On 05/02/2012 04:03 PM, Pierre-Yves Maunier wrote:
Il y a plein de ports filtrés dans les MacDo que j'ai testé. Pas de SSH ni
VPN.
Mais ils sont franchisés donc pas tous sur le même réseau…
Je me connecte toujours à un VPN SSL OpenVPN qui tourne sur le port 443
pour ça et jusqu'à présent c'est toujours passé.
Le problème d'OpenVPN sur le port 443 en utilisant des certificats X509,
c'est que ce n'est justement pas du SSL :-)
Après en faisant de l'analyse sur la taille de paquets, comportement du
trafic etc il doit être possible de savoir que ce n'est pas du https qui
passe mais je pense que les déploiements pour filtrer ce genre d'usages
sont rares.
Il suffit de regarder le premier paquet et de voir qu'il ne contient pas
de ClientHello SSL. Pour SSH sur le port 443, c'est encore plus simple
puisque dans ce cas c'est le serveur qui émet le premier paquet de données.
Si on veut faire du VPN sur le port 443 partout, il vaut mieux utiliser
stunnel, SSLTunnel (un vieux truc à moi chez hsc.fr) ou le truc
Microsoft SSTP. Tout ça fera du vrai SSL difficile à filtrer sauf
analyse statistique (mais avec les Googleries genre SPDY, difficile de
s'appuyer la dessus).
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
