2

Я работаю в охранном операционном центре инженера в одной компании. Мы управляем много клиентов FW, прокси, и т.д. Примером наших ежедневных билетов может быть то, что пользователь не может получить доступ к какому-либо сайту, поэтому мы проверяем прокси клиента, ...

Во время устранения неполадок и, поскольку мы уже управляем всеми устройствами, у нас есть несколько способов смоделировать пользователя (например, в нашем примере, определить прокси клиента явно и протестировать).

Однако и, к сожалению, мы не могли симулировать пользователя большую часть времени, поэтому у нас нет другого выхода, кроме как вызвать затронутого пользователя для живого теста (например, в нашем примере, если клиент использует прозрачный прокси-сервер?... или если у него есть IPS). на своем пути ...)

Поэтому мой вопрос: если я управляю всеми устройствами, есть ли способ имитировать себя так, как если бы я находился внутри за зоной доверия FW?!, Поэтому я могу устранять неисправности всех билетов в автономном режиме!

Я думал о следующем:

1- Откройте правило в FW, чтобы разрешить мне доступ внутрь, затем, используя методы маршрутизации на основе политик, я могу пересылать свой трафик, как если бы он был сгенерирован внутри. - Проблема в том, как я могу попросить браузер перенаправить весь http-трафик, например, на FW; если я делаю это через явный прокси, я ничего не сделал, и, к сожалению, я не могу установить маршрут на моем компьютере для определенных портов.

2- Создайте VPN между моим ПК и клиентским ПО и направьте мой http-трафик внутри VPN. - Проблема в том, что я не уверен, что это можно сделать; Мне нужен VPN-клиент более продвинутый, чем мастер Windows VPN, и мне нужно то же самое на FW.

3. Между FW и нашим сервером управления уже есть VPN, так что я могу инициировать любой трафик с FW на мой компьютер и стать бэкдором позади FW. - Проблема будет, конечно, я не мог установить как Ncat в моем FW?

Для меня я бы сказал, что подход 2 является наиболее применимым, например, использование концепции безопасных удаленных пользователей ?! Поэтому я хочу ваши идеи и предложения.

Есть идеи

|источник

1 ответ1

0

  1. Это должно быть выполнено с настройками прокси браузера, для определенного порта на клиентском FW. Правила брандмауэра направляют этот трафик на веб-прокси-сервер клиента / программное обеспечение / демон, а НЕ в сеть напрямую. Кроме того, правило должно ограничивать доступ только с IP-адреса вашего офиса, в противном случае клиент FW станет открытым прокси.

  2. На самом деле это, возможно, самый простой способ, если FW поддерживает PPTP, который поддерживается многими брандмауэрами. l2tp потребуется больше работ. Это решение зависит от бренда / модели FW на сайте клиента.

  3. В существующей VPN между FW и сервером управления настройте статический маршрут к клиентской сети (через сервер управления), а затем укажите прокси браузера на внутренний IP-адрес клиента FW (веб-прокси).

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .