Удалённая работа набирает обороты


    Расскажем о недорогом и безопасном способе обеспечить подключение удалённых сотрудников по VPN, при этом не ввергая компанию в репутационные или финансовые риски и не создавая дополнительных проблем отделу ИТ и руководству компании.


    С развитием ИТ стало возможным привлекать удалённых сотрудников на всё большее число позиций.


    Если раньше среди удалёнщиков в основном были представители творческих профессий, например, дизайнеры, копирайтеры, то сейчас и бухгалтер, и юрисконсульт, множество представителей других специальностей могут спокойно работать из дома, посещая офис лишь при необходимости.


    Но в любом случае необходимо организовать работу через защищённый канал.


    Самый простой вариант. Настраиваем на сервере VPN, сотруднику даётся логин-пароль и ключ-сертификат от VPN, а также и инструкция как настроить клиент VPN у себя на компьютере. И отдел ИТ считает свою задачу выполненной.


    Идея вроде бы неплохая, за исключением одного: это должен быть сотрудник, умеющий всё настраивать самостоятельно. Если речь идёт о квалифицированном разработчике сетевых приложений — весьма, вероятно, что он справится с этой задачей.


    Но бухгалтер, художник, дизайнер, технический писатель, архитектор и множество представителей других профессий не обязательно должны разбираться в тонкостях настройки VPN. Либо к ним кто-то должен подключиться удалённо и помочь, либо приехать лично и всё настроить на месте. Соответственно, если у них что-то перестаёт работать, например, из-за сбоя в профиле пользователя слетели настройки сетевого клиента, то всё нужно повторить сначала.


    Некоторые компании выдают ноутбук с уже установленным ПО и настроенным программным клиентом VPN для удалённой работы. По идее в этом случае пользователи не должны иметь прав администратора. Таким образом решаются две задачи: сотрудники гарантированно обеспечиваются лицензионным программным обеспечением, которое подходит под их задачи, и готовым каналом связи. При этом они не могут самостоятельно менять настройки, что снижает частоту обращений в
    техподдержку.


    В некоторых случаях это удобно. Например, имея ноутбук, можно днём с комфортом расположиться в комнате, а ночью тихонечко поработать на кухне, чтобы никого не будить.


    Какой главный минус? Тот же самый, что и плюс — это мобильное устройство, которое можно переносить. Пользователи делятся на две категории: те, кто предпочитают настольный ПК из-за мощности и большого монитора и те, кто любит мобильность.


    Вторая группа пользователей обеими руками голосует за ноутбуки. Получив корпоративный ноутбук, такие сотрудники начинают радостно ходить с ним в кафе, рестораны, ездить на природу и пытаться работать оттуда. Если бы только работать, а не просто использовать полученный аппарат как свой собственный компьютер для соцсетей и других развлечений.


    Рано или поздно корпоративный ноутбук теряется не только вместе с рабочей информацией на жёстком диске, а ещё и с настроенным доступом по VPN. Если стоит галочка «сохранять пароль» в настройках VPN клиента, то счёт пошёл на минуты. В ситуациях, когда не сразу обнаружили пропажу, не сразу сообщили в службу поддержки, не сразу нашли нужного сотрудника, имеющего права для блокировки — это может обернуться большой бедой.


    Иногда помогает разграничение доступа к информации. Но разграничить доступ — не означает полностью решить проблем при потере устройства, это всего лишь способ снизить потери при разглашении и компрометации данных.


    Можно использовать шифрование или двухфакторную аутентификацию, например, с USB-ключом. Внешне идея выглядит неплохо, теперь если ноутбук попадёт в чужие руки, его владельцу придётся попотеть, чтобы получить доступ к данным, в том числе для доступа по VPN. За это время можно успеть перекрыть доступ в корпоративную сеть. А перед удалённым пользователем открываются новые возможности: прошляпить или ноутбук, или ключ для доступа, или всё сразу. Формально уровень защиты повысился, но службе техподдержки скучать не придётся. Кроме этого, на каждого удалёнщика теперь придётся закупить комплект для двухфакторной аутентификации (или шифрования).


    Отдельная грустная и долгая история — взимание ущерба за потерянные или испорченные ноутбуки (сброшенные на пол, залитые сладким чаем, кофе, а также другие несчастные случаи) и утерянные ключи доступа.


    Помимо всего прочего, ноутбук содержит механические части, такие как клавиатура, USB разъёмы, крепление крышки с экраном — всё это от времени вырабатывает свой ресурс, деформируется, разбалтывается и подлежит ремонту или замене (чаще всего замене всего ноутбука).


    И что теперь? Строжайше запретить выносить ноутбук из квартиры и отслеживать
    перемещение?


    А зачем тогда выдавали именно ноутбук?


    Одна из причин состоит в том, что ноутбук проще передать. Давайте придумаем что-нибудь другое, тоже компактное.


    Можно выдавать не ноутбук, а защищённые флешки LiveUSB с уже настроенным подключением VPN, а пользователь будет использовать свой компьютер. Но и тут лотерея: запустится программная сборка на компьютере пользователя или нет? Проблема может быть в элементарном отсутствии нужных драйверов.


    Нужно придумать, как организовать подключение сотрудников на «удалёнке», при этом желательно, чтобы человек не поддавался соблазну побродить с корпоративным ноутбуком по городу, а сидел бы у себя дома и спокойно работал без риска где-то забыть или потерять вверенное ему устройство.


    Стационарный доступ по VPN


    А если выдавать не конечное устройство, например, ноутбук, или тем более не отдельную флешку для подключения, а сетевой шлюз с VPN клиентом на борту?


    Например, готовый маршрутизатор, включающий поддержку различных протоколов, в котором уже заранее настроено VPN соединение. Удалённому сотруднику остаётся только подключить к нему свой компьютер и начать работу.


    Какие вопросы это помогает решить?


    1. Техника с настроенным доступом в корпоративную сеть по VPN не выносится из дома.
    2. Можно подключить несколько устройств к одному VPN каналу.

    Выше мы уже писали, что приятно иметь возможность перемещаться с ноутбуком по квартире, но зачастую проще и удобней работать с настольным компьютером.


    А к VPN на маршрутизаторе можно подключить и ПК, и ноутбук, и смартфон, и планшет, и даже электронную книгу — всё что поддерживает доступ по Wi-Fi или проводному Ethernet.


    Если посмотреть на ситуацию шире, это может быть, например, точка подключения для мини-офиса, где может работать несколько человек.


    Внутри такого защищённого сегмента подключённые устройства могут обмениваться информацией, можно организовать что-то вроде файлообменного ресурса, при этом иметь нормальный доступ в Интернет, посылать документы на печать на внешний принтер и так далее.


    Корпоративная телефония! Как много в этом звуке, который в трубке где-то там звучит! Централизованный VPN канал на несколько устройств позволяет подключить смартфон по Wi-Fi сети и использовать IP телефонию для звонков на короткие номера внутри корпоративной сети.


    Иначе пришлось бы звонить по мобильному или использовать внешние приложения, такие как WhatsApp, что не всегда созвучно с корпоративной политикой безопасности.


    И раз мы заговорили о безопасности, то стоит отметить ещё один немаловажный факт. С аппаратным VPN шлюзом можно усилить защиту путём использования новых функций контроля на входном шлюзе. Это позволяет повысить безопасность и перенести часть нагрузки по защите трафика на сетевой шлюз.


    Какое решение может предложить Zyxel для этого случая


    Мы рассматриваем устройство, которое подлежит выдаче во временное пользование всем работникам, кто может и хочет работать удалённо.


    Поэтому такое устройство должно быть:


    • недорогим;
    • надёжным (чтобы не тратить деньги и время на ремонт);
    • доступным для покупки в торговых сетях;
    • простым в настройке (предполагается использовать без вызова специально
      обученного специалиста).

    Звучит не очень реально, правда?


    Однако такое устройство есть, оно реально существует и свободно
    продаётся
    — Zyxel ZyWALL VPN2S


    VPN2S – это межсетевой экран VPN, позволяющий использовать частное соединение
    point-to-point без сложной настройки параметров сети.



    Рисунок 1. Внешний вид Zyxel ZyWALL VPN2S


    Краткая спецификация устройства


    Аппаратные особенности
    Порты 10/100/1000 Mbps RJ-45 3 x LAN, 1 x WAN/LAN, 1 x WAN
    Порты USB 2 x USB 2.0
    Отсутствие вентилятора Да
    Ёмкость и производительность системы
    Пропускная способность межсетевого экрана SPI (Mbps) 1.5 Gbps
    Пропускная способность VPN (Mbps) 35
    Максимальное число одновременных сессий. TCP 50000
    Максимальное число одновременных туннелей IPsec VPN [5] 20
    Кастомизируемые зоны Да
    Поддержка IPv6 Да
    Максимальное число VLAN 16
    Основные функции программного обеспечения
    Multi-WAN Load Balance/Failover Да
    Virtual private network (VPN) Да (IPSec, L2TP over IPSec, PPTP, L2TP, GRE)
    Клиент VPN IPSec/L2TP/PPTP
    Фильтрация контента 1 год бесплатно
    Межсетевой экран Да
    VLAN/Interface Group Да
    Управление полосой пропускания Да
    Журнал событий и мониторинг Да
    Cloud Helper Да
    Удалённое управление Да

    Примечание. Данные в таблице приведены для микрокода OPAL BE 1.12 или более
    поздней версии.


    Какие варианты VPN поддерживаются ZyWALL VPN2S


    Собственно, из названия видно, что устройство ZyWALL VPN2S в первую очередь
    проектировалось для связи удалённых сотрудников и мини-филиалов по VPN.


    • Для конечных пользователей предусмотрен протокол L2TP Over IPSec VPN.
    • Для подключения мини-офисов предусмотрена связь по Site-to-Site IPSec VPN.
    • Также с помощью ZyWALL VPN2S можно построить соединение L2TP VPN с
      сервис-провайдером для безопасного доступа к Интернету.

    Следует отметить, что это разделение весьма условно. Например, можно на
    удалённой точке настроить подключение Site-to-Site IPSec VPN с единственным
    пользователем внутри периметра.


    Разумеется, всё это с использованием строгих алгоритмов VPN (IKEv2 и SHA-2).


    Использование нескольких WAN


    Для удалённой работы главное иметь стабильный канал. К сожалению, с единственной
    линией связи даже от самого надёжного провайдера это нельзя гарантировать.


    Проблемы можно разделить на два вида:


    • падение скорости — от этого поможет функция Multi-WAN load balancing для
      поддержания устойчивого соединение с требуемой скоростью;
    • авария на канале — для этого служит функция Multi-WAN failover для
      обеспечения отказоустойчивости методом дублирования.

    Какие есть для этого аппаратные возможности:


    • Четвёртый порт LAN можно сконфигурировать как дополнительный порт WAN.
    • USB-порт можно использовать для подключения 3G/4G модема, что обеспечивает
      резервный канал в виде сотовой связи.

    Повышение сетевой безопасности


    Как было сказано выше, это одно из главных преимуществ использования специальных
    централизованных устройств.


    В ZyWALL VPN2S присутствует функция межсетевого экрана SPI (Stateful Packet Inspection) для противодействия атакам различного типа, в том числе DoS (Denial of Service), атакам с применением подставных IP-адресов, а также от неавторизованного удалённого доступа к системам, подозрительного сетевого трафика и пакетов.


    В качестве дополнительной защиты в устройстве присутствует Content filtering для блокировки доступа пользователей к подозрительному, опасному и постороннему контенту.


    Быстрая и лёгкая настройка из 5 шагов с помощью мастера настройки


    Для быстрой настройки соединения есть удобный мастер настройки и графический
    интерфейс на нескольких языках.



    Рисунок 2. Пример одного из экранов мастера настройки.


    Для оперативного и эффективного управления Zyxel предлагает полный пакет утилит удалённого администрирования, с помощью которых можно легко настроить VPN2S и вести его мониторинг.


    Возможность дублирования настроек значительно упрощает подготовку к работе нескольких устройств ZyWALL VPN2S для передачи удалённым сотрудникам.


    Поддержка VLAN


    Несмотря на то, что ZyWALL VPN2S заточен для удалённой работы, он поддерживает VLAN. Это позволяет повысить безопасность сети, например, если подключён офис индивидуального предпринимателя, в котором есть гостевой Wi-Fi. Стандартные функции VLAN, такие, как ограничение доменов broadcast domain, сокращение передаваемого трафика и применение политик безопасности востребованы в корпоративных сетях, но в малом бизнесе в принципе, тоже могут найти применение.


    Также поддержка VLAN полезна для организации отдельной сети, например, для IP телефонии.


    Для обеспечения работы с VLAN устройство ZyWALL VPN2S поддерживает IEEE 802.1Q стандарт.


    Подводя итоги


    Риск утраты мобильного устройства с настроенным VPN каналом требует иных решений, нежели раздача корпоративных ноутбуков.


    Использование компактных и недорогих VPN шлюзов позволяет без труда организовать работу удалённых сотрудников.


    Модель ZyWALL VPN2S изначально предназначена для подключения удалённых сотрудников и небольших офисов.


    Полезные ссылки


    Zyxel VPN2S – видео
    Страница ZyWALL VPN2S на официальной сайте Zyxel
    ТЕСТ: Решение для малого офиса VPN2S + точка доступа WiFi
    Телеграм чат "Zyxel Клуб"
    Телеграм канал "Zyxel Новости"

    ZYXEL в России
    Производитель сетевых устройств для бизнеса

    Комментарии 14

      +2
      Наверно тупой вопрос, но чем это устройство лучше любого другого современного роутера с поддержкой использования VPN? При этом за эти деньги имеющем 5Ghz Wifi на борту, межсетевой экран, защиту от DoS (хотелось бы видеть тесты эффективности такой защиты).
        0
        Сценариев достаточно много, в которых обычные домашние роутеры не смогут предоставить достаточного уровня безопасности для удаленных клиентов.
        И самый простой- в VPN2S есть фильтрация контента, которого в обычных роутерах нет.
        А кто захочет потом бегать за заразой по всей сетке, которая может растянуться на пол шара?)
          0
          То есть тот же преднастроенный Mikrotik hap AC2, который стоит даже немного меньше, по вашему, не справится с задачей, с которой справляется Zyxel ZyWALL VPN2S?

          А на счет фильтрации контента, думать надо на точке подключения, а не на клиенте, ибо не подконтрольное рабочее место изначально должно считаться небезопасным
        +1
        >> Пропускная способность VPN (Mbps) 35
        И это при цене в 6к? Даже без failover на USB-модем?
        *facepalm.jpg*

        Да самый простой Keenetic DSL KN-2010 за 3,5к даст 100 Мбит на IPSec VPN и еще такую кучу возможностей (в том числе и WiFi, а за 5к — еще и dual-band 2,4/5 в виде KN-2110 DUO), что даже перечисление списком в коммент не влезет.
          0
          Сабж все таки более промышленный, а не для 1 канала соединить 2 офиса между собой.

          Таки я бы сначала подумал, делать ли соединение 5+ офисов через домашние роутеры, хотя если поднять все на Wireguard, то думаю справятся.
            0
            Насколько я понял, эти штуки нужно отдать удаленщикам, а в офисе уже серьезная вундервафля.
              0
              Можно как удаленщикам, так и филиалы подключать с головному. Всё зависит от объема.
              Офис на 20-30 человек она спокойно вытянет.
              0
              «Энтерпрайзность» для устройства на выдачу для рядового сотрудника — дело скорее понтов.
              Объединение офисов — опять-таки смотря какой уровень. Иногда достаточно просто ходить на NAS в другом офисе (и, может, принтер) — тогда хватит решения любого уровня, которое дает уверенную L3-связность.
              0
              Даже без failover на USB-модем?

              Почему же? в нем реализован и резерв через второй ван, и балансировка, и на крайний случай третий канал через свисток.
              Да самый простой Keenetic DSL KN-2010 за 3,5к даст 100 Мбит на IPSec VPN

              Всё таки это железки немного разного уровня. 100 Мбит IPsecа даст даже мультиварка, а если к нему подключить несколько клиентов и на L2TP?
              Плата имеет часть не распаянных элементов, как раз беспроводного тракта. Так что в будущем возможно появится версия и с WiFi.
                0
                Количество клиентов не имеет значения само по себе, имеет значение трафик, который они создают. Потому в Keenetic давно ушли от ущербной схемы «10 туннелей и баста», можно одним UDP-потоком в одном туннеле забить все так, как не загрузят 100 простаивающих L2TP/IPsec клиентов с трафиком в 5-7 pps каждый.
                USB проглядел, признаю. Но про него и в материалах ничего нет — есть ощущение, что поддержка внешних модемов там ограничена 2-3 моделями типа e173/e3372, и это стыдно показывать.
              0
              > Рано или поздно корпоративный ноутбук теряется вместе с рабочей информацией на жёстком диске
              Для Windows есть Veracrypt, для Linux есть cryptsetup LUKS, для Mac OS есть FileVault
                0
                Т.е. поработать в кафешке уже не получится, да?
                Зачем тогда ноут?
                А если что-то срочное, а ты в кафешке?
                Странный user case, если честно…
                  0
                  А к VPN на маршрутизаторе можно подключить и ПК, и ноутбук, и смартфон, и планшет, и даже электронную книгу — всё что поддерживает доступ по Wi-Fi или проводному Ethernet.

                  Порты 10/100/1000 Mbps RJ-45 3 x LAN, 1 x WAN/LAN, 1 x WAN

                  WTF?
                    0
                    Аппаратные особенности
                    Отсутствие вентилятора: Да

                    — Ребят, у нас вентилятора нет, как в спецификации это отразить?
                    — А давайте преподнесём это не как багу, а как фичу?

                    Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.