke tangan yang salah, pemiliknya perlu bekerja keras untuk mendapatkan akses kepada data, termasuk akses melalui VPN. Pada masa ini, anda boleh menguruskan untuk menyekat akses kepada rangkaian korporat. Dan peluang baharu terbuka untuk pengguna jauh: untuk menggodam sama ada komputer riba, atau kunci akses, atau sekaligus. Secara rasmi, tahap perlindungan telah meningkat, tetapi perkhidmatan sokongan teknikal tidak akan bosan. Di samping itu, setiap pengendali jauh kini perlu membeli kit pengesahan (atau penyulitan) dua faktor.
Kisah sedih dan panjang yang berasingan ialah pengumpulan ganti rugi untuk komputer riba yang hilang atau rosak (dilemparkan ke lantai, tumpah dengan teh manis, kopi dan kemalangan lain) dan kehilangan kunci akses.
Antara lain, komputer riba mengandungi bahagian mekanikal, seperti papan kekunci, penyambung USB dan penutup dengan skrin - semua ini haus hayat perkhidmatannya dari semasa ke semasa, menjadi cacat, menjadi longgar dan mesti dibaiki atau diganti (paling kerap , seluruh komputer riba diganti).
Jadi apa sekarang? Dilarang sama sekali untuk membawa komputer riba keluar dari apartmen dan trek
bergerak?
Mengapa kemudian mereka memberikan komputer riba?
Salah satu sebabnya ialah komputer riba lebih mudah untuk dipindahkan. Mari kita buat sesuatu yang lain, juga padat.
Anda tidak boleh mengeluarkan komputer riba, tetapi pemacu kilat LiveUSB yang dilindungi dengan sambungan VPN yang telah dikonfigurasikan, dan pengguna akan menggunakan komputernya sendiri. Tetapi ini juga loteri: adakah pemasangan perisian akan dijalankan pada komputer pengguna atau tidak? Masalahnya mungkin kekurangan pemandu yang diperlukan.
Kita perlu memikirkan cara mengatur sambungan pekerja dari jauh, dan adalah wajar orang itu tidak tunduk kepada godaan untuk bersiar-siar di sekitar bandar dengan komputer riba korporat, tetapi duduk di rumah dan bekerja dengan tenang tanpa risiko terlupa atau kehilangan peranti yang diamanahkan kepadanya di suatu tempat.
Akses VPN pegun
Bagaimana jika anda tidak menyediakan peranti akhir, contohnya, komputer riba, atau terutamanya bukan pemacu denyar yang berasingan untuk sambungan, tetapi gerbang rangkaian dengan klien VPN di atasnya?
Sebagai contoh, penghala siap sedia yang merangkumi sokongan untuk pelbagai protokol, di mana sambungan VPN telah dikonfigurasikan. Pekerja jauh hanya perlu menyambungkan komputernya kepadanya dan mula bekerja.
Apakah isu yang membantu diselesaikan?
- Peralatan dengan akses yang dikonfigurasikan ke rangkaian korporat melalui VPN tidak dibawa keluar dari rumah.
- Anda boleh menyambungkan beberapa peranti ke satu saluran VPN.
Kami telah menulis di atas bahawa adalah bagus untuk dapat bergerak di sekitar apartmen dengan komputer riba, tetapi selalunya lebih mudah dan lebih mudah untuk bekerja dengan komputer meja.
Dan anda boleh menyambungkan PC, komputer riba, telefon pintar, tablet, dan juga e-pembaca ke VPN pada penghala - apa sahaja yang menyokong akses melalui Wi-Fi atau Ethernet berwayar.
Jika anda melihat keadaan dengan lebih meluas, ini boleh menjadi, sebagai contoh, titik sambungan untuk pejabat mini di mana beberapa orang boleh bekerja.
Dalam segmen yang dilindungi sedemikian, peranti yang disambungkan boleh bertukar maklumat, anda boleh mengatur sesuatu seperti sumber perkongsian fail, sambil mempunyai akses biasa ke Internet, menghantar dokumen untuk dicetak ke pencetak luaran, dan sebagainya.
Telefoni korporat! Terdapat begitu banyak bunyi ini yang kedengaran di suatu tempat di dalam tiub! Saluran VPN terpusat untuk beberapa peranti membolehkan anda menyambungkan telefon pintar melalui rangkaian Wi-Fi dan menggunakan telefon IP untuk membuat panggilan ke nombor pendek dalam rangkaian korporat.
Jika tidak, anda perlu membuat panggilan mudah alih atau menggunakan aplikasi luaran seperti WhatsApp, yang tidak selalu konsisten dengan dasar keselamatan korporat.
Dan kerana kita bercakap tentang keselamatan, perlu diperhatikan satu lagi fakta penting. Dengan get laluan VPN perkakasan, anda boleh meningkatkan keselamatan anda dengan menggunakan ciri kawalan baharu pada get laluan masuk. Ini membolehkan anda meningkatkan keselamatan dan mengalihkan sebahagian daripada beban perlindungan trafik ke gerbang rangkaian.
Apakah penyelesaian yang boleh ditawarkan oleh Zyxel untuk kes ini?
Kami sedang mempertimbangkan peranti yang harus dikeluarkan untuk kegunaan sementara kepada semua pekerja yang boleh dan ingin bekerja dari jauh.
Oleh itu, peranti sedemikian hendaklah:
- murah;
- boleh dipercayai (supaya tidak membazir wang dan masa untuk pembaikan);
- tersedia untuk pembelian dalam rangkaian runcit;
- mudah untuk disediakan (ia bertujuan untuk digunakan tanpa memanggil secara khusus
pakar terlatih).
Bunyinya tidak begitu nyata, bukan?
Walau bagaimanapun, peranti sedemikian wujud, ia benar-benar wujud dan percuma
- Zyxel ZyWALL VPN2S
VPN2S ialah tembok api VPN yang membolehkan anda menggunakan sambungan peribadi
point-to-point tanpa konfigurasi kompleks parameter rangkaian.
Rajah 1. Rupa Zyxel ZyWALL VPN2S
Spesifikasi peranti ringkas
Ciri Perkakasan
Port RJ-10 100/1000/45 Mbps
3 x LAN, 1 x WAN/LAN, 1 x WAN
Port USB
2 x USB 2.0
Tiada kipas
Ya
Kapasiti dan prestasi sistem
SPI Firewall Throughput (Mbps)
1.5 Gbps
Lebar Jalur VPN (Mbps)
35
Bilangan maksimum sesi serentak. TCP
50000
Bilangan maksimum terowong VPN IPsec serentak [5] 20
Zon boleh disesuaikan
Ya
sokongan IPv6
Ya
Bilangan maksimum VLAN
16
Ciri-ciri Perisian Utama
Imbangan Beban Berbilang WAN/Failover
Ya
Rangkaian peribadi maya (VPN)
Ya (IPSec, L2TP berbanding IPSec, PPTP, L2TP, GRE)
Pelanggan VPN
IPSec/L2TP/PPTP
Penapisan kandungan
1 tahun percuma
Firewall
Ya
Kumpulan VLAN/Antaramuka
Ya
Pengurusan Jalur Lebar
Ya
Log acara dan pemantauan
Ya
Pembantu Awan
Ya
Alat kawalan jauh
Ya
Perhatian. Data dalam jadual adalah berdasarkan mikrokod OPAL BE 1.12 atau lebih tinggi
versi kemudian.
Apakah pilihan VPN yang disokong oleh ZyWALL VPN2S
Sebenarnya, dari namanya jelas bahawa peranti ZyWALL VPN2S adalah terutamanya
direka untuk menghubungkan pekerja jauh dan cawangan mini melalui VPN.
- Protokol VPN L2TP Over IPSec disediakan untuk pengguna akhir.
- Untuk menyambungkan pejabat mini, komunikasi melalui VPN IPSec Site-to-Site disediakan.
- Selain itu, menggunakan ZyWALL VPN2S anda boleh membina sambungan VPN L2TP dengannya
pembekal perkhidmatan untuk akses Internet yang selamat.
Perlu diingatkan bahawa pembahagian ini sangat bersyarat. Sebagai contoh, anda boleh
titik jauh mengkonfigurasi sambungan VPN IPSec Tapak ke Tapak dengan satu
pengguna di dalam perimeter.
Sudah tentu, semua ini menggunakan algoritma VPN yang ketat (IKEv2 dan SHA-2).
Menggunakan berbilang WAN
Untuk kerja jauh, perkara utama ialah mempunyai saluran yang stabil. Malangnya, dengan satu-satunya
Ini tidak boleh dijamin dengan talian komunikasi walaupun daripada pembekal yang paling boleh dipercayai.
Masalah boleh dibahagikan kepada dua jenis:
- penurunan kelajuan - fungsi pengimbangan beban Multi-WAN akan membantu dengan ini
mengekalkan sambungan yang stabil pada kelajuan yang diperlukan; - kegagalan pada saluran - untuk tujuan ini fungsi failover Multi-WAN digunakan untuk
memastikan toleransi kesalahan menggunakan kaedah pendua.
Apakah keupayaan perkakasan yang ada untuk ini:
- Port LAN keempat boleh dikonfigurasikan sebagai port WAN tambahan.
- Port USB boleh digunakan untuk menyambungkan modem 3G/4G, yang menyediakan
saluran sandaran dalam bentuk komunikasi selular.
Peningkatan keselamatan rangkaian
Seperti yang dinyatakan di atas, ini adalah salah satu kelebihan utama menggunakan khas
peranti berpusat.
ZyWALL VPN2S mempunyai fungsi tembok api SPI (Stateful Packet Inspection) untuk menentang pelbagai jenis serangan, termasuk DoS (Penolakan Perkhidmatan), serangan menggunakan alamat IP palsu, serta akses jauh tanpa kebenaran kepada sistem, trafik rangkaian dan pakej yang mencurigakan.
Sebagai perlindungan tambahan, peranti mempunyai penapisan Kandungan untuk menyekat akses pengguna kepada kandungan yang mencurigakan, berbahaya dan luar.
Persediaan 5 langkah yang cepat dan mudah dengan wizard persediaan
Untuk menyediakan sambungan dengan cepat, terdapat wizard persediaan dan grafik yang mudah
antara muka dalam beberapa bahasa.
Rajah 2. Contoh salah satu skrin wizard persediaan.
Untuk pengurusan yang cepat dan cekap, Zyxel menawarkan pakej lengkap utiliti pentadbiran jauh yang dengannya anda boleh mengkonfigurasi VPN2S dan memantaunya dengan mudah.
Keupayaan untuk menduplikasi tetapan sangat memudahkan penyediaan berbilang peranti ZyWALL VPN2S untuk dipindahkan kepada pekerja jauh.
Sokongan VLAN
Walaupun ZyWALL VPN2S direka untuk kerja jauh, ia menyokong VLAN. Ini membolehkan anda meningkatkan keselamatan rangkaian, contohnya, jika pejabat usahawan individu disambungkan, yang mempunyai Wi-Fi tetamu. Fungsi VLAN standard, seperti mengehadkan domain penyiaran, mengurangkan trafik yang dihantar dan menggunakan dasar keselamatan, diperlukan dalam rangkaian korporat, tetapi pada dasarnya ia juga boleh digunakan dalam perniagaan kecil.
Sokongan VLAN juga berguna untuk mengatur rangkaian berasingan, contohnya, untuk telefon IP.
Untuk memastikan operasi dengan VLAN, peranti ZyWALL VPN2S menyokong standard IEEE 802.1Q.
Ringkasan
Risiko kehilangan peranti mudah alih dengan saluran VPN yang dikonfigurasikan memerlukan penyelesaian selain daripada mengedarkan komputer riba korporat.
Penggunaan gerbang VPN yang padat dan murah membolehkan anda mengatur kerja pekerja jauh dengan mudah.
Model ZyWALL VPN2S pada asalnya direka untuk menghubungkan pekerja jauh dan pejabat kecil.
Pautan berguna
β
β
β
β
β
Sumber: www.habr.com