我们被迫安装一个具有严格 HTTP 登录方法的系统组件。供应商表示,它“设计为内部的应用程序,而不是为互联网访问而设计的。” 像 LAN 应用程序这样的应用程序在某种程度上不受凭据盗窃等的影响……在这里而不是那里,他们不会让步,我别无选择,因为我们目前别无选择。 该服务位于 VPN 的另一侧,使情况变得更糟,而我只能控制一侧的网络。
是否有一种服务可以让我在我的网络上指定一个 IP 来模拟远程服务器,在那里可以建立 HTTPS 会话,并让该系统专门与远程通信?
我知道这只会加密往返于我的客户端的流量,但我可以将远程 IP 防火墙设置为只能来自我的一个主机,这样就可以将我拦截数据从 n<>1 到 1 的总体位置减少。
我知道诸如 Junpier 的 SSL 网关设备之类的网络设备可以执行类似操作,您登录到 Web 门户,它会“重写”网关 LAN 侧源的所有数据。
在纯软件的世界中是否存在这样的事?
答案1
这听起来很像反向代理的(曾经?)常见用例之一。借助 HAProxy、Nginx 或 Apache Web 服务器之类的工具,您可以尝试为要显示的 DNS 名称设置带有有效证书的 HTTPS 侦听器。然后设置后端/反向代理配置,该配置连接到实际服务的正确 HTTP 端口,而无需任何 TLS 配置。
最终,您将获得从客户端到反向代理的安全连接,以及从反向代理通过 VPN 到服务器的不安全连接。如果您可以直接从反向代理配置 VPN,则您的用户凭据将一直保持安全,直至提供商看似坚不可摧的网络基础设施。