Ich möchte den Zugriff auf einen Cloud-Dienst basierend auf dem Netzwerk beschränken, aus dem die Anfragen kommen. Ich habe Kontrolle über das Netzwerk und den Cloud-Dienst, der Anfragen aus dem Netzwerk empfängt. Das Netzwerk befindet sich hinter einem Router, d. h. alle Benutzer haben dieselbe ausgehende (dynamische) IP-Adresse.
Ich gebe ein Beispiel: Unternehmen A kauft einen Dienst von Unternehmen B. Der Dienst von B wird in der Cloud gehostet. Nun möchte A, dass Benutzer diesen Dienst nur dann nutzen können, wenn sie sich im Unternehmensnetzwerk von A befinden. Daher muss B sicherstellen, dass die Anfragen der Benutzer von A aus dem Unternehmensnetzwerk von A stammen.
Ich möchte also Folgendes tun: Unternehmen A kann den Zugriff auf die Dienste von Unternehmen B dadurch einschränken, dass alle Benutzer, die auf die Dienste zugreifen, sich innerhalb des Netzwerks von Unternehmen A befinden müssen.
Dies wäre einfach, wenn es sich nur um ein Netzwerk handeln würde und ich den Zugriff von außen verhindern wollte.
Antwort1
Die zwei möglichen Lösungen, die mir einfallen, sind:
- Teilen Sie das Netzwerk in Segmente auf. Sie können VLAN-Tagging verwenden, um zwei verschiedene Segmente in einem physischen Netzwerk auszuführen. Anschließend vergeben Sie mit DHCP zwei verschiedene IP-Adressbereiche und verwenden einen oder mehrere Router, um den Verkehr zwischen den Segmenten zu routen.
- Platzieren Sie auf jedem AP ein DHCP-Relay und lassen Sie den AP die Weiterleitung der DHCP-Anforderung blockieren – außer über sein eigenes Relay. Sorgen Sie dann dafür, dass die weitergeleitete DHCP-Anforderung IP-Adressen erhält, die sich von denen unterscheiden, die an kabelgebundene Geräte vergeben werden. Beachten Sie, dass dies kein starker Zugriffskontrollmechanismus ist. Benutzer können diese Version leicht umgehen, indem sie eine statische IP-Adresse zuweisen.
Antwort2
Dies ist ein klassischer Anwendungsfall fürRADIUS-Authentifizierung. Sie haben keine Plattform bereitgestellt, daher können wir keine spezifischen Implementierungsdetails angeben, aber dies ist im Allgemeinen die Lösung der Wahl für Unternehmensnetzwerke, gerade weil Sie damit zulässige Benutzergruppen für den Netzwerkzugriff, einschließlich WLAN, definieren können. In Verbindung mit PKI kann dies sogar für den Endbenutzer völlig transparent erfolgen - Benutzer oder Geräte mit den erforderlichen Zertifikaten dürfen eine Verbindung herstellen, andere nicht.