In linea generale, è sconsigliabile provare a controllare l'accesso a un servizio di rete con mezzi così vaghi. Nella pratica di pentesting, non è insolito che l'attaccante sia in grado di possedere, ad esempio, una stampante o macchina da caffè in rete e usarlo come trampolino di lancio per eseguire richieste sul proprio servizio con privilegi di "rete locale". A un livello più filosofico, se stai cercando di dividere i clienti come "locali" e "stranieri", significa che non hai fatto un'analisi corretta di chi ha bisogno di quale tipo di accesso. I sistemi messi insieme senza un'analisi sistematica tendono ad errare al lato dell'aspetto accessibilità della sicurezza dei dati, e tali errori possono portare a un fallimento, a volte massiccio, dell'aspetto riservatezza .
Se stai sviluppando quello che è essenzialmente un singolo servizio, ma con più accesso concesso agli agenti della tua organizzazione rispetto agli anonimi su Internet, dovresti impostare un meccanismo di autenticazione e distribuire password, certificati client, token OTP, o qualche altro mezzo di identificazione sicura per le persone con necessità specifiche di accedere ai dati che non intendete rendere accessibili pubblicamente dai randos. Nel contesto dei servizi basati su Windows, i tuoi utenti probabilmente avranno già voci in Active Directory e potrebbero essere stati configurati per autenticarsi da esso quando accedono alle loro workstation. Se la tua analisi suggerisce che questo livello di autenticazione è appropriato per il tuo servizio, potresti, ad esempio, configurare il tuo server web per richiedere che i browser degli utenti presentino i ticket Kerberos quando accedono al tuo servizio e determinare il livello di accesso appropriato in base all'identità dell'utente in questo modo.
Se l'analisi mostra che quello che stai cercando di fare è meglio modellato come due servizi distinti, potresti preferire impostare un servizio per l'accesso pubblico, e un altro per la rete locale, magari con una sorta di regolare processo di migrazione dei dati tra i loro datastore. Sarai comunque ben consigliato di autenticare le persone che consideri "locali" prima di fornire loro dati non pubblici o accettare comandi da loro che non vorresti accettare da randos, naturalmente.