Gostaria de restringir o acesso a um serviço em nuvem com base na rede de onde vêm as solicitações. Tenho controle sobre a rede e sobre o serviço de nuvem que recebe solicitações de dentro da rede. A rede está atrás de um roteador, ou seja, todos os usuários têm o mesmo endereço IP de saída (dinâmico).
Vou dar um exemplo: a empresa A compra um serviço da empresa B. O serviço de B está hospedado na nuvem. Agora, A deseja que os usuários possam usar este serviço se e somente se os usuários estiverem na rede corporativa de A. Assim, B precisa ter certeza de que as solicitações dos usuários de A se originam da rede corporativa de A.
Então, o que eu quero fazer é: deixar a empresa A restringir o acesso aos serviços da empresa B, exigindo que todos os usuários que acessam os serviços estejam dentro da rede da empresa A.
Isso seria fácil se fosse apenas uma rede e eu quisesse impedir o acesso externo.
Responder1
As duas soluções possíveis em que consigo pensar são:
- Divida a rede em segmentos. Você pode usar a marcação de VLAN para executar dois segmentos diferentes em uma rede física. Em seguida, você distribui dois intervalos diferentes de endereços IP com DHCP e usa um ou mais roteadores para rotear o tráfego entre os segmentos.
- Coloque um relé DHCP em cada AP e faça com que o AP bloqueie o encaminhamento da solicitação DHCP - exceto através de seu próprio relé. Em seguida, providencie para que a solicitação DHCP retransmitida obtenha endereços IP que sejam distinguíveis daqueles entregues a equipamentos com fio. Observe que este não é um mecanismo forte de controle de acesso. Os usuários podem facilmente ignorar esta versão atribuindo um endereço IP estático.
Responder2
Este é um caso de uso clássico paraAutenticação RADIUS. Você não forneceu uma plataforma, portanto não podemos fornecer detalhes específicos de implementação, mas geralmente esta é a solução preferida para redes corporativas justamente porque permite definir grupos de usuários permitidos para acesso à rede, incluindo Wifi. Juntamente com o PKI, ele pode fazer isso de forma totalmente transparente para o usuário final - usuários ou dispositivos com os certificados necessários podem se conectar, outros não.