Come riconoscere la macchina da cui proviene una richiesta?

2

Nel mio lavoro ci sono alcuni siti interni a cui posso accedere da casa mia, ma solo attraverso il mio portatile da lavoro. Mi chiedo come funzioni. Quando il mio laptop di lavoro è connesso alla corpnet, ha un indirizzo IP. Quando la macchina è connessa alla mia rete domestica ha un altro indirizzo IP. Tuttavia, il server è in qualche modo in grado di distinguere se sto tentando di accedere al sito dal mio portatile o portatile personale di lavoro. Com'è possibile?

    
posta morpheus 13.10.2017 - 23:26
fonte

3 risposte

1

Ci sono alcune cose diverse che potrebbero portare a questo.

Potrebbe esserci una VPN automaticamente stabilita per te per quegli host, anche se utilizzi un'altra VPN al lavoro. Molti client VPN aziendali possono avere configurazioni complesse e sono in grado di rilevare se si trovano nella rete aziendale o non eseguire la connessione VPN.

Un'altra possibilità è che il tuo computer sia configurato per utilizzare server DNS specifici invece di quelli forniti dal tuo router di casa o dal tuo ISP. In tal caso, i tuoi server DNS di lavoro potrebbero essere in grado di restituire risultati per i siti interessati mentre il tuo computer di casa non è in grado di risolvere tali nomi host.

In alcuni ambienti (di maggiore sicurezza), i computer ricevono certificati client SSL (spesso supportati da una chiave memorizzata TPM). In tal caso, il server può cercare il certificato per verificare che la connessione in entrata provenga da un client autorizzato (il tuo laptop di lavoro) e consentire solo l'accesso a tali host.

    
risposta data 13.01.2018 - 21:51
fonte
0

Il modo più comune per implementare questo tipo di controllo è tramite una VPN e regole del firewall: il server consente solo il traffico da un determinato set di IP (o non è accessibile esternamente) e questo set include sia la subnet che i computer dell'ufficio ricevono e l'IP del server VPN. Quindi quando sei fuori ufficio, il tuo computer si connette alla VPN e il traffico viene attraversato da un tunnel. Questo potrebbe non essere ovvio, dal momento che le VPN possono essere impostate solo per il traffico di tunnel alcuni , quindi se visiti whatismyip.com o simili potrebbe comunque mostrare il tuo ISP di casa.

    
risposta data 15.10.2017 - 21:11
fonte
0

Oltre alle risposte su VPN e DNS e simili, ci sono altre possibilità.

I browser eseguono automaticamente molte autenticazioni. Se il tuo computer di lavoro è unito al dominio e visiti un sito che si aspetta l'autenticazione NTLM, la maggior parte dei browser Windows si autenticherà automaticamente. Se non stai utilizzando un computer aggiunto al dominio, o forse solo se non hai effettuato l'accesso a un account di dominio (a seconda che stia cercando un utente del dominio o le credenziali del computer), non sarai in grado di entrare ( potrebbe essere richiesto di inserire le credenziali del tuo dominio, ma a volte i domini non appartenenti al dominio saranno respinti). Un'altra possibilità in questo senso sono i certificati client TLS; il tuo computer di lavoro potrebbe avere alcuni certificati client installati che utilizza per identificarsi automaticamente su determinati server TLS (ad esempio un server HTTPS) e la tua macchina domestica, in mancanza del certificato richiesto, non sarà in grado di connettersi.

I server possono essere configurati per richiedere IPsec e i client configurati per utilizzarlo. IPsec è un modo per proteggere il traffico di rete a un livello inferiore rispetto a cose come TLS o SSH (che sono a livello di applicazione e richiedono l'applicazione che comunica attraverso la rete per eseguire la crittografia / decrittografia / firma / verifica / ecc.). IPsec può essere (e spesso è) utilizzato per stabilire il tunnel sicuro per una VPN (come può TLS, che è come funziona OpenVPN), ma può anche essere utilizzato per proteggere la comunicazione con host o reti specifici.

Diversamente dal TLS, ogni macchina che vuole stabilire una connessione IPsec a una particolare rete / host deve essere configurata per quella connessione. La tua macchina da lavoro riceverebbe le configurazioni IPsec per la tua rete aziendale, ma il tuo personal computer non le avrebbe, ei server aziendali rifiuterebbero quindi la connessione. Come con le VPN aziendali, in genere sarebbe una violazione dei criteri aziendali per esportare la configurazione da una macchina di proprietà dell'azienda a una personale.

    
risposta data 15.04.2018 - 02:10
fonte

Leggi altre domande sui tag