Toegang op afstand moet een duidelijke strategische keuze zijn om bestaande processen te verbeteren en niet een vrijblijvende mogelijkheid om ook even thuis te kunnen werken.Behalve de voorwaarden voor telewerken, schetst een medewerker van Cobra de eisen die het stelt en de oplossingen.
Bedrijven bestempelen de projecten publiekelijk als mislukt, leveranciers roepen om het hardst dat het technologisch allemaal mogelijk is en de overheid stimuleert het om de verkeerde redenen. In de pers worden producten stelselmatig ‘apart’ beschreven en bekeken, en als er al een breder perspectief aan gegeven wordt, ontbreken de nodige details. In dit licht is het niet vreemd dat toegang op afstand (remote access) nog steeds wordt gezien als een soort voodoo-omgeving en dat de sociale gevolgen allang zijn ‘voorbijgestreefd’ door de technische mogelijkheden: er is technisch meer mogelijk dan we sociaal aankunnen.
Een ’toegang op afstand’-project slaagt pas als de implementatie om de juiste redenen plaatsvindt en als de juiste gebruikers op de juiste manier kunnen werken. De gepubliceerde redenen zijn vaak niet juist of irrelevant. De gebruikers tot nu toe zijn veelal niet de juiste en over de gebruikte methodiek is doorgaans al helemaal niet nagedacht: de kosten wegen zwaarder dan het beoogde resultaat.
De noodzaak om telewerken mogelijk te maken is duidelijk aanwezig. In zijn onlangs gepubliceerde artikel ‘Afstandelijk Werk’ (Computable, 8 mei) gaf Chun Wing Lai hiervoor zelfs drie ‘belangrijke’ maar foutieve redenen. Het Ministerie van V&W denkt dat telewerken de files kan beperken en wenst telewerken dus te stimuleren. De files worden wellicht iets korter en iets gespreider, maar verdwijnen niet. Ze zijn moeilijker te voorspellen omdat het telewerken niet geschikt is om het ‘gewone’ werk te verplaatsen naar een andere locatie dan het kantoor. Gewone kantoormedewerkers kunnen bijvoorbeeld de inkomende facturen niet mee naar huis nemen om te boeken. Bovendien zal een telewerker niet autoloos worden en de dagindeling wellicht zodanig wijzigen dat hij ’s middags in plaats van ’s avonds om privéredenen in de auto stapt. Het verplaatsen van een probleem is natuurlijk geen oplossing! Het resultaat van alle tot nu toe ondernomen acties om de files te beperken is een spits die gemiddeld driemaal zo lang duurt als twee jaar geleden. Zolang de auto niet verdwijnt, is het milieu (conform de tweede reden van de heer Lai, de wens van het ministerie Vrom) ook niet geholpen. De enige structurele oplossing van de files en de daaraan gerelateerde milieuproblemen is economische discriminatie (en dat mag nu eenmaal niet) of een werkelijk significante verbetering van het openbaar vervoer. Al gaat half Nederland telewerken, de auto blijft gewoon in gebruik; en daarbij kan niemand een gewone betrekking alleen via telewerken uitvoeren!
De laatste belangrijke reden die in het bewuste artikel wordt genoemd, is vergezocht: een commercieel bedrijf moet gaan telewerken omdat het ‘een aftrekpost voor de fiscus is’. U moet dus telewerken gaan invoeren omdat het fiscaal aftrekbaar is; uw klanten zijn geen enkele overweging. Als u uw medewerkers maar uit hun (door het bedrijf verstrekte) auto’s houdt, wordt u beloond door de fiscus.
Met dit soort redenaties gewapend, kan een gebruiker ook niet anders beslissen dan dat telewerken iets met voodoo te maken heeft!
Waarom telewerken?
De doelstelling van telewerken is juist om de werkelijk productieve tijd van bepaalde werknemers-groepen te vergroten door ze niet de file in te dwingen op de meest ongunstige tijden (de echte spits). Het geeft hen de gelegenheid om daadwerkelijk iets voor hun klanten te betekenen en vooral om te werken waar en wanneer zij willen. De eerste lijn van telewerkers moet dus niet bestaan uit de crediteuren-afdeling, maar bijvoorbeeld uit de groepen verkoop, consultancy, technische dienst, systeem-beheer en management. Juist deze groepen hebben veel baat bij het ‘hoe dan ook, waar dan ook werken’-concept. Telewerken moet de bedrijfsprocessen ondersteunen en aanvullen; het is geen vrijblijvende mogelijkheid om ‘ook even thuis te kunnen werken’, maar een duidelijke strategische keuze om bestaande processen te verbeteren.
Zo kan de accountmanager on-line een orderstatus opvragen, de stand-by systeembeheerder van huis uit eventuele problemen oplossen en de manager op reis voor 100 procent betrokken blijven bij de gebeurtenissen op de thuishaven. Telewerken is commercieel gezien vaak een must. Daarnaast heeft een marktgericht bedrijf te maken met het verlangen van de meer kennisrijke medewerkers naar flexibelere werktijden (in verband met gezin, vrije tijd, enzovoort). De medewerkers die zouden moeten kunnen telewerken, zijn ook degenen die een andere invulling van tijd en plaats aan hun werk willen en kunnen geven.
Ziehier de juiste drijfveren om toegang op afstand te gaan toepassen. Wanneer andere redenen spelen, is het project tot mislukken gedoemd.
Infrastructuur
Deze en andere functionaliteitswensen kunnen worden ingevuld met een goede en vooral gedegen infrastructuur voor toegang op afstand. De technologieën om dit mogelijk te maken zijn beschikbaar en betaalbaar.
Bij een selectieve toepassing loopt men geen sociale risico’s. Toegang op afstand is in de eerste plaats een aanvulling, geen vervanging. Waar mensen weinig of geen sociaal contact nodig hebben (heel veel mensen zullen het kletspraatje bij het koffie-apparaat niet missen) kan toegang op afstand een prima alternatief zijn.
Hoe moet u nu de centrale telewerk-infrastructuur juist invullen? Bij het beantwoorden van deze vraag is aangenomen dat uw organisatie in staat is om telewerken juist te positioneren en in eerste instantie alleen daar beschikbaar te stellen waar het ook zinvol is. Anders zullen de resultaten hoe dan ook teleurstellend zijn. Telewerken moet dus worden ingezet waar het het meeste nut heeft: daar waar uw organisatie raakvlakken met de buitenwereld heeft en waar medewerkers er het maximale uit kunnen en vooral willen halen.
Als voorbeeld stellen we een bedrijf met een eigen verkoop-buitendienst en service-dienst. De directie heeft besloten dat het commercieel noodzakelijk is om alle verkopers van de buitendienst en de service-monteurs de gelegenheid te geven de intern bewaarde kennis ook bij klanten on-site en in real-time te bereiken en te gebruiken. De directie moet ook buiten het kantoor kunnen beschikken over de meest recente informatie.
De platforms zijn AS/400, Windows NT 4.0 en Novell 3.12. Zowel TCP/IP als IPX/SPX zijn in gebruik, op een 10 Mb Ethernet-topologie.
Dit is een typisch voorbeeld dat wij bijna wekelijks tegenkomen.
Het bedrijf vraagt om een plan voor een infrastructuur die toegang op afstand mogelijk maakt voor verschillende clients. Daarbij dient rekening te worden gehouden met gebruiksvriendelijkheid, beheerbaarheid, toegangsbeveiliging en geminimaliseerde telecommunicatie-kosten.
Dat laatste is belangrijk; bij toegang op afstand vormen deze kosten vaak meer dan 50 procent van de totale kosten! In het plan dient rekening te worden gehouden met de standplaats van de diverse deelnemers in het ‘remote-access’-netwerk, zodat de telecom-kosten te optimaliseren zijn. Mobiele communicatie is daarbij ook van belang, omdat de buitendienst veel onderweg is. Het bedrijf eist verder dat de systeembeheerders niet onnodig worden belast met cursussen om de nieuwe infrastructuur te kunnen ondersteunen; een simpel systeem, dat binnen het bestaande systeem-beheer past, verdient de voorkeur. Binnen het bedrijf worden nog geen routers en dergelijke toegepast. De gebruikersinterface moet zoveel mogelijk identiek zijn aan die op kantoor; ook de mogelijkheden moeten identiek zijn.
Inventarisatie
Een eerste stap bestaat uit het maken van een exacte inventarisatie. In het plan worden alle eisen en wensen ingevuld. Daarbij kunnen aanvankelijk meerdere alternatieven als oplossing naar voren komen.
De eerste inventarisatie is weergegeven in figuur 1.
| Client Groepen: | Verkoop | Technische Dienst | Directie |
| Aantal clients | 35 | 20 | 6 |
| Waarvan meestal simultaan | 12 | 8 | 3 |
| Communicatie per ISDN | ja | ja | ja |
| Communicatie per analoog | ja | ja | ja |
| Communicatie per GSM | ja | ja | ja |
| Te gebruiken protocollen | IP + IPX | IP + IPX | IP + IPX |
| Laptop | ja | ja | ja |
| Werkgebied | nationaal | provinciaal | internationaal |
| Werktijden | onbeperkt | onbeperkt | onbeperkt |
| Vaste, niet-centrale locatie | thuis | thuis | thuis |
| Woonplaats | lokaal/interlokaal | lokaal/interlokaal | lokaal/interlokaal |
| Applicaties: | |||
| Lotus Notes | ja | ja | ja |
| Dbase IV | ja | ja | nee |
| AS/400 | nee | nee | ja |
| MS-Office | ja | ja | ja |
| Internet | ja | ja | ja |
| Centrale inrichting: | |||
| Topologie | ‘shared Ethernet’, 10 mb, UTP cat.5 | ||
| Directe Internet verbinding | nee | ||
Figuur 1. De eerste stap: het maken van een inventarisatie. Een typisch voorbeeld van een bedrijf met een eigen verkoop-buitendienst en een service-dienst.
Hieruit is het volgende te leren:
| Minimaal/maximaal aantal gelijktijdige deelnemers: | 23 / 61. |
| Protocollen: | IP + IPX. |
| Communicatie media: | ISDN, analoog, GSM. |
| Communicatie gebied: | overwegend niet lokaal. |
| Internet als medium: | niet mogelijk, infrastructuur ontbreekt. |
Performance over ‘dunne’ bandbreedte: | |
| Lotus Notes repliceren: | goed. |
| Lotus Notes raadplegen (klanten database): | niet acceptabel. |
| Dbase IV: | zeer slecht. |
| Office: | zeer slecht. |
| Internet: | acceptabel, geen extreem grafische pagina’s. |
| AS/400: | Telnet is goed. |
Aan deze gegevens is een aantal conclusies te verbinden.
Niet alle gewenste applicaties gedragen zich goed over telefoonlijnen; hiervoor zal een oplossing geboden moeten worden.
Verder moet een eventuele inbelserver Isdn-, analoog- en gsm-verkeer kunnen ondersteunen. En tot slot zullen de telecommunicatiekosten, gezien de diverse locaties, een behoorlijk aandeel in de operationele kosten hebben; ook hiervoor moet een goede oplossing gevonden worden.
‘Spoofing’
Allereerst moet gesteld worden dat een telewerker niet constant in verbinding hoeft te staan met de centrale locatie; dit is een probleem op het gebied van gebruiksvriendelijkheid, omdat we niet willen dat de gebruiker telkens moet in- en uitloggen.
Daarom moet de infrastructuur spoofing ondersteunen van alle gebruikte protocollen.
Spoofing wil zeggen dat zowel client als server voor de gek worden gehouden; zij denken dat de verbinding tussen de twee er nog is, terwijl er geen dataverkeer loopt. Als er geen dataverkeer is, zijn er ook geen telecom-kosten, maar blijft de netwerkverbinding wel virtueel bestaan. De gebruiker hoeft dan niet iedere keer weer handelingen te verrichten. Spoofing helpt dus de communicatiekosten te beperken, maar mag er niet toe leiden dat de applicaties over de kop gaan. Een verkeerd ‘gespoofde’ verbinding kan datacorruptie of zelfs dataverlies in de hand werken.
Er zal dus een infrastructuur geleverd moeten worden die maximale toepassing van spoofing mogelijk maakt, voor alle gevraagde verbindingen.
Het daadwerkelijke inbelverkeer is voor een ander deel bepalend; niet alleen moet spoofen goed worden ondersteund, de oplossing moet ook zowel Isdn-, analoog, als gsm-verkeer toestaan. Verder zijn de locaties van waaruit wordt ingebeld erg verspreid. Het ligt daarom voor de hand ernaar te streven dat inbellers ook via Internet gebruik kunnen maken van de centrale bronnen door in te bellen bij een lokale Internet Service Provider (ISP).
De apparatuur voor toegang op afstand die momenteel door de meeste fabrikanten wordt geboden, ondersteunt zowel Isdn-, als analoog- als gsm-verkeer. Dit zijn apparaten die verkeer over een Isdn-PRI
(primary rate interface, Isdn-30 of Isdn Primary Rate) intelligent kunnen scheiden. In omvang variëren zij van 1 tot maximaal (in een enkel geval) 8 PRI’s.
Gsm vereist een aparte behandeling en kan eigenlijk niet efficiënt met zo’n ‘alles in één’ server gebruikt worden. Het gsm-datanetwerk is onbetrouwbaar en de alles-in-één servers beschikken niet over de correctie-protocollen die nodig zijn om een verbroken gsm-verbinding zonder interventie van de gebruiker naadloos te herstellen. En juist bij gsm (duur en langzaam) is fout-correctie en gebruiksgemak bijzonder belangrijk. In deze situatie (waarin zowel de commerciële als de TD-gebruikers vaak via gsm zullen moeten werken) moeten we dus een aparte gsm-oplossing implementeren. Het andere verkeer (Isdn en analoog) zal via een alles-in-één inbelserver afgehandeld worden.
Veilig met VPN
Sinds kort zijn er zeer goede oplossingen voor het gebruik van Internet voor virtual private networks. Een vpn-gateway maakt het mogelijk verbindingen te bouwen via Internet met behulp van versleutelde tunnels. Deze verbindingen zijn optimaal te beveiligen en bieden daardoor een relatief goedkoop alternatief voor directe verbindingen. De ‘vpn-gateway’ wordt enerzijds gekoppeld met het lokale netwerk en anderzijds, via een router, met Internet. In de ‘vpn-gateway’ is een firewall aangebracht die ongenode gebruikers buiten kan houden.
De gebruiker belt met een vpn-client naar een lokale Internet-provider. Via Internet wordt contact gezocht met de ‘vpn-gateway’ die de client authenticeert. Daarna wordt een ’tunnel’ gebouwd tussen de ‘vpn-gateway’ en de vpn-client; hierdoor loopt de werkelijke dataverbinding. De data wordt versleuteld en is geheel onbereikbaar voor andere Internet-gebruikers. De ‘vpn-gateway’ is op verschillende, zeer degelijke wijzen, te beveiligen en is te zien als een bijzonder goed alternatief om telecom-kosten te minimaliseren. Zelfs internationale gebruikers kunnen, bijvoorbeeld in Singapore, inbellen op Internet en de server(s) in het lokale netwerk in Nederland bereiken.
Gebruik van vpn heeft wel het nadeel dat er (zonder specifieke afspraken met een wereldwijde provider als Worldcom) geen ‘dedicated’ bandbreedte beschikbaar is; er kan daarom niet zonder meer worden uitgegaan van een vergelijkbare prestatie met directe verbindingen zoals Isdn. In de situatie waarvoor dit netwerk wordt ontworpen, kunnen de thuisgebruikers en de internationale reizigers op deze manier werken. In een later stadium zijn leveranciers en afnemers ook op deze manier te bedienen.
Overname lokale PC
Een aantal van de toe te passen applicaties zorgt voor een belangrijk probleem: ze vragen veel bandbreedte en presteren niet over een telecom-verbinding.
Dit betekent dat we beide principes van toegang op afstand zullen moeten toepassen; dit zijn remote node, waarbij de ingebelde client een daadwerkelijk onderdeel van het lan wordt en dus wordt gezien als een lokale client (met een dunne netwerkconnectie) en remote control. De ingebelde client neemt dan een lokale PC over die de verwerkingen uitvoert en alleen veranderende beeldscherm-, keyboard- en muis-data over de lijn verstuurt.
Omdat er nogal wat gebruikers zijn, zullen we een ‘remote control’- toepassing moeten hanteren die meerdere sessies op één ‘remote control’ server toestaat. Hiervoor is eigenlijk alleen Citrix Winframe 1.7 geschikt. Die is ‘multi-user’, waardoor meerdere gebruikers tegelijk de verwerkingskracht van de server kunnen gebruiken. Hij gebruikt het ICA (independent console architecture) protocol, dat het dataverkeer minimaliseert. Een gebruiker kan toe met ongeveer 10 Kb bandbreedte, waardoor ook applicaties als Dbase IV en MS-Office op afstand te gebruiken zijn zonder merkbare prestatieverschillen met lokaal gebruik.
In het kader van de algehele beveiliging van het telewerk-netwerk heeft Citrix ook een belangrijke rol; hoe minder data er op de ‘remote’ PC’s (lees: laptops) staan, des te kleiner wordt het risico wanneer er een laptop gestolen mocht worden. Door alle data en de meeste applicaties centraal via deze server bereikbaar te maken, is dit risico zo klein mogelijk te maken. Citrix draagt significant bij aan de beheerbaarheid; op een dergelijke server worden alle applicaties maar één keer geïnstalleerd en maar op één plek opgewaardeerd als de noodzaak daar is. Dit betekent dat de ‘remote clients’ niet keer op keer een software-installatie of ‘upgrade’ nodig hebben. Een nieuwe of veranderde applicatie (denk aan Office 97 of een nieuwe Notes-client) wordt op één server geïnstalleerd en aan de gebruikers beschikbaar gesteld. Omdat Citrix alle applicaties op afstand benaderbaar maakt, kan de ‘remote client’ zelfs een inrichting kennen die indentiek is aan die van de lokale desktop (daarmee wordt een belangrijk argument tegen toegang op afstand weggenomen).
Al deze feiten maken duidelijk dat een dergelijke server voor de oplossing vereist is.
Citrix heeft één eigenschap die minder prettig is; hij is bijzonder moeilijk te ‘spoofen’. Iedere minimale verandering op het beeldscherm (bijvoorbeeld muis-positionering of een oplichtende cursor) zorgt voor data-verkeer, waardoor de verbinding weer gaat ‘draaien’. Hiervoor zullen aparte oplossingen aangereikt worden, die deels op het gebruik en deels op de client-infrastructuur betrekking hebben.
‘Tokens’
Optioneel binnen het geheel is een aparte beveiligingsserver die met ’tokens’ werkt. Zo’n token is een soort calculator die op hard- of software-basis wordt gebruikt.
Deze tokens zijn een aanvulling op de gebruikelijke gebruikers-wachtwoordbeveiliging en werken als een soort ‘eenmalige quiz’. De inbellende gebruiker wordt eerst naar de beveiligingsserver geleid, die hem een zogenaamde ‘challange’ presenteert. Deze bestaat bijvoorbeeld uit een reeks getallen die ingetoetst moeten worden in de hard- of soft-token, na het inbrengen van een PIN. De uitkomst van de berekening, de ‘response’, wordt door de beveiligingsserver geëvalueerd, en wanneer deze wordt goed bevonden, krijgt de gebruiker toegang. Een token-systeem werkt samen met de inbelserver(s) en de ‘vpn-gateway’ en communiceert daarmee, in het ideale geval, via het radius-protocol (remote authentication dial in services). Dergelijke beveiligingsservers zorgen niet alleen voor authenticatie (wie ben je?), maar ook voor authorisatie (wat mag je?) en ‘accounting’ (bijhouden van inbelsessies qua tijd en activiteit).
Met behulp van deze centrale methodiek en de daarbij behorende client-voorzieningen is relatief eenvoudig een goede toegang op afstand infrastructuur te ontwerpen en te bouwen.
Wanneer de juiste organisatorische maatregelen zijn getroffen, staat niets een goede implementatie en dito resultaten in de weg!
Phillip Actor,
Computing By Remote Access Amsterdam
