Как ограничить доступ к slack без VPN? Какое оборудование поставить для VPN?
Доброго времени суток!
В связи с последними событиями в России некоторые сервисы перестают работать с компаниями из России, если они идут к их оборудованию через российские IP. Вот появилась задача пустить трафик на эти сервисы (хотя бы на большинство, всего порядка 400 и встречаются обычные рекламные сети или slack), проблема заключается в том, что сотрудники работают из дома или вообще заходят с мобильных устройств. Часть сервисов (что на их оборудовании закрыть легко из всех сетей, кроме впн), а вот с такими как slack, asana и т.п. пока в ступоре (так как не на нашем оборудовании и решения такого у этих продуктов пока не нашел).
Идея такая: из офиса всё работает как и всегда, просто весь трафик идет через впн тунель на кипр. Вне офиса сотрудник обязан включить впн и работать дальше, но вот человеческий фактор всегда пугает и хотелось бы закрыть доступ к максимальному количеству сервисов из внешней сети, без впн (без ВПН - доступа нет. Включил корпоративный ВПН - доступ появился). Есть идеи как можно ограничить доступ в Asana и slack?
Какое оборудование лучше поставить в ЦОД на Кипре для организации хорошего VPN с привязкой к сертификатам или что-то подобное?
В офисах стоят микротики, в ЦОД хочется что-то посерьезней поставить, благо бюджет есть на это.
Чтобы браться отвечать на вопрос - какое оборудование ставить - нужно увидеть внятное ТЗ с требованиями, количеством соединений и т.д. и т.п..
Крики "микротик", "linux", "cisco" и т.п. - ИМХО показывают непрофессионализм выкрикивающих.
Alexey Dmitriev, 3 офиса из России, сотрудников порядка 260 человек. У каждого сотрудника рабочий macbook + телефон, у некоторых еще и домашние ПК. Одновременных подключений где-то 300, если брать с запасом на вырост.
ithilfe,
Я бы посоветовал продумать следующие моменты перед выбором:
1. возможность автоматической настройки VPN соединения или простоту ручной настройки.
2. Маршруты не все VPN соединения берут автоматом с сервера у маков. Руками через терминал каждому не очень удобно будет вводить.
3. Авторизация из каталога (если у вас есть чтото типа AD, LDAP).
Как один из вариантов — настроить прокси внутри VPN, так, чтобы без VPN он не работал. В этом случае доступа к необходимым сайтам просто не будет без VPN-подключения. PAC-файл позволит вам гибко настроить проксируемые домены и адреса.
ValdikSS - единственный человек прочитал весь вопрос полностью и дал ответ на заданный вопрос - "Есть идеи как можно ограничить доступ в Asana и slack? "
Да так будет работать - proxy внутри корпоративной сети (с выходом на Кипре), доступный только по корпоративному VPN и принудительно раскатываемый в систему(IE), Chrome и остальные разрешенные браузеры (GPO, SCCM, Intune и т.п.) proxypac, заворачивающий нужный траффик к нужным адресам на прокси.
Про человеческий фактор Сделать доступ до рабочих ресурсов только через VPN... И там уже рулить траффик
В таком случае человек не сможет подключить сторонний VPN, не разорвав соединение с офисом...
Проблема в том, что в эти ресурсы (например slack) можно попасть даже без впн с того же самого телефона, имея аккаунт.
Из серьезного оборудование имеется ввиду специально заточенное оборудование под ВПН и всё с ним связанное, например https://itprice.com/huawei/usg6716e.html
ithilfe, а зачем Вам специально заточенное оборудование? если это в 5 минут поднимается на микротике или linux серваке? там разницы никакой не будет
в вашей ситуации какая проблему Вы решите сменив оборудование??
надо административными методами. выпустить директиву - кто зайдет в слак без ВПН - увольнение
потому что Вы не сможете контролировать личные ПК\телефоны работников
Типо в связи с ситуацией.. бла бл абла... просим заходить только через ВПН
1й - предупр
2 - сильное предупр
3 - лишение KPI
4 - увольнение
хотя какая нафиг разницу слаке через что заходят, я хз
Максим Федоров, нчего они не потеряют. есть рабочие моменты.
ИТ сказала заходить через ВПН - значит надо через ВПН. Моя схема будет "наказывать" только если специального без него заходить
Сложный
