🥇Fjernarbeid får fart

Vi vil fortelle deg om en rimelig og sikker måte å sikre at eksterne ansatte er koblet til via VPN, uten å utsette selskapet for omdømme eller økonomisk risiko og uten å skape ytterligere problemer for IT-avdelingen og bedriftsledelsen.

Med utviklingen av IT har det blitt mulig å tiltrekke eksterne ansatte til et økende antall stillinger.

Hvis det tidligere blant fjernarbeidere var hovedsakelig representanter for kreative yrker, for eksempel designere, tekstforfattere, nå en regnskapsfører, en juridisk rådgiver, og mange representanter for andre yrker, kan enkelt jobbe hjemmefra og bare besøke kontoret når det er nødvendig.

Men i alle fall er det nødvendig å organisere arbeidet gjennom en sikker kanal.

Det enkleste alternativet. Vi setter opp en VPN på serveren, den ansatte får et innloggingspassord og en VPN-sertifikatnøkkel, samt instruksjoner om hvordan han setter opp en VPN-klient på sin datamaskin. Og IT-avdelingen anser sin oppgave som fullført.

Ideen ser ikke ut til å være dårlig, bortsett fra én ting: det må være en ansatt som vet hvordan han skal konfigurere alt på egen hånd. Hvis vi snakker om en kvalifisert nettverksapplikasjonsutvikler, er det svært sannsynlig at han vil takle denne oppgaven.

Men en regnskapsfører, kunstner, designer, teknisk skribent, arkitekt og mange andre yrker trenger ikke nødvendigvis å forstå vanskelighetene ved å sette opp en VPN. Enten må noen koble seg til dem eksternt og hjelpe, eller komme personlig og sette opp alt på stedet. Følgelig, hvis noe slutter å fungere for dem, for eksempel på grunn av en feil i brukerprofilen, har nettverksklientinnstillingene gått tapt, så må alt gjentas om igjen.

Noen selskaper tilbyr en bærbar datamaskin med programvare allerede installert og en konfigurert VPN-programvareklient for eksternt arbeid. I teorien bør brukere i dette tilfellet ikke ha administratorrettigheter. På denne måten løses to problemer: ansatte er garantert utstyrt med lisensiert programvare som passer deres oppgaver og en ferdiglaget kommunikasjonskanal. Samtidig kan de ikke endre innstillingene på egenhånd, noe som reduserer anropsfrekvensen til
teknisk støtte.

I noen tilfeller er dette praktisk. Hvis du for eksempel har en bærbar datamaskin, kan du komfortabelt sitte på rommet ditt om dagen og stille på kjøkkenet om natten for ikke å vekke noen.

Hva er den største ulempen? Det samme som et pluss - det er en mobil enhet som kan bæres. Brukere faller inn i to kategorier: de som foretrekker en stasjonær PC for strøm og en stor skjerm, og de som elsker portabilitet.

Den andre gruppen brukere stemmer med begge hender for bærbare datamaskiner. Etter å ha mottatt en bærbar datamaskin, begynner slike ansatte å glede seg med den til kafeer, restauranter, gå til naturen og prøve å jobbe derfra. Hvis bare det ville fungere, og ikke bare bruke den mottatte enheten som din egen datamaskin for sosiale nettverk og annen underholdning.

Før eller siden går en bærbar datamaskin tapt, ikke bare sammen med arbeidsinformasjonen på harddisken, men også med konfigurert VPN-tilgang. Hvis avmerkingsboksen "lagre passord" er merket i VPN-klientinnstillingene, teller minuttene. I situasjoner der tapet ikke umiddelbart ble oppdaget, støttetjenesten ikke umiddelbart ble varslet, eller den rette medarbeideren med rettigheter til blokkering ikke ble funnet umiddelbart - kan dette bli en stor katastrofe.

Noen ganger hjelper det å begrense tilgangen til informasjon. Men å begrense tilgangen betyr ikke å fullstendig løse problemene med å miste en enhet; det er bare en måte å redusere tap når data avsløres og kompromitteres.

Du kan bruke kryptering eller tofaktorautentisering, for eksempel med en USB-nøkkel. Utad ser ideen bra ut, men nå hvis den bærbare datamaskinen havner i feil hender, må eieren jobbe hardt for å få tilgang til dataene, inkludert tilgang via VPN. I løpet av denne tiden kan du klare å blokkere tilgang til bedriftsnettverket. Og nye muligheter åpner seg for den eksterne brukeren: å hacke enten den bærbare datamaskinen eller tilgangsnøkkelen, eller alt på en gang. Formelt sett har beskyttelsesnivået økt, men den tekniske støttetjenesten vil ikke kjede seg. I tillegg vil hver ekstern operatør nå måtte kjøpe et tofaktorautentiseringssett (eller kryptering).

En egen trist og lang historie er innkrevingen av skader for tapte eller skadede bærbare datamaskiner (kastet på gulvet, sølt med søt te, kaffe og andre ulykker) og tapte tilgangsnøkler.

Blant annet inneholder en bærbar datamaskin mekaniske deler, som tastatur, USB-kontakter, og et lokk med skjerm - alle disse sliter ut levetiden over tid, blir deformert, blir løs og må repareres eller skiftes ut (oftest). , hele den bærbare datamaskinen byttes ut).

Så hva nå? Det er strengt forbudt å ta en bærbar PC ut av leiligheten og spore
flytte?

Hvorfor ga de ut en bærbar datamaskin?

En grunn er at en bærbar datamaskin er lettere å overføre. La oss finne på noe annet, også kompakt.

Du kan ikke utstede en bærbar datamaskin, men beskyttede LiveUSB-flash-stasjoner med en VPN-tilkobling som allerede er konfigurert, og brukeren vil bruke sin egen datamaskin. Men dette er også et lotteri: vil programvaresammenstillingen kjøre på brukerens datamaskin eller ikke? Problemet kan være en enkel mangel på nødvendige drivere.

Vi må finne ut hvordan vi kan organisere tilkoblingen til ansatte eksternt, og det er ønskelig at personen ikke faller for fristelsen til å vandre rundt i byen med en bedrifts bærbar PC, men sitter hjemme og jobber rolig uten risiko for å glemme eller miste enheten som er betrodd ham et sted.

Stasjonær VPN-tilgang

Hva om du ikke gir en sluttenhet, for eksempel en bærbar datamaskin, eller spesielt ikke en separat flash-stasjon for tilkobling, men en nettverksport med en VPN-klient ombord?

For eksempel en ferdig ruter som inkluderer støtte for ulike protokoller, der en VPN-tilkobling allerede er konfigurert. Den eksterne ansatte trenger bare å koble datamaskinen til den og begynne å jobbe.

Hvilke problemer hjelper dette med å løse?

Utstyr med konfigurert tilgang til bedriftsnettverket via VPN tas ikke ut av huset.
Du kan koble flere enheter til én VPN-kanal.

Vi skrev allerede ovenfor at det er fint å kunne flytte rundt i leiligheten med en bærbar datamaskin, men det er ofte enklere og mer praktisk å jobbe med en stasjonær datamaskin.

Og du kan koble en PC, en bærbar PC, en smarttelefon, et nettbrett og til og med en e-leser til VPN på ruteren - alt som støtter tilgang via Wi-Fi eller kablet Ethernet.

Ser man bredere på situasjonen kan dette for eksempel være et tilknytningspunkt for et minikontor hvor flere kan jobbe.

Innenfor et slikt beskyttet segment kan tilkoblede enheter utveksle informasjon, du kan organisere noe som en fildelingsressurs, mens du har normal tilgang til Internett, sende dokumenter for utskrift til en ekstern skriver, og så videre.

Bedriftstelefoni! Det er så mye i denne lyden som høres ut et sted i røret! En sentralisert VPN-kanal for flere enheter lar deg koble til en smarttelefon via et Wi-Fi-nettverk og bruke IP-telefoni til å ringe til korte numre innenfor bedriftsnettverket.

Ellers må du foreta mobilanrop eller bruke eksterne applikasjoner som WhatsApp, noe som ikke alltid er i samsvar med bedriftens sikkerhetspolicy.

Og siden vi snakker om sikkerhet, er det verdt å merke seg et annet viktig faktum. Med en maskinvare-VPN-gateway kan du forbedre sikkerheten din ved å bruke nye kontrollfunksjoner på inngangsporten. Dette lar deg øke sikkerheten og flytte deler av trafikkbeskyttelsesbelastningen til nettverksporten.

Hvilken løsning kan Zyxel tilby for denne saken?

Vi vurderer en enhet som bør utstedes for midlertidig bruk til alle ansatte som kan og ønsker å jobbe eksternt.

Derfor bør en slik enhet være:

rimelig;
pålitelig (for ikke å kaste bort penger og tid på reparasjoner);
tilgjengelig for kjøp i butikkjeder;
enkel å sette opp (den er ment å brukes uten spesifikt oppringing
utdannet spesialist).

Høres ikke veldig ekte ut, ikke sant?

Imidlertid eksisterer en slik enhet, den eksisterer virkelig og er gratis
til salgs
- Zyxel ZyWALL VPN2S

VPN2S er en VPN-brannmur som lar deg bruke en privat tilkobling
punkt-til-punkt uten kompleks konfigurasjon av nettverksparametere.

Figur 1. Utseende til Zyxel ZyWALL VPN2S

Kort enhetsspesifikasjon

Maskinvarefunksjoner

10/100/1000 Mbps RJ-45-porter
3 x LAN, 1 x WAN/LAN, 1 x WAN

USB-porter
2 x USB 2.0

Ingen vifte
Ja

Systemkapasitet og ytelse

SPI-brannmurgjennomstrømning (Mbps)
1.5 Gbps

VPN-gjennomstrømning (Mbps)
35

Maksimalt antall samtidige økter. TCP
50000

Maksimalt antall samtidige IPsec VPN-tunneler [5]
20

Tilpassbare soner
Ja

IPv6-støtte
Ja

Maksimalt antall VLAN
16

Hovedprogramvarefunksjoner

Multi-WAN lastbalanse/failover
Ja

Virtuelt privat nettverk (VPN)
Ja (IPSec, L2TP over IPSec, PPTP, L2TP, GRE)

VPN-klient
IPSec/L2TP/PPTP

Innholdsfiltrering
1 år gratis

Brannmur
Ja

VLAN/grensesnittgruppe
Ja

Båndbreddestyring
Ja

Hendelseslogg og overvåking
Ja

Cloud Helper
Ja

Fjernkontroll
Ja

Note. Dataene i tabellen er basert på OPAL BE mikrokode 1.12 eller høyere
senere versjon.

Hvilke VPN-alternativer støttes av ZyWALL VPN2S

Faktisk, fra navnet er det klart at ZyWALL VPN2S-enheten primært er
designet for å koble eksterne ansatte og minigrener via VPN.

L2TP Over IPSec VPN-protokollen er gitt for sluttbrukere.
For å koble til minikontorer tilbys kommunikasjon via Site-to-Site IPSec VPN.
Ved å bruke ZyWALL VPN2S kan du også bygge en L2TP VPN-tilkobling med
tjenesteleverandør for sikker Internett-tilgang.

Det skal bemerkes at denne inndelingen er svært betinget. For eksempel kan du
eksternt punkt konfigurere en Site-to-Site IPSec VPN-tilkobling med en enkelt
bruker innenfor omkretsen.

Selvfølgelig, alt dette ved hjelp av strenge VPN-algoritmer (IKEv2 og SHA-2).

Bruker flere WAN-er

For fjernarbeid er det viktigste å ha en stabil kanal. Dessverre, med den eneste
Dette kan ikke garanteres med en kommunikasjonslinje selv fra den mest pålitelige leverandøren.

Problemer kan deles inn i to typer:

fall i hastighet - Multi-WAN lastbalanseringsfunksjonen vil hjelpe med dette
opprettholde en stabil forbindelse med nødvendig hastighet;
feil på kanalen - for dette formålet brukes Multi-WAN failover-funksjonen til
sikre feiltoleranse ved å bruke dupliseringsmetoden.

Hvilke maskinvarefunksjoner er det for dette:

Den fjerde LAN-porten kan konfigureres som en ekstra WAN-port.
USB-porten kan brukes til å koble til et 3G/4G-modem, som gir
backup-kanal i form av mobilkommunikasjon.

Økt nettverkssikkerhet

Som nevnt ovenfor er dette en av hovedfordelene ved å bruke spesielle
sentraliserte enheter.

ZyWALL VPN2S har en SPI (Stateful Packet Inspection) brannmurfunksjon for å motvirke ulike typer angrep, inkludert DoS (Denial of Service), angrep ved bruk av falske IP-adresser, samt uautorisert ekstern tilgang til systemer, mistenkelig nettverkstrafikk og pakker.

Som ekstra beskyttelse har enheten innholdsfiltrering for å blokkere brukertilgang til mistenkelig, farlig og uvedkommende innhold.

Rask og enkel 5-trinns oppsett med oppsettsveiviser

For raskt å sette opp en tilkobling, er det en praktisk oppsettveiviser og grafisk
grensesnitt på flere språk.

Figur 2. Et eksempel på en av skjermbildene i oppsettsveiviseren.

For rask og effektiv administrasjon tilbyr Zyxel en komplett pakke med fjernadministrasjonsverktøy som du enkelt kan konfigurere VPN2S med og overvåke det.

Muligheten til å duplisere innstillinger forenkler klargjøringen av flere ZyWALL VPN2S-enheter for overføring til eksterne ansatte.

VLAN-støtte

Til tross for at ZyWALL VPN2S er designet for eksternt arbeid, støtter den VLAN. Dette lar deg øke nettverkssikkerheten, for eksempel hvis kontoret til en individuell gründer er tilkoblet, som har gjeste-Wi-Fi. Standard VLAN-funksjoner, som å begrense kringkastingsdomener, redusere overført trafikk og bruke sikkerhetspolicyer, er etterspurt i bedriftsnettverk, men i prinsippet kan de også brukes i små bedrifter.

VLAN-støtte er også nyttig for å organisere et eget nettverk, for eksempel for IP-telefoni.

For å sikre drift med VLAN, støtter ZyWALL VPN2S-enheten IEEE 802.1Q-standarden.