Я разработчик, а не системный администратор, поэтому задам этот вопрос как можно лучше.
Я работаю над веб-приложением для мобильных устройств. Поскольку он находится в разработке, он доступен только во внутренней сети. Точки доступа Wi-Fi в моей компании предназначены для "гостевого использования" и получают соединение за пределами корпоративного брандмауэра. Сотрудникам, использующим Wi-Fi, необходимо использовать VPN для доступа к корпоративной сети.
У меня есть мобильные устройства с Wi-Fi, которые я хочу подключить к внутренней сети для тестирования своего веб-приложения. Не все из них поддерживают VPN.
Вот мой вопрос: Как я могу настроить точку доступа Wi-Fi и разрешить ей направлять трафик только в белый список IP-адресов моих веб-серверов? Это может быть стандартный беспроводной маршрутизатор или это должен быть сервер с картой Wi-Fi?
Я не хочу настраивать фальшивую конечную точку и ставить под угрозу корпоративную безопасность, поэтому я планирую пройти через свой ИТ-отдел, но я хочу сообщить им о возможностях.
Если это проект компании, они должны иметь возможность настроить временный WAP, который будет разрешать доступ только к MAC-адресам вашего устройства и не будет транслировать SSID. Если ваши устройства поддерживают шифрование, это тоже можно настроить, и используйте самый низкий уровень мощности, чтобы ограничить диапазон.
Это действительно зависит от вашей корпоративной среды. Если они действительно беспокоятся о безопасности, вам, вероятно, потребуется настроить сервер брандмауэра, который будет разрешать только определенные правила маршрутизации для установления беспроводного соединения с внутренней сетью.
В конце концов, вы запрашиваете беспроводное соединение, которое идет к «чувствительным» внутренним ресурсам, независимо от белого списка. Если кто-то был полон решимости разорвать ваше беспроводное соединение, он мог подделать MAC-адрес вашего устройства, украсть IP-адрес (если вы говорите о белых списках соединителей с WAP, а не о местах назначения), прослушивать соединения (если вы не используете WAP) и т. Д.
Как я уже сказал ... зависит от корпоративной среды. Варианты, которые я вижу, - это предоставить вам доступ через брандмауэр для посредничества и регистрации активности или добавить какой-либо wap с положениями для внесения в белый список того, к чему он может подключаться при маршрутизации, что может подключаться к нему через скрытие SSID и фильтрации MAC, и используя надежное шифрование, или настраивая вас с тестовой сетью, которая «закрыта», чтобы вы запускали тестовое приложение на виртуальной машине (или виртуальных машинах) для подключения к своим беспроводным машинам и не имели доступа к реальной сети.
Наконец, вы могли бы поговорить с ними о настройке машины, которая работает в общедоступной сети по беспроводной сети, но подключается через VPN, и направляет ваше беспроводное устройство с этой машины через VPN во внутреннюю сеть (в основном берется машина, которая работает на VPN и имеет он «расшаривает» соединение как роутер). Тем не менее, все еще небезопасно, так как другие тоже могут подключиться к этому компьютеру, поэтому вам придется что-то делать, чтобы отслеживать, кто подключен.
Похоже, ваша компания приняла соответствующие меры для обеспечения безопасности беспроводного доступа, а именно конечную точку vpn и отсутствие прямой внутренней маршрутизации. Однако относительно легко настроить точку беспроводного доступа только с определенными маршрутами и конкретными правилами брандмауэра, и на основе их текущей настройки я подозреваю, что они смогут это сделать, хотя будут проблемы с безопасностью, которые нелегко устранить.
Практически любая коммерческая / корпоративная точка беспроводного доступа будет работать (в отличие от WAP или WAP-маршрутизатора для дома) с брандмауэром, расположенным прямо за ней. В простейшем случае вы можете перекрестно подключить WAP к сетевому адаптеру хоста Linux и выполнить всю пересылку IP / фильтрацию хоста на этом компьютере. Это дешево и очень легко реализовать, наверное, меньше получаса, чтобы приступить к работе. Я бы не рекомендовал идти полностью и переводить Linux-машину в режим AP, может быть много сложностей в том, чтобы заставить это работать правильно, должно быть проще использовать внешнюю стороннюю AP, если у вас нет очень конкретных экспериментов, которые вы делает и желает иметь точный контроль над интервалами маяка или другими подобными деталями уровня беспроводного протокола.