Vă vom spune despre o modalitate ieftină și sigură de a vă asigura că angajații de la distanță sunt conectați prin VPN, fără a expune compania la riscuri reputaționale sau financiare și fără a crea probleme suplimentare pentru departamentul IT și conducerea companiei.
Odată cu dezvoltarea IT, a devenit posibilă atragerea angajaților de la distanță într-un număr tot mai mare de posturi.
Dacă mai devreme printre lucrătorii la distanță existau în principal reprezentanți ai profesiilor creative, de exemplu, designeri, copywriteri, acum un contabil, un consilier juridic și mulți reprezentanți ai altor profesii pot lucra cu ușurință de acasă, vizitând biroul numai atunci când este necesar.
Dar, în orice caz, este necesar să se organizeze munca printr-un canal securizat.
Cea mai simplă opțiune. Am configurat un VPN pe server, angajatului i se oferă o parolă de conectare și o cheie de certificat VPN, precum și instrucțiuni despre cum să configurați un client VPN pe computerul său. Iar departamentul IT consideră sarcina încheiată.
Ideea pare să nu fie rea, cu excepția unui singur lucru: trebuie să fie un angajat care știe să configureze totul singur. Dacă vorbim despre un dezvoltator calificat de aplicații de rețea, este foarte probabil ca acesta să facă față acestei sarcini.
Dar un contabil, artist, designer, scriitor tehnic, arhitect și multe alte profesii nu trebuie neapărat să înțeleagă complexitățile instalării unui VPN. Fie cineva trebuie să se conecteze la ei de la distanță și să ajute, fie să vină personal și să configureze totul pe loc. În consecință, dacă ceva nu mai funcționează pentru ei, de exemplu, din cauza unei erori în profilul utilizatorului, setările clientului de rețea s-au pierdut, atunci totul trebuie repetat din nou.
Unele companii oferă un laptop cu software deja instalat și un client software VPN configurat pentru lucrul de la distanță. În teorie, în acest caz, utilizatorii nu ar trebui să aibă drepturi de administrator. În acest fel, se rezolvă două probleme: angajaților li se garantează că li se oferă software licențiat care se potrivește sarcinilor lor și un canal de comunicare gata făcut. În același timp, aceștia nu pot modifica singuri setările, ceea ce reduce frecvența apelurilor către
suport tehnic.
În unele cazuri, acest lucru este convenabil. De exemplu, având un laptop, poți să stai confortabil în camera ta în timpul zilei și să lucrezi în liniște în bucătărie noaptea pentru a nu trezi pe nimeni.
Care este principalul dezavantaj? La fel ca un plus - este un dispozitiv mobil care poate fi transportat. Utilizatorii se împart în două categorii: cei care preferă un PC desktop pentru putere și un monitor mare și cei care iubesc portabilitatea.
Al doilea grup de utilizatori votează cu ambele mâini pentru laptopuri. După ce au primit un laptop corporativ, astfel de angajați încep să meargă cu bucurie cu el la cafenele, restaurante, merg în natură și încearcă să lucreze de acolo. Doar dacă ar funcționa și nu doar să folosești dispozitivul primit ca propriul computer pentru rețelele sociale și alte divertisment.
Mai devreme sau mai târziu, un laptop corporativ se pierde nu numai împreună cu informațiile de lucru de pe hard disk, ci și cu accesul VPN configurat. Dacă caseta de selectare „salvare parolă” este bifată în setările clientului VPN, atunci minutele contează. În situațiile în care pierderea nu a fost descoperită imediat, serviciul de asistență nu a fost anunțat imediat sau nu a fost găsit imediat angajatul potrivit cu drepturi de blocare - acest lucru se poate transforma într-un mare dezastru.
Uneori, limitarea accesului la informații ajută. Dar limitarea accesului nu înseamnă rezolvarea completă a problemelor legate de pierderea unui dispozitiv; este doar o modalitate de a reduce pierderile atunci când datele sunt dezvăluite și compromise.
Puteți utiliza criptarea sau autentificarea cu doi factori, de exemplu cu o cheie USB. În exterior, ideea arată bine, dar acum dacă laptopul cade pe mâini greșite, proprietarul său va trebui să muncească din greu pentru a obține acces la date, inclusiv accesul prin VPN. În acest timp, puteți reuși să blocați accesul la rețeaua corporativă. Și noi oportunități se deschid pentru utilizatorul de la distanță: să pirateze fie laptopul, fie cheia de acces, fie toate deodată. Formal, nivelul de protecție a crescut, dar serviciul de suport tehnic nu se va plictisi. În plus, fiecare operator de la distanță va trebui acum să achiziționeze un kit de autentificare (sau criptare) cu doi factori.
O poveste tristă și lungă separată este colectarea de daune pentru laptopuri pierdute sau deteriorate (aruncate pe podea, vărsate cu ceai dulce, cafea și alte accidente) și chei de acces pierdute.
Printre altele, un laptop conține părți mecanice, cum ar fi o tastatură, conectori USB și un capac cu ecran - toate acestea își uzează durata de viață în timp, se deformează, se slăbesc și trebuie reparate sau înlocuite (cel mai adesea , întregul laptop este înlocuit).
Deci ce acum? Este strict interzis să scoateți un laptop din apartament și să urmăriți
in miscare?
Atunci de ce au dat un laptop?
Unul dintre motive este că un laptop este mai ușor de transferat. Să venim cu altceva, tot compact.
Puteți emite nu un laptop, ci unități flash LiveUSB protejate cu o conexiune VPN deja configurată, iar utilizatorul își va folosi propriul computer. Dar aceasta este și o loterie: ansamblul software va rula sau nu pe computerul utilizatorului? Problema poate fi o simplă lipsă a driverelor necesare.
Trebuie să ne dăm seama cum să organizăm legătura angajaților de la distanță și este de dorit ca persoana să nu cedeze tentației de a rătăci prin oraș cu un laptop corporativ, ci să stea acasă și să lucreze calm, fără riscul de a uita sau pierzând undeva aparatul care i-a fost încredinţat.
Acces VPN staționar
Ce se întâmplă dacă nu furnizați un dispozitiv final, de exemplu, un laptop, sau mai ales nu o unitate flash separată pentru conectare, ci un gateway de rețea cu un client VPN la bord?
De exemplu, un router gata făcut, care include suport pentru diverse protocoale, în care o conexiune VPN este deja configurată. Angajatul de la distanță trebuie doar să-și conecteze computerul la acesta și să înceapă să lucreze.
Ce probleme ajută acest lucru să rezolve?
- Echipamentele cu acces configurat la rețeaua corporativă prin VPN nu sunt scoase din casă.
- Puteți conecta mai multe dispozitive la un canal VPN.
Am scris deja mai sus că este plăcut să te poți deplasa prin apartament cu un laptop, dar de multe ori este mai ușor și mai convenabil să lucrezi cu un computer desktop.
Și puteți conecta un computer, un laptop, un smartphone, o tabletă și chiar un e-reader la VPN de pe router - orice acceptă accesul prin Wi-Fi sau Ethernet prin cablu.
Dacă priviți situația mai larg, acesta ar putea fi, de exemplu, un punct de conectare pentru un mini-birou unde pot lucra mai multe persoane.
În cadrul unui astfel de segment protejat, dispozitivele conectate pot face schimb de informații, puteți organiza ceva ca o resursă de partajare a fișierelor, având în același timp acces normal la Internet, trimiteți documente pentru imprimare la o imprimantă externă și așa mai departe.
Telefonie corporativă! Sunt atât de multe în acest sunet care se aude undeva în tub! Un canal VPN centralizat pentru mai multe dispozitive vă permite să conectați un smartphone printr-o rețea Wi-Fi și să utilizați telefonia IP pentru a efectua apeluri către numere scurte din rețeaua corporativă.
În caz contrar, ar trebui să efectuați apeluri mobile sau să utilizați aplicații externe precum WhatsApp, care nu este întotdeauna în concordanță cu politica de securitate a companiei.
Și din moment ce vorbim despre siguranță, este de remarcat un alt fapt important. Cu un gateway VPN hardware, vă puteți îmbunătăți securitatea utilizând noi funcții de control pe gateway-ul de intrare. Acest lucru vă permite să creșteți securitatea și să transferați o parte din sarcina de protecție a traficului către gateway-ul de rețea.
Ce soluție poate oferi Zyxel pentru acest caz?
Luăm în considerare un dispozitiv care ar trebui eliberat pentru utilizare temporară tuturor angajaților care pot și vor să lucreze de la distanță.
Prin urmare, un astfel de dispozitiv ar trebui să fie:
- ieftin;
- fiabil (pentru a nu pierde bani și timp pe reparații);
- disponibil pentru cumpărare în lanțurile de retail;
- ușor de configurat (este destinat să fie utilizat fără a apela în mod specific
specialist instruit).
Nu sună foarte real, nu?
Cu toate acestea, un astfel de dispozitiv există, există cu adevărat și este gratuit
- Zyxel ZyWALL VPN2S
VPN2S este un firewall VPN care vă permite să utilizați o conexiune privată
punct la punct fără configurarea complexă a parametrilor rețelei.
Figura 1. Aspectul lui Zyxel ZyWALL VPN2S
Scurtă specificație a dispozitivului
Caracteristici hardware
Porturi RJ-10 100/1000/45 Mbps
3 x LAN, 1 x WAN/LAN, 1 x WAN
porturi USB
2 x USB 2.0
Fără ventilator
Da
Capacitatea și performanța sistemului
Debitul SPI Firewall (Mbps)
1.5 Gbps
Lățime de bandă VPN (Mbps)
35
Număr maxim de sesiuni simultane. TCP
50000
Numărul maxim de tuneluri VPN IPsec simultane [5] 20
Zone personalizabile
Da
Suport IPv6
Da
Numărul maxim de VLAN-uri
16
Principalele caracteristici ale software-ului
Echilibru de încărcare multi-WAN/Failover
Da
Rețea privată virtuală (VPN)
Da (IPSec, L2TP peste IPSec, PPTP, L2TP, GRE)
Client VPN
IPSec/L2TP/PPTP
Filtrarea conținutului
1 an gratuit
Firewall
Da
VLAN/Grup de interfață
Da
Managementul lățimii de bandă
Da
Jurnal de evenimente și monitorizare
Da
Cloud Helper
Da
Telecomandă
Da
Notă. Datele din tabel se bazează pe microcodul OPAL BE 1.12 sau mai mare
versiune ulterioară.
Ce opțiuni VPN sunt acceptate de ZyWALL VPN2S
De fapt, din nume este clar că dispozitivul ZyWALL VPN2S este în primul rând
conceput pentru a conecta angajați la distanță și mini-sucursale prin VPN.
- Protocolul VPN L2TP Over IPSec este furnizat utilizatorilor finali.
- Pentru a conecta mini-birourile, este furnizată comunicarea prin VPN IPSec Site-to-Site.
- De asemenea, folosind ZyWALL VPN2S puteți construi o conexiune VPN L2TP cu
furnizor de servicii pentru acces securizat la Internet.
Trebuie remarcat faptul că această împărțire este foarte condiționată. De exemplu, poți
punct la distanță configurați o conexiune VPN IPSec Site-to-Site cu un singur
utilizator în interiorul perimetrului.
Desigur, toate acestea folosind algoritmi VPN stricti (IKEv2 și SHA-2).
Utilizarea mai multor rețele WAN
Pentru lucrul la distanță, principalul lucru este să aveți un canal stabil. Din păcate, cu singurul
Acest lucru nu poate fi garantat cu o linie de comunicare chiar și de la cel mai de încredere furnizor.
Problemele pot fi împărțite în două tipuri:
- scăderea vitezei - funcția de echilibrare a sarcinii Multi-WAN vă va ajuta în acest sens
menținerea unei conexiuni stabile la viteza necesară; - eșec pe canal - în acest scop este utilizată funcția de failover Multi-WAN
asigurarea tolerantei la erori prin metoda duplicarii.
Ce capabilități hardware există pentru asta:
- Al patrulea port LAN poate fi configurat ca port WAN suplimentar.
- Portul USB poate fi folosit pentru a conecta un modem 3G/4G, care oferă
canal de rezervă sub formă de comunicare celulară.
Securitate sporită a rețelei
După cum am menționat mai sus, acesta este unul dintre principalele avantaje ale utilizării speciale
dispozitive centralizate.
ZyWALL VPN2S are o funcție de firewall SPI (Stateful Packet Inspection) pentru a contracara diferite tipuri de atacuri, inclusiv DoS (Denial of Service), atacuri care folosesc adrese IP falsificate, precum și acces neautorizat de la distanță la sisteme, trafic de rețea și pachete suspecte.
Ca protecție suplimentară, dispozitivul are filtrare de conținut pentru a bloca accesul utilizatorilor la conținut suspect, periculos și străin.
Configurare rapidă și ușoară în 5 pași cu asistent de configurare
Pentru a configura rapid o conexiune, există un expert de configurare convenabil și grafic
interfață în mai multe limbi.
Figura 2. Un exemplu de unul dintre ecranele asistentului de configurare.
Pentru o gestionare rapidă și eficientă, Zyxel oferă un pachet complet de utilități de administrare la distanță cu ajutorul cărora puteți configura cu ușurință VPN2S și îl puteți monitoriza.
Capacitatea de a duplica setările simplifică foarte mult pregătirea mai multor dispozitive ZyWALL VPN2S pentru transferul către angajații de la distanță.
Suport VLAN
În ciuda faptului că ZyWALL VPN2S este proiectat pentru lucrul la distanță, acceptă VLAN. Acest lucru vă permite să creșteți securitatea rețelei, de exemplu, dacă este conectat biroul unui antreprenor individual, care are Wi-Fi pentru oaspeți. Funcțiile VLAN standard, cum ar fi limitarea domeniilor de difuzare, reducerea traficului transmis și aplicarea politicilor de securitate, sunt solicitate în rețelele corporative, dar în principiu pot fi utilizate și în întreprinderile mici.
Suportul VLAN este util și pentru organizarea unei rețele separate, de exemplu, pentru telefonia IP.
Pentru a asigura funcționarea cu VLAN, dispozitivul ZyWALL VPN2S acceptă standardul IEEE 802.1Q.
Rezumând
Riscul de a pierde un dispozitiv mobil cu un canal VPN configurat necesită alte soluții decât distribuirea laptopurilor corporative.
Utilizarea gateway-urilor VPN compacte și ieftine vă permite să organizați cu ușurință munca angajaților de la distanță.
Modelul ZyWALL VPN2S a fost conceput inițial pentru a conecta lucrătorii de la distanță și birourile mici.
Link-uri utile
→
→
→
→
→
Sursa: www.habr.com