我是一名开发人员,而不是系统管理员,所以我会尽我所能提出这个问题。
我正在开发一款适用于移动设备的 Web 应用程序。由于该应用程序尚在开发中,因此只能在我们的内部网络上使用。我公司的 WiFi 接入点供“访客使用”,可获得公司防火墙之外的连接。使用 WiFi 的员工需要使用 VPN 才能访问公司网络。
我有带 WiFi 的移动设备,我想将其连接到内部网络以测试我的 Web 应用程序。并非所有设备都具有 VPN 功能。
这是我的问题: 如何设置 WiFi 接入点并仅允许其将流量路由到我的 Web 服务器 IP 地址白名单?这可以是现成的无线路由器吗?还是需要是带有 wifi 卡的服务器?
我不想设置恶意端点并危害公司安全,因此我打算通过我的 IT 部门进行处理,但我希望向他们告知各种可能性。
答案1
如果这是针对公司项目,他们应该能够设置临时 WAP,该 WAP 仅允许访问您的设备 MAC 地址,而不会广播 SSID。如果您的设备支持加密,也可以设置,并使用最低功率设置来限制范围。
这实际上取决于您的公司环境。如果他们真的担心安全问题,那么您可能需要设置防火墙服务器,该服务器仅允许某些路由规则来调解与内部网络的无线连接。
最终,您请求的无线连接将连接到“敏感”内部资产,而不管白名单如何。如果有人决心破坏您的无线连接,他们可以伪造您设备的 MAC 地址、窃取 IP(如果您谈论的是将连接器列入白名单到 WAP 而不是目的地)、嗅探连接(如果您没有运行 WAP)等。
所以就像我说的...取决于公司环境。我看到的选项是让你通过防火墙进行访问以调解和记录活动,或者放入某种 wap,其中规定在路由中将其可以连接到的内容列入白名单,通过隐藏 SSID 和 MAC 过滤将其连接到的内容,并使用强加密,或者为你设置一个“封闭”的测试平台网络,这样你就可以在虚拟机(或虚拟机)中运行测试应用程序以连接到无线机器,而不能访问实际网络。
最后,您可以与他们讨论如何设置一台在公共网络上无线运行但通过 VPN 连接的计算机,并将您的无线设备从该计算机通过 VPN 路由到内部网络(基本上是使用在 VPN 上运行的计算机并让它作为路由器“共享”连接)。但这仍然不安全,因为其他人也可以连接到该计算机,因此您必须采取一些措施来监控谁连接了。
答案2
听起来贵公司已经采取了适当的措施来保护无线访问,即使用 VPN 端点,不进行直接内部路由。但是,设置仅具有特定路由和特定防火墙规则的无线接入点相对容易,根据他们目前的设置,我怀疑他们能够做到这一点,尽管存在难以消除的安全问题。
几乎任何商业/企业无线接入点都可以工作(与家庭使用的 WAP 或 WAP 路由器不同),后面都有防火墙。在最简单的情况下,您可以将 WAP 交叉连接到 Linux 主机的网络适配器,并在该机器上执行所有 IP 转发/主机过滤。这很便宜,而且非常容易实现,可能不到半小时就可以开始工作。我不建议完全将 Linux 机器置于 AP 模式,让它正常工作会非常复杂,使用外部第三方 AP 肯定更容易,除非您正在进行非常具体的实验并希望对信标间隔或其他此类无线协议级别细节进行细粒度控制。