Şirketi itibar veya mali risklere maruz bırakmadan ve BT departmanı ve şirket yönetimi için ek sorunlar yaratmadan, uzaktaki çalışanların VPN aracılığıyla bağlanmasını sağlamanın ucuz ve güvenli bir yolunu size anlatacağız.
BT'nin gelişmesiyle birlikte uzaktaki çalışanları artan sayıda pozisyona çekmek mümkün hale geldi.
Daha önce uzaktan çalışanlar arasında çoğunlukla yaratıcı mesleklerin temsilcileri vardı, örneğin tasarımcılar, metin yazarları, şimdi bir muhasebeci, bir hukuk danışmanı ve diğer mesleklerden birçok temsilci, yalnızca gerektiğinde ofisi ziyaret ederek kolayca evden çalışabilir.
Ancak her durumda işi güvenli bir kanal üzerinden organize etmek gerekiyor.
En basit seçenek. Sunucuya bir VPN kuruyoruz, çalışana bir oturum açma şifresi ve bir VPN sertifika anahtarının yanı sıra bilgisayarında bir VPN istemcisinin nasıl kurulacağına ilişkin talimatlar veriliyor. Ve BT departmanı görevinin tamamlandığını düşünüyor.
Fikir fena değil gibi görünüyor, tek bir şey dışında: Her şeyi kendi başına nasıl yapılandıracağını bilen bir çalışan olmalı. Nitelikli bir ağ uygulaması geliştiricisinden bahsediyorsak, bu görevin üstesinden gelmesi çok muhtemeldir.
Ancak bir muhasebecinin, sanatçının, tasarımcının, teknik yazarın, mimarın ve diğer birçok mesleğin mutlaka bir VPN kurmanın inceliklerini anlamasına gerek yoktur. Ya birisinin onlarla uzaktan bağlantı kurup yardım etmesi ya da bizzat gelip her şeyi yerinde ayarlaması gerekiyor. Buna göre, örneğin kullanıcı profilindeki bir aksaklık nedeniyle onlar için bir şey çalışmayı durdurursa, ağ istemcisi ayarları kaybolmuştur, o zaman her şeyin yeniden tekrarlanması gerekir.
Bazı şirketler, yazılımın yüklü olduğu bir dizüstü bilgisayar ve uzaktan çalışma için yapılandırılmış bir VPN yazılım istemcisi sağlar. Teorik olarak bu durumda kullanıcıların yönetici haklarına sahip olmaması gerekir. Bu sayede iki sorun çözülüyor: Çalışanlara görevlerine uygun lisanslı yazılım ve hazır bir iletişim kanalı sağlanması garanti altına alınıyor. Aynı zamanda ayarları kendi başlarına değiştiremezler, bu da çağrı sıklığını azaltır.
teknik Destek.
Bazı durumlarda bu uygundur. Örneğin, bir dizüstü bilgisayarınız varsa, gündüzleri odanızda rahatça oturabilir, geceleri ise kimseyi uyandırmamak için sessizce mutfakta çalışabilirsiniz.
Ana dezavantajı nedir? Artı olarak aynı şey - taşınabilen bir mobil cihazdır. Kullanıcılar iki kategoriye ayrılıyor: Güç ve büyük monitör için masaüstü bilgisayarı tercih edenler ve taşınabilirliği sevenler.
İkinci grup kullanıcı ise dizüstü bilgisayarlara iki eliyle oy veriyor. Kurumsal bir dizüstü bilgisayar alan bu tür çalışanlar, onunla keyifle kafelere, restoranlara gitmeye, doğaya gitmeye ve oradan çalışmaya başlar. Keşke işe yarasaydı ve alınan cihazı sosyal ağlar ve diğer eğlence için kendi bilgisayarınız olarak kullanmasaydınız.
Er ya da geç, kurumsal bir dizüstü bilgisayar yalnızca sabit sürücüdeki çalışma bilgileriyle birlikte değil, aynı zamanda yapılandırılmış VPN erişimiyle de kaybolur. VPN istemci ayarlarında "şifreyi kaydet" onay kutusu işaretliyse dakikalar sayılır. Kaybın hemen fark edilmediği, destek hizmetine hemen haber verilmediği veya engelleme hakkına sahip doğru çalışanın hemen bulunamadığı durumlarda bu büyük bir felakete dönüşebilir.
Bazen bilgiye erişimi sınırlamak işe yarayabilir. Ancak erişimin sınırlandırılması, bir cihazı kaybetme sorununun tamamen çözülmesi anlamına gelmez; bu yalnızca veriler ifşa edildiğinde ve tehlikeye girdiğinde kayıpları azaltmanın bir yoludur.
Örneğin bir USB anahtarıyla şifrelemeyi veya iki faktörlü kimlik doğrulamayı kullanabilirsiniz. Dışarıdan bakıldığında fikir iyi görünüyor, ancak şimdi dizüstü bilgisayar yanlış ellere düşerse, sahibinin verilere erişim sağlamak için VPN aracılığıyla erişim de dahil olmak üzere çok çalışması gerekecek. Bu süre zarfında kurumsal ağa erişimi engellemeyi başarabilirsiniz. Ve uzaktaki kullanıcı için yeni fırsatlar açılıyor: dizüstü bilgisayarı, erişim anahtarını veya hepsini birden hacklemek. Resmi olarak koruma düzeyi arttı ancak teknik destek hizmeti sıkılmayacak. Ek olarak, her uzak operatörün artık iki faktörlü kimlik doğrulama (veya şifreleme) kiti satın alması gerekecek.
Ayrı bir üzücü ve uzun hikaye, kaybolan veya hasar gören dizüstü bilgisayarların (yere atılan, tatlı çay, kahve ve diğer kazalarla dökülen) ve kaybedilen erişim anahtarlarının zararlarının tahsil edilmesidir.
Diğer şeylerin yanı sıra, bir dizüstü bilgisayarda klavye, USB konektörleri ve ekranlı bir kapak gibi mekanik parçalar bulunur - bunların tümü zamanla servis ömrünü tüketir, deforme olur, gevşer ve onarılması veya değiştirilmesi gerekir (çoğunlukla) , dizüstü bilgisayarın tamamı değiştirilir).
Peki şimdi ne olacak? Dizüstü bilgisayarı dairenin dışına çıkarmak ve takip etmek kesinlikle yasaktır.
hareketli?
O halde neden bir dizüstü bilgisayar verdiler?
Bunun bir nedeni, dizüstü bilgisayarın aktarılmasının daha kolay olmasıdır. Yine kompakt bir şey bulalım.
Bir dizüstü bilgisayar değil, önceden yapılandırılmış bir VPN bağlantısına sahip korumalı LiveUSB flash sürücüler verebilirsiniz ve kullanıcı kendi bilgisayarını kullanacaktır. Ancak bu aynı zamanda bir piyango: yazılım derlemesi kullanıcının bilgisayarında çalışacak mı, çalışmayacak mı? Sorun, gerekli sürücülerin basit bir eksikliği olabilir.
Çalışanların bağlantısını uzaktan nasıl organize edeceğimizi bulmamız gerekiyor ve kişinin kurumsal bir dizüstü bilgisayarla şehirde dolaşma cazibesine kapılmaması, evde oturması ve unutma riski olmadan sakince çalışması arzu edilir. kendisine emanet edilen cihazı bir yerde kaybetmek.
Sabit VPN erişimi
Bağlantı için bir dizüstü bilgisayar gibi bir son cihaz veya özellikle ayrı bir flash sürücü değil, yerleşik bir VPN istemcisi olan bir ağ geçidi sağlarsanız ne olur?
Örneğin, bir VPN bağlantısının önceden yapılandırılmış olduğu çeşitli protokoller için destek içeren hazır bir yönlendirici. Uzaktaki çalışanın bilgisayarını ona bağlaması ve çalışmaya başlaması yeterlidir.
Bu hangi sorunların çözülmesine yardımcı olur?
- VPN aracılığıyla kurumsal ağa yapılandırılmış erişimi olan ekipmanlar evin dışına çıkarılmaz.
- Birden fazla cihazı bir VPN kanalına bağlayabilirsiniz.
Yukarıda, bir dizüstü bilgisayarla dairede dolaşabilmenin güzel olduğunu, ancak bir masaüstü bilgisayarla çalışmanın genellikle daha kolay ve daha rahat olduğunu yazmıştık.
Ayrıca bir PC'yi, dizüstü bilgisayarı, akıllı telefonu, tableti ve hatta bir e-okuyucuyu yönlendiricideki VPN'ye, yani Wi-Fi veya kablolu Ethernet üzerinden erişimi destekleyen herhangi bir şeye bağlayabilirsiniz.
Duruma daha geniş açıdan bakarsanız bu, örneğin birkaç kişinin çalışabileceği bir mini ofisin bağlantı noktası olabilir.
Böyle korunan bir segmentte, bağlı cihazlar bilgi alışverişinde bulunabilir, internete normal erişime sahipken dosya paylaşım kaynağı gibi bir şeyi düzenleyebilir, belgeleri yazdırılmak üzere harici bir yazıcıya gönderebilir vb.
Kurumsal telefon! Bu seste tüpün bir yerlerinde yankılanan o kadar çok şey var ki! Birkaç cihaz için merkezi bir VPN kanalı, bir akıllı telefonu Wi-Fi ağı üzerinden bağlamanıza ve kurumsal ağ içindeki kısa numaraları aramak için IP telefonunu kullanmanıza olanak tanır.
Aksi takdirde, mobil aramalar yapmanız veya WhatsApp gibi harici uygulamaları kullanmanız gerekir; bu da her zaman kurumsal güvenlik politikasıyla tutarlı değildir.
Ve güvenlikten bahsettiğimize göre, bir başka önemli gerçeğe dikkat çekmekte fayda var. Donanım VPN ağ geçidiyle, giriş ağ geçidindeki yeni kontrol özelliklerini kullanarak güvenliğinizi artırabilirsiniz. Bu, güvenliği artırmanıza ve trafik koruma yükünün bir kısmını ağ geçidine kaydırmanıza olanak tanır.
Zyxel bu durum için nasıl bir çözüm sunabilir?
Uzaktan çalışabilen ve çalışmak isteyen tüm çalışanların geçici kullanımına verilmesi gereken bir cihazı düşünüyoruz.
Bu nedenle böyle bir cihaz şöyle olmalıdır:
- ucuz;
- güvenilir (onarımlarda para ve zaman kaybetmemek için);
- perakende zincirlerinden satın alınabilir;
- kurulumu kolay (özel olarak çağrılmadan kullanılması amaçlanmıştır)
eğitimli uzman).
Kulağa pek gerçekçi gelmiyor, değil mi?
Ancak böyle bir cihaz var, gerçekten var ve ücretsiz
- Zyxel ZyWALL VPN2S
VPN2S, özel bir bağlantı kullanmanıza izin veren bir VPN güvenlik duvarıdır
ağ parametrelerinin karmaşık konfigürasyonu olmadan noktadan noktaya.
Şekil 1. Zyxel ZyWALL VPN2S'in Görünümü
Kısa cihaz özellikleri
Donanım Özellikleri
10/100/1000 Mbps RJ-45 bağlantı noktaları
3 x LAN, 1 x WAN/LAN, 1 x WAN
USB bağlantı noktaları
2 x USB 2.0
Hayran yok
Evet
Sistem kapasitesi ve performansı
SPI Güvenlik Duvarı Verimi (Mbps)
1.5 Gbps
VPN Bant Genişliği (Mbps)
35
Maksimum eşzamanlı oturum sayısı. TCP
50000
Maksimum eşzamanlı IPsec VPN tüneli sayısı [5] 20
Özelleştirilebilir bölgeler
Evet
IPv6 desteği
Evet
Maksimum VLAN sayısı
16
Ana Yazılım Özellikleri
Çoklu WAN Yük Dengesi/Yük Devretme
Evet
Sanal özel ağ (VPN)
Evet (IPSec, IPSec üzerinden L2TP, PPTP, L2TP, GRE)
VPN istemcisi
IPSec/L2TP/PPTP
İçerik filtreleme
1 yıl ücretsiz
güvenlik duvarı
Evet
VLAN/Arayüz Grubu
Evet
Bant Genişliği Yönetimi
Evet
Olay günlüğü ve izleme
Evet
Bulut Yardımcısı
Evet
Uzaktan kumanda
Evet
Not. Tablodaki veriler OPAL BE mikro kodu 1.12 veya üzerini temel almaktadır.
daha sonraki sürüm.
ZyWALL VPN2S tarafından hangi VPN seçenekleri desteklenmektedir?
Aslında isminden ZyWALL VPN2S cihazının öncelikle
Uzak çalışanları ve mini şubeleri VPN aracılığıyla birbirine bağlamak için tasarlanmıştır.
- Son kullanıcılara L2TP Over IPSec VPN protokolü sağlanır.
- Mini ofislerin bağlanması için Siteden Siteye IPSec VPN üzerinden iletişim sağlanır.
- Ayrıca ZyWALL VPN2S kullanarak L2TP VPN bağlantısı kurabilirsiniz.
Güvenli İnternet erişimi için servis sağlayıcı.
Bu bölümün çok şartlı olduğu unutulmamalıdır. Örneğin şunları yapabilirsiniz:
uzak nokta, tek bir bağlantıyla Siteden Siteye IPSec VPN bağlantısını yapılandırın
kullanıcı çevrenin içinde.
Elbette tüm bunlar katı VPN algoritmaları (IKEv2 ve SHA-2) kullanılarak yapılıyor.
Birden fazla WAN kullanma
Uzaktan çalışma için asıl önemli olan istikrarlı bir kanala sahip olmaktır. Ne yazık ki, tek
Bu, en güvenilir sağlayıcıdan bile gelen bir iletişim hattıyla garanti edilemez.
Sorunlar iki türe ayrılabilir:
- hızda düşüş - Çoklu WAN yük dengeleme işlevi bu konuda yardımcı olacaktır
gerekli hızda sabit bir bağlantının sürdürülmesi; - kanalda arıza - bu amaçla Çoklu WAN yük devretme işlevi kullanılır
çoğaltma yöntemini kullanarak hata toleransının sağlanması.
Bunun için hangi donanım yetenekleri var:
- Dördüncü LAN bağlantı noktası ek bir WAN bağlantı noktası olarak yapılandırılabilir.
- USB bağlantı noktası bir 3G/4G modemi bağlamak için kullanılabilir;
hücresel iletişim şeklinde yedekleme kanalı.
Artan ağ güvenliği
Yukarıda belirtildiği gibi, bu özel kullanmanın ana avantajlarından biridir.
merkezi cihazlar.
ZyWALL VPN2S, DoS (Hizmet Reddi), sahte IP adresleri kullanan saldırıların yanı sıra sistemlere yetkisiz uzaktan erişim, şüpheli ağ trafiği ve paketler dahil olmak üzere çeşitli saldırı türlerine karşı koymak için bir SPI (Durum Bilgili Paket Denetimi) güvenlik duvarı işlevine sahiptir.
Ek koruma olarak cihazda, kullanıcının şüpheli, tehlikeli ve konu dışı içeriğe erişimini engelleyen İçerik filtreleme özelliği bulunur.
Kurulum sihirbazıyla hızlı ve kolay 5 adımlı kurulum
Hızlı bir şekilde bağlantı kurmak için kullanışlı bir kurulum sihirbazı ve grafiksel bir arayüz bulunmaktadır.
çeşitli dillerde arayüz.
Şekil 2. Kurulum sihirbazı ekranlarından birine örnek.
Hızlı ve etkili yönetim için Zyxel, VPN2S'yi kolayca yapılandırabileceğiniz ve izleyebileceğiniz eksiksiz bir uzaktan yönetim yardımcı programları paketi sunar.
Ayarları çoğaltma yeteneği, birden fazla ZyWALL VPN2S cihazının uzaktaki çalışanlara aktarım için hazırlanmasını büyük ölçüde basitleştirir.
VLAN desteği
ZyWALL VPN2S uzaktan çalışma için tasarlanmış olmasına rağmen VLAN'ı destekler. Bu, örneğin konuk Wi-Fi'ye sahip bireysel bir girişimcinin ofisi bağlıysa ağ güvenliğini artırmanıza olanak tanır. Yayın etki alanlarının sınırlandırılması, iletilen trafiğin azaltılması ve güvenlik politikalarının uygulanması gibi standart VLAN işlevleri kurumsal ağlarda talep görse de prensip olarak küçük işletmelerde de kullanılabilir.
VLAN desteği, örneğin IP telefonu için ayrı bir ağ düzenlemek için de kullanışlıdır.
VLAN ile çalışmayı sağlamak için ZyWALL VPN2S cihazı IEEE 802.1Q standardını destekler.
Özetleme
Yapılandırılmış bir VPN kanalına sahip bir mobil cihazı kaybetme riski, kurumsal dizüstü bilgisayarların dağıtımı dışında çözümler gerektirir.
Kompakt ve ucuz VPN ağ geçitlerinin kullanılması, uzaktaki çalışanların çalışmalarını kolayca düzenlemenize olanak tanır.
ZyWALL VPN2S modeli başlangıçta uzaktaki çalışanları ve küçük ofisleri birbirine bağlamak için tasarlandı.
Faydalı linkler
→
→
→
→
→
Kaynak: habr.com