Home Office uporabniki

obnovitev varnostne politike gesel, nastavitev routing&remote access, kjer lahko definiras marsikaj: od ip naslovov do katerih ipjev vse lahko dostopa (spet sicer odvisno od streznika) itd itd..

Tam, kjer so varnostno bolj striktni, se 'home office' rešuje kar na routerjih (zaposlenim nabavijo router, ki ga inštalirajo doma), tako da se strogo loči omrežje z dostopom do podjetja od omrežja, ki je na voljo ostalim uporabnikom v gospodinjstvu. V tem primeru IT oddelek podjetja upravlja te routerje in VPN povezave, ki so na njih vzpostavljene.

Pri nas je razmeroma malo tako bogatih podjetij, ki bi si to lahko privoščila, poleg tega pa bi to marsikdo lahko tudi razumel kot poseg v zasebnost. Nikomur ni všeč, da ima podjetje možnost (tudi če jo ne zlorabi), da spremlja njegov domači internetni promet. Smo pač nezaupljivi, saj smo v praksi že slišali za vse mogoče zlorabe.

Druga opcija je seveda VPN klient na posameznem uporabnikovem računalniku, s katerim potem dostopa od koderkoli (ne samo od doma) do željenih resursov v podjetju.

Tehnično danes ni več noben problem vzpostaviti VPN povezave. Problemi se začno pri administraciji teh povezav, ko enkrat prekoračijo neko kritično maso odjemalcev.

Kot prvo moraš imeti nek kolikor tolikor preprost mehanizem distribucije klientov in konfiguracij. Ta del je danes povečini že kar obvladljiv, čeprav bi se dalo zadeve izpeljati tudi lepše (npr. kot to rešuje NCP).

Glavni problem pa ostaja zavarovanje VPN povezav. Dokler imaš zgolj VIP uporabnike, se večinoma dovoli kar 'Any-to -Any' komunikacija, po vseh portih. Tudi kadar je ta VIP uporabnik administrator sistemov, tak pristop ni optimalen oz. bi ga lahko označili kot 'varnostno vprašljiv' (nekateri bi celo rekli, da je to katastrofa). Toda v večini primerov je to default, po katerem se zadeve vzpostavijo, naprej pa se stvar ljudem ne da 'optimizirati' (bodisi sami nimajo znanja, ali pa se jim zdi škoda denarja, da bi to komu zunanjemu naložili).

Kar za VIP uporabnika velja za 'varnostno vprašljivo', še toliko bolj velja za 'navadne uporabnike'. Treba je definirati, do katerih resursov določeni uporabnik ali skupina uporabnikov DEJANSKO potrebujejo dostop in kateri porti morajo biti odprti, da lahko nemoteno opravijo svoje delo. VSE ostalo pa mora biti nedostopno preko VPN povezave.

Tako bi rekel, da se predvsem ukvarjaj s tem, kdo rabi dostop do česa, na kakšen način (kateri porti), s katerimi aplikacijami (če sistem podpira prepoznavo aplikacij), kot tudi ob katerih urah (verjetno ni potrebe, da kdo ob 3h zjutraj v nedeljo preverja stanje zalog?).

Bolj, ko boš podrobno razdelal 'pravila igre', toliko lažje bo to tudi potem sprovesti v prakso in nadzirati.

O koliko uporabnikih pa je sploh govora in kaj za en VPN gateway imaš?
Boš uporabljal SSL VPN ali IPSec?