🥇Distansarbete får allt större fart

Vi berättar om ett billigt och säkert sätt att förse distansanställda med VPN-anslutningar utan att utsätta företaget för ryktes- eller ekonomiska risker och utan att skapa ytterligare problem för IT-avdelningen och företagsledningen.

Med IT-utvecklingen har det blivit möjligt att attrahera distansanställda till ett ökande antal tjänster.

Om det tidigare bland distansarbetare främst fanns representanter för kreativa yrken, till exempel designers, copywriters, kan nu revisorer, juridiska rådgivare och många representanter för andra yrken enkelt arbeta hemifrån och bara besöka kontoret vid behov.

Men i vilket fall som helst är det nödvändigt att organisera arbetet via en säker kanal.

Det enklaste alternativet. Vi sätter upp ett VPN på servern, den anställde får ett lösenord och ett nyckelcertifikat från VPN:et, samt instruktioner om hur man konfigurerar en VPN-klient på sin dator. Och IT-avdelningen anser att uppgiften är slutförd.

Idén verkar god, förutom en sak: det måste vara en anställd som vet hur man sätter upp allting självständigt. Om vi pratar om en kvalificerad webbapplikationsutvecklare är det mycket troligt att hen kommer att kunna hantera den här uppgiften.

Men en revisor, konstnär, designer, teknisk skribent, arkitekt och många andra yrken behöver inte nödvändigtvis förstå komplikationerna med att konfigurera ett VPN. Antingen behöver någon ansluta till dem på distans och hjälpa till, eller så kommer de personligen och ställer in allt på plats. Följaktligen, om något slutar fungera för dem, till exempel på grund av ett fel i användarprofilen eller nätverksklientinställningarna går förlorade, måste allt upprepas från början.

Vissa företag tillhandahåller en bärbar dator med förinstallerad programvara och en konfigurerad VPN-klientprogramvara för distansarbete. Helst bör användarna i det här fallet inte ha administratörsrättigheter. Detta löser två problem: anställda garanteras tillgång till licensierad programvara som passar deras uppgifter och en färdig kommunikationskanal. Samtidigt kan de inte själva ändra inställningarna, vilket minskar frekvensen av förfrågningar.
teknisk support.

I vissa fall är detta bekvämt. Om du till exempel har en bärbar dator kan du bekvämt sitta i ditt rum under dagen och arbeta tyst i köket på natten för att inte väcka någon.

Vad är den största nackdelen? Samma som pluset - det är en mobil enhet som kan bäras med sig. Användare faller in i två kategorier: de som föredrar en stationär dator för dess kraft och stora skärm, och de som älskar mobilitet.

Den andra gruppen användare röstar för bärbara datorer med båda händerna. Efter att ha fått en företagsbärbar dator börjar sådana anställda glatt gå med den till kaféer, restauranger, gå ut i naturen och försöka arbeta därifrån. Om jag bara kunde arbeta med den, och inte bara använda den mottagna enheten som min egen dator för sociala nätverk och annan underhållning.

Förr eller senare går en företagsbärbar dator förlorad, inte bara tillsammans med arbetsinformationen på hårddisken, utan även med den konfigurerade VPN-åtkomsten. Om rutan "spara lösenord" är markerad i VPN-klientinställningarna börjar nedräkningen i minuter. I situationer där förlusten inte upptäcks omedelbart, supporttjänsten inte informeras omedelbart, rätt anställd med rättigheter att blockera hittas inte omedelbart – detta kan förvandlas till en stor katastrof.

Ibland hjälper det att begränsa åtkomsten till information. Men att begränsa åtkomsten betyder inte att man helt löser problemet med att förlora en enhet; Det är bara ett sätt att minska förluster när data avslöjas eller komprometteras.

Du kan använda kryptering eller tvåfaktorsautentisering, till exempel med ett USB-minne. Vid första anblicken ser idén bra ut, men om en bärbar dator nu hamnar i fel händer måste dess ägare arbeta hårt för att få tillgång till informationen, inklusive åtkomst via VPN. Under den här tiden kan du blockera åtkomst till företagsnätverket. Och nya möjligheter öppnas för fjärranvändaren: att stjäla antingen den bärbara datorn eller åtkomstnyckeln, eller båda samtidigt. Formellt sett har skyddsnivån ökat, men den tekniska supporttjänsten kommer inte att bli uttråkad. Dessutom måste varje distansarbetare nu köpa ett tvåfaktorsautentiserings- (eller krypterings-) kit.

En separat sorglig och lång historia är att driva in skadestånd för förlorade eller skadade bärbara datorer (kastade på golvet, spillda med sött te, kaffe och andra olyckor) och förlorade åtkomstnycklar.

Utöver allt annat innehåller en bärbar dator mekaniska delar som ett tangentbord, USB-portar och ett fäste för locket och skärmen – allt detta slits ut med tiden, deformeras, lossnar och behöver repareras eller bytas ut (oftast byts hela den bärbara datorn ut).

Så vad nu? Det är strängt förbjudet att ta ut den bärbara datorn ur lägenheten och övervaka den.
rörlig?

Varför gav de då ut en bärbar dator?

En anledning är att en bärbar dator är lättare att överföra. Låt oss komma på något annat, också kompakt.

Du kan inte utfärda en bärbar dator, utan skyddade LiveUSB-minnen med en VPN-anslutning som redan är konfigurerad, och användaren kommer att använda sin egen dator. Men även här är det ett lotteri: kommer programvarubygget att köras på användarens dator eller inte? Problemet kan helt enkelt vara bristen på nödvändiga drivrutiner.

Vi måste lista ut hur man organiserar anslutningen av anställda som arbetar på distans, samtidigt som det är önskvärt att en person inte ger efter för frestelsen att vandra runt i staden med en företagsbärbar dator, utan sitter hemma och arbetar lugnt utan risken att glömma eller förlora den enhet som anförtrotts honom någonstans.

Fast åtkomst via VPN

Men tänk om vi inte utfärdar en slutenhet, till exempel en bärbar dator, eller ännu mer inte en separat flash-enhet för anslutning, utan en nätverksgateway med en VPN-klient ombord?

Till exempel en färdig router som har stöd för olika protokoll och som redan har en VPN-anslutning konfigurerad. Allt en distansanställd behöver göra är att ansluta sin dator till den och börja arbeta.

Vilka problem hjälper detta att lösa?

Utrustning med konfigurerad åtkomst till företagsnätverket via VPN tas inte ut ur hemmet.
Du kan ansluta flera enheter till en VPN-kanal.

Vi skrev redan ovan att det är trevligt att kunna röra sig i lägenheten med en bärbar dator, men det är ofta enklare och bekvämare att arbeta med en stationär dator.

Och du kan ansluta en dator, bärbar dator, smartphone, surfplatta och till och med en e-bok till ett VPN på en router – allt som stöder åtkomst via Wi-Fi eller trådbundet Ethernet.

Om vi ser på situationen mer bredt kan detta till exempel vara en kopplingspunkt för ett minikontor där flera personer kan arbeta.

Inom ett sådant skyddat segment kan anslutna enheter utbyta information, man kan organisera något liknande en fildelningsresurs, samtidigt som man har normal åtkomst till internet, skicka dokument för utskrift på en extern skrivare och så vidare.

Företagstelefoni! Hur mycket ligger det i det där ljudet som hörs någonstans i röret! En centraliserad VPN-kanal för flera enheter låter dig ansluta din smartphone via ett Wi-Fi-nätverk och använda IP-telefoni för att ringa kortnummer inom företagsnätverket.

Annars skulle du behöva ringa på din mobil eller använda externa applikationer som WhatsApp, vilket inte alltid är i linje med företagets säkerhetspolicyer.

Och eftersom vi pratar om säkerhet är det värt att notera ytterligare ett viktigt faktum. Med en hårdvarubaserad VPN-gateway kan du förbättra din säkerhet genom att använda nya kontrollfunktioner vid den inkommande gatewayen. Detta gör att du kan öka säkerheten och flytta en del av belastningen på trafikskyddet till nätverksgatewayen.

Vilken lösning kan Zyxel erbjuda i det här fallet?

Vi överväger en enhet som kan delas ut för tillfälligt bruk till alla anställda som kan och vill arbeta på distans.

Därför bör en sådan anordning vara:

billig;
pålitlig (för att inte slösa pengar och tid på reparationer);
finns att köpa i detaljhandelskedjor;
lätt att installera (avsedd att användas utan specialanrop)
utbildad specialist).

Låter inte särskilt realistiskt, eller hur?

En sådan anordning existerar dock, den existerar verkligen och är gratis.
till salu
— Zyxel ZyWALL VPN2S

VPN2S är en VPN-brandvägg som låter dig använda en privat anslutning
punkt-till-punkt utan komplexa nätverksparameterinställningar.

Figur 1. Zyxel ZyWALL VPN2S utseende

Kort specifikation av enheten

Hårdvarufunktioner

10/100/1000 Mbit/s RJ-45-portar
3 x LAN, 1 x WAN/LAN, 1 x WAN

USB-portar
2 x USB 2.0

Ingen fläkt
Ja

Systemkapacitet och prestanda

SPI-brandväggsgenomströmning (Mbps)
1.5 Gbps

VPN-bandbredd (Mbps)
35

Maximalt antal samtidiga sessioner. TCP
50000

Maximalt antal samtidiga IPsec VPN-tunnlar [5] 20

Anpassningsbara zoner
Ja

IPv6-stöd
Ja

Maximalt antal VLAN
16

Programvarans huvudfunktioner

Belastningsbalans/Failover för flera WAN-nätverk
Ja

Virtuellt privat nätverk (VPN)
Ja (IPSec, L2TP över IPSec, PPTP, L2TP, GRE)

VPN-klient
IPSec/L2TP/PPTP

Innehållsfiltrering
1 år gratis

brandvägg
Ja

VLAN/gränssnittsgrupp
Ja

Bandbreddshantering
Ja

Händelselogg och övervakning
Ja

Molnhjälpare
Ja

Fjärrkontroll
Ja

Observera. Uppgifterna i tabellen anges för OPAL BE-mikrokod 1.12 eller högre.
sen version.

Vilka VPN-alternativ stöds av ZyWALL VPN2S

Faktum är att det från namnet framgår tydligt att ZyWALL VPN2S-enheten främst är
utformades för att koppla samman distansanställda och minifilialer via VPN.

För slutanvändare tillhandahålls L2TP Over IPSec VPN-protokoll.
För att ansluta minikontor tillhandahålls Site-to-Site IPSec VPN-anslutning.
Med hjälp av ZyWALL VPN2S kan du också bygga en L2TP VPN-anslutning med
tjänsteleverantör för säker internetåtkomst.

Det bör noteras att denna uppdelning är ganska godtycklig. Till exempel kan du
fjärrpunkt för att konfigurera en plats-till-plats IPSec VPN-anslutning med en enda
användaren inom perimetern.

Naturligtvis görs allt detta med hjälp av starka VPN-algoritmer (IKEv2 och SHA-2).

Använda flera WAN-nätverk

För distansarbete är det viktigaste att ha en stabil kanal. Tyvärr, med bara en
Inte ens den mest pålitliga leverantörens kommunikationslinje kan garantera detta.

Problem kan delas in i två typer:

hastighetsminskning – funktionen för lastbalansering i flera WAN hjälper till med detta
upprätthålla en stabil anslutning med önskad hastighet;
kanalfel – det är vad Multi-WAN-redundansfunktionen är till för
säkerställande av feltolerans genom duplicering.

Vilka hårdvarufunktioner finns för detta:

Den fjärde LAN-porten kan konfigureras som en extra WAN-port.
USB-porten kan användas för att ansluta ett 3G/4G-modem, vilket ger
reservkanal i form av mobilkommunikation.

Förbättra nätverkssäkerheten

Som nämnts ovan är detta en av de största fördelarna med att använda specialfunktioner.
centraliserade enheter.

ZyWALL VPN2S har en Stateful Packet Inspection (SPI) brandväggsfunktion för att motverka olika typer av attacker, inklusive DoS (Denial of Service), attacker med falska IP-adresser, samt obehörig fjärråtkomst till system, misstänkt nätverkstrafik och misstänkta paket.

Som ett extra skydd har enheten innehållsfiltrering för att blockera användaråtkomst till misstänkt, farligt och ovidkommande innehåll.

Snabb och enkel installation i 5 steg med installationsguide

För snabb anslutningsinstallation finns en praktisk installationsguide och ett grafiskt gränssnitt
Flerspråkigt gränssnitt.

Figur 2. Ett exempel på en av skärmarna i installationsguiden.

För effektiv och ändamålsenlig hantering erbjuder Zyxel ett komplett paket med verktyg för fjärradministration som gör det enkelt att konfigurera och övervaka VPN2S.

Möjligheten att duplicera inställningar förenklar avsevärt förberedelsen av flera ZyWALL VPN2S-enheter för distribution till distansanställda.

VLAN-stöd

Trots att ZyWALL VPN2S är designad för distansarbete, stöder den VLAN. Detta gör att du kan öka nätverkssäkerheten, till exempel om en enskild entreprenörs kontor är anslutet, vilket har gäst-Wi-Fi. Standard VLAN-funktioner som begränsning av sändningsdomäner, trafikreducering och tillämpning av säkerhetspolicyer är efterfrågade i företagsnätverk, men i princip kan de även användas i småföretag.

VLAN-stöd är också användbart för att organisera ett separat nätverk, till exempel för IP-telefoni.

För att säkerställa VLAN-drift stöder ZyWALL VPN2S-enheten IEEE 802.1Q-standarden.