Aunque estoy completamente perdido acerca de cómo tal división podría mejorar la seguridad de una manera sensata, es razonablemente fácil distinguir el apretón de manos del resto del tráfico en una conexión SSL. En SSL, todo se envía como registros , con un formato regular:
Para lograr lo que desea, debería mirar el primer byte del encabezado, que codifica el tipo de registro: este valor es igual a 20, 21, 22 o 23, con 23 que significa "datos de aplicación" mientras que los otros valores son para el procesamiento administrativo (los mensajes de protocolo de enlace usan el tipo 22 y brevemente 21 para el cambio de parámetros de seguridad; las alertas usan el tipo 20). Todo esto se especifica en sección 6 de RFC 5246 .
Con este conocimiento, es bastante sencillo implementar un filtro que envíe los registros con el tipo 23 de una manera, y los registros con otros tipos de otra manera. Lo que puede ser difícil es interactuar con el sistema operativo y las aplicaciones; especialmente si desea hacerlo para aplicaciones existentes que no puede modificar de ninguna manera. También necesitará tanto el cliente como el servidor para implementar la división "en dos redes separadas".
No tengo conocimiento de ninguna herramienta existente que haga este trabajo.
No estoy seguro de cómo esto mejoraría la seguridad, a menos que su tráfico SSL estuviera siendo descifrado antes de llegar a su máquina (proxy, equilibrador de carga, etc.).
Si realmente quieres salir de la caja, puedes instalar un enrutador de software en una máquina que enrute el tráfico según el filtro que sugirió Tom. Eso probablemente simplificaría el desarrollo de tal herramienta.
Lea otras preguntas en las etiquetas encryption tls