Aunque estoy completamente perdido acerca de cómo tal división podría mejorar la seguridad de una manera sensata, es razonablemente fácil distinguir el apretón de manos del resto del tráfico en una conexión SSL. En SSL, todo se envía como registros , con un formato regular:
- tipo de contenido (un byte)
- versión de protocolo (dos bytes)
- longitud de registro L (dos bytes, big-endian)
- carga útil de registro (exactamente L bytes)
Para lograr lo que desea, debería mirar el primer byte del encabezado, que codifica el tipo de registro: este valor es igual a 20, 21, 22 o 23, con 23 que significa "datos de aplicación" mientras que los otros valores son para el procesamiento administrativo (los mensajes de protocolo de enlace usan el tipo 22 y brevemente 21 para el cambio de parámetros de seguridad; las alertas usan el tipo 20). Todo esto se especifica en sección 6 de RFC 5246 .
Con este conocimiento, es bastante sencillo implementar un filtro que envíe los registros con el tipo 23 de una manera, y los registros con otros tipos de otra manera. Lo que puede ser difícil es interactuar con el sistema operativo y las aplicaciones; especialmente si desea hacerlo para aplicaciones existentes que no puede modificar de ninguna manera. También necesitará tanto el cliente como el servidor para implementar la división "en dos redes separadas".
No tengo conocimiento de ninguna herramienta existente que haga este trabajo.