web-dev-qa-db-ja.com

リクエストの送信元のマシンを認識する方法は?

私の職場には、自宅からアクセスできるが、職場のラップトップからしかアクセスできない特定の内部サイトがあります。これはどのように機能するのだろうか。仕事用のラップトップをcorpnetに接続すると、IPアドレスが1つになります。マシンがホームネットワークに接続されている場合、別のIPアドレスがあります。それでもサーバーは、私が仕事用のラップトップと個人用のラップトップのどちらからサイトにアクセスしようとしているのかをどういうわけか区別することができます。これはどのように可能ですか?

2
morpheus

これにつながる可能性のあるいくつかの異なることがあります。

職場で別のVPNを使用している場合でも、それらのホスト用に自動的に確立されるVPNが存在する可能性があります。多くのエンタープライズVPNクライアントは複雑な構成を持つことができ、VPN接続を実行するためにそれらが企業ネットワーク上にあるかどうかを検出することができます。

もう1つの可能性は、ホームルーターまたはISPによって提供されるDNSサーバーではなく、指定されたDNSサーバーを使用するようにコンピューターが構成されていることです。その場合、自宅のコンピューターがそれらのホスト名を解決できないときに、職場のDNSサーバーが影響を受けるサイトの結果を返すことができる場合があります。

一部の(より高いセキュリティ)環境では、コンピューターにSSLクライアント証明書が発行されます(多くの場合、TPMに保存されたキーによって裏付けられています)。その場合、サーバーは証明書を検索して、着信接続が許可されたクライアント(仕事用ラップトップ)からのものであることを確認し、それらのホストへのアクセスのみを許可できます。

1
David

この種の制御を実装する最も一般的な方法は、VPNとファイアウォールのルールを使用することです。サーバーは特定のIPセットからのトラフィックのみを許可し(または外部からはまったくアクセスできません)、そのセットには、オフィス取得とVPNサーバーのIP。したがって、外出中は、コンピュータがVPNに接続し、トラフィックはVPNを介してトンネリングされます。 VPNはトンネルsomeトラフィックのみに設定できるため、これは明らかではない可能性があります。したがって、whatismyip.comなどにアクセスすると、ホームISPが表示される場合があります。

VPNやDNSなどに関する応答に加えて、他のいくつかの可能性があります。

ブラウザは多くの認証を自動的に実行します。作業マシンがドメインに参加していて、NTLM認証を期待するサイトにアクセスすると、ほとんどのWindowsブラウザが自動的に認証されます。 。ドメインに参加しているコンピューターを使用していない場合、またはドメインアカウントにサインインしていない場合(ドメインユーザーまたはマシンの資格情報を探しているかどうかによって異なります)、(ドメインに参加することはできません)あなたmightドメインの資格情報を入力するように求められますが、ドメイン以外の機械加工が拒否される場合があります)。この流れのもう1つの可能性は、TLSクライアント証明書です。作業マシンには、特定のTLSサーバー(HTTPSサーバーなど)に対して自動的に識別するために使用するクライアント証明書がインストールされている場合があり、必要な証明書がないホームマシンは接続できません。

サーバーはIPsecを必要とするように構成でき、クライアントはそれを使用するように構成できます。IPsec は、ネットワークトラフィックを保護する方法です。 TLSやSSHなどよりも低いレベル(アプリケーションレベルであり、ネットワークを介して通信しているアプリケーションが暗号化/復号化/署名/検証などを実行する必要があります)。 IPsecは、VPNの安全なトンネルを確立するために使用できます(OpenVPNの動作方法であるTLSも同様です)が、特定のホストまたはネットワークとの通信を保護するためにも使用できます。

TLSとは異なり、特定のネットワーク/ホストへのIPsec接続を確立する各マシンは、その接続用に構成する必要があります。作業マシンは企業ネットワークのIPsec構成を受け取りますが、個人のマシンはそれらを持たないため、企業サーバーは接続を拒否します。企業のVPNと同様に、企業が所有するマシンから個人のマシンに構成をエクスポートすることは、通常、企業のポリシーに違反します。

0
CBHacking