Opowiemy Ci o niedrogim i bezpiecznym sposobie na zapewnienie zdalnym pracownikom połączenia poprzez VPN, bez narażania firmy na ryzyko reputacyjne i finansowe oraz bez stwarzania dodatkowych problemów dla działu IT i kierownictwa firmy.
Wraz z rozwojem IT możliwe stało się przyciąganie zdalnych pracowników na coraz większą liczbę stanowisk.
O ile wcześniej wśród pracowników zdalnych byli głównie przedstawiciele zawodów kreatywnych, np. projektanci, copywriterzy, obecnie księgowy, radca prawny, a wielu przedstawicieli innych zawodów może spokojnie pracować z domu, odwiedzając biuro tylko wtedy, gdy jest to konieczne.
Ale w każdym razie konieczne jest zorganizowanie pracy bezpiecznym kanałem.
Najprostsza opcja. Zakładamy VPN na serwerze, pracownik otrzymuje hasło do logowania i klucz certyfikatu VPN oraz instrukcję jak skonfigurować klienta VPN na swoim komputerze. A dział IT uważa swoje zadanie za zakończone.
Pomysł wydaje się niezły, poza jednym: musi to być pracownik, który wie, jak wszystko samodzielnie skonfigurować. Jeśli mówimy o wykwalifikowanym programiście aplikacji sieciowych, jest bardzo prawdopodobne, że poradzi sobie z tym zadaniem.
Jednak księgowy, artysta, projektant, autor tekstów technicznych, architekt i wiele innych zawodów niekoniecznie musi rozumieć zawiłości związane z konfiguracją VPN. Albo ktoś musi się z nimi połączyć zdalnie i pomóc, albo przyjść osobiście i wszystko ustawić na miejscu. W związku z tym, jeśli coś przestanie dla nich działać, na przykład z powodu usterki w profilu użytkownika, ustawienia klienta sieciowego zostały utracone, wszystko należy powtórzyć od nowa.
Niektóre firmy udostępniają laptop z już zainstalowanym oprogramowaniem i skonfigurowanym klientem oprogramowania VPN do pracy zdalnej. Teoretycznie w tym przypadku użytkownicy nie powinni mieć uprawnień administratora. W ten sposób rozwiązywane są dwa problemy: pracownicy mają pewność, że otrzymają licencjonowane oprogramowanie odpowiadające ich zadaniom oraz gotowy kanał komunikacji. Jednocześnie nie mogą samodzielnie zmieniać ustawień, co zmniejsza częstotliwość połączeń
pomoc techniczna.
W niektórych przypadkach jest to wygodne. Przykładowo, mając laptopa, w ciągu dnia możesz wygodnie siedzieć w swoim pokoju, a w nocy spokojnie pracować w kuchni, aby nikogo nie obudzić.
Jaka jest główna wada? Sam plus – jest to urządzenie mobilne, które można nosić przy sobie. Użytkownicy dzielą się na dwie kategorie: tych, którzy wolą komputer stacjonarny ze względu na moc i duży monitor, oraz tych, którzy kochają przenośność.
Druga grupa użytkowników głosuje obiema rękami na laptopy. Po otrzymaniu firmowego laptopa tacy pracownicy zaczynają z radością chodzić z nim do kawiarni, restauracji, wychodzić na łono natury i próbować stamtąd pracować. Oby tylko to działało, a nie tylko wykorzystywało otrzymane urządzenie jako własny komputer do serwisów społecznościowych i innej rozrywki.
Prędzej czy później firmowy laptop ginie nie tylko wraz z informacjami służbowymi na dysku twardym, ale także ze skonfigurowanym dostępem VPN. Jeżeli w ustawieniach klienta VPN zaznaczone jest pole wyboru „zapisz hasło”, wówczas liczą się minuty. W sytuacjach, gdy strata nie została od razu wykryta, nie zostało od razu powiadomione wsparcie techniczne, czy też nie odnaleziono od razu odpowiedniego pracownika z uprawnieniami do blokady – może to przerodzić się w dużą katastrofę.
Czasami pomaga ograniczenie dostępu do informacji. Ograniczenie dostępu nie oznacza jednak całkowitego rozwiązania problemów związanych z utratą urządzenia; to po prostu sposób na ograniczenie strat w przypadku ujawnienia i naruszenia bezpieczeństwa danych.
Można zastosować szyfrowanie lub uwierzytelnianie dwuskładnikowe, na przykład za pomocą klucza USB. Na zewnątrz pomysł wygląda nieźle, ale teraz, jeśli laptop dostanie się w niepowołane ręce, jego właściciel będzie musiał ciężko pracować, aby uzyskać dostęp do danych, w tym dostęp przez VPN. W tym czasie możesz zablokować dostęp do sieci firmowej. Przed użytkownikiem zdalnym otwierają się nowe możliwości: zhakowanie laptopa, klucza dostępu lub wszystkiego naraz. Formalnie poziom ochrony wzrósł, ale obsługa techniczna nie będzie się nudzić. Ponadto każdy zdalny operator będzie teraz musiał zakupić zestaw do uwierzytelniania dwuskładnikowego (lub szyfrowania).
Osobną, smutną i długą historią jest windykacja szkód za zagubione lub zniszczone laptopy (rzucone na podłogę, rozlane słodką herbatą, kawą i innymi wypadkami) oraz zagubione klucze dostępu.
W laptopie znajdują się między innymi części mechaniczne, takie jak klawiatura, złącza USB, pokrywa z ekranem – to wszystko z biegiem czasu traci swoją żywotność, odkształca się, poluzowuje się i należy je naprawić lub wymienić (najczęściej , cały laptop zostaje wymieniony).
Co teraz? Zabrania się wyjmowania laptopa z mieszkania i śledzenia
poruszający?
Dlaczego więc dali laptopa?
Jednym z powodów jest to, że laptop jest łatwiejszy do przeniesienia. Wymyślmy coś innego, również kompaktowego.
Możesz wydać nie laptop, ale chronione dyski flash LiveUSB z już skonfigurowanym połączeniem VPN, a użytkownik będzie korzystał z własnego komputera. Ale to także loteria: czy oprogramowanie będzie działać na komputerze użytkownika, czy nie? Problemem może być po prostu brak niezbędnych sterowników.
Musimy wymyślić, jak zorganizować zdalne połączenie pracowników i pożądane jest, aby dana osoba nie uległa pokusie włóczenia się po mieście z firmowym laptopem, ale siedziała w domu i spokojnie pracowała, bez ryzyka zapomnienia lub gubiąc gdzieś powierzone mu urządzenie.
Stacjonarny dostęp VPN
A co jeśli nie udostępnisz urządzenia końcowego, np. laptopa, a tym bardziej osobnego pendrive'a do połączenia, ale bramkę sieciową z klientem VPN na pokładzie?
Na przykład gotowy router obejmujący obsługę różnych protokołów, w którym skonfigurowane jest już połączenie VPN. Zdalny pracownik musi jedynie podłączyć do niego swój komputer i rozpocząć pracę.
Jakie problemy to pomaga rozwiązać?
- Sprzętu ze skonfigurowanym dostępem do sieci firmowej poprzez VPN nie należy wynosić poza dom.
- Możesz podłączyć kilka urządzeń do jednego kanału VPN.
Pisaliśmy już powyżej, że fajnie jest móc poruszać się po mieszkaniu z laptopem, ale często łatwiej i wygodniej jest pracować z komputerem stacjonarnym.
Do sieci VPN na routerze możesz podłączyć komputer stacjonarny, laptop, smartfon, tablet, a nawet e-czytnik – wszystko, co obsługuje dostęp przez Wi-Fi lub przewodową sieć Ethernet.
Jeśli spojrzeć na sytuację szerzej, może to być na przykład punkt podłączenia minibiura, w którym może pracować kilka osób.
W ramach tak chronionego segmentu podłączone urządzenia mogą wymieniać informacje, można organizować coś w rodzaju zasobu do udostępniania plików, mając normalny dostęp do Internetu, wysyłać dokumenty do wydrukowania na drukarce zewnętrznej i tak dalej.
Telefonia firmowa! Tyle jest w tym dźwięku, że słychać go gdzieś w lampie! Scentralizowany kanał VPN dla kilku urządzeń pozwala na podłączenie smartfona poprzez sieć Wi-Fi i wykorzystanie telefonii IP do wykonywania połączeń na krótkie numery w sieci firmowej.
W przeciwnym razie konieczne byłoby wykonywanie połączeń komórkowych lub korzystanie z aplikacji zewnętrznych, takich jak WhatsApp, co nie zawsze jest zgodne z polityką bezpieczeństwa firmy.
A skoro mowa o bezpieczeństwie, warto zwrócić uwagę na jeszcze jeden ważny fakt. Dzięki sprzętowej bramie VPN możesz zwiększyć swoje bezpieczeństwo, korzystając z nowych funkcji kontroli bramy wejściowej. Pozwala to zwiększyć bezpieczeństwo i przenieść część obciążenia związanego z ochroną ruchu na bramę sieciową.
Jakie rozwiązanie może zaoferować Zyxel w tym przypadku?
Rozważamy urządzenie, które powinno zostać wydane do użytku tymczasowego wszystkim pracownikom, którzy mogą i chcą pracować zdalnie.
Dlatego takie urządzenie powinno być:
- niedrogi;
- niezawodny (aby nie tracić pieniędzy i czasu na naprawy);
- do nabycia w sieciach handlowych;
- łatwy w konfiguracji (jest przeznaczony do użycia bez specjalnego wywoływania
przeszkolony specjalista).
Nie brzmi zbyt realnie, prawda?
Jednak takie urządzenie istnieje, naprawdę istnieje i jest bezpłatne
- Zyxel ZyWALL VPN2S
VPN2S to zapora VPN, która umożliwia korzystanie z połączenia prywatnego
punkt-punkt bez skomplikowanej konfiguracji parametrów sieci.
Rysunek 1. Wygląd Zyxel ZyWALL VPN2S
Krótka specyfikacja urządzenia
Funkcje sprzętowe
Porty RJ-10 100/1000/45 Mb/s
3 x LAN, 1 x WAN/LAN, 1 x WAN
Porty USB
2 x USB 2.0
Brak wentylatora
Tak
Pojemność i wydajność systemu
Przepustowość zapory SPI (Mbps)
1.5 Gbps
Przepustowość VPN (Mbps)
35
Maksymalna liczba jednoczesnych sesji. TCP
50000
Maksymalna liczba jednoczesnych tuneli IPsec VPN [5] 20
Konfigurowalne strefy
Tak
Obsługa IPv6
Tak
Maksymalna liczba sieci VLAN
16
Główne funkcje oprogramowania
Równoważenie obciążenia/przełączanie awaryjne w wielu sieciach WAN
Tak
Wirtualna sieć prywatna (VPN)
Tak (IPSec, L2TP przez IPSec, PPTP, L2TP, GRE)
Klient VPN
IPSec/L2TP/PPTP
Filtrowanie zawartości
1 rok za darmo
Zapora
Tak
Grupa VLAN/interfejs
Tak
Zarządzanie przepustowością
Tak
Dziennik zdarzeń i monitorowanie
Tak
Pomocnik w chmurze
Tak
Zdalne sterowanie
Tak
Uwaga. Dane w tabeli oparte są na mikrokodzie OPAL BE w wersji 1.12 lub nowszej
późniejsza wersja.
Jakie opcje VPN są obsługiwane przez ZyWALL VPN2S
Właściwie z nazwy jasno wynika, że urządzenie ZyWALL VPN2S to przede wszystkim
przeznaczony do łączenia zdalnych pracowników i minioddziałów za pośrednictwem VPN.
- Protokół L2TP Over IPSec VPN jest udostępniany użytkownikom końcowym.
- Aby połączyć mini biura, zapewniona jest komunikacja za pośrednictwem VPN typu Site-to-Site IPSec.
- Ponadto za pomocą ZyWALL VPN2S możesz zbudować połączenie L2TP VPN
dostawca usług bezpiecznego dostępu do Internetu.
Należy zaznaczyć, że podział ten jest bardzo warunkowy. Na przykład możesz
punkt zdalny skonfiguruj połączenie VPN typu lokacja-lokacja IPSec za pomocą jednego
użytkownik wewnątrz obwodu.
Oczywiście wszystko to przy użyciu rygorystycznych algorytmów VPN (IKEv2 i SHA-2).
Korzystanie z wielu sieci WAN
W przypadku pracy zdalnej najważniejsze jest posiadanie stabilnego kanału. Niestety tylko z
Nie można tego zagwarantować w przypadku linii komunikacyjnej nawet od najbardziej niezawodnego dostawcy.
Problemy można podzielić na dwa typy:
- spadek prędkości - pomoże w tym funkcja równoważenia obciążenia Multi-WAN
utrzymanie stabilnego połączenia z wymaganą prędkością; - awaria na kanale – w tym celu wykorzystywana jest funkcja przełączania awaryjnego Multi-WAN
zapewnienie odporności na błędy metodą powielania.
Jakie są do tego możliwości sprzętowe:
- Czwarty port LAN można skonfigurować jako dodatkowy port WAN.
- Port USB umożliwia podłączenie modemu 3G/4G, który zapewnia
kanał zapasowy w postaci komunikacji komórkowej.
Zwiększone bezpieczeństwo sieci
Jak wspomniano powyżej, jest to jedna z głównych zalet korzystania ze specjalnych
scentralizowane urządzenia.
ZyWALL VPN2S posiada funkcję zapory sieciowej SPI (Stateful Packet Inspection), która przeciwdziała różnego rodzaju atakom, w tym DoS (Denial of Service), atakom z wykorzystaniem fałszywych adresów IP, a także nieautoryzowanemu zdalnemu dostępowi do systemów, podejrzanemu ruchowi sieciowemu i pakietom.
Jako dodatkową ochronę urządzenie posiada filtrowanie treści, które blokuje użytkownikowi dostęp do podejrzanych, niebezpiecznych i obcych treści.
Szybka i łatwa konfiguracja w 5 krokach za pomocą kreatora konfiguracji
Aby szybko skonfigurować połączenie, dostępny jest wygodny kreator konfiguracji i grafika
interfejs w kilku językach.
Rysunek 2. Przykład jednego z ekranów kreatora konfiguracji.
Aby zapewnić szybkie i wydajne zarządzanie, Zyxel oferuje kompletny pakiet narzędzi do zdalnej administracji, za pomocą których możesz łatwo skonfigurować VPN2S i monitorować go.
Możliwość duplikowania ustawień znacznie upraszcza przygotowanie wielu urządzeń ZyWALL VPN2S do przesyłania zdalnym pracownikom.
Obsługa sieci VLAN
Pomimo tego, że ZyWALL VPN2S jest przeznaczony do pracy zdalnej, obsługuje VLAN. Pozwala to zwiększyć bezpieczeństwo sieci, np. jeśli podłączone jest biuro indywidualnego przedsiębiorcy, które ma gościnne Wi-Fi. Standardowe funkcje VLAN, takie jak ograniczanie domen rozgłoszeniowych, ograniczanie przesyłanego ruchu i stosowanie polityk bezpieczeństwa, są pożądane w sieciach korporacyjnych, ale w zasadzie można je zastosować również w małych firmach.
Obsługa VLAN przydaje się także przy organizowaniu osobnej sieci, na przykład dla telefonii IP.
Aby zapewnić współpracę z siecią VLAN, urządzenie ZyWALL VPN2S obsługuje standard IEEE 802.1Q.
Podsumowując
Ryzyko utraty urządzenia mobilnego ze skonfigurowanym kanałem VPN wymaga rozwiązań innych niż dystrybucja laptopów korporacyjnych.
Zastosowanie kompaktowych i niedrogich bramek VPN pozwala w łatwy sposób zorganizować pracę zdalnych pracowników.
Model ZyWALL VPN2S został pierwotnie zaprojektowany do łączenia pracowników zdalnych i małych biur.
Przydatne linki
→
→
→
→
→
Źródło: www.habr.com