Autenticación SSL separada y otro tráfico

5

Por razones de seguridad, me gustaría separar los protocolos de SSL y todo el resto del tráfico de Internet, y enviarlos a través de dos redes separadas.

¿Ya hay una forma de hacerlo o debo escribirlo yo mismo? Si es así, ¿algún consejo para hacerlo?

    
pregunta user86380 09.09.2015 - 18:16
fuente

2 respuestas

3

Aunque estoy completamente perdido acerca de cómo tal división podría mejorar la seguridad de una manera sensata, es razonablemente fácil distinguir el apretón de manos del resto del tráfico en una conexión SSL. En SSL, todo se envía como registros , con un formato regular:

  • tipo de contenido (un byte)
  • versión de protocolo (dos bytes)
  • longitud de registro L (dos bytes, big-endian)
  • carga útil de registro (exactamente L bytes)

Para lograr lo que desea, debería mirar el primer byte del encabezado, que codifica el tipo de registro: este valor es igual a 20, 21, 22 o 23, con 23 que significa "datos de aplicación" mientras que los otros valores son para el procesamiento administrativo (los mensajes de protocolo de enlace usan el tipo 22 y brevemente 21 para el cambio de parámetros de seguridad; las alertas usan el tipo 20). Todo esto se especifica en sección 6 de RFC 5246 .

Con este conocimiento, es bastante sencillo implementar un filtro que envíe los registros con el tipo 23 de una manera, y los registros con otros tipos de otra manera. Lo que puede ser difícil es interactuar con el sistema operativo y las aplicaciones; especialmente si desea hacerlo para aplicaciones existentes que no puede modificar de ninguna manera. También necesitará tanto el cliente como el servidor para implementar la división "en dos redes separadas".

No tengo conocimiento de ninguna herramienta existente que haga este trabajo.

    
respondido por el Tom Leek 09.09.2015 - 18:59
fuente
2

No estoy seguro de cómo esto mejoraría la seguridad, a menos que su tráfico SSL estuviera siendo descifrado antes de llegar a su máquina (proxy, equilibrador de carga, etc.).

Si realmente quieres salir de la caja, puedes instalar un enrutador de software en una máquina que enrute el tráfico según el filtro que sugirió Tom. Eso probablemente simplificaría el desarrollo de tal herramienta.

    
respondido por el rdChris 09.09.2015 - 19:46
fuente

Lea otras preguntas en las etiquetas