Sasabihin namin sa iyo ang tungkol sa isang mura at ligtas na paraan upang matiyak na ang mga malalayong empleyado ay konektado sa pamamagitan ng VPN, nang hindi inilalantad ang kumpanya sa mga panganib sa reputasyon o pinansyal at nang hindi gumagawa ng mga karagdagang problema para sa departamento ng IT at pamamahala ng kumpanya.
Sa pag-unlad ng IT, naging posible na maakit ang mga malalayong empleyado sa dumaraming bilang ng mga posisyon.
Kung mas maaga sa mga malalayong manggagawa ay may pangunahing mga kinatawan ng mga malikhaing propesyon, halimbawa, mga taga-disenyo, mga copywriter, ngayon ay isang accountant, isang legal na tagapayo, at maraming mga kinatawan ng iba pang mga propesyon ay madaling magtrabaho mula sa bahay, bumisita sa opisina lamang kung kinakailangan.
Ngunit sa anumang kaso, kinakailangan upang ayusin ang trabaho sa pamamagitan ng isang secure na channel.
Ang pinakasimpleng opsyon. Nag-set up kami ng VPN sa server, ang empleyado ay binibigyan ng login password at isang VPN certificate key, pati na rin ang mga tagubilin kung paano mag-set up ng VPN client sa kanyang computer. At isinasaalang-alang ng departamento ng IT na natapos ang gawain nito.
Ang ideya ay tila hindi masama, maliban sa isang bagay: ito ay dapat na isang empleyado na alam kung paano i-configure ang lahat sa kanyang sarili. Kung pinag-uusapan natin ang tungkol sa isang kwalipikadong developer ng application ng network, malamang na makayanan niya ang gawaing ito.
Ngunit ang isang accountant, artist, designer, teknikal na manunulat, arkitekto, at marami pang ibang propesyon ay hindi kinakailangang maunawaan ang mga intricacies ng pag-set up ng VPN. Alinman sa isang tao ay kailangang kumonekta sa kanila nang malayuan at tumulong, o pumunta nang personal at i-set up ang lahat sa lugar. Alinsunod dito, kung ang isang bagay ay tumigil sa pagtatrabaho para sa kanila, halimbawa, dahil sa isang glitch sa profile ng gumagamit, ang mga setting ng network client ay nawala, kung gayon ang lahat ay kailangang ulitin muli.
Ang ilang mga kumpanya ay nagbibigay ng isang laptop na may software na naka-install na at isang naka-configure na VPN software client para sa malayong trabaho. Sa teorya, sa kasong ito, ang mga gumagamit ay hindi dapat magkaroon ng mga karapatan ng administrator. Sa ganitong paraan, dalawang problema ang malulutas: ang mga empleyado ay garantisadong bibigyan ng lisensyadong software na nababagay sa kanilang mga gawain at isang handa na channel ng komunikasyon. Kasabay nito, hindi nila mababago ang mga setting sa kanilang sarili, na binabawasan ang dalas ng mga tawag sa
teknikal na suporta.
Sa ilang mga kaso ito ay maginhawa. Halimbawa, ang pagkakaroon ng isang laptop, maaari kang kumportable na umupo sa iyong silid sa araw, at tahimik na magtrabaho sa kusina sa gabi upang hindi magising ang sinuman.
Ano ang pangunahing kawalan? Kapareho ng isang plus - ito ay isang mobile device na maaaring dalhin. Ang mga gumagamit ay nahahati sa dalawang kategorya: ang mga mas gusto ang isang desktop PC para sa kapangyarihan at isang malaking monitor, at ang mga mahilig sa portability.
Ang pangalawang pangkat ng mga user ay bumoto gamit ang dalawang kamay para sa mga laptop. Ang pagkakaroon ng nakatanggap ng isang corporate laptop, ang mga naturang empleyado ay nagsisimulang masayang sumama dito sa mga cafe, restawran, pumunta sa kalikasan at subukang magtrabaho mula doon. Kung gagana lamang ito, at hindi lamang gamitin ang natanggap na aparato bilang iyong sariling computer para sa mga social network at iba pang libangan.
Maaga o huli, ang isang corporate laptop ay nawala hindi lamang kasama ang impormasyon sa trabaho sa hard drive, kundi pati na rin sa naka-configure na VPN access. Kung ang checkbox na "i-save ang password" ay naka-check sa mga setting ng VPN client, pagkatapos ay mabibilang ang mga minuto. Sa mga sitwasyon kung saan ang pagkawala ay hindi agad na natuklasan, ang serbisyo ng suporta ay hindi agad na naabisuhan, o ang tamang empleyado na may mga karapatang harangan ay hindi agad nahanap - ito ay maaaring maging isang malaking sakuna.
Minsan nakakatulong ang paglilimita sa pag-access sa impormasyon. Ngunit ang paglilimita sa pag-access ay hindi nangangahulugan ng ganap na paglutas sa mga problema ng pagkawala ng isang aparato; ito ay isang paraan lamang upang mabawasan ang mga pagkalugi kapag ang data ay isiniwalat at nakompromiso.
Maaari kang gumamit ng encryption o two-factor authentication, halimbawa gamit ang USB key. Sa panlabas, ang ideya ay mukhang maganda, ngunit ngayon kung ang laptop ay nahulog sa maling mga kamay, ang may-ari nito ay kailangang magtrabaho nang husto upang makakuha ng access sa data, kabilang ang pag-access sa pamamagitan ng VPN. Sa panahong ito, maaari mong pamahalaan upang harangan ang access sa corporate network. At nagbubukas ang mga bagong pagkakataon para sa malayuang gumagamit: upang i-hack ang alinman sa laptop, o ang access key, o lahat nang sabay-sabay. Pormal, ang antas ng proteksyon ay tumaas, ngunit ang serbisyo ng teknikal na suporta ay hindi nababato. Bilang karagdagan, ang bawat remote na operator ay kailangan na ngayong bumili ng two-factor authentication (o encryption) kit.
Ang isang hiwalay na malungkot at mahabang kuwento ay ang koleksyon ng mga pinsala para sa nawala o nasira na mga laptop (inihagis sa sahig, natapon ng matamis na tsaa, kape, at iba pang aksidente) at mga nawalang access key.
Kabilang sa iba pang mga bagay, ang isang laptop ay naglalaman ng mga mekanikal na bahagi, tulad ng isang keyboard, USB connectors, at isang takip na may screen - lahat ng ito ay napapawi ang kanilang buhay ng serbisyo sa paglipas ng panahon, nagiging deformed, nagiging maluwag at dapat na ayusin o palitan (madalas , ang buong laptop ay pinalitan).
So ano ngayon? Mahigpit na ipinagbabawal na kumuha ng laptop sa labas ng apartment at subaybayan
gumagalaw?
Bakit sila nagbigay ng laptop?
Ang isang dahilan ay ang isang laptop ay mas madaling ilipat. Mag-isip tayo ng iba, compact din.
Hindi ka maaaring mag-isyu ng isang laptop, ngunit ang mga protektadong LiveUSB flash drive na may koneksyon sa VPN na na-configure na, at gagamitin ng user ang kanyang sariling computer. Ngunit isa rin itong loterya: tatakbo ba ang software assembly sa computer ng user o hindi? Ang problema ay maaaring isang simpleng kakulangan ng mga kinakailangang driver.
Kailangan nating malaman kung paano ayusin ang koneksyon ng mga empleyado nang malayuan, at ito ay kanais-nais na ang tao ay hindi sumuko sa tukso na gumala-gala sa paligid ng lungsod na may isang corporate laptop, ngunit nakaupo sa bahay at gumagana nang mahinahon nang walang panganib na makalimutan o nawawala ang aparatong ipinagkatiwala sa kanya kung saan.
Nakatigil na pag-access sa VPN
Paano kung hindi ka nagbibigay ng end device, halimbawa, isang laptop, o lalo na hindi isang hiwalay na flash drive para sa koneksyon, ngunit isang network gateway na may VPN client na nakasakay?
Halimbawa, isang yari na router na may kasamang suporta para sa iba't ibang mga protocol, kung saan naka-configure na ang isang koneksyon sa VPN. Kailangan lang ikonekta ng malayong empleyado ang kanyang computer dito at magsimulang magtrabaho.
Anong mga isyu ang tinutulungan nitong malutas?
- Ang kagamitan na may naka-configure na access sa corporate network sa pamamagitan ng VPN ay hindi inilalabas ng bahay.
- Maaari mong ikonekta ang ilang device sa isang VPN channel.
Naisulat na namin sa itaas na maganda na makagalaw sa apartment gamit ang isang laptop, ngunit kadalasan ay mas madali at mas maginhawang magtrabaho sa isang desktop computer.
At maaari mong ikonekta ang isang PC, isang laptop, isang smartphone, isang tablet, at kahit isang e-reader sa VPN sa router - anumang bagay na sumusuporta sa pag-access sa pamamagitan ng Wi-Fi o wired Ethernet.
Kung titingnan mo ang sitwasyon nang mas malawak, ito ay maaaring, halimbawa, isang punto ng koneksyon para sa isang mini-opisina kung saan maraming tao ang maaaring magtrabaho.
Sa loob ng naturang protektadong segment, ang mga konektadong device ay maaaring makipagpalitan ng impormasyon, maaari kang mag-ayos ng isang bagay tulad ng isang mapagkukunan sa pagbabahagi ng file, habang may normal na pag-access sa Internet, magpadala ng mga dokumento para sa pag-print sa isang panlabas na printer, at iba pa.
Corporate telephony! Napakarami sa tunog na ito na tumutunog sa isang lugar sa tubo! Ang isang sentralisadong channel ng VPN para sa ilang mga aparato ay nagbibigay-daan sa iyo upang ikonekta ang isang smartphone sa pamamagitan ng isang Wi-Fi network at gumamit ng IP telephony upang tumawag sa mga maikling numero sa loob ng corporate network.
Kung hindi, kailangan mong gumawa ng mga mobile na tawag o gumamit ng mga panlabas na application tulad ng WhatsApp, na hindi palaging naaayon sa patakaran sa seguridad ng kumpanya.
At dahil pinag-uusapan natin ang tungkol sa kaligtasan, nararapat na tandaan ang isa pang mahalagang katotohanan. Sa pamamagitan ng hardware VPN gateway, mapapahusay mo ang iyong seguridad sa pamamagitan ng paggamit ng mga bagong feature ng kontrol sa ingress gateway. Binibigyang-daan ka nitong dagdagan ang seguridad at ilipat ang bahagi ng load ng proteksyon sa trapiko sa gateway ng network.
Anong solusyon ang maiaalok ni Zyxel para sa kasong ito?
Isinasaalang-alang namin ang isang device na dapat ibigay para sa pansamantalang paggamit sa lahat ng empleyado na maaari at gustong magtrabaho nang malayuan.
Samakatuwid, ang naturang aparato ay dapat na:
- mura;
- maaasahan (upang hindi mag-aksaya ng pera at oras sa pag-aayos);
- magagamit para sa pagbili sa mga retail chain;
- madaling i-set up (ito ay nilayon na gamitin nang hindi partikular na tumatawag
sinanay na espesyalista).
Parang hindi masyadong totoo, tama?
Gayunpaman, umiiral ang naturang device, talagang umiiral ito at libre
- Zyxel ZyWALL VPN2S
Ang VPN2S ay isang VPN firewall na nagbibigay-daan sa iyong gumamit ng pribadong koneksyon
point-to-point na walang kumplikadong configuration ng mga parameter ng network.
Figure 1. Hitsura ng Zyxel ZyWALL VPN2S
Maikling detalye ng device
Mga Tampok ng Hardware
10/100/1000 Mbps RJ-45 port
3 x LAN, 1 x WAN/LAN, 1 x WAN
Mga USB port
2 x USB 2.0
Walang fan
Oo
Kapasidad at pagganap ng system
SPI Firewall Throughput (Mbps)
1.5 Gbps
VPN Bandwidth (Mbps)
35
Pinakamataas na bilang ng mga sabay-sabay na session. TCP
50000
Pinakamataas na bilang ng sabay-sabay na IPsec VPN tunnels [5] 20
Nako-customize na mga zone
Oo
suporta sa IPv6
Oo
Pinakamataas na bilang ng mga VLAN
16
Pangunahing Mga Tampok ng Software
Multi-WAN Load Balance/Failover
Oo
Virtual na pribadong network (VPN)
Oo (IPSec, L2TP sa IPSec, PPTP, L2TP, GRE)
VPN client
IPSec/L2TP/PPTP
Pag-filter ng nilalaman
1 taon na libre
Firewall
Oo
VLAN/Interface Group
Oo
Pamamahala ng Bandwidth
Oo
Log ng kaganapan at pagsubaybay
Oo
Cloud Helper
Oo
Remote control
Oo
Tandaan. Ang data sa talahanayan ay batay sa OPAL BE microcode 1.12 o mas mataas
mamaya na bersyon.
Anong mga opsyon sa VPN ang sinusuportahan ng ZyWALL VPN2S
Sa totoo lang, mula sa pangalan ay malinaw na ang ZyWALL VPN2S device ay pangunahin
idinisenyo upang ikonekta ang mga malalayong empleyado at mini-branch sa pamamagitan ng VPN.
- Ang L2TP Over IPSec VPN protocol ay ibinibigay para sa mga end user.
- Para ikonekta ang mga mini-office, ang komunikasyon sa pamamagitan ng Site-to-Site IPSec VPN ay ibinibigay.
- Gayundin, gamit ang ZyWALL VPN2S maaari kang bumuo ng koneksyon sa L2TP VPN
service provider para sa ligtas na pag-access sa Internet.
Dapat pansinin na ang dibisyong ito ay napaka kondisyon. Halimbawa, maaari mo
ang remote point ay nag-configure ng isang Site-to-Site na IPSec VPN na koneksyon na may isang solong
user sa loob ng perimeter.
Siyempre, ang lahat ng ito ay gumagamit ng mahigpit na VPN algorithm (IKEv2 at SHA-2).
Paggamit ng maraming WAN
Para sa malayong trabaho, ang pangunahing bagay ay ang pagkakaroon ng isang matatag na channel. Sa kasamaang palad, kasama ang tanging
Hindi ito magagarantiya sa isang linya ng komunikasyon kahit na mula sa pinaka maaasahang provider.
Ang mga problema ay maaaring nahahati sa dalawang uri:
- bumaba sa bilis - ang Multi-WAN load balancing function ay makakatulong dito
pagpapanatili ng isang matatag na koneksyon sa kinakailangang bilis; - pagkabigo sa channel - para sa layuning ito ang Multi-WAN failover function ay ginagamit para sa
pagtiyak ng fault tolerance gamit ang paraan ng pagdoble.
Anong mga kakayahan ng hardware ang nariyan para dito:
- Ang ikaapat na LAN port ay maaaring i-configure bilang isang karagdagang WAN port.
- Ang USB port ay maaaring gamitin upang ikonekta ang isang 3G/4G modem, na nagbibigay
backup channel sa anyo ng cellular communication.
Nadagdagang seguridad sa network
Tulad ng nabanggit sa itaas, ito ay isa sa mga pangunahing bentahe ng paggamit ng espesyal
sentralisadong kagamitan.
Ang ZyWALL VPN2S ay may SPI (Stateful Packet Inspection) na firewall na function upang kontrahin ang iba't ibang uri ng pag-atake, kabilang ang DoS (Denial of Service), mga pag-atake gamit ang mga spoofed IP address, pati na rin ang hindi awtorisadong malayuang pag-access sa mga system, kahina-hinalang trapiko sa network at mga pakete.
Bilang karagdagang proteksyon, ang device ay mayroong pag-filter ng Nilalaman upang harangan ang pag-access ng user sa kahina-hinala, mapanganib, at extraneous na nilalaman.
Mabilis at madaling 5-step na pag-setup gamit ang setup wizard
Upang mabilis na mag-set up ng isang koneksyon, mayroong isang maginhawang setup wizard at graphical
interface sa maraming wika.
Figure 2. Isang halimbawa ng isa sa mga screen ng setup wizard.
Para sa mabilis at mahusay na pamamahala, nag-aalok ang Zyxel ng kumpletong pakete ng mga remote administration utilities kung saan madali mong mai-configure ang VPN2S at masubaybayan ito.
Ang kakayahang mag-duplicate ng mga setting ay lubos na nagpapasimple sa paghahanda ng maraming ZyWALL VPN2S device para sa paglipat sa mga malalayong empleyado.
Suporta sa VLAN
Sa kabila ng katotohanan na ang ZyWALL VPN2S ay idinisenyo para sa malayong trabaho, sinusuportahan nito ang VLAN. Ito ay nagbibigay-daan sa iyo upang madagdagan ang seguridad ng network, halimbawa, kung ang opisina ng isang indibidwal na negosyante ay konektado, na mayroong guest Wi-Fi. Ang mga karaniwang function ng VLAN, tulad ng paglilimita sa mga domain ng broadcast, pagbabawas ng ipinadalang trapiko at paglalapat ng mga patakaran sa seguridad, ay hinihiling sa mga corporate network, ngunit sa prinsipyo maaari rin silang magamit sa maliliit na negosyo.
Ang suporta sa VLAN ay kapaki-pakinabang din para sa pag-aayos ng isang hiwalay na network, halimbawa, para sa IP telephony.
Upang matiyak ang operasyon sa VLAN, sinusuportahan ng ZyWALL VPN2S device ang pamantayang IEEE 802.1Q.
Lagom
Ang panganib na mawalan ng mobile device na may naka-configure na VPN channel ay nangangailangan ng mga solusyon maliban sa pamamahagi ng mga corporate laptop.
Ang paggamit ng mga compact at murang VPN gateway ay nagbibigay-daan sa iyong madaling ayusin ang gawain ng mga malalayong empleyado.
Ang modelong ZyWALL VPN2S ay orihinal na idinisenyo upang ikonekta ang mga malalayong manggagawa at maliliit na opisina.
Kapaki-pakinabang na mga link
β
β
β
β
β
Pinagmulan: www.habr.com