Ограничить IP-адреса назначения из соединения WiFi?
Я разработчик, а не системный администратор, поэтому я собираюсь задать этот вопрос как можно лучше.
Я работаю над веб-приложением для мобильных устройств. Поскольку он находится в разработке, он доступен только в нашей внутренней сети. Точки доступа WiFi в моей компании предназначены для "гостевого использования" и получают соединение, которое находится за пределами корпоративного брандмауэра. Сотрудники, которые используют WiFi, должны использовать VPN для доступа к корпоративной сети.
У меня есть мобильные устройства с WiFi, которые я хочу подключить к своей внутренней сети для тестирования моего веб-приложения. Не все из них имеют возможность VPN.
Вот мой вопрос: как я могу настроить точку доступа WiFi и разрешить ей только перенаправлять трафик на белый список IP-адресов моих веб-серверов? Это может быть готовый беспроводной маршрутизатор или это должен быть сервер с картой Wi-Fi?
Я не хочу устанавливать мошенническую конечную точку и ставить под угрозу корпоративную безопасность, поэтому я планирую пройти через свой ИТ-отдел, но я хочу идти к ним в курсе возможностей.
2 ответа
Если это для проекта компании, они должны иметь возможность установить временный WAP, который будет разрешать доступ только к MAC-адресам вашего устройства и не передавать SSID. Если ваши устройства поддерживают шифрование, которое также можно настроить, и используйте минимальное значение мощности для ограничения диапазона.
Это зависит от вашей корпоративной среды. Если они действительно нервничают из-за безопасности, вам, вероятно, потребуется настроить сервер брандмауэра, который будет позволять только определенным правилам маршрутизации обеспечивать беспроводное соединение с внутренней сетью.
В конце концов, вы запрашиваете беспроводное соединение, которое идет к "чувствительным" внутренним ресурсам, независимо от белого списка. Если кто-то решил прервать ваше беспроводное соединение, он может подделать MAC-адрес вашего устройства, украсть IP-адрес (если вы говорите с белыми соединителями в WAP, а не в адресатах), прослушивать соединения (если вы не используете WAP) и т. Д.
Итак, как я уже сказал... зависит от корпоративной среды. Варианты, которые я вижу, - предоставить вам доступ через брандмауэр для посредничества и регистрации активности, или поместить в какой-нибудь wap-файл с положениями для внесения в белый список того, к чему он может подключаться при маршрутизации, что может подключаться к нему через скрытую фильтрацию SSID и MAC, использование надежного шифрования или создание "закрытой" тестовой сети, чтобы вы могли запустить тестовое приложение на виртуальной машине (или виртуальных машинах) для подключения к беспроводным машинам и не иметь никакого доступа к реальной сети.
Наконец, вы могли бы поговорить с ними о настройке машины, которая работает в публичной сети по беспроводной сети, но подключается через VPN и маршрутизирует ваше беспроводное устройство от этой машины через VPN во внутреннюю сеть (по сути, беря машину, которая работает в VPN, и имея это "поделиться" соединением как роутером). Хотя по-прежнему небезопасно, поскольку другие тоже могут подключаться к этому компьютеру, поэтому вам придется что-то делать, чтобы отслеживать, кто подключен.
Похоже, что ваша компания приняла соответствующие меры для обеспечения безопасности беспроводного доступа, а именно конечной точки vpn и отсутствия прямой внутренней маршрутизации. Однако относительно легко настроить точку беспроводного доступа только с определенными маршрутами и определенными правилами брандмауэра, и исходя из их текущей настройки, я подозреваю, что они смогут это сделать, хотя будут проблемы с безопасностью, которые нелегко устранить.
Практически любая коммерческая / корпоративная беспроводная точка доступа будет работать (в отличие от WAP или WAP-маршрутизатора для дома), прямо за ней стоит межсетевой экран. В простейшем случае вы можете перекрестно подключить WAP к сетевому адаптеру хоста linux и выполнить всю вашу пересылку ip / host host на этой машине. Это дешево и очень легко осуществить, вероятно, менее чем за полчаса до начала работы. Я бы не советовал идти полностью и переводить машину linux в режим AP, может быть много сложностей в том, чтобы заставить это работать правильно, должно быть проще использовать внешнюю стороннюю точку доступа, если у вас нет очень специфических экспериментов, которыми вы являетесь выполнение и желание иметь точный контроль над интервалами маяка или другими такими подробностями уровня беспроводного протокола.