IPImen ، Firewall ، NGFirewall-UTM، آیپی ایمن، فایروال ایرانی ، فایروال بومی، یوتی ام بومی، یوتی ام ایرانی، فایروال نسل بعدی ایرانی، فایروال نسل بعدی بومی

دورکاری چیست و چرا راهکار دورکاری ضروری است؟

دورکاری به‌نوعی از مشاغل گفته می‌شود که خارج از محیط اداری سنتی انجام می‌شوند. به‌طور معمول، این روش "کار در خانه" یا "راه دور" نیز نامیده می‌شود. مفهوم دورکاری این است که کارکنان می‌توانند بدون آنکه نیاز باشد که هر روز به دفتر رسمی کارشان رفت‌وآمد داشته باشند، پروژه‌ها و کارها را با موفقیت انجام دهند. سطوح مختلفی برای فرصت‌های اشتغال از راه دور وجود دارند، اما هریک از آنها مزایای انعطاف‌پذیری شغلی را برای زندگی حرفه‌ای و شخصی کارکنان فراهم می‌کنند.

طی مدت‌زمان گذشته باتوجه‌به نگرانی‌ها بابت شیوع بیماری کرونا (Covid 19)، به‌منظور کاهش ریسک ابتلای کارمندان شرکت‌ها، ادارات و سازمان‌ها به این بیماری، مفهوم دورکاری پررنگ‌تر شده است تا جایی که مزایای دورکاری به‌قدری لذت‌بخش شده است که ترجیح اصلی سازمان‌ها استفاده از این سبک‌کاری است زیرا می‌توانند به‌راحتی کارهای روزانه خود را پیش برده و هزینه‌های کاری و سازمانی را نیز تا حد زیادی کاهش دهند.

البته تا قبل از این نیز کارمندان زیادی بودند که به دلیل سفرهای کاری یا مرخصی‌های اجباری طولانی‌مدت مجبور به استفاده از سناریوهای دورکاری بودند. یا حتی ممکن بود که مدیران یا کارمندان در خارج از ساعات اداری نیازمند دسترسی به داده‌های کاری سازمان خود باشند. در این شرایط مهم‌ترین بستر ارتباطی، اینترنت است که توانسته در کنار مفهوم دورکاری، مفاهیم جهانی‌شدن شرکت‌ها را نیز ملموس‌تر نماید.

اما در عین این‌همه سادگی و راحتی، مسئله بزرگی بنام امنیت مطرح شده و به دغدغه اصلی مدیران شبکه تبدیل شده است و می‌دانند که نفوذگران همواره یک‌قدم جلوتر از آنها جلوتر بوده و از هرگونه تلاشی جهت دسترسی به اطلاعات سازمان و به‌روز عواقب جبران‌ناپذیر فروگذار نمی‌کنند و البته طی کمتر از یک سال گذشته نمونه‌های بسیاری از این‌گونه دسترسی‌های غیرمجاز را ممکن است در اطراف خود دیده باشید.

مدیران امنیت شبکه موفق در سازمان ترجیح می‌دهند که جهت اجرای سناریوهای دورکاری، نکات زیر را مدنظر داشته باشند:

• امکان برقراری ارتباطات کارمندان در صورت احراز هویت موفق
• اطمینان از دسترسی صحیح کارمندان به اطلاعات طبقه‌بندی‌شده موردنیاز خود
• اطمینان از نظارت بر ارتباطات کارمندان در ساعات تعیین شده
• تلاش بر هر چه ساده‌تر بودن راهکار، علی‌الخصوص برای کامندانی که دانش IT بالایی ندارند
• اطمینان از رمزگذاری قدرتمند و دقیق ترافیک و جلوگیری از حملات مرد میانی (MITM)
• سازگاری ارتباط امن با بستر سیستم‌عامل‌های مختلف
• استفاده از تجهیزات امن‌سازی مانند فایروال‌های جدید و به‌روز شده به‌منظور افزایش امنیت
• ثبت ارتباطات، رخدادهای احتمالی و دسترسی‌های مجاز و غیرمجاز برحسب نوع رخداد، تاریخ و زمان، کاربر مرتبط، آدرس‌های IP، پورت‌های دسترسی و ...

چه راهکارهایی برای دورکاری رایج تر هستند؟

درست است که برقراری سناریوهای دورکاری بسیار مؤثر و جالب است، اما مهم‌تر این است که از کدام راهکار باید استفاده نمود؟ کدام راهکار جامعیت بهتری دارد؟ کدام راهکار کمترین بار کاری و سختی را به کامندان تحمیل می‌نماید؟ و بسیاری سؤالات دیگر که توجه یا عدم توجه شما به آنها ممکن است تجربه شیرین دورکاری را به بدترین عذاب و تلخ‌ترین تجربه شما تبدیل نماید.

راهکارهای دورکاری رایج در دنیا جزو یکی از دسته‌بندی‌های زیر هستند (البته در مورد مزایا و معایب هر یک از این راهکارها می‌توان اطلاعات کاملی را با یک جستجوی ساده کسب نمود):

1 - استفاده از انواع ارتباطات VPN:

 این راهکار یک روش مؤثر و جذاب است که می‌توان آن را به "امن‌ترین روش دورکاری" نام‌گذاری نمود و یا با غفلت در پیاده‌سازی آن را به ناامن‌ترین سناریو تبدیل کرد. هدف VPN برقراری ارتباط از راه دور کاربران با شبکه سازمان است و مدیر شبکه می‌تواند با دقت کافی دسترسی‌های لازم را به وجود آورده و محدودیت‌های لازم را اعمال نماید.

2 - استفاده از راهکار VDI (Virtual Dektop Infrastructure):

 این راهکار ایمن امکان دسترسی راه دور به یک دسکتاپ مجازی بر روی یک سرور مرکزی در سازمان را فراهم می‌نماید. همراه با VDI، هر کاربر یک سیستم کاملاً مجزا و شخصی بر پایه Windows خواهد داشت که قابل پیکربندی برای کارهای روزانه و تأمین نیازهای آنها خواهد بود. در این سناریو دسکتاپ‌های مجازی مجزا به‌واسطه یک و یا چند سرور با منابع جداگانه برای هر دسکتاپ میزبانی می‌شون

3 - استفاده از راهکار RDS (Remote Dektop Service):

 این راهکار که توسط شرکت مایکروسافت ارائه شده است قبلاً به‌عنوان Terminal Service شناخته می‌شد و کاربران قادر به ورود به یک سیستم ارائه شده توسط یک سرور مرکزی هستند که به‌صورت اشتراکی یک دسکتاپ مجازی را برای تمام کاربران فراهم آورده است.

4 - استفاده از راهکار Citrix Xen:

 شرکت سيتريکس (Citrix Systems Inc) در زمينه دورکاري، مجازي‌سازي برنامه، مجازي‌سازي سرور، مجازي‌سازي دسکتاپ و سرويس‌هاي ابري و به‌طورکلی تکنولوژي‌هاي زيرساخت ارتباطي فعاليت مي‌کند. محصولات اين شرکت نرم‌افزار دورکاري XenApp ، XenDesktop  و XenServer  است.

5 - سایر راهکارها:

ممکن است راهکارهای متفاوت یا ترکیبی دیگری نیز توسط سایرین معرفی شده و مورداستفاده قرار گیرند که البته به دلیل جامع و رایج نبودن مورد استقبال نیستند.

دورکاری امن با VPN بومی

پیشهاد تاکیان برای دورکار ی امن چیست؟

ما همواره در شرکت تاکیان به‌عنوان یک تولیدکننده بومی سعی داریم که پس از کشف و بررسی کامل نیازهای سازمانی، قابلیت‌های درخواستی را به بهترین وجه پیاده‌سازی نموده و در قالب محصولات امنیتی معتبر، قدمی در راستای ساده‌سازی و پیاده‌سازی راهکارهای موردنیاز سازمان‌ها برداشته باشیم؛ لذا علاوه بر ارائه قابلیت‌های VPN عمومی تری همچون IPSec، L2TP و...، قابلیت‌های تخصصی و انحصاری L7 SSL VPN و L3 Secure VPN به‌عنوان ماژول‌های مهم و بومی محصول IPImen VPN و باهدف به‌کارگیری در سناریوهای دورکاری، طراحی و پیاده‌سازی شده است که از توضیح در مورد راهکارهای عمومی اجتناب شده و توضیحات لازم در مورد این دو راهکار به شرح زیر ارائه می‌گردد:

1 - قابلیت L7 SSL VPN:

 در این راهکار، مدیر شبکه محصول IPImen VPN را در سازمان جای‌گذاری نموده و پس از اعمال تنظیمات لازم، کاربران با نصب یک نرم‌افزار (Agent) بنام L7 VPN بر روی سیستم خود می‌توانند از هر نقطه‌ای به شبکه سازمان دسترسی امن SSL یابند. بدیهی است که مدیر شبکه می‌تواند نکات و قابلیت‌های عملیاتی فراوانی را به شرح زیر بر روی کاربران لحاظ نماید:

• بدون محدودیت در تعداد ارتباطات L7VPN در سازمان، برخلاف سایر راهکارهای VPN رایج
• نصب آسان بسته نرم‌افزاری کم‌حجم در سیستم کارمندان دورکار
• باتوجه‌به عملکرد این تانل در لایه 7 و بر روی پروتکل SSL ، طبعاً IP کاربر تغییر نکرده و با خیال راحت و امنیت بالا می‌توان ترافیک‌های مرتبط با پروتکل‌های لایه 7 از جمله HTTP، FTP، File Sharing، RDP و ... را بر روی آن منتقل نمود.
• عدم نیاز به تنظیم، تعریف یا تغییر آدرس بندی‌های IP شبکه سازمان
• رمزنگاری پیشرفته و امن اطلاعات و امکان تعیین Keyهای اختصاصی
• امکان احراز هویت دو عاملی (Two Factor authentication) توسط توکن‌های سخت‌افزاری جهت بالابردن امنیت و عدم نگرانی بابت لورفتن نام کاربری و رمز عبور کاربران
• امکان استفاده از گواهینامه SSL معتبر یا Self Signed
• جلوگیری از تکه‌تکه شدن (Fragmentation) بسته‌ها جهت کاهش زیاد سربار در مقایسه با سایر راهکارهای مبتنی بر VPN مثل PPTP، L2TP، IPsec و ...
• امکان جلوگیری از Default Gateway شدن ارتباط VPN برای کاربران و در نتیجه دسترسی هم‌زمان کاربر به شبکه سازمان، اینترنت و سایر ارتباطات شخصی
  • امکان تعیین نرم‌افزارها (مانند Chrome، Putty و ...) توسط کارمند، جهت ارسال ترافیک این نرم‌افزارها به سمت تانل. به طور مثال فقط ترافیک‌های مرورگر Mozilla بر روی تانل L7VPN فرستاده شود و ترافیک‌های مرورگر Chrome از سایر ارتباطات سیستم کاربر استفاده نماید تا کاربر بتواند سایت‌های شخصی را از طریق Chrome مشاهده نماید.
  • امکان تعیین آدرس‌های IP توسط کارمند و مدیر شبکه، جهت ارسال ترافیک این آدرس‌ها از طریق تانل VPN. به طور مثال فقط ترافیک‌های مرتبط با IP های 30.40.0/24 و 10.0.0.0/8 به سمت تانل L7VPN فرستاده شود و برای ترافیک سایر IPها از سایر ارتباطات سیستم کاربر استفاده شود.
  • امکان تعیین آدرس‌های دامین (آدرس سایت‌ها) توسط کارمند و مدیر شبکه، جهت ارسال ترافیک این سایت‌ها از طریق تانل VPN. به طور مثال فقط ترافیک‌های سایت iran.ir و یا کامپیوتری در داخل سازمان با نام PC10 به سمت تانل L7VPN فرستاده شود و برای دسترسی به سایر سایت‌ها از سایر ارتباطات سیستم کاربر استفاده شود.
• امکان تعیین دسترسی از/به آدرس‌های کشورها GEO-IP (مثلاً کاربران فقط از ایران قادر به اتصال باشند)
• قابليت دسترسي بالا و مقاومت در برابر خرابي با امكان توزيع بار بر روي چند سرور
• امکان همگام‌سازي خودکار مابین سرورهاي افزونه (Redundant servers)
• امکان تعریف پالیسی‌های مختلف امنیتی توسط مدیر شبکه، جهت تعیین دسترسی کارمندان به تنها سرویس‌ها و سرورهای موردنیاز. به طور مثال کاربر Ali تنها می‌تواند به‌صورت HTTP سیستم اتوماسیون سازمان را مشاهده نماید و یا تنها می‌تواند توسط پورت 445 (SMB) به فایل سرور شماره 2 دسترسی داشته باشد و به سایر بخش‌های سازمان هیچ‌گونه دسترسی نداشته باشد.
• امکان تعریف آدرس‌های IP مجازی برای دسترسی به سرویس‌های داخلی به‌منظور پنهان‌سازی آدرس‌های سازمان از دسترسی‌های غیرمجاز و بی‌نیاز شدن از انتشار سرویس‌ها در اینترنت. به طور مثال اگر کاربر به آدرس http://2.2.2.2 متصل شود، سایت پورتال سازمان را مشاهده کند و اگر به آدرس http://1.2.3.4 متصل شود سایت اتوماسیون سازمان را مراجعه نماید. مشاهده و ثبت مشخصات سیستم کاربر، آدرس‌های IP، حجم ترافیک، سایت‌های مشاهده شده و ...
• امکان ارسال رخدادهای مربوط به کاربران برای سامانه‌های SIEM
• امکان دستورپذيری از سامانه SIEM در راستای قطع دسترسی به آدرس‌ها
• مشاهده دسترسی‌های کارمندان توسط مدیر سیستم و ثبت لاگ‌ها و گزارشات سایت‌های بازدید شده و دسترسی‌های مختلف
• عدم نگرانی بابت تحریم‌ها و محدودیت‌های اینترنت در اتصال‌های خارجی
• امکان Import/Export نمودن آدرس‌های کلان جهت دسترسی کاربران
• مشاهده و ثبت تلاش‌های اتصال با نام کاربری و رمز عبورهای نامعتبر
• امکان تعیین شماره پورت‌های اختصاصی
• و ...

2 - قابلیت L3 Secure VPN:

در این راهکار مشابه راهکار Cisco any Connect، مدیر شبکه محصول IPImen VPN را در زیرساخت شبکه سازمان جای‌گذاری نموده و پس از اعمال تنظیمات لازم، کاربران با نصب یک نرم‌افزار (Agent) بنام Kangaroo بر روی سیستم خود می‌توانند از هر نقطه‌ای به شبکه سازمان دسترسی یابند. بدیهی است که مدیر شبکه می‌تواند نکات و قابلیت‌های عملیاتی فراوانی را به شرح زیر بر روی کاربران لحاظ نماید:

• بدون محدودیت در تعداد ارتباطات Kangaroo VPN در سازمان، برخلاف سایر راهکارهای VPN رایج
• عدم نیاز به منابع سخت‌افزاری بالا و امکان فعالیت بر روی حتی سیستم‌هایی با منابع بسیار کم
• نصب آسان بسته نرم‌افزاری کم‌حجم در سیستم کارمندان دورکار
• باتوجه‌به عملکرد این تانل در لایه 3 امکان تخصیص IPهای دلخواه به کاربران وجود دارد و می‌توان مانند سایر راهکارهای VPN ، تمامی ترافیک‌های مرتبط با انواع مختلف پروتکل‌ها را بر روی آن ارسال نمود.
• امکان تخصیص IP اختصاصی به هر کاربر یا گروه طبق IP Pool های تعریف شده
• امکان احراز هویت دو عاملی (Two Factor authentication) توسط توکن‌های سخت‌افزاری جهت بالابردن امنیت و عدم نگرانی بابت لورفتن نام کاربری و رمز عبور کاربران
• رمزنگاری پیشرفته و امن اطلاعات و امکان استفاده از الگوریتم‌های بومی
• جلوگیری از تکه‌تکه شدن (Fragmentation) بسته‌ها جهت کاهش زیاد سربار در مقایسه با سایر راهکارهای مبتنی بر VPN مثل PPTP، L2TP، IPsec و ...
• امکان جلوگیری از Default Gateway شدن ارتباط VPN برای کاربران و در نتیجه دسترسی هم‌زمان کاربر به شبکه سازمان، اینترنت و سایر ارتباطات شخصی.
• امکان تعیین آدرس‌های IP توسط کارمند و مدیر شبکه، جهت ارسال ترافیک این آدرس‌ها از طریق تانل VPN. به طور مثال فقط ترافیک‌های مرتبط با IP های 30.40.0/24 و 10.0.0.0/8 به سمت تانل Kangaroo فرستاده شود و برای ترافیک سایر IPها از سایر ارتباطات سیستم کاربر استفاده شود.
• قابليت دسترسي بالا و مقاومت در برابر خرابي با امكان توزيع بار بر روي چند سرور
• امکان همگام‌سازي خودکار مابین سرورهاي افزونه (Redundant servers)
• قابلیت Application & Identity Awareness ، یکی از مهم‌ترین قابلیت‌ها در این سناریو امکان کنترل کامل نرم‌افزارهای کاربردی است، به‌گونه‌ای که بتوان بدون وابستگی به نسخه نرم‌افزار یا پورت مورداستفاده (حتی SSL) آن نرم‌افزار دسترسی‌ها را به منابع شبکه مدیریت نموده و پهنای باند خاصی را به هر یک از آن‌ها تخصیص داد که در این محصول به این توانایی توجه ویژه‌ای شده است. شما می‌توانید عملکرد تمامی فیلترشکن‌ها، دانلودرها، پیام‌رسان‌های اجتماعی و Malwareها را کنترل نموده و یا قطع نمایید. حتی می‌توانید بازدیدهای انجام‌شده توسط فیلترشکن‌ها را Log کرده و امکان هرگونه دورزدن پالیسی‌های سازمان را از کاربران سلب نمایید.
• قابلیت Port Enforcement که هدف آن تشخیص ماهیت پورت‌های لایه اپلیکیشن و امکان نظارت و کنترل بر آن‌هاست به طور مثال می‌توان سیستم را به‌گونه‌ای تنظیم نمود که تنها ترافیک‌های نوع HTTP بر روی پورت 80 ردوبدل شوند و ترافیک‌های دیگر مانند RDP مجاز نباشند.
• امکان برقرار نمودن دسترسی کاربران Kanagaroo VPN به یکدیگر به‌صورت انتخابی
• امکان بررسی سلامت سيستم کاربران و اجبار آنها به عضو بودن سیستم شخصی آنها در دامین سازمان
• امکان بررسی سلامت سيستم کاربران و اجبار آنها به فعال‌بودن فایروال بر روی سیستم شخصی
• امکان بررسی سلامت سيستم کاربران و اجبار آنها به نصب بودن آنتی‌ویروس بر روی سیستم شخصی کاربران
• امکان تعیین دسترسی از/به آدرس‌های کشورها (مثلاً کاربران فقط از ایران قادر به اتصال باشند)
• امکان تعریف پالیسی‌های مختلف امنیتی توسط مدیر شبکه، جهت تعیین دسترسی کارمندان به تنها سرویس‌ها و سرورهای موردنیاز. به طور مثال کاربر Ali تنها می‌تواند به‌صورت HTTP سیستم اتوماسیون سازمان را مشاهده نماید و یا تنها می‌تواند توسط پورت 445 (SMB) به فایل سرور شماره 2 دسترسی داشته باشد و به سایر بخش‌های سازمان هیچ‌گونه دسترسی نداشته باشد.
• امکان تعریف آدرس‌های IP مجازی برای دسترسی به سرویس‌های داخلی به‌منظور پنهان‌سازی آدرس‌های سازمان از دسترسی‌های غیرمجاز و بی‌نیاز شدن از انتشار سرویس‌ها در اینترنت. به طور مثال اگر کاربر به آدرس http://2.2.2.2 متصل شود، سایت پورتال سازمان را مشاهده کند و اگر به آدرس http://1.2.3.4 متصل شود سایت اتوماسیون سازمان را مراجعه نماید.
• اعمال محدودیت‌های حجم، زمان، پهنای باند و ترافیک به‌صورت شناور بر روی کاربران. به طور مثال کاربر Mahdi با حداکثر پهنای باند 256kbps بتواند به فایل سرور متصل شده و تنها امکان برداشتن 1G اطلاعات را طی حداکثر 6 ساعت در روز داشته باشد.
• اعمال فیلترینگ و جلوگیری از دسترسی کاربران به سایت‌ها و منابع دسته‌بندی‌شده غیرمجاز. به طور مثال کاربر امکان مشاهده سایت‌های بورسی را نداشته باشد.
• امکان ارسال رخدادهای مربوط به کاربران برای سامانه‌های SIEM
• امکان دستورپذيری از سامانه SIEM در راستای قطع دسترسی به آدرس‌ها
• مشاهده دسترسی‌های کارمندان توسط مدیر سیستم و ثبت لاگ‌ها و گزارشات
• مشاهده و ثبت مشخصات سیستم کاربر، آدرس‌های IP، MAC، حجم ترافیک، سایت‌های مشاهده شده و ...
• امکان Import/Export نمودن آدرس‌های کلان جهت دسترسی کاربران
• امکان تعیین BYOD و برقراری دسترسی چند سیستم با نام کاربری واحد.
• امکان تعیین شماره پورت‌های اختصاصی
• مشاهده و ثبت تلاش‌های اتصال با نام کاربری و رمز عبورهای نامعتبر
• امکان NAT/Route کردن چندباره ترافیک کاربران
• و ...

مشخصات عمومی محصول IPImen VPN

کاربردها راهکار دورکاری IPImen VPN:

• ارتباط امن و اصولی با سرورها و سرویس‌های سازمانی توسط كاربران دورکار
• امكان ايجاد شبكه مجازي ايزوله و امن (VLAN) براي بخش‌هاي حساس سازمان از جمله حراست
• برقراري ارتباط امن بين کلاینت‌های دفاتر نمايندگي يك سازمان و سرویس‌ها در مركز
• امن‌سازي ارتباطات و دسترسی‌ها به سرویس‌های کاربردي تحت شبكه سازمان از قبيل اتوماسيون اداري
• امن‌سازي انواع ارتباط Remote Desktop کارمندان و مشتريان با کلاینت اختصاصي خود در مركز داده
• تأمين امنيت بستر شبکه‌هاي با ساختار مختلف از جمله بي‌سيم
• امن‌سازي ارتباط بين کلاینت‌ها با مديريت متمركز و يا با مديريت توزيع شده

نقشه شماتیک ساده شبکه جهت دورکاری:

 این محصول دارای انعطاف‌پذیری بسیار بالایی است و به‌راحتی در هر بخشی از شبکه قابل جای‌گذاری است. از طرفی امکان تجمیع و یکپارچگی کامل این محصول با سایر نرم‌افزارها، تجهیزات و سناریوهای امن‌سازی شبکه نیز وجود دارد، لذا مدیران شبکه بدون نگرانی بابت تغییرات فراوان در شبکه سازمان می‌توانند این محصول را در زیرساخت ارتباطی خود بکار گیرند. به طور مثال در یک سناریو بسیار ساده که در شکل زیر ارائه شده است، مدیر سازمان می‌تواند به‌صورت هم‌زمان تمامی انواع قابلیت VPN را در بخش‌های مختلف سازمان و جهت دسترسی‌های مختلف بکار گیرد.