В современных условиях мобильность адвоката приобретает всё большее значение — все мы довольно часто работаем за пределами офиса коллегии (в командировках, дома по выходным, во время отпусков и т.п.). Во многих ситуациях, от скорости реакции и надёжности взаимодействия каждого пользователя, зависит результат всего дела.
Повсеместное распространение и доступность портативных компьютеров позволяют каждому работать со всеми ресурсами, находящимися в локальной сети офиса коллегии, из любой точки, где есть доступ к сети Интернет.
Не так давно я уже рассказывал об опыте перевода офисной сети нашей коллегии на Linux. В этой заметке я хочу рассказать, как у нас организован доступ членов коллегии к внутренним офисным ресурсам извне, т.е. из Интернета.
Разумеется, для тех коллег, кто работает индивидуально, по принципу: ”Omnia mea mecum porto”, задача организации удалённой работы может показаться неактуальной просто в силу того, что все свои файлы можно просто взять с собой вместе с рабочим ноутбуком, или просто на флэшке.
Однако, в условиях коллективной работы и необходимости взаимодействия с коллегами в любое время и из любого места, задача становится намного более актуальной, и одновременно более сложной.
Простые и традиционные способы обмена сообщениями и файлами с помощью электронной почты и Skype имеют существенные недостатки:
Таким образом, каждый пользователь может работать со всеми сетевыми ресурсами (файлами) как со своими локальными, благо гигабитная сеть позволяет даже не задумываться, где физически находится сервер. При этом, каждому пользователю видны дата и время последнего изменения файлов, появление новых каталогов и документов, а так же доступны все остальные возможности совместной работы.
Помимо файловых (Samba и FTP) ресурсов, в нашей внутренней сети работает собственный Веб-сервер, на котором запущена наша билинговая система учёта работы всех членов коллегии по всем делам, и расчётов с клиентами – собственная “мини-бухгалтерия”, но не имеющая прямого отношения к собственно бухгалтерскому учёту, который у нас вынесен на аутсортинг.
Так же в сети доступны два принтера и сетевой сканер, а так же десяток видеокамер, которые помимо задачи круглосуточного видеонаблюдения и записи всего происходящего в офисе и на подступах к нему, выполяют так же функцию второй системы сигнализации, т.к. при срабатывании датчиков движения в нерабочее время, могут отправлять оповещения на почту и/или SMS.
Внутренние серверы и периферийные устройства вообще не имеют доступа к интернету, а рабочие станции пользователей защищены брандмауэром, т.е. с них разрешен выход в интернет, однако подключиться к ним из внешней сети невозможно.
Для надёжного и быстрого доступа в интернет мы используем сразу два независимых канала от разных провайдеров, с балансировкой нагрузки между ними, что позволяет всем пользователям сети, работать с комфортной скоростью не мешая друг другу – гарантированная полоса пропускания – не менее 10 мегабит в секунду на каждого при полной тестовой загрузке всех рабочих станций. Результаты реальных замеров скорости при обычной работе – от 20 до 80 мегабит в секунду на каждого пользователя.
Для обеспечения максимального уровня безопасности, у нас использована совершенно нестандартная система безопасности, всех деталей которой я конечно раскрывать не буду, но принципиально это выглядит так:
Внешний маршрутизатор обеспечивает распределение трафика – балансировку назрузки между каналами доступа в интернет, фильтрацию всего входящего трафика и всех соединений, и передачу разрешенного трафика на второй, внутренний маршрутизатор, с использованием “хитрого” перенаправления портов. Если очень коротко – снаружи все порты закрыты, любые попытки установления соединений игнорируются, но логируются.
Для организации внешних соединений используется проверенная технология VPN с максимальным уровнем шифрования, но сам VPN -сервер находится на втором, внутреннем маршрутизаторе, и сконфигурирован на использование нестандартных портов, т.е. никакими стандартными сканерами его невозможно даже обнаружить. Снаружи его просто нет.
При поступлении определённой последовательности шифрованных команд, на первом маршрутизаторе на несколько секунд открывается “окошко” через которое устанавливается шифрованное соединение со вторым маршрутизатором, на котором пользователь аутентифицируется и соединяется уже с внутренней сетью коллегии.
При кажущейся сложности и громоздкости этой схемы, для соединения доверенного пользователя с офисной сетью, доверенному пользователю нужно на своём компьютере нажать последовательно две “кнопки” и ввести свой пароль. Если все этапы проверки пройдены успешно, пользователь оказывается подключенным к офисной сети, и получает доступ ко всем внутренним ресурсам, как будто он находится в своём кабинете, за своим рабочим компьютером. При этом, все внешние соединения осуществляются уже из офисной сети.
Особенно полезна такая система работы, если приходится работать из небезопасных и непроверенных публичных сетей – гостиниц, торговых центов, аэропортов и т.п. Где бы ни находился наш сотрудник, при установлении соединения VPN с нашей офисной сетью, все его данные, передаваемые по сети между его компьютером и офисом, будут надёжно защищены, и недоступны для перехвата злоумышленниками.
Конечно, такой способ организации взаимодействия между пользователями нельзя назвать ни слишком простым, ни слишком дешевым, но безопасность данных и те возможности, которые получают наши сотрудники, того стоит.
Повсеместное распространение и доступность портативных компьютеров позволяют каждому работать со всеми ресурсами, находящимися в локальной сети офиса коллегии, из любой точки, где есть доступ к сети Интернет.
Не так давно я уже рассказывал об опыте перевода офисной сети нашей коллегии на Linux. В этой заметке я хочу рассказать, как у нас организован доступ членов коллегии к внутренним офисным ресурсам извне, т.е. из Интернета.
Разумеется, для тех коллег, кто работает индивидуально, по принципу: ”Omnia mea mecum porto”, задача организации удалённой работы может показаться неактуальной просто в силу того, что все свои файлы можно просто взять с собой вместе с рабочим ноутбуком, или просто на флэшке.
Однако, в условиях коллективной работы и необходимости взаимодействия с коллегами в любое время и из любого места, задача становится намного более актуальной, и одновременно более сложной.
Простые и традиционные способы обмена сообщениями и файлами с помощью электронной почты и Skype имеют существенные недостатки:
- Если файлов много, и их объём значителен, то многократная пересылка их нескольким участникам группы становится неудобной. (Представьте себе, что над проектом работают 5 – 6 человек, в работе несколько сотен файлов, и каждый день, изменения вносятся хотя бы в 15 – 20 документов – синхронизация версий всех файлов по электронной почте становится настоящим кошмаром).
- С увеличением количества участников рабочей группы, и общего количества документов, появляется необходимость отслеживания внесённых каждым участником изменений и сравнение версий файлов, что легко сделать на одном компьютере, но весьма проблематично на нескольких, если только они все на работают в рамках единого ресурса, общей технологической площадки.
- Традиционная переписка не позволяет использовать общие онлайновые ресурсы всем участникам группы – каждому приходится позаботиться о собственной “копии”, которые могут устаревшими, уже через секунду после их локального сохранения.
Таким образом, каждый пользователь может работать со всеми сетевыми ресурсами (файлами) как со своими локальными, благо гигабитная сеть позволяет даже не задумываться, где физически находится сервер. При этом, каждому пользователю видны дата и время последнего изменения файлов, появление новых каталогов и документов, а так же доступны все остальные возможности совместной работы.
Помимо файловых (Samba и FTP) ресурсов, в нашей внутренней сети работает собственный Веб-сервер, на котором запущена наша билинговая система учёта работы всех членов коллегии по всем делам, и расчётов с клиентами – собственная “мини-бухгалтерия”, но не имеющая прямого отношения к собственно бухгалтерскому учёту, который у нас вынесен на аутсортинг.
Так же в сети доступны два принтера и сетевой сканер, а так же десяток видеокамер, которые помимо задачи круглосуточного видеонаблюдения и записи всего происходящего в офисе и на подступах к нему, выполяют так же функцию второй системы сигнализации, т.к. при срабатывании датчиков движения в нерабочее время, могут отправлять оповещения на почту и/или SMS.
Внутренние серверы и периферийные устройства вообще не имеют доступа к интернету, а рабочие станции пользователей защищены брандмауэром, т.е. с них разрешен выход в интернет, однако подключиться к ним из внешней сети невозможно.
Для надёжного и быстрого доступа в интернет мы используем сразу два независимых канала от разных провайдеров, с балансировкой нагрузки между ними, что позволяет всем пользователям сети, работать с комфортной скоростью не мешая друг другу – гарантированная полоса пропускания – не менее 10 мегабит в секунду на каждого при полной тестовой загрузке всех рабочих станций. Результаты реальных замеров скорости при обычной работе – от 20 до 80 мегабит в секунду на каждого пользователя.
Для обеспечения максимального уровня безопасности, у нас использована совершенно нестандартная система безопасности, всех деталей которой я конечно раскрывать не буду, но принципиально это выглядит так:
Внешний маршрутизатор обеспечивает распределение трафика – балансировку назрузки между каналами доступа в интернет, фильтрацию всего входящего трафика и всех соединений, и передачу разрешенного трафика на второй, внутренний маршрутизатор, с использованием “хитрого” перенаправления портов. Если очень коротко – снаружи все порты закрыты, любые попытки установления соединений игнорируются, но логируются.
Для организации внешних соединений используется проверенная технология VPN с максимальным уровнем шифрования, но сам VPN -сервер находится на втором, внутреннем маршрутизаторе, и сконфигурирован на использование нестандартных портов, т.е. никакими стандартными сканерами его невозможно даже обнаружить. Снаружи его просто нет.
При поступлении определённой последовательности шифрованных команд, на первом маршрутизаторе на несколько секунд открывается “окошко” через которое устанавливается шифрованное соединение со вторым маршрутизатором, на котором пользователь аутентифицируется и соединяется уже с внутренней сетью коллегии.
При кажущейся сложности и громоздкости этой схемы, для соединения доверенного пользователя с офисной сетью, доверенному пользователю нужно на своём компьютере нажать последовательно две “кнопки” и ввести свой пароль. Если все этапы проверки пройдены успешно, пользователь оказывается подключенным к офисной сети, и получает доступ ко всем внутренним ресурсам, как будто он находится в своём кабинете, за своим рабочим компьютером. При этом, все внешние соединения осуществляются уже из офисной сети.
Особенно полезна такая система работы, если приходится работать из небезопасных и непроверенных публичных сетей – гостиниц, торговых центов, аэропортов и т.п. Где бы ни находился наш сотрудник, при установлении соединения VPN с нашей офисной сетью, все его данные, передаваемые по сети между его компьютером и офисом, будут надёжно защищены, и недоступны для перехвата злоумышленниками.
Конечно, такой способ организации взаимодействия между пользователями нельзя назвать ни слишком простым, ни слишком дешевым, но безопасность данных и те возможности, которые получают наши сотрудники, того стоит.
Рейтинг публикации:
«
Да, диапазон адвокатских компьютерных потребностей велик. От «e-mail и skype не имею, лучше сам подъеду» до удаленного и коллективного доступа к своим базам данных.
Отрадно читать, уважаемый Иван Николаевич, что технический прогресс дает пользу. Плюсую (Y)
Уважаемый Владимир Николаевич, как «бытие определяет сознание», так и решаемые задачи определяют способы их решения. Если работать исключительно в одиночку, всегда по назначению, и по делам типа: «украл — выпил — в тюрьму» рассматриваемым в особом порядке, все вышеописанные «заморочки» конечно ни к чему.
Совсем другое дело, когда несколько адвокатов совместно работает по многоэпизодному делу с параллельным рассмотрением в разных городах нескольких гражданских и административных дел для создания, либо предотвращения преюдиции, и объём только текстовых документов, не считая фотографий дела и аудиозаписей, зашкаливает за гигабайт. Тут уже «записками на коленке» не обойтись.
Приятно видеть столь серьезный подход к созданию информационной инфраструктуры компании :)
Осталось только напроситься в Вашу команду для участия в крупных и серьезных делах! И, естественно, освоить весь технологический потенциал.
Могу представлять интересы команды в Москве и в Поволжье.
Я пока всерьез осваиваю AdWords. Кстати, сейчас вышла довольно редкая книга Брэд Гэддс «Google AdWords» Исчерпывающее руководство.Ещё в продаже. Можно купить.
Все чаще задумываюсь над простым казалось вопросом: «Какие услуги/продукт мы продаем/оказываем услуги?».
По передовым технологиям Вы впереди всех! Надо догонять!
Часть участников «Праворуба» предпочитает отвечать на вопросы на сайте 9111. Этот сайт оказался более географически таргетированным и удобным. На этом поле разработчикам сайта «Праворуб» есть над чем подумать. Почему участники «Праворуб» предпочитают отвечать на вопросы на другом сайте ?
более географически таргетированным и удобным
Есть такое дело… Есть над чем работать.
Часть участников «Праворуба» предпочитает отвечать на вопросы на сайте 9111. Этот сайт оказался более географически таргетированным и удобным. Уважаемый Анатолий Владимирович, а я думаю, что проблема (хотя это на самом деле и НЕ проблема) совсем в другом — учитывая гораздо более высокий качественный уровень Праворуба, многие «анонимные активисты» с других сайтов, здесь просто боятся публично облажаться, вот и предпочитают помалкивать.
Уважаемый Иван Николаевич, поддерживаю, (handshake) читала ответы на сайте 9111, праворуб более профессионален.
Уважаемый Иван Николаевич, по доброму завидую. Такое хозяйство требует специалиста, а это новые расходы. В нашей коллегии такие расходы никому не нужны, поскольку каждый сам по себе.
Уважаемый Алексей Анатольевич, всё наше «хозяйство» создавалось не в один день — мы просто помаленьку накапливаем средства (т.е. не проедаем все взносы сразу) и планомерно обновляем свою техническую базу, проводим ремонты в офисе, а если что-то ещё и остаётся, можем просто устроить небольшие «посиделки» с шашлычками ;)
Что касается привлечения специалистов — то конечно, без этого не обойтись, но это требуется не так уж и часто, и после того, как система настроена и отлажена, повторное привлечение специалиста может потребоваться только в случае выхода из строя и замены какой ни будь «железки», хотя мы стараемся все ключевые устройства дублировать и резервировать ;)
Уважаемый Иван Николаевич, несмотря на то, что подобная схема построения взаимодействия в работе в основном рассчитана на коллектив, многое из этого можно почерпнуть и для тех, кто работает самостоятельно. Полностью согласен с тем, что удобство в работе и защита персональных данных стоят тех денег, которые необходимо вкладывать в построение своего бизнеса.
Спасибо Вашему помощнику по техническим вопросам — Эдуарду Константиновичу. Все очень и очень здорово расписано!(Y)
Завидую… Что сказать? Нужен именно КОЛЛЕКТИВ!
Согласна — круто! И с коллективом, и с такой организацией труда!
Да, командный дух «Цитадели» очевиден даже в таких вот «технических штуках»
Молодцы!
Серьезно и достойно.
P.S. если кому интересно — в более упрощенном и бюджетном (фактически бесплатном) варианте, можно обойтись облачными хранилищами типа Dropbox, Box и т.п. Главное чтобы был быстрый доступ к Интернету.
Я, от имени и по поручению всего коллектива коллегии, хочу выразить полную поддержку мыслям Ивана Николаевича.
Несмотря на то, что никто из коллег не понял более 2/3 написанного, мы сердцем чувствуем, что написано — правильно!
Андрей Борисович, как это часто бывает, в очередной раз спасает всю ситуацию.
Добрейший Андрей Борисович, при построении информационной системы нашей коллегии, я учитывал уровень «продвинутости» всех пользователей, так же как определяется прочность любой цепи, т.е. по самому слабому звену ;)
Именно поэтому, у нас и нет необходимости (для пользователей) вникать в тонкости взаимодействия различных устройств, всё сделано по принципу: «Нажми на кнопку — получишь результат!» — всё ведь работает без проблем, и пользователь может сосредоточиться на своих задачах, а не на том, как заставить компьютер выполнить его желание ;)
Так я и пишу: " мы сердцем чувствуем, что написано — правильно!".
Вчера офисные хакеры взломали сеть. В сети оказалось 220 вольт... :)
Наше рабочее хранилище мне видится более надежным и безопасным, чем предлагаемые облачные.
Надёжность, своевременность получения и доступность данных в облаке очень сильно зависит от многих промежуточных параметров, таких как: каналы передачи данных на пути от клиента к облаку, надежность последней мили, качество работы интернет-провайдера клиента, доступность самого облака в данный момент времени. (Википедия)Вот они, современные информационно-технические возможности во всей красе и притом у нас в офисе!!! :)
Уважаемая Екатерина Александровна, не могу не согласиться. Облака — зло! Сколько переписки с облаков стало причинами разводов и стрельбы!
Уважаемый Константин Сергеевич, так я и не сказала, что облака — это хорошо, наоборот, у меня к ним имеется некое недоверие.
Отличный сервис, весь вопрос в его настройках и научении пользовании интерфейсом.
Но, считаю, что главный вопрос состоит в желании перемен.
Однако, необходимо небольшое отступление.
Не каждый адвокат способен самостоятельно решить вопросы технического усовершенствования: трудно переключаться с юридических головоломок на технические.
Видел, видел неоднократно процессуальные документы, писаные от руки, исключаю варианты написания ходатайств непосредственно в судебных заседаниях.
К сожалению, независимость адвокатов, как самостоятельных субъектов права, многим не позволяет принять условие о возможности коллективной деятельности, как покушение на самостоятельность и независимость. Почему?
Независимость независимости — рознь.
Без преувеличения могу сказать, что коллектив «Цитадели» — это несколько иное состояние адвокатской деятельности: команда, которая наряду с независимостью, пользуется всеми благами коллективного творчества, где каждый вносит посильный вклад в коллективный труд. Не говоря уже об обмене любой оперативной информацией.
Одной немаловажной характеристикой Цитадели, как команды, является архиважное обстоятельство: в «Цитадели» имеется лидер, который обладает не только высокими профессиональными качествами, но и имеет весьма глубокий практический опыт в освоении технических новинок и компьтерных средств.
И здесь без благодарности не обойтись: Огромное профессиональное спасибо Председателю «Цитадели» — Морохину Ивану Николаевичу, человеку и… капитану! )))
P.S. Извините за дифирамбы, но:
Мы не сделали скандала:
Нам вождя недоставало.
Настоящих буйных мало —
Вот и нету вожаков...
© В.Высоцкий.
Отличная статья. Безопасность превыше всего, особенно в свете последних событий.
также хочется отметить, указанный выше сервис Dropbox, в нем есть опция — «Общая папка». Пользователь, ее создавший, рассылает приглашения заинтересованным лицам, а те, в свою очередь, подтверждают приглашение или отказываются от него. Можно использовать, как альтернативный вариант.
Еще хочется обратить внимание на человеческий фактов. Ведь, какая бы не была система безопасности, большую роль играет человеческий фактор. Но система с двумя маршрутизаторами, VPN и аутентификации пользователя по «двум нажатиям клавиш» и ввода пароля меня зацепила. Молодцы.
Уважаемый Иван Николаевич, распечатал текст этой статьи. Буду читать перед сном, на десерт, так сказать. Лакомиться. Предчувствую много познавательного и эксклюзивного!