переписать HTTP-запросы через прокси-сервер HTTPS
Мы вынуждены установить компонент системы, который имеет строго HTTP-метод входа в систему. Поставщик заявил, что это было «Разработано как внутреннее приложение и не предназначено для доступа в Интернет». например, приложение LAN каким-то образом невосприимчиво к краже учетных данных и т. д. Здесь не там, они не сдвинутся с места, и у меня нет выбора, потому что у нас нет альтернативы на данный момент. Служба находится на другой стороне VPN, что усугубляет ситуацию, и я контролирую сеть только на одной стороне.
Есть ли там служба, которая позволила бы мне назначить IP-адрес в моей сети для олицетворения удаленного сервера, где может быть установлен сеанс HTTPS, и эта система будет взаимодействовать исключительно с удаленным компьютером?
Я знаю, что это будет шифровать только трафик к моим клиентам и от них, но я мог бы затем брандмауэром удаленного IP-адреса, по которому связь может исходить только с моего один хост, и это сокращает мои общие места для перехвата данных с n <> 1 до 1.
Я знаю, что сетевые устройства, такие как устройства шлюза SSL Junpier, делают нечто подобное: вы входите в веб-портал, и он «перезаписывает» все данные от и до источников на стороне LAN шлюза.
Есть ли что-нибудь подобное в мире программного обеспечения?
Это очень похоже на один из (когда-то?) Распространенных вариантов использования обратных прокси. С помощью чего-то вроде HAProxy, Nginx или веб-сервера Apache вы можете попробовать настроить прослушиватель HTTPS с действующим сертификатом для DNS-имени, которое вы хотите представить. Затем настройте конфигурацию внутреннего / обратного прокси-сервера, которая подключается к правильному HTTP-порту для фактической службы без какой-либо конфигурации TLS.
В конечном итоге вы получите безопасные подключения ваших клиентов к обратному прокси-серверу и небезопасные подключения обратного прокси-сервера к серверу через VPN. Если вы можете настроить VPN прямо с обратного прокси-сервера, учетные данные ваших пользователей будут храниться в безопасности на всем пути до явно непобедимой сетевой инфраструктуры провайдера.