Рећи ћемо вам о јефтином и безбедном начину да обезбедите да су удаљени запослени повезани преко ВПН-а, без излагања компаније репутационим или финансијским ризицима и без стварања додатних проблема за ИТ одељење и менаџмент компаније.
Развојем ИТ-а постало је могуће привући удаљене запослене на све већи број позиција.
Ако су раније међу удаљеним радницима били углавном представници креативних професија, на пример, дизајнери, копирајтери, сада рачуновођа, правни саветник и многи представници других професија могу лако да раде од куће, посећујући канцеларију само када је то потребно.
Али у сваком случају, потребно је организовати рад кроз сигуран канал.
Најједноставнија опција. Постављамо ВПН на серверу, запосленом се даје лозинка за пријаву и ВПН кључ сертификата, као и упутства како да подеси ВПН клијент на свом рачунару. А ИТ одељење сматра свој задатак завршеним.
Чини се да идеја није лоша, осим једне ствари: то мора бити запосленик који уме све да конфигурише сам. Ако говоримо о квалификованом програмеру мрежних апликација, врло је вероватно да ће се он носити са овим задатком.
Али рачуновођа, уметник, дизајнер, технички писац, архитекта и многе друге професије не морају нужно да разумеју замршености постављања ВПН-а. Или неко треба да се повеже са њима на даљину и помогне, или дође лично и све подеси на лицу места. Сходно томе, ако нешто престане да ради за њих, на пример, због грешке у корисничком профилу, изгубљена су подешавања мрежног клијента, онда све треба поновити изнова.
Неке компаније обезбеђују лаптоп са већ инсталираним софтвером и конфигурисаним ВПН софтверским клијентом за даљински рад. У теорији, у овом случају, корисници не би требало да имају администраторска права. На овај начин се решавају два проблема: запосленима је гарантовано обезбеђен лиценцирани софтвер који одговара њиховим задацима и готов канал комуникације. Истовремено, не могу сами да мењају подешавања, што смањује учесталост позива на
Техничка подршка.
У неким случајевима ово је згодно. На пример, ако имате лаптоп, можете удобно да седите у својој соби током дана, а ноћу тихо радите у кухињи како никога не бисте пробудили.
Шта је главни недостатак? Исто као плус - то је мобилни уређај који се може носити. Корисници се деле у две категорије: они који више воле десктоп рачунар због снаге и великог монитора и они који воле преносивост.
Друга група корисника гласа са обе руке за лаптопове. Добивши корпоративни лаптоп, такви запослени почињу радо да иду с њим у кафиће, ресторане, иду у природу и покушавају да раде одатле. Само да ради, а не само да користите примљени уређај као сопствени рачунар за друштвене мреже и другу забаву.
Пре или касније, корпоративни лаптоп се губи не само заједно са подацима о раду на чврстом диску, већ и са конфигурисаним ВПН приступом. Ако је поље за потврду „сачувај лозинку“ означено у подешавањима ВПН клијента, рачунају се минути. У ситуацијама када губитак није одмах откривен, служба за подршку није одмах обавештена или није одмах пронађен прави запосленик са правом на блокаду - то се може претворити у велику катастрофу.
Понекад помаже ограничење приступа информацијама. Али ограничавање приступа не значи потпуно решавање проблема губитка уређаја; то је само начин да се смање губици када се подаци открију и компромитују.
Можете користити шифровање или двофакторску аутентификацију, на пример помоћу УСБ кључа. Споља, идеја изгледа добро, али сада ако лаптоп падне у погрешне руке, његов власник ће морати да се потруди да добије приступ подацима, укључујући приступ преко ВПН-а. За то време можете успети да блокирате приступ корпоративној мрежи. И нове могућности се отварају за удаљеног корисника: да хакује или лаптоп, или приступни кључ, или све одједном. Формално, ниво заштите је повећан, али служба техничке подршке неће бити досадна. Поред тога, сваки удаљени оператер сада ће морати да купи комплет за аутентификацију (или шифровање) са два фактора.
Посебна тужна и дуга прича је наплата штете за изгубљене или оштећене лаптопове (бачене на под, просуте слатким чајем, кафом и другим незгодама) и изгубљене приступне кључеве.
Између осталог, лаптоп садржи механичке делове, као што су тастатура, УСБ конектори и поклопац са екраном – све то временом истроши свој радни век, деформише се, олабави се и мора се поправити или заменити (најчешће , цео лаптоп је замењен).
И шта сад? Строго је забрањено изношење лаптопа из стана и стаза
креће?
Зашто су онда дали лаптоп?
Један од разлога је тај што је лаптоп лакши за пренос. Хајде да смислимо нешто друго, такође компактно.
Можете издати не лаптоп, већ заштићене ЛивеУСБ флеш дискове са већ конфигурисаном ВПН везом, а корисник ће користити сопствени рачунар. Али ово је такође лутрија: да ли ће се софтверски склоп покренути на рачунару корисника или не? Проблем може бити једноставан недостатак потребних драјвера.
Морамо смислити како да организујемо везу запослених на даљину, а пожељно је да особа не подлегне искушењу да лута градом са корпоративним лаптопом, већ седи код куће и мирно ради без ризика да заборави или изгубивши негде поверени му уређај.
Стационарни ВПН приступ
Шта ако не обезбедите крајњи уређај, на пример, лаптоп, или посебно не посебан флеш диск за повезивање, већ мрежни пролаз са ВПН клијентом?
На пример, готов рутер који укључује подршку за различите протоколе, у којем је већ конфигурисана ВПН веза. Запослени на даљину само треба да повеже свој рачунар на њега и почне да ради.
Које проблеме ово помаже у решавању?
- Опрема са конфигурисаним приступом корпоративној мрежи преко ВПН-а се не износи из куће.
- Можете повезати неколико уређаја на један ВПН канал.
Већ смо писали изнад да је лепо моћи да се крећете по стану помоћу лаптопа, али је често лакше и згодније радити са десктоп рачунаром.
И можете да повежете рачунар, лаптоп, паметни телефон, таблет, па чак и е-читач на ВПН на рутеру – било шта што подржава приступ преко Ви-Фи или жичаног Етхернета.
Ако посматрате ситуацију шире, ово може бити, на пример, тачка везе за мини-канцеларију у којој може да ради неколико људи.
У оквиру таквог заштићеног сегмента, повезани уређаји могу да размењују информације, можете организовати нешто попут ресурса за дељење датотека, уз нормалан приступ Интернету, слати документе за штампање на екстерни штампач итд.
Корпоративна телефонија! Има толико тога у овом звуку што звучи негде у цеви! Централизовани ВПН канал за неколико уређаја омогућава вам да повежете паметни телефон преко Ви-Фи мреже и користите ИП телефонију за упућивање позива на кратке бројеве у оквиру корпоративне мреже.
У супротном, морали бисте да упућујете мобилне позиве или користите екстерне апликације као што је ВхатсАпп, што није увек у складу са корпоративном безбедносном политиком.
А пошто говоримо о безбедности, вреди напоменути још једну важну чињеницу. Са хардверским ВПН мрежним пролазом, можете побољшати своју безбедност коришћењем нових контролних функција на улазном гејтвеју. Ово вам омогућава да повећате безбедност и пребаците део оптерећења заштите саобраћаја на мрежни пролаз.
Које решење Зикел може да понуди за овај случај?
Размишљамо о уређају који би требало да буде издат на привремено коришћење свим запосленима који могу и желе да раде на даљину.
Дакле, такав уређај треба да буде:
- јефтин;
- поуздан (како не би губили новац и време на поправке);
- доступно за куповину у малопродајним ланцима;
- једноставан за подешавање (намењен је да се користи без посебног позивања
обучени специјалиста).
Не звучи баш стварно, зар не?
Међутим, такав уређај постоји, он заиста постоји и бесплатан је
- Зикел ЗиВАЛЛ ВПН2С
ВПН2С је ВПН заштитни зид који вам омогућава да користите приватну везу
тачка-тачка без сложене конфигурације мрежних параметара.
Слика 1. Изглед Зикел ЗиВАЛЛ ВПН2С
Кратка спецификација уређаја
Хардверске карактеристике
10/100/1000 Мбпс РЈ-45 портови
3 к ЛАН, 1 к ВАН/ЛАН, 1 к ВАН
УСБ портови
КСНУМКС к УСБ КСНУМКС
Нема вентилатора
Да
Капацитет и перформансе система
Проток СПИ заштитног зида (Мбпс)
КСНУМКС Гбпс
ВПН пропусни опсег (Мбпс)
35
Максималан број истовремених сесија. ТЦП
50000
Максималан број истовремених ИПсец ВПН тунела [5] 20
Прилагодљиве зоне
Да
ИПв6 подршка
Да
Максималан број ВЛАН-ова
16
Главне карактеристике софтвера
Мулти-ВАН Лоад Баланце/Фаиловер
Да
Виртуелна приватна мрежа (ВПН)
Да (ИПСец, Л2ТП преко ИПСец, ППТП, Л2ТП, ГРЕ)
ВПН клијент
ИПСец/Л2ТП/ППТП
Филтрирање садржаја
1 година бесплатно
Ватрени зид
Да
ВЛАН/Интерфејс група
Да
Управљање пропусним опсегом
Да
Дневник догађаја и праћење
Да
Цлоуд Хелпер
Да
Даљинско управљање
Да
Напомена. Подаци у табели су засновани на ОПАЛ БЕ микрокоду 1.12 или новијем
каснија верзија.
Које ВПН опције подржава ЗиВАЛЛ ВПН2С
Заправо, из имена је јасно да је ЗиВАЛЛ ВПН2С уређај првенствено
дизајниран за повезивање удаљених запослених и мини филијала преко ВПН-а.
- За крајње кориснике обезбеђен је Л2ТП Овер ИПСец ВПН протокол.
- За повезивање мини-канцеларија обезбеђена је комуникација преко Сите-то-Сите ИПСец ВПН.
- Такође, користећи ЗиВАЛЛ ВПН2С можете изградити Л2ТП ВПН везу
провајдера услуга за сигуран приступ Интернету.
Треба напоменути да је ова подела веома условна. На пример, можете
удаљену тачку конфигуришите Сите-то-Сите ИПСец ВПН везу са једном
корисника унутар периметра.
Наравно, све ово користећи строге ВПН алгоритме (ИКЕв2 и СХА-2).
Коришћење више ВАН мрежа
За даљински рад, главна ствар је да имате стабилан канал. Нажалост, са јединим
Ово се не може гарантовати комуникацијском линијом чак ни од најпоузданијег провајдера.
Проблеми се могу поделити у две врсте:
- пад брзине - Мулти-ВАН функција балансирања оптерећења ће помоћи у томе
одржавање стабилне везе на потребној брзини; - квар на каналу - за ову сврху се користи функција Мулти-ВАН фаиловер
обезбеђивање толеранције грешке методом дуплирања.
Које хардверске могућности постоје за ово:
- Четврти ЛАН порт се може конфигурисати као додатни ВАН порт.
- УСБ порт се може користити за повезивање 3Г/4Г модема, који обезбеђује
резервни канал у виду ћелијске комуникације.
Повећана сигурност мреже
Као што је горе поменуто, ово је једна од главних предности коришћења специјалних
централизовани уређаји.
ЗиВАЛЛ ВПН2С има функцију заштитног зида СПИ (Статефул Пацкет Инспецтион) за сузбијање различитих врста напада, укључујући ДоС (одбијање услуге), нападе који користе лажне ИП адресе, као и неовлашћени даљински приступ системима, сумњив мрежни саобраћај и пакете.
Као додатну заштиту, уређај има филтрирање садржаја за блокирање приступа корисника сумњивом, опасном и страном садржају.
Брзо и једноставно подешавање у 5 корака са чаробњаком за подешавање
Да бисте брзо успоставили везу, постоји згодан чаробњак за подешавање и графички приказ
интерфејс на неколико језика.
Слика 2. Пример једног од екрана чаробњака за подешавање.
За брзо и ефикасно управљање, Зикел нуди комплетан пакет услужних програма за удаљену администрацију помоћу којих можете лако да конфигуришете ВПН2С и да га надгледате.
Могућност дуплирања подешавања у великој мери поједностављује припрему више ЗиВАЛЛ ВПН2С уређаја за пренос удаљеним запосленима.
ВЛАН подршка
Упркос чињеници да је ЗиВАЛЛ ВПН2С дизајниран за даљински рад, подржава ВЛАН. Ово вам омогућава да повећате сигурност мреже, на пример, ако је повезана канцеларија појединачног предузетника, која има Ви-Фи за госте. Стандардне ВЛАН функције, као што су ограничавање домена емитовања, смањење преношеног саобраћаја и примена безбедносних политика, тражене су у корпоративним мрежама, али у принципу могу да се користе и у малим предузећима.
ВЛАН подршка је такође корисна за организовање засебне мреже, на пример, за ИП телефонију.
Да би се обезбедио рад са ВЛАН-ом, ЗиВАЛЛ ВПН2С уређај подржава ИЕЕЕ 802.1К стандард.
Сумирајући
Ризик од губитка мобилног уређаја са конфигурисаним ВПН каналом захтева другачија решења осим дистрибуције корпоративних лаптопа.
Употреба компактних и јефтиних ВПН мрежних пролаза омогућава вам да лако организујете рад удаљених запослених.
ЗиВАЛЛ ВПН2С модел је првобитно дизајниран за повезивање удаљених радника и малих канцеларија.
Корисни линкови
→
→
→
→
→
Извор: ввв.хабр.цом