(no subject)
Dec. 30th, 2019 06:56 pm![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
cat_muciusВ продолжение мечтаний:
Вот интересно, существует ли на белом свете сетевая хреновина типа файерволла, умеющая обрабатывать исходящий HTTPS-трафик следующим образом:
1. Ответить на попытку установить TCP-соединение на любой адрес - от имени этого адреса.
2. Получить от юзера пакет "Client Hello", прочесть оттуда хостнейм из поля SNI - сегодня его посылают практически все.
3. Проверить по DNS, на какие IP-адреса резолвится этот хостнейм.
4. И лишь после этого искать подходящую firewall policy и проверять:
соответствует ли хостнейм из SNI тому адресу, на который было запрошено соединение,
или тому, что указано как destination в этой полиси - а это могут быть как и диапазоны адресов (в таком случае надо проверить, попадает ли адрес, используемый юзером - или же адреса, полученные от DNS - в эти диапазоны), или же текстовые правила типа регулярных выражений (тогда надо на них проверить хостнейм),
соответствует ли сертификат, посланный сервером, этому хостнейму - по полям CN и SAN.
Ну и в качестве вишенки на торте, чтобы проверяла полученный сертификат по ограниченному списку CA и чтоб deep inspection умела делать. Ну ещё и заголовками HTTP манипулировала, мечтать так мечтать.
Фортигейтов Explicit Proxy умеет многое из этого, но это прокси. Клиентов надо настраивать к нему обращаться. Но вообще-то без малого 2020-й год на дворе, было бы неплохо уметь делать умную обработку трафика и прозрачным для юзеров образом.
Если нет такого - так выпьем же за то, чтобы в наступающем новом году!..
Вот интересно, существует ли на белом свете сетевая хреновина типа файерволла, умеющая обрабатывать исходящий HTTPS-трафик следующим образом:
1. Ответить на попытку установить TCP-соединение на любой адрес - от имени этого адреса.
2. Получить от юзера пакет "Client Hello", прочесть оттуда хостнейм из поля SNI - сегодня его посылают практически все.
3. Проверить по DNS, на какие IP-адреса резолвится этот хостнейм.
4. И лишь после этого искать подходящую firewall policy и проверять:
Ну и в качестве вишенки на торте, чтобы проверяла полученный сертификат по ограниченному списку CA и чтоб deep inspection умела делать. Ну ещё и заголовками HTTP манипулировала, мечтать так мечтать.
Фортигейтов Explicit Proxy умеет многое из этого, но это прокси. Клиентов надо настраивать к нему обращаться. Но вообще-то без малого 2020-й год на дворе, было бы неплохо уметь делать умную обработку трафика и прозрачным для юзеров образом.
Если нет такого - так выпьем же за то, чтобы в наступающем новом году!..
no subject
Date: 2019-12-30 06:57 pm (UTC)no subject
Date: 2019-12-31 08:11 am (UTC)