Me gustaría restringir el acceso a un servicio en la nube según la red de donde provienen las solicitudes. Tengo control tanto sobre la red como sobre el servicio en la nube que recibe solicitudes desde dentro de la red. La red está detrás de un enrutador, es decir, todos los usuarios tienen la misma dirección IP saliente (dinámica).
Daré un ejemplo: la empresa A compra un servicio de la empresa B. El servicio de B está alojado en la nube. Ahora, A quiere que los usuarios puedan utilizar este servicio si y sólo si los usuarios están en la red corporativa de A. Por lo tanto, B necesita asegurarse de que las solicitudes de los usuarios de A se originen en la red corporativa de A.
Entonces, lo que quiero hacer es: permitir que la empresa A restrinja el acceso a los servicios de la empresa B exigiendo que todos los usuarios que acceden a los servicios estén dentro de la red de la empresa A.
Esto sería fácil si fuera una sola red y quisiera evitar el acceso externo.
Respuesta1
Las dos posibles soluciones que se me ocurren son:
- Divida la red en segmentos. Puede utilizar el etiquetado VLAN para ejecutar dos segmentos diferentes en una red física. Luego, distribuye dos rangos diferentes de direcciones IP con DHCP y utiliza uno o más enrutadores para enrutar el tráfico entre los segmentos.
- Coloque una retransmisión DHCP en cada AP y haga que el AP bloquee el reenvío de la solicitud DHCP, excepto a través de su propia retransmisión. Luego, haga arreglos para que la solicitud DHCP retransmitida obtenga direcciones IP que se distingan de las entregadas al equipo cableado. Tenga en cuenta que este no es un mecanismo de control de acceso sólido. Los usuarios pueden omitir fácilmente esta versión asignando una dirección IP estática.
Respuesta2
Este es un caso de uso clásico paraAutenticación RADIUS. No ha proporcionado una plataforma, por lo que no podemos brindar detalles de implementación específicos, pero generalmente esta es la solución elegida para redes corporativas precisamente porque le permite definir grupos de usuarios permitidos para el acceso a la red, incluido Wifi. Junto con PKI, puede incluso hacerlo de forma completamente transparente para el usuario final: los usuarios o dispositivos con los certificados necesarios pueden conectarse, otros no.