Re: [ml] VPN tramite Proxy e HTTP

>>> di snort per verificare (in modo un po' grezzo, magari, ma con bassi fp e
>>> costi insignificanti) che il traffico in transito sulle porte tcp per cui
>>> e' ammesso CONNECT sia una qualche versione di SSL e non altre porcherie.
> 
> E' appunto questo che è difficile fare.
>
> OpenVPN, come altri prodotti quali p.es. stunnel, utilizza SSL per
> crittografare la VPN, quindi discriminare tra questo traffico ed un

A rigor di termini, openvpn usa tls solo per lo scambio delle chiavi; per
cifrare la sessione dati utilizza esp. A parte questo, openvpn multiplexa
le sessioni (controllo e dati) nel medesimo canale incapsulandole nel suo
protocollo; in questo modo tls (nella fattispece l'handshake) non e' piu'
riconoscibile come tale e viene rilevato come traffico anomalo.

> traffico https regolare non è fattibile, o perlomeno non lo è in modo
> immediato come sarebbe per esempio riconoscere un http sulla 443 (anche
> se personalmente non ho mai provato :-) )

Fino ad ora ci cascano un po' tutti nella rete, compreso skype con il suo
handshake [quasi|fake?]-ssl. Come dicevo, anche ovpn in modalita' tls (su
tcp) viene rilevato come fosse un'anomalia mentre stunnel, lui si', passa
inosservato (e ci mancherebbe). Ovvio che tanto piu' il traffico somiglia
a ssl, nei limiti dell'approssimazione che le rules fanno del protocollo,
tanto meno e' efficace un approccio di questo tipo [1]. Se *e'* ssl, c'e'
poco da fare :-)

> L'unico modo per lasciare attivo l'uso di https e poter discriminare il
> traffico sarebbe quello di descrittarlo a livello di proxy, ma
> ovviamente si andrebbe incontro al problema dell'impossibilità di
> autenticare il proprio partner, rendendo la soluzione inapplicabile.

Rompere la riservatezza end-to-end non mi piace, e mi sembra possa essere
una pratica foriera di guai nei rapporti con gli utenti che usano https.


Fabio

[1] ad esempio, skype scivolava via, finche' non sono state migliorate le
    rules.