Bridging SSL sous linux

[nvidia]

Bonjour,

voila, j ai un ami qui suit une formation Microsoft ISA2004.

Lors de cette formation, on lui parle de bridging SSl.

Alors le bridging ssl, c'est lorsqu'on a un server derriere un firewall, ce dernier (le firewall), au lieu de laisser passer le flux ssl sans l analyser , va creer un canal entre le client et le firewall, verifier l'integrite des trames et reencapsuler les trames en SSL entre le firewall et le server. De cette maniere la, on peut analyser les flux SSL.

D'apres les commerciaux de microsoft, seul ISA2004 est capable de faire ca.

J aimerais donc savoir si cela est possible sous linux et avec quels produits.

Merci d avance.

PS: J espere que je me suis pas gauffre ds l explication du bridging SSL

[Poulpatine]

Salut à toi, je ne connais pas de solution qui fasse ça sous Linux mais je peux t'affirmer que les commerciaux de Microsoft sont des mytos, ISA n'est pas le seul à savoir faire ça :

http://www.bluecoat.com/news/releases/2005/110805_ssl.html

http://www.mcafee.com/fr/products/mcafee/n..._appliances.htm

( et il y en a d'autres ).

Si je trouve une solution Linux je la poste ici.

[nvidia]

Merci pour la reponse Poulpatine.

J avais deja vu pour Mcafee dans un forum.

Mais jaimerais trouver sous linux quoique finalement les box proprietaires, elles tournent sous quoi?

A+

[Poulpatine]

Les box propriétaires ( appliance ) font pour la plupart du décodage hardware du SSL :-/ .

Je n'ai par contre aucune idée de ce sous quoi elles tournent.

[nvidia]

Parce que finalement si j ai bien comrpis le bridging SSL,

on a un vpn entre le client et le firwall en SSL, puis le firewall analyse l ip ou le contenue de la trame ou les 2 puis reencapsule le tout en SSL entre lui et le server.

Je vois pas pkoi sous linux ou Unix, cela ne serait pas possible.

[zoto]

Salut

En matiere de vpn ssl il y a OpeVPN sous nux .

a+

[nvidia]

Merci,

mais est ce que OpenVPN analyse les trames entrantes et les reencapsule les t ils en SSL?

[Poulpatine]

Bon, le truc comme je le vois :

( mais ça marche dans les 2 sens ).

Tu as un client qui passe par un proxy pour accéder au net. Si le client veut se connecter en SSL à un serveur HTTPS il initie une connexion, interceptée par le proxy, décodée, analysée ( pour voir si c'est vraiment de l'HTTP ) puis une autre connexion HTTPS est créée entre le proxy et le serveur HTTPS, et c'est pareil au retour. :)

Donc au final, pour un client on a 2 connexions HTTPS, une entre le client et le proxy et une seconde entre le proxy et le serveur.

[nvidia]

Ben oui c comme ca que je le vois aussi .

Tu as un client qui veut se connecter a un server publie, entre les 2 il y a un firewall qui recoit la demande du client en SSL, qui analyse la trame (ip et/ou contenu) puis qui reencapsule le tout en SSL entre lui et le server publie.

Je vois pas pkoi linux ou unix savent pas faire ca.

[Poulpatine]

C'est pas que linux ou unix ne sait pas faire mais c'est que je n'ai pas trouvé l'outil/application adéquat .

Linux n'est qu'un OS . ( oui bon, un noyau )

[zoto]

Salut

Fraudrais a ce moment là voir du coté de squid .

Sinon j'en vois pas l'utilité de ce truc, a part fliquer ce qu'il y a dans les trames ssl .

a+

[nvidia]

oui on peut jouer sur les mots.

M enfin, moi aussi j ai pas trouve d appli tournant sur une distrib linux capable de faire ca.

Je ne pense pas que squid puisse analyser les trames ssl.

Effectivement ca Zoto, ca sert a verifier les trames SSL rentrantes.

[Sufflope]

SSL est faible au point de pouvoir mettre un filtre transparent ???

[tuXXX]

SSL est faible au point de pouvoir mettre un filtre transparent ???

Si par exemple on utilise un navigateur web, il va hurler à cause du certificat qui sera totalement faux.

Donc après c'est à l'utilisateur de voir qui faire (si il connais le certificat qu'on lui propose, si il s'en fout de ce qui transite, etc...).

Et pour info dans le différents navigateurs internet il faut quasiment toujours accepter définitivement les certificats, comme ça si ils changent on est prévenu! (il faudrait même que ça soit l'option par défaut, avec éventuellement une petite explication au cas où les gens se demanderaient pourquoi)

[Sufflope]

Ah d'accord donc on est absolument pas connecté au serveur distant ! Alors le terme bridge est trompeur, je croyais que la bécane décryptait le flux en temps réel