Расскажем о недорогом и безопасном способе обеспечить подключение удалённых сотрудников по VPN, при этом не ввергая компанию в репутационные или финансовые риски и не создавая дополнительных проблем отделу ИТ и руководству компании.
С развитием ИТ стало возможным привлекать удалённых сотрудников на всё большее число позиций.
Если раньше среди удалёнщиков в основном были представители творческих профессий, например, дизайнеры, копирайтеры, то сейчас и бухгалтер, и юрисконсульт, множество представителей других специальностей могут спокойно работать из дома, посещая офис лишь при необходимости.
Но в любом случае необходимо организовать работу через защищённый канал.
Самый простой вариант. Настраиваем на сервере VPN, сотруднику даётся логин-пароль и ключ-сертификат от VPN, а также и инструкция как настроить клиент VPN у себя на компьютере. И отдел ИТ считает свою задачу выполненной.
Идея вроде бы неплохая, за исключением одного: это должен быть сотрудник, умеющий всё настраивать самостоятельно. Если речь идёт о квалифицированном разработчике сетевых приложений — весьма, вероятно, что он справится с этой задачей.
Но бухгалтер, художник, дизайнер, технический писатель, архитектор и множество представителей других профессий не обязательно должны разбираться в тонкостях настройки VPN. Либо к ним кто-то должен подключиться удалённо и помочь, либо приехать лично и всё настроить на месте. Соответственно, если у них что-то перестаёт работать, например, из-за сбоя в профиле пользователя слетели настройки сетевого клиента, то всё нужно повторить сначала.
Некоторые компании выдают ноутбук с уже установленным ПО и настроенным программным клиентом VPN для удалённой работы. По идее в этом случае пользователи не должны иметь прав администратора. Таким образом решаются две задачи: сотрудники гарантированно обеспечиваются лицензионным программным обеспечением, которое подходит под их задачи, и готовым каналом связи. При этом они не могут самостоятельно менять настройки, что снижает частоту обращений в
техподдержку.
В некоторых случаях это удобно. Например, имея ноутбук, можно днём с комфортом расположиться в комнате, а ночью тихонечко поработать на кухне, чтобы никого не будить.
Какой главный минус? Тот же самый, что и плюс — это мобильное устройство, которое можно переносить. Пользователи делятся на две категории: те, кто предпочитают настольный ПК из-за мощности и большого монитора и те, кто любит мобильность.
Вторая группа пользователей обеими руками голосует за ноутбуки. Получив корпоративный ноутбук, такие сотрудники начинают радостно ходить с ним в кафе, рестораны, ездить на природу и пытаться работать оттуда. Если бы только работать, а не просто использовать полученный аппарат как свой собственный компьютер для соцсетей и других развлечений.
Рано или поздно корпоративный ноутбук теряется не только вместе с рабочей информацией на жёстком диске, а ещё и с настроенным доступом по VPN. Если стоит галочка «сохранять пароль» в настройках VPN клиента, то счёт пошёл на минуты. В ситуациях, когда не сразу обнаружили пропажу, не сразу сообщили в службу поддержки, не сразу нашли нужного сотрудника, имеющего права для блокировки — это может обернуться большой бедой.
Иногда помогает разграничение доступа к информации. Но разграничить доступ — не означает полностью решить проблем при потере устройства, это всего лишь способ снизить потери при разглашении и компрометации данных.
Можно использовать шифрование или двухфакторную аутентификацию, например, с USB-ключом. Внешне идея выглядит неплохо, теперь если ноутбук попадёт в чужие руки, его владельцу придётся попотеть, чтобы получить доступ к данным, в том числе для доступа по VPN. За это время можно успеть перекрыть доступ в корпоративную сеть. А перед удалённым пользователем открываются новые возможности: прошляпить или ноутбук, или ключ для доступа, или всё сразу. Формально уровень защиты повысился, но службе техподдержки скучать не придётся. Кроме этого, на каждого удалёнщика теперь придётся закупить комплект для двухфакторной аутентификации (или шифрования).
Отдельная грустная и долгая история — взимание ущерба за потерянные или испорченные ноутбуки (сброшенные на пол, залитые сладким чаем, кофе, а также другие несчастные случаи) и утерянные ключи доступа.
Помимо всего прочего, ноутбук содержит механические части, такие как клавиатура, USB разъёмы, крепление крышки с экраном — всё это от времени вырабатывает свой ресурс, деформируется, разбалтывается и подлежит ремонту или замене (чаще всего замене всего ноутбука).
И что теперь? Строжайше запретить выносить ноутбук из квартиры и отслеживать
перемещение?
А зачем тогда выдавали именно ноутбук?
Одна из причин состоит в том, что ноутбук проще передать. Давайте придумаем что-нибудь другое, тоже компактное.
Можно выдавать не ноутбук, а защищённые флешки LiveUSB с уже настроенным подключением VPN, а пользователь будет использовать свой компьютер. Но и тут лотерея: запустится программная сборка на компьютере пользователя или нет? Проблема может быть в элементарном отсутствии нужных драйверов.
Нужно придумать, как организовать подключение сотрудников на «удалёнке», при этом желательно, чтобы человек не поддавался соблазну побродить с корпоративным ноутбуком по городу, а сидел бы у себя дома и спокойно работал без риска где-то забыть или потерять вверенное ему устройство.
Стационарный доступ по VPN
А если выдавать не конечное устройство, например, ноутбук, или тем более не отдельную флешку для подключения, а сетевой шлюз с VPN клиентом на борту?
Например, готовый маршрутизатор, включающий поддержку различных протоколов, в котором уже заранее настроено VPN соединение. Удалённому сотруднику остаётся только подключить к нему свой компьютер и начать работу.
Какие вопросы это помогает решить?
- Техника с настроенным доступом в корпоративную сеть по VPN не выносится из дома.
- Можно подключить несколько устройств к одному VPN каналу.
Выше мы уже писали, что приятно иметь возможность перемещаться с ноутбуком по квартире, но зачастую проще и удобней работать с настольным компьютером.
А к VPN на маршрутизаторе можно подключить и ПК, и ноутбук, и смартфон, и планшет, и даже электронную книгу — всё что поддерживает доступ по Wi-Fi или проводному Ethernet.
Если посмотреть на ситуацию шире, это может быть, например, точка подключения для мини-офиса, где может работать несколько человек.
Внутри такого защищённого сегмента подключённые устройства могут обмениваться информацией, можно организовать что-то вроде файлообменного ресурса, при этом иметь нормальный доступ в Интернет, посылать документы на печать на внешний принтер и так далее.
Корпоративная телефония! Как много в этом звуке, который в трубке где-то там звучит! Централизованный VPN канал на несколько устройств позволяет подключить смартфон по Wi-Fi сети и использовать IP телефонию для звонков на короткие номера внутри корпоративной сети.
Иначе пришлось бы звонить по мобильному или использовать внешние приложения, такие как WhatsApp, что не всегда созвучно с корпоративной политикой безопасности.
И раз мы заговорили о безопасности, то стоит отметить ещё один немаловажный факт. С аппаратным VPN шлюзом можно усилить защиту путём использования новых функций контроля на входном шлюзе. Это позволяет повысить безопасность и перенести часть нагрузки по защите трафика на сетевой шлюз.
Какое решение может предложить Zyxel для этого случая
Мы рассматриваем устройство, которое подлежит выдаче во временное пользование всем работникам, кто может и хочет работать удалённо.
Поэтому такое устройство должно быть:
- недорогим;
- надёжным (чтобы не тратить деньги и время на ремонт);
- доступным для покупки в торговых сетях;
- простым в настройке (предполагается использовать без вызова специально
обученного специалиста).
Звучит не очень реально, правда?
Однако такое устройство есть, оно реально существует и свободно
продаётся
— Zyxel ZyWALL VPN2S
VPN2S – это межсетевой экран VPN, позволяющий использовать частное соединение
point-to-point без сложной настройки параметров сети.
Рисунок 1. Внешний вид Zyxel ZyWALL VPN2S
Краткая спецификация устройства
Аппаратные особенности | |
---|---|
Порты 10/100/1000 Mbps RJ-45 | 3 x LAN, 1 x WAN/LAN, 1 x WAN |
Порты USB | 2 x USB 2.0 |
Отсутствие вентилятора | Да |
Ёмкость и производительность системы | |
Пропускная способность межсетевого экрана SPI (Mbps) | 1.5 Gbps |
Пропускная способность VPN (Mbps) | 35 |
Максимальное число одновременных сессий. TCP | 50000 |
Максимальное число одновременных туннелей IPsec VPN [5] | 20 |
Кастомизируемые зоны | Да |
Поддержка IPv6 | Да |
Максимальное число VLAN | 16 |
Основные функции программного обеспечения | |
Multi-WAN Load Balance/Failover | Да |
Virtual private network (VPN) | Да (IPSec, L2TP over IPSec, PPTP, L2TP, GRE) |
Клиент VPN | IPSec/L2TP/PPTP |
Фильтрация контента | 1 год бесплатно |
Межсетевой экран | Да |
VLAN/Interface Group | Да |
Управление полосой пропускания | Да |
Журнал событий и мониторинг | Да |
Cloud Helper | Да |
Удалённое управление | Да |
Примечание. Данные в таблице приведены для микрокода OPAL BE 1.12 или более
поздней версии.
Какие варианты VPN поддерживаются ZyWALL VPN2S
Собственно, из названия видно, что устройство ZyWALL VPN2S в первую очередь
проектировалось для связи удалённых сотрудников и мини-филиалов по VPN.
- Для конечных пользователей предусмотрен протокол L2TP Over IPSec VPN.
- Для подключения мини-офисов предусмотрена связь по Site-to-Site IPSec VPN.
- Также с помощью ZyWALL VPN2S можно построить соединение L2TP VPN с
сервис-провайдером для безопасного доступа к Интернету.
Следует отметить, что это разделение весьма условно. Например, можно на
удалённой точке настроить подключение Site-to-Site IPSec VPN с единственным
пользователем внутри периметра.
Разумеется, всё это с использованием строгих алгоритмов VPN (IKEv2 и SHA-2).
Использование нескольких WAN
Для удалённой работы главное иметь стабильный канал. К сожалению, с единственной
линией связи даже от самого надёжного провайдера это нельзя гарантировать.
Проблемы можно разделить на два вида:
- падение скорости — от этого поможет функция Multi-WAN load balancing для
поддержания устойчивого соединение с требуемой скоростью; - авария на канале — для этого служит функция Multi-WAN failover для
обеспечения отказоустойчивости методом дублирования.
Какие есть для этого аппаратные возможности:
- Четвёртый порт LAN можно сконфигурировать как дополнительный порт WAN.
- USB-порт можно использовать для подключения 3G/4G модема, что обеспечивает
резервный канал в виде сотовой связи.
Повышение сетевой безопасности
Как было сказано выше, это одно из главных преимуществ использования специальных
централизованных устройств.
В ZyWALL VPN2S присутствует функция межсетевого экрана SPI (Stateful Packet Inspection) для противодействия атакам различного типа, в том числе DoS (Denial of Service), атакам с применением подставных IP-адресов, а также от неавторизованного удалённого доступа к системам, подозрительного сетевого трафика и пакетов.
В качестве дополнительной защиты в устройстве присутствует Content filtering для блокировки доступа пользователей к подозрительному, опасному и постороннему контенту.
Быстрая и лёгкая настройка из 5 шагов с помощью мастера настройки
Для быстрой настройки соединения есть удобный мастер настройки и графический
интерфейс на нескольких языках.
Рисунок 2. Пример одного из экранов мастера настройки.
Для оперативного и эффективного управления Zyxel предлагает полный пакет утилит удалённого администрирования, с помощью которых можно легко настроить VPN2S и вести его мониторинг.
Возможность дублирования настроек значительно упрощает подготовку к работе нескольких устройств ZyWALL VPN2S для передачи удалённым сотрудникам.
Поддержка VLAN
Несмотря на то, что ZyWALL VPN2S заточен для удалённой работы, он поддерживает VLAN. Это позволяет повысить безопасность сети, например, если подключён офис индивидуального предпринимателя, в котором есть гостевой Wi-Fi. Стандартные функции VLAN, такие, как ограничение доменов broadcast domain, сокращение передаваемого трафика и применение политик безопасности востребованы в корпоративных сетях, но в малом бизнесе в принципе, тоже могут найти применение.
Также поддержка VLAN полезна для организации отдельной сети, например, для IP телефонии.
Для обеспечения работы с VLAN устройство ZyWALL VPN2S поддерживает IEEE 802.1Q стандарт.
Подводя итоги
Риск утраты мобильного устройства с настроенным VPN каналом требует иных решений, нежели раздача корпоративных ноутбуков.
Использование компактных и недорогих VPN шлюзов позволяет без труда организовать работу удалённых сотрудников.
Модель ZyWALL VPN2S изначально предназначена для подключения удалённых сотрудников и небольших офисов.
Полезные ссылки
> Zyxel VPN2S – видео
> Страница ZyWALL VPN2S на официальной сайте Zyxel
> ТЕСТ: Решение для малого офиса VPN2S + точка доступа WiFi
> Телеграм чат "Zyxel Клуб"
> Телеграм канал "Zyxel Новости"
xkondorx
Наверно тупой вопрос, но чем это устройство лучше любого другого современного роутера с поддержкой использования VPN? При этом за эти деньги имеющем 5Ghz Wifi на борту, межсетевой экран, защиту от DoS (хотелось бы видеть тесты эффективности такой защиты).
iopia
Сценариев достаточно много, в которых обычные домашние роутеры не смогут предоставить достаточного уровня безопасности для удаленных клиентов.
И самый простой- в VPN2S есть фильтрация контента, которого в обычных роутерах нет.
А кто захочет потом бегать за заразой по всей сетке, которая может растянуться на пол шара?)
St_Sinner
То есть тот же преднастроенный Mikrotik hap AC2, который стоит даже немного меньше, по вашему, не справится с задачей, с которой справляется Zyxel ZyWALL VPN2S?
А на счет фильтрации контента, думать надо на точке подключения, а не на клиенте, ибо не подконтрольное рабочее место изначально должно считаться небезопасным