Povedali vam bomo o poceni in varnem načinu, kako zagotoviti, da so zaposleni na daljavo povezani prek VPN-ja, ne da bi podjetje izpostavili tveganjem ugleda ali finančnim tveganjem ter brez ustvarjanja dodatnih težav za IT oddelek in vodstvo podjetja.
Z razvojem IT je postalo možno pritegniti zaposlene na daljavo na vse več delovnih mest.
Če so bili prej med delavci na daljavo predvsem predstavniki kreativnih poklicev, na primer oblikovalci, tekstopisci, zdaj lahko računovodja, pravni svetovalec in številni predstavniki drugih poklicev brez težav delajo od doma in obiščejo pisarno le po potrebi.
V vsakem primeru pa je treba delo organizirati po varnem kanalu.
Najenostavnejša možnost. Na strežniku vzpostavimo VPN, zaposleni dobi geslo za prijavo in ključ certifikata VPN ter navodila, kako nastaviti VPN odjemalca na svojem računalniku. In oddelek IT meni, da je njegova naloga opravljena.
Zdi se, da ideja ni slaba, razen ene stvari: to mora biti zaposleni, ki zna vse konfigurirati sam. Če govorimo o usposobljenem razvijalcu omrežnih aplikacij, je zelo verjetno, da bo kos tej nalogi.
Toda računovodji, umetnikom, oblikovalcem, tehničnim piscem, arhitektom in mnogim drugim poklicem ni nujno, da razumejo zapletenost nastavitve VPN. Ali se mora nekdo povezati z njimi na daljavo in pomagati, ali pa priti osebno in vse nastaviti na licu mesta. V skladu s tem, če jim nekaj preneha delovati, na primer zaradi napake v uporabniškem profilu, so bile nastavitve omrežnega odjemalca izgubljene, potem je treba vse ponoviti znova.
Nekatera podjetja ponujajo prenosni računalnik z že nameščeno programsko opremo in konfiguriranim odjemalcem programske opreme VPN za delo na daljavo. Teoretično v tem primeru uporabniki ne bi smeli imeti skrbniških pravic. Na ta način sta rešena dva problema: zaposlenim je zagotovljena licenčna programska oprema, ki ustreza njihovim nalogam, in že pripravljen komunikacijski kanal. Hkrati ne morejo sami spremeniti nastavitev, kar zmanjša pogostost klicev na
tehnična podpora.
V nekaterih primerih je to priročno. Če imate na primer prenosni računalnik, lahko čez dan udobno sedite v svoji sobi, ponoči pa tiho delate v kuhinji, da nikogar ne zbudite.
Kaj je glavna pomanjkljivost? Enako kot plus - je prenosna mobilna naprava. Uporabniki spadajo v dve kategoriji: tisti, ki imajo raje namizni računalnik zaradi moči in velikega monitorja, in tisti, ki obožujejo prenosljivost.
Druga skupina uporabnikov z obema rokama glasuje za prenosnike. Ko so prejeli prenosni računalnik v podjetju, začnejo takšni zaposleni z veseljem hoditi z njim v kavarne, restavracije, oditi v naravo in poskušati delati od tam. Ko bi le delovalo, ne pa prejeto napravo samo uporabljal kot svoj računalnik za družabna omrežja in drugo zabavo.
Prej ali slej se poslovni prenosnik izgubi ne le skupaj z delovnimi informacijami na trdem disku, ampak tudi s konfiguriranim dostopom VPN. Če je potrditveno polje »shrani geslo« potrjeno v nastavitvah odjemalca VPN, se štejejo minute. V primerih, ko izguba ni bila takoj odkrita, podporna služba ni bila takoj obveščena ali ni bil takoj najden pravi uslužbenec s pravicami za blokiranje - to se lahko spremeni v veliko katastrofo.
Včasih pomaga omejevanje dostopa do informacij. Vendar omejitev dostopa ne pomeni popolne rešitve težav z izgubo naprave, ampak je le način za zmanjšanje izgub, ko so podatki razkriti in ogroženi.
Uporabite lahko šifriranje ali dvostopenjsko avtentikacijo, na primer z USB ključem. Navzven je ideja videti dobra, a zdaj, če prenosnik pade v napačne roke, se bo njegov lastnik moral zelo potruditi, da bo pridobil dostop do podatkov, vključno z dostopom prek VPN. V tem času lahko blokirate dostop do omrežja podjetja. Oddaljenemu uporabniku se odprejo nove priložnosti: vdreti bodisi v prenosni računalnik bodisi v ključ za dostop ali vse naenkrat. Formalno se je stopnja zaščite povečala, vendar službi tehnične podpore ne bo dolgčas. Poleg tega bo vsak oddaljeni operater zdaj moral kupiti komplet za dvofaktorsko avtentikacijo (ali šifriranje).
Ločena žalostna in dolga zgodba je zbiranje odškodnin za izgubljene ali poškodovane prenosnike (vržene na tla, polite s sladkim čajem, kavo in drugimi nesrečami) in izgubljene ključe za dostop.
Prenosnik med drugim vsebuje mehanske dele, kot so tipkovnica, USB priključki, pokrov z zaslonom – vsi ti sčasoma obrabijo svojo življenjsko dobo, se deformirajo, zrahljajo in jih je treba popraviti ali zamenjati (najpogosteje , zamenjan je celoten prenosnik).
In kaj sedaj? Prenosni računalnik je strogo prepovedano vzeti iz stanovanja in slediti
premikanje?
Zakaj so potem dali prenosnik?
Eden od razlogov je, da je prenosni računalnik lažje prenesti. Izmislimo si nekaj drugega, tudi kompaktnega.
Lahko izdate ne prenosni računalnik, ampak zaščitene bliskovne pogone LiveUSB z že konfigurirano povezavo VPN, uporabnik pa bo uporabljal svoj računalnik. Toda to je tudi loterija: ali se bo programska oprema izvajala na uporabnikovem računalniku ali ne? Težava je lahko preprosto pomanjkanje potrebnih gonilnikov.
Ugotoviti moramo, kako organizirati povezavo zaposlenih na daljavo, pri čemer je zaželeno, da oseba ne podleže skušnjavi pohajkovanja po mestu s službenim prenosnikom, ampak sedi doma in mirno dela, ne da bi pozabila oz. nekje izgubil napravo, ki mu je bila zaupana.
Stacionarni VPN dostop
Kaj pa, če ne zagotovite končne naprave, na primer prenosnega računalnika, ali še posebej ne ločenega bliskovnega pogona za povezavo, temveč omrežni prehod z odjemalcem VPN na krovu?
Na primer že pripravljen usmerjevalnik, ki vključuje podporo za različne protokole, v katerem je že konfigurirana povezava VPN. Oddaljeni zaposleni mora samo povezati svoj računalnik z njim in začeti delati.
Katere težave to pomaga rešiti?
- Oprema s konfiguriranim dostopom do omrežja podjetja prek VPN se ne odnese iz hiše.
- Na en kanal VPN lahko povežete več naprav.
Zgoraj smo že zapisali, da se je lepo premikati po stanovanju s prenosnim računalnikom, vendar je pogosto lažje in bolj priročno delati z namiznim računalnikom.
Na VPN na usmerjevalniku lahko povežete osebni računalnik, prenosni računalnik, pametni telefon, tablični računalnik in celo e-bralnik – vse, kar podpira dostop prek Wi-Fi ali žičnega Etherneta.
Če pogledate na situacijo širše, je to lahko na primer povezovalna točka za mini pisarno, kjer lahko dela več ljudi.
Znotraj tako zaščitenega segmenta lahko povezane naprave izmenjujejo informacije, lahko organizirate nekaj podobnega viru za skupno rabo datotek, medtem ko imate običajen dostop do interneta, pošiljate dokumente za tiskanje na zunanji tiskalnik itd.
Poslovna telefonija! Toliko je v tem zvoku, da zveni nekje v cevi! Centraliziran kanal VPN za več naprav vam omogoča povezavo pametnega telefona prek omrežja Wi-Fi in uporabo IP telefonije za klice na kratke številke v omrežju podjetja.
V nasprotnem primeru bi morali opravljati mobilne klice ali uporabljati zunanje aplikacije, kot je WhatsApp, kar ni vedno v skladu s korporativno varnostno politiko.
In ker že govorimo o varnosti, velja opozoriti še na eno pomembno dejstvo. S strojnim prehodom VPN lahko izboljšate svojo varnost z uporabo novih nadzornih funkcij na vhodnem prehodu. To vam omogoča, da povečate varnost in del obremenitve zaščite prometa prenesete na omrežni prehod.
Kakšno rešitev lahko ponudi Zyxel za ta primer?
Razmišljamo o napravi, ki bi jo izdali v začasno uporabo vsem zaposlenim, ki lahko in želijo delati na daljavo.
Zato bi morala biti taka naprava:
- poceni;
- zanesljiv (da ne bi zapravljali denarja in časa za popravila);
- na voljo za nakup v trgovskih verigah;
- enostaven za nastavitev (namenjen je uporabi brez posebnega klica
usposobljen specialist).
Ne zveni zelo resnično, kajne?
Vendar taka naprava obstaja, res obstaja in je brezplačna
- Zyxel ZyWALL VPN2S
VPN2S je požarni zid VPN, ki vam omogoča uporabo zasebne povezave
od točke do točke brez zapletene konfiguracije omrežnih parametrov.
Slika 1. Videz Zyxel ZyWALL VPN2S
Kratka specifikacija naprave
Funkcije strojne opreme
10/100/1000 Mbps RJ-45 vrata
3 x LAN, 1 x WAN/LAN, 1 x WAN
vrata USB
2 x USB 2.0
Brez ventilatorja
Da
Zmogljivost in zmogljivost sistema
Prepustnost požarnega zidu SPI (Mbps)
1.5 Gbps
Prepustnost VPN (Mbps)
35
Največje število sočasnih sej. TCP
50000
Največje število istočasnih tunelov IPsec VPN [5] 20
Prilagodljive cone
Da
Podpora za IPv6
Da
Največje število omrežij VLAN
16
Glavne funkcije programske opreme
Multi-WAN Load Balance/Failover
Da
Navidezno zasebno omrežje (VPN)
Da (IPSec, L2TP prek IPSec, PPTP, L2TP, GRE)
odjemalec VPN
IPSec/L2TP/PPTP
Filtriranje vsebine
1 leto brezplačno
Požarni zid
Da
VLAN/skupina vmesnikov
Da
Upravljanje pasovne širine
Da
Dnevnik dogodkov in spremljanje
Da
Pomočnik v oblaku
Da
Daljinec
Da
Opomba. Podatki v tabeli temeljijo na mikrokodi OPAL BE 1.12 ali novejši
poznejša različica.
Katere možnosti VPN podpira ZyWALL VPN2S
Pravzaprav je že iz imena jasno, da je naprava ZyWALL VPN2S predvsem
zasnovan za povezovanje oddaljenih zaposlenih in mini podružnic prek VPN.
- Za končne uporabnike je na voljo protokol L2TP Over IPSec VPN.
- Za povezavo mini pisarn je zagotovljena komunikacija prek Site-to-Site IPSec VPN.
- Prav tako lahko z uporabo ZyWALL VPN2S zgradite povezavo L2TP VPN
ponudnik storitev za varen dostop do interneta.
Treba je opozoriti, da je ta delitev zelo pogojna. Na primer, lahko
oddaljeno točko konfigurirajte povezavo Site-to-Site IPSec VPN z enim samim
uporabnik znotraj oboda.
Seveda vse to z uporabo strogih algoritmov VPN (IKEv2 in SHA-2).
Uporaba več omrežij WAN
Za delo na daljavo je glavna stvar stabilen kanal. Na žalost z edinim
Tega s komunikacijsko linijo ne more zagotoviti niti najbolj zanesljiv ponudnik.
Težave lahko razdelimo na dve vrsti:
- padec hitrosti - pri tem bo pomagala funkcija uravnoteženja obremenitve Multi-WAN
vzdrževanje stabilne povezave pri zahtevani hitrosti; - napaka na kanalu - v ta namen se uporablja funkcija Multi-WAN failover
zagotavljanje tolerance napak z uporabo metode podvajanja.
Katere zmogljivosti strojne opreme so na voljo za to:
- Četrta vrata LAN lahko konfigurirate kot dodatna vrata WAN.
- Vrata USB lahko uporabite za povezavo 3G/4G modema, ki omogoča
rezervni kanal v obliki mobilne komunikacije.
Povečana varnost omrežja
Kot že omenjeno, je to ena glavnih prednosti uporabe posebnih
centralizirane naprave.
ZyWALL VPN2S ima funkcijo požarnega zidu SPI (Stateful Packet Inspection) za preprečevanje različnih vrst napadov, vključno z DoS (Denial of Service), napadi z uporabo ponarejenih naslovov IP, pa tudi nepooblaščenim oddaljenim dostopom do sistemov, sumljivim omrežnim prometom in paketi.
Kot dodatno zaščito ima naprava filtriranje vsebine, ki uporabniku blokira dostop do sumljive, nevarne in tuje vsebine.
Hitra in enostavna nastavitev v 5 korakih s čarovnikom za nastavitev
Za hitro nastavitev povezave sta na voljo priročen čarovnik za nastavitev in grafika
vmesnik v več jezikih.
Slika 2. Primer enega od zaslonov čarovnika za nastavitev.
Za hitro in učinkovito upravljanje ponuja Zyxel celoten paket pripomočkov za oddaljeno upravljanje, s katerimi lahko preprosto konfigurirate VPN2S in ga nadzirate.
Možnost podvajanja nastavitev močno poenostavi pripravo več naprav ZyWALL VPN2S za prenos oddaljenim zaposlenim.
Podpora za VLAN
Kljub temu, da je ZyWALL VPN2S zasnovan za delo na daljavo, podpira VLAN. To vam omogoča, da povečate varnost omrežja, na primer, če je povezana pisarna samostojnega podjetnika, ki ima Wi-Fi za goste. Standardne funkcije VLAN, kot so omejevanje oddajnih domen, zmanjšanje prenesenega prometa in uporaba varnostnih politik, so povpraševanje v omrežjih podjetij, načeloma pa jih je mogoče uporabiti tudi v malih podjetjih.
Podpora VLAN je uporabna tudi za organizacijo ločenega omrežja, na primer za IP telefonijo.
Za zagotovitev delovanja z VLAN naprava ZyWALL VPN2S podpira standard IEEE 802.1Q.
Povzema
Tveganje izgube mobilne naprave s konfiguriranim kanalom VPN zahteva rešitve, ki niso distribucija prenosnih računalnikov podjetja.
Uporaba kompaktnih in poceni prehodov VPN vam omogoča enostavno organizacijo dela oddaljenih zaposlenih.
Model ZyWALL VPN2S je bil prvotno zasnovan za povezovanje oddaljenih delavcev in majhnih pisarn.
Uporabne povezave
→
→
→
→
→
Vir: www.habr.com