我在一家公司擔任安全營運中心工程師。我們管理很多客戶韌體、代理等。我們每日票證的一個範例可能是使用者無法存取某些網站,因此我們檢查客戶代理,...
在我們的故障排除過程中,由於我們已經管理所有設備,我們有一些方法來模擬使用者(例如,在我們的範例中,明確定義客戶的代理並進行測試)。
然而不幸的是,我們大多數時候無法模擬用戶,因此除了致電受影響的用戶進行即時測試(例如,在我們的範例中,客戶是否使用透明代理?...或者他是否有IPS)之外,我們別無選擇在他的道路上...)
所以我的問題是,如果我正在管理所有設備,有沒有辦法模擬自己,就好像我位於韌體信任區域的內部一樣?
我在想以下幾點:
1-在韌體中打開一條規則以允許我訪問內部,然後使用基於策略的路由技術,我可以轉發我的流量,就好像它是內部生成的一樣。 - 問題是我如何要求瀏覽器將所有http流量重新導向到例如韌體;如果我透過顯式代理實現,我什麼也沒做,不幸的是我無法在我的電腦中為某些連接埠設定路由。
2- 在我的 PC 和客戶防火牆之間建立 VPN,並在 VPN 內傳輸我的 http 流量。 - 問題是我不確定這是否可以做到;我需要一個比 Windows VPN 精靈更高級的 VPN 用戶端,並且在韌體上也需要相同的用戶端。
3-韌體和我們的管理伺服器之間已經有一個VPN,所以我可以啟動從韌體到我的電腦的任何流量,並在韌體後面設置一個後門。 - 問題當然是我無法在我的韌體中安裝像 ncat 那樣的東西?
對我來說,我想說方法 2 是最適用的一種,例如使用安全遠端使用者的概念?所以我想要你的想法和建議。
有任何想法嗎
答案1
這應該可以透過瀏覽器代理設定實現到客戶端韌體上的特定連接埠。防火牆規則將該流量路由到客戶端網站 Web 代理伺服器/軟體/守護程序,而不是直接路由到 Web。此外,該規則應僅限制來自您辦公室 IP 的訪問,否則客戶端防火牆將成為開放代理。
實際上,如果防火牆支援 PPTP,這可能是最簡單的方法,許多防火牆設備都支援 PPTP。 l2tp 還需要更多的工作。此解決方案取決於客戶端站點上的韌體品牌/型號。
使用FW和管理伺服器之間現有的VPN,設定到客戶端網路的靜態路由(透過管理伺服器),然後將瀏覽器代理程式指向客戶端FW(Web代理)內部IP。