nvidia Posted July 27, 2006 Share Posted July 27, 2006 Bonjour, voila, j ai un ami qui suit une formation Microsoft ISA2004. Lors de cette formation, on lui parle de bridging SSl. Alors le bridging ssl, c'est lorsqu'on a un server derriere un firewall, ce dernier (le firewall), au lieu de laisser passer le flux ssl sans l analyser , va creer un canal entre le client et le firewall, verifier l'integrite des trames et reencapsuler les trames en SSL entre le firewall et le server. De cette maniere la, on peut analyser les flux SSL. D'apres les commerciaux de microsoft, seul ISA2004 est capable de faire ca. J aimerais donc savoir si cela est possible sous linux et avec quels produits. Merci d avance. PS: J espere que je me suis pas gauffre ds l explication du bridging SSL Link to comment Share on other sites More sharing options...
Poulpatine Posted July 27, 2006 Share Posted July 27, 2006 Salut à toi, je ne connais pas de solution qui fasse ça sous Linux mais je peux t'affirmer que les commerciaux de Microsoft sont des mytos, ISA n'est pas le seul à savoir faire ça : http://www.bluecoat.com/news/releases/2005/110805_ssl.html http://www.mcafee.com/fr/products/mcafee/n..._appliances.htm ( et il y en a d'autres ). Si je trouve une solution Linux je la poste ici. Link to comment Share on other sites More sharing options...
nvidia Posted July 27, 2006 Author Share Posted July 27, 2006 Merci pour la reponse Poulpatine. J avais deja vu pour Mcafee dans un forum. Mais jaimerais trouver sous linux quoique finalement les box proprietaires, elles tournent sous quoi? A+ Link to comment Share on other sites More sharing options...
Poulpatine Posted July 27, 2006 Share Posted July 27, 2006 Les box propriétaires ( appliance ) font pour la plupart du décodage hardware du SSL :-/ . Je n'ai par contre aucune idée de ce sous quoi elles tournent. Link to comment Share on other sites More sharing options...
nvidia Posted July 27, 2006 Author Share Posted July 27, 2006 Parce que finalement si j ai bien comrpis le bridging SSL, on a un vpn entre le client et le firwall en SSL, puis le firewall analyse l ip ou le contenue de la trame ou les 2 puis reencapsule le tout en SSL entre lui et le server. Je vois pas pkoi sous linux ou Unix, cela ne serait pas possible. Link to comment Share on other sites More sharing options...
zoto Posted July 27, 2006 Share Posted July 27, 2006 Salut En matiere de vpn ssl il y a OpeVPN sous nux . a+ Link to comment Share on other sites More sharing options...
nvidia Posted July 27, 2006 Author Share Posted July 27, 2006 Merci, mais est ce que OpenVPN analyse les trames entrantes et les reencapsule les t ils en SSL? Link to comment Share on other sites More sharing options...
Poulpatine Posted July 27, 2006 Share Posted July 27, 2006 Bon, le truc comme je le vois : ( mais ça marche dans les 2 sens ). Tu as un client qui passe par un proxy pour accéder au net. Si le client veut se connecter en SSL à un serveur HTTPS il initie une connexion, interceptée par le proxy, décodée, analysée ( pour voir si c'est vraiment de l'HTTP ) puis une autre connexion HTTPS est créée entre le proxy et le serveur HTTPS, et c'est pareil au retour. :) Donc au final, pour un client on a 2 connexions HTTPS, une entre le client et le proxy et une seconde entre le proxy et le serveur. Link to comment Share on other sites More sharing options...
nvidia Posted July 27, 2006 Author Share Posted July 27, 2006 Ben oui c comme ca que je le vois aussi . Tu as un client qui veut se connecter a un server publie, entre les 2 il y a un firewall qui recoit la demande du client en SSL, qui analyse la trame (ip et/ou contenu) puis qui reencapsule le tout en SSL entre lui et le server publie. Je vois pas pkoi linux ou unix savent pas faire ca. Link to comment Share on other sites More sharing options...
Poulpatine Posted July 27, 2006 Share Posted July 27, 2006 C'est pas que linux ou unix ne sait pas faire mais c'est que je n'ai pas trouvé l'outil/application adéquat . Linux n'est qu'un OS . ( oui bon, un noyau ) Link to comment Share on other sites More sharing options...
zoto Posted July 27, 2006 Share Posted July 27, 2006 Salut Fraudrais a ce moment là voir du coté de squid . Sinon j'en vois pas l'utilité de ce truc, a part fliquer ce qu'il y a dans les trames ssl . a+ Link to comment Share on other sites More sharing options...
nvidia Posted July 27, 2006 Author Share Posted July 27, 2006 oui on peut jouer sur les mots. M enfin, moi aussi j ai pas trouve d appli tournant sur une distrib linux capable de faire ca. Je ne pense pas que squid puisse analyser les trames ssl. Effectivement ca Zoto, ca sert a verifier les trames SSL rentrantes. Link to comment Share on other sites More sharing options...
Sufflope Posted July 28, 2006 Share Posted July 28, 2006 SSL est faible au point de pouvoir mettre un filtre transparent ??? Link to comment Share on other sites More sharing options...
tuXXX Posted July 28, 2006 Share Posted July 28, 2006 SSL est faible au point de pouvoir mettre un filtre transparent ??? Si par exemple on utilise un navigateur web, il va hurler à cause du certificat qui sera totalement faux. Donc après c'est à l'utilisateur de voir qui faire (si il connais le certificat qu'on lui propose, si il s'en fout de ce qui transite, etc...). Et pour info dans le différents navigateurs internet il faut quasiment toujours accepter définitivement les certificats, comme ça si ils changent on est prévenu! (il faudrait même que ça soit l'option par défaut, avec éventuellement une petite explication au cas où les gens se demanderaient pourquoi) Link to comment Share on other sites More sharing options...
Sufflope Posted July 29, 2006 Share Posted July 29, 2006 Ah d'accord donc on est absolument pas connecté au serveur distant ! Alors le terme bridge est trompeur, je croyais que la bécane décryptait le flux en temps réel Link to comment Share on other sites More sharing options...
Recommended Posts
Archived
This topic is now archived and is closed to further replies.