🥇Віддалена робота набирає обертів

Розкажемо про недорогий та безпечний спосіб забезпечити підключення віддалених співробітників за VPN, при цьому не вкидаючи компанію в репутаційні чи фінансові ризики та не створюючи додаткових проблем відділу ІТ та керівництву компанії.

З розвитком ІТ стало можливим залучати віддалених співробітників на дедалі більше позицій.

Якщо раніше серед дистанцій в основному були представники творчих професій, наприклад, дизайнери, копірайтери, то зараз і бухгалтер, і юрисконсульт, безліч представників інших спеціальностей можуть спокійно працювати з дому, відвідуючи офіс лише за необхідності.

Але у будь-якому разі необхідно організувати роботу через захищений канал.

Найпростіший варіант. Налаштовуємо на сервері VPN, співробітнику дається логін-пароль та ключ-сертифікат від VPN, а також інструкція, як налаштувати клієнт VPN у себе на комп'ютері. І відділ ІТ вважає своє завдання виконаним.

Ідея начебто непогана, за винятком одного: це має бути співробітник, який вміє все налаштовувати самостійно. Якщо йдеться про кваліфікованого розробника мережевих додатків — вельми, ймовірно, що він упорається з цим завданням.

Але бухгалтер, художник, дизайнер, технічний письменник, архітектор та безліч представників інших професій не обов'язково повинні розумітися на тонкощах налаштування VPN. Або до них хтось повинен підключитися віддалено та допомогти, або приїхати особисто і все налаштувати на місці. Відповідно, якщо у них щось перестає працювати, наприклад, через збій у профілі користувача злетіли налаштування мережного клієнта, то все потрібно повторити спочатку.

Деякі компанії видають ноутбук із уже встановленим ПЗ та налаштованим програмним клієнтом VPN для віддаленої роботи. За ідеєю в цьому випадку користувачі не повинні мати права адміністратора. Таким чином, вирішуються два завдання: співробітники гарантовано забезпечуються ліцензійним програмним забезпеченням, яке підходить під їх завдання, і готовим каналом зв'язку. При цьому вони не можуть самостійно змінювати налаштування, що знижує частоту звернень у
техпідтримку.

У деяких випадках це зручно. Наприклад, маючи ноутбук, можна вдень з комфортом розташуватися в кімнаті, а вночі тихенько попрацювати на кухні, щоб нікого не будити.

Який головний мінус? Той самий, що і плюс - це мобільний пристрій, який можна переносити. Користувачі діляться на дві категорії: ті, хто віддає перевагу настільному ПК через потужність і великий монітор і ті, хто любить мобільність.

Друга група користувачів обома руками голосує за ноутбуки. Отримавши корпоративний ноутбук, такі співробітники починають радісно ходити з ним у кафе, ресторани, їздити на природу та намагатися працювати звідти. Якби тільки працювати, а не просто використовувати отриманий апарат як власний комп'ютер для соцмереж та інших розваг.

Рано чи пізно корпоративний ноутбук губиться не тільки разом із робочою інформацією на жорсткому диску, а ще й із налаштованим доступом по VPN. Якщо стоїть галочка "зберігати пароль" в налаштуваннях VPN клієнта, то рахунок пішов на хвилини. У ситуаціях, коли не одразу виявили зникнення, не одразу повідомили у службу підтримки, не одразу знайшли потрібного співробітника, який має право на блокування — це може обернутися великою бідою.

Іноді допомагає розмежувати доступ до інформації. Але розмежувати доступ - не означає повністю вирішити проблем при втраті пристрою, це лише спосіб знизити втрати при розголошенні і компрометації даних.

Можна використовувати шифрування або двофакторну автентифікацію, наприклад з USB-ключом. Зовні ідея виглядає непогано, тепер якщо ноутбук потрапить у чужі руки, його власнику доведеться попітніти, щоб отримати доступ до даних, у тому числі для доступу до VPN. За цей час можна встигнути перекрити доступ до корпоративної мережі. А перед віддаленим користувачем відкриваються нові можливості: прошляпити або ноутбук, або ключ для доступу, або відразу. Формально рівень захисту підвищився, але службі техпідтримки нудьгувати не доведеться. Крім цього, на кожного дилера тепер доведеться закупити комплект для двофакторної автентифікації (або шифрування).

Окрема сумна та довга історія - стягнення збитків за втрачені або зіпсовані ноутбуки (скинуті на підлогу, залиті солодким чаєм, кава, а також інші нещасні випадки) та загублені ключі доступу.

Крім усього іншого, ноутбук містить механічні частини, такі як клавіатура, USB роз'єми, кріплення кришки з екраном - все це іноді виробляє свій ресурс, деформується, розбовтується і підлягає ремонту або заміні (найчастіше заміні всього ноутбука).

І що тепер? Найсуворіше заборонити виносити ноутбук із квартири та відстежувати
переміщення?

А навіщо тоді видавали ноутбук?

Одна з причин у тому, що ноутбук простіше передати. Давайте придумаємо щось інше, теж компактне.

Можна видавати не ноутбук, а захищені флешки LiveUSB із вже налаштованим підключенням VPN, а користувач буде використовувати свій комп'ютер. Але й тут лотерея: запуститься програмне складання на комп'ютері користувача чи ні? Проблема може бути в елементарному відсутності необхідних драйверів.

Потрібно придумати, як організувати підключення співробітників на «віддаленні», при цьому бажано, щоб людина не піддавалася спокусі поблукати з корпоративним ноутбуком містом, а сиділа б у себе вдома і спокійно працювала без ризику десь забути або втратити ввірений їй пристрій.

Стаціонарний доступ по VPN

А якщо видавати не кінцевий пристрій, наприклад ноутбук, або тим більше не окрему флешку для підключення, а мережевий шлюз з VPN клієнтом на борту?

Наприклад, готовий маршрутизатор, що включає підтримку різних протоколів, в якому вже заздалегідь налаштовано з'єднання VPN. Віддаленому співробітнику залишається лише підключити до нього свій комп'ютер та розпочати роботу.

Які питання це допомагає вирішити?

Техніка з налаштованим доступом до корпоративної мережі VPN не виноситься з дому.
Можна підключити кілька пристроїв до одного каналу VPN.

Вище ми вже писали, що приємно мати можливість переміщатися з ноутбуком квартирою, але найчастіше простіше і зручніше працювати з настільним комп'ютером.

А до VPN на маршрутизаторі можна підключити і ПК, і ноутбук, і смартфон, і планшет, і навіть електронну книгу - все, що підтримує доступ по Wi-Fi або дротовому Ethernet.

Якщо подивитися на ситуацію ширше, то може бути, наприклад, точка підключення для міні-офісу, де може працювати кілька людей.

Усередині такого захищеного сегмента підключені пристрої можуть обмінюватися інформацією, можна організувати щось на кшталт файлообмінного ресурсу, мати нормальний доступ до Інтернету, посилати документи на друк зовнішній принтер тощо.

Корпоративна телефонія! Як багато в цьому звуку, який у слухавці десь там звучить! Централізований VPN канал на кілька пристроїв дозволяє підключити смартфон по Wi-Fi мережі та використовувати IP телефонію для дзвінків на короткі номери всередині корпоративної мережі.

Інакше довелося б дзвонити по мобільному або використовувати зовнішні програми, такі як WhatsApp, що не завжди співзвучно з корпоративною безпековою політикою.

І якщо ми заговорили про безпеку, то варто відзначити ще один важливий факт. З апаратним VPN шлюзом можна посилити захист шляхом використання нових функцій контролю на вхідному шлюзі. Це дозволяє підвищити безпеку та перенести частину навантаження із захисту трафіку на мережевий шлюз.

Яке рішення може запропонувати Zyxel для цього випадку

Ми розглядаємо пристрій, який підлягає видачі в тимчасове користування всім працівникам, хто може і хоче віддалено працювати.

Тому такий пристрій має бути:

недорогим;
надійним (щоб не витрачати гроші та час на ремонт);
доступним для покупки у торгових мережах;
простим у налаштуванні (передбачається використовувати без виклику спеціально
навченого спеціаліста).

Звучить не дуже реально, правда?

Однак такий пристрій є, він реально існує і вільно
продається
- Zyxel ZyWALL VPN2S

VPN2S – це міжмережевий екран VPN, що дозволяє використовувати приватне з'єднання.
point-to-point без складного налаштування параметрів мережі.

Рисунок 1. Зовнішній вигляд Zyxel ZyWALL VPN2S

Коротка специфікація пристрою

Апаратні особливості

Порти 10/100/1000 Mbps RJ-45
3 x LAN, 1 x WAN/LAN, 1 x WAN

Порти USB
2 х USB 2.0

Відсутність вентилятора
Так

Ємність та продуктивність системи

Пропускна здатність міжмережевого екрану SPI (Mbps)
1.5 Gbps

Пропускна здатність VPN (Mbps)
35

Максимальна кількість одночасних сесій. TCP
50000

Максимальна кількість одночасних тунелів IPsec VPN [5] 20

Кастомізовані зони
Так

Підтримка IPv6
Так

Максимальна кількість VLAN
16

Основні функції програмного забезпечення

Multi-WAN Load Balance/Failover
Так

Віртуальна приватна мережа (VPN)
Так (IPSec, L2TP over IPSec, PPTP, L2TP, GRE)

Клієнт VPN
IPSec/L2TP/PPTP

Фільтрування контенту
1 рік безкоштовно

Міжмережевий екран
Так

VLAN/Interface Group
Так

Управління смугою пропускання
Так

Журнал подій та моніторинг
Так

Cloud Helper
Так

Віддалене управління
Так

Примітка. Дані в таблиці наведені для мікрокоду OPAL BE 1.12 або більше
пізньої версії.

Які варіанти VPN підтримуються ZyWALL VPN2S

Власне, з назви видно, що пристрій ZyWALL VPN2S насамперед
проектувалося для зв'язку віддалених співробітників та міні-філій з VPN.

Для кінцевих користувачів передбачено протокол L2TP Over IPSec VPN.
Для підключення міні-офісів передбачено зв'язок із Site-to-Site IPSec VPN.
Також за допомогою ZyWALL VPN2S можна побудувати з'єднання L2TP VPN з
сервіс-провайдер для безпечного доступу до Інтернету.

Слід зазначити, що цей поділ дуже умовний. Наприклад, можна на
віддаленій точці налаштувати підключення Site-to-Site IPSec VPN з єдиним
користувачем усередині периметра.

Зрозуміло, це з використанням строгих алгоритмів VPN (IKEv2 і SHA-2).

Використання декількох WAN

Для дистанційної роботи головне мати стабільний канал. На жаль, з єдиною
лінією зв'язку навіть від найнадійнішого провайдера це не можна гарантувати.

Проблеми можна розділити на два види:

падіння швидкості - від цього допоможе функція Multi-WAN load balancing для
підтримки стійкого з'єднання з необхідною швидкістю;
аварія на каналі – для цього служить функція Multi-WAN failover для
забезпечення відмовостійкості методом дублювання.

Які є для цього апаратні можливості?

Четвертий порт LAN можна налаштувати як додатковий порт WAN.
USB-порт можна використовувати для підключення 3G/4G модему, що забезпечує
резервний канал у вигляді стільникового зв'язку.

Підвищення мережної безпеки

Як було сказано вище, це одна з головних переваг використання спеціальних
централізованих пристроїв.

У ZyWALL VPN2S присутня функція міжмережевого екрану SPI (Stateful Packet Inspection) для протидії атакам різного типу, у тому числі DoS (Denial of Service), атакам із застосуванням підставних IP-адрес, а також від неавторизованого віддаленого доступу до систем, підозрілого мережевого трафіку пакетів.

Як додатковий захист у пристрої є Content filtering для блокування доступу користувачів до підозрілого, небезпечного та стороннього контенту.

Швидке та легке налаштування з 5 кроків за допомогою майстра налаштування

Для швидкого налаштування з'єднання є зручний майстер налаштування та графічний
інтерфейс кількома мовами.

Рисунок 2. Приклад одного з екранів майстра налаштування.

Для оперативного та ефективного управління Zyxel пропонує повний пакет утиліт дистанційного адміністрування, за допомогою яких можна легко налаштувати VPN2S та вести його моніторинг.

Можливість дублювання налаштувань значно полегшує підготовку до роботи кількох пристроїв ZyWALL VPN2S для передачі віддаленим співробітникам.

Підтримка VLAN

Незважаючи на те, що ZyWALL VPN2S заточений для віддаленої роботи, він підтримує VLAN. Це дозволяє підвищити безпеку мережі, наприклад, якщо підключено офіс індивідуального підприємця, де є гостьовий Wi-Fi. Стандартні функції VLAN, такі як обмеження доменів broadcast domain, скорочення трафіку, що передається, і застосування політик безпеки затребувані в корпоративних мережах, але в малому бізнесі в принципі, теж можуть знайти застосування.

Також підтримка VLAN корисна для організації окремої мережі, наприклад IP телефонії.

Для забезпечення роботи з VLAN пристрій ZyWALL VPN2S підтримує стандарт IEEE 802.1Q.