Jump to content

Bridging SSL sous linux


Recommended Posts

Bonjour,

voila, j ai un ami qui suit une formation Microsoft ISA2004.

Lors de cette formation, on lui parle de bridging SSl.

Alors le bridging ssl, c'est lorsqu'on a un server derriere un firewall, ce dernier (le firewall), au lieu de laisser passer le flux ssl sans l analyser , va creer un canal entre le client et le firewall, verifier l'integrite des trames et reencapsuler les trames en SSL entre le firewall et le server. De cette maniere la, on peut analyser les flux SSL.

D'apres les commerciaux de microsoft, seul ISA2004 est capable de faire ca.

J aimerais donc savoir si cela est possible sous linux et avec quels produits.

Merci d avance.

PS: J espere que je me suis pas gauffre ds l explication du bridging SSL :byebye:

Link to comment
Share on other sites

Salut à toi, je ne connais pas de solution qui fasse ça sous Linux mais je peux t'affirmer que les commerciaux de Microsoft sont des mytos, ISA n'est pas le seul à savoir faire ça :

http://www.bluecoat.com/news/releases/2005/110805_ssl.html

http://www.mcafee.com/fr/products/mcafee/n..._appliances.htm

( et il y en a d'autres ).

Si je trouve une solution Linux je la poste ici.

Link to comment
Share on other sites

Parce que finalement si j ai bien comrpis le bridging SSL,

on a un vpn entre le client et le firwall en SSL, puis le firewall analyse l ip ou le contenue de la trame ou les 2 puis reencapsule le tout en SSL entre lui et le server.

Je vois pas pkoi sous linux ou Unix, cela ne serait pas possible. :byebye:

Link to comment
Share on other sites

Bon, le truc comme je le vois :

( mais ça marche dans les 2 sens ).

Tu as un client qui passe par un proxy pour accéder au net. Si le client veut se connecter en SSL à un serveur HTTPS il initie une connexion, interceptée par le proxy, décodée, analysée ( pour voir si c'est vraiment de l'HTTP ) puis une autre connexion HTTPS est créée entre le proxy et le serveur HTTPS, et c'est pareil au retour. :)

Donc au final, pour un client on a 2 connexions HTTPS, une entre le client et le proxy et une seconde entre le proxy et le serveur.

Link to comment
Share on other sites

Ben oui c comme ca que je le vois aussi .

Tu as un client qui veut se connecter a un server publie, entre les 2 il y a un firewall qui recoit la demande du client en SSL, qui analyse la trame (ip et/ou contenu) puis qui reencapsule le tout en SSL entre lui et le server publie.

Je vois pas pkoi linux ou unix savent pas faire ca.

Link to comment
Share on other sites

:mdr: oui on peut jouer sur les mots.

M enfin, moi aussi j ai pas trouve d appli tournant sur une distrib linux capable de faire ca.

Je ne pense pas que squid puisse analyser les trames ssl.

Effectivement ca Zoto, ca sert a verifier les trames SSL rentrantes.

Link to comment
Share on other sites

SSL est faible au point de pouvoir mettre un filtre transparent ???

Si par exemple on utilise un navigateur web, il va hurler à cause du certificat qui sera totalement faux.

Donc après c'est à l'utilisateur de voir qui faire (si il connais le certificat qu'on lui propose, si il s'en fout de ce qui transite, etc...).

Et pour info dans le différents navigateurs internet il faut quasiment toujours accepter définitivement les certificats, comme ça si ils changent on est prévenu! (il faudrait même que ça soit l'option par défaut, avec éventuellement une petite explication au cas où les gens se demanderaient pourquoi)

Link to comment
Share on other sites

Archived

This topic is now archived and is closed to further replies.

×
×
  • Create New...