Aktualna sytuacja wymusiła zmiany w działaniu wielu przedsiębiorstw. Praca zdalna rozwinęła się na nieprzwidywanie szeroką skalę. Za biurkami we własnych domach znaleźli się prezesi, managerowie, kontraktorzy i pracownicy, którzy do niedawna mieli bezpośredni dostęp do urządzeń w miejscach pracy. Obronną ręką wyszły tylko firmy działające w trybie zdalnym na codzień. Pozostali zostali postawieni przed problemem zapewnienia dostępu do zasobów przedsiębiorstwa pracownikom zdalnym. W tym poście przedstawimy najważniejsze zagadnienia dotyczące dostępu zdalnego do sieci w przedsiębiorstwie.

Łatwo nie będzie

Na pierwszy rzut oka uruchomienie na komputerze w firmie popularnego narzędzia do udostępniania pulpitu jest najlepszym wyjściem. Nic bardziej mylnego. Pomimo zapewnień programistów - nie są tak bezpieczne jak się wydaje. Niejednokrotnie luka w bezpieczeństwie programu do zdalnego dostępu otworzyła furtkę osobom nieuprawnionym, narażając dane firmowe na wyciek a urządzenia na sabotaż. Jeżeli chcemy zapewnić bezpieczny dostęp do firmowych zasobów dla określonych osób, tego typu usługa się nie sprawdzi.

Drugim najczęstszym i o wiele gorszym od pierwszego rozwiązaniem jest udostępnienie wbudowanej w Windows usługi pulpitu zdalnego (RDP) w Internecie. Jest to najczęstsza droga, jaką do przedsiębiorstw dostają się wirusy szyfrujące komputery i wymuszające okup. Usługa RDP pomimo ciągłych aktualizacji przez Microsoft wciąż posiada luki bezpieczeństwa. Dostęp RDP nie jest niczym złym, jeśli zostanie umieszczony w odseparowanej sieci, do której dostęp mają tylko osoby uprawnione - uruchomienie go w Internecie jest jak schowanie klucza pod wycieraczką.

Sieć VPN

Rozwiązaniem problematyki dostępu zdalnego jest sieć VPN. Działa ona analogicznie do sieci LAN - urządzenia podłączają się do niej, uzyskują adres IP i mogą nawiązywać połączenia zinnymi urządzeniami w sieci. Do sieci VPN może połączyć się większość dostępnych na rynku urządzeń z aktualnym systemem operacyjnym. Dostęp ustanawia się najczęściej za pomocą nazwy użytkownika i hasła, mogąc ograniczyć połączenia do określonej puli adresów (np. geograficznie).

Kto, z czego i do czego będzie się łączyć?

Kiedy wiemy już że do realizacji dostępu zdalnego najlepiej sprawdzi się sieć VPN, musimy określić klientów, ich urządzenia oraz urządzenia docelowe wewnątrz przedsiębiorstwa. Inaczej będzie konfigurowana sieć dla pracowników, którzy muszą uzyskać dostęp do zasobu dyskowego SMB, inaczej sieć dla specjalistów którzy muszą mieć dostęp do określonej grupy maszyn a inaczej dla osób których komputery muszą porozumiewać się pomiędzy sobą. Bardzo ważny jest też typ urządzeń klienckich (komputery, telefony) i systemy operacyjne na których pracują.

Jaki protokół wybrać?

Każda sieć VPN działa za pomocą określonych zasad komunikacji i szyfrowania ruchu - zwanych protokołem. Obecnie najczęściej używane protokoły to OpenVPN, IKEv2, L2TP oraz protokoły własnościowe producentów sprzętu sieciowego (np. Cisco, Fortigate).

• Wybór określonego protokołu należy podjąć mając pod uwagą urządzenia klienckie.
• Na większości urządzeń szybko i bez większych trudności można uruchomić OpenVPN.
• IKEv2 wymaga bardziej zaawansowanej konfiguracji, z którą poradzą sobie użytkownicy techniczni.
• L2TP jest czasami blokowany przez dostawców usług internetowych oraz posiada ograniczenie jednoczesnego połączenia jednej osoby z jednego adresu IP - co spowoduje problem jeżeli dwóch pracowników używa tej samej sieci LAN.

Jakie rozwiązanie jest najlepsze?

W tych zawodach nie ma jednego zwycięzcy. Każde rozwiązanie jest stworzone dla określonego celu.

• SoftEther powstał dla małych przedsiębiorstw, które chcą podłączyć do swojej sieci klientów OpenVPN, L2TP oraz SSTP (protokół dostępny w Windows). Posiada panel konfiguracyjny działający jako aplikacja w systemie Windows. Do sieci urządzenia można też podłączyć za pomocą protokołu SoftEther stworzonego przez twórców programu. Wspomniany protokół działa w systemach Windows i Linux. Konfiguracja jest stosunkowo prosta i nie wymaga korzystania z linii poleceń, jednak wspomniane protokoły korzystają z niestandardowej implementacji, co może poskutkować problemami z połączeniem na niektórych urządzeniach. Serwer można zainstalować na systemach Windows i Linux.
• Serwer OpenVPN Community Edition pozwala na podłączenie urządzeń do sieci za pomocą OpenVPN. Konfiguracja wymaga znajomości linii poleceń oraz ręcznego generowania certyfikatów do stępowych dla urządzeń klienckich. Można go zainstalować na systemach Windows i Linux.
• Serwer pfSense to system operacyjny bazujący na bardzo stabilnych i bezpiecznych systemach BSD. Jest wyposażony w zaawansowane oprogramowanie pozwalające na połączenia za pomocą OpenVPN, L2TP, oraz IKEv2. Posiada rozbudowany panel web za pomocą którego można skonfigurować każdy aspekt świadczonej przez siebie sieci oraz bardzo precyzyjnie określić zasady bezpieczenstwa - jednak wymaga dużej wiedzy z zakresu działania usług i protokołów sieciowych.
• Wireguard to nowość na rynku. Pod tą nazwą kryje się serwer, protokół sieciowy i duża liczba wspierających go aplikacji klienckich praktycznie na każdy system. Cechuje się bardzo dużą szybkością i bezpieczeństwem, lecz jego ustawienie wymaga znajomości linii poleceń i podstawowej wiedzy z zakresu działania sieci.

W Ruby Logic od dłuższego czasu dostęp do niektórych zasobów uzyskujemy poprzez serwer VPN. Sieć którą skonfigurowaliśmy działa bezawaryjnie i pozwala na połączenia naszym pracownikom i klientom z dowolnego miejsca gdzie Internet jest dostępny. Jeżeli jesteście Państwo zainteresowani wdrożeniem dostępu VPN w Państwa przedsiębiorstwie, nasza firma jest w stanie taki dostęp wdrożyć.