| נשלח בתאריך: 10 February 2008 בשעה 00:29 | | IP רשוּם
|
|
|
|
שלום לכולם,
אני איש אבטחת מידע תשתיתי במקור, ולא אפליקטיבי, ואני קצת מסתבך עם הבנת מאמר לגבי מוצר SSL VPN של IAG. מבחינת הבנה התקשורת/מאחורי הקלעים.
אני אקדים בעברית, מצטער שזה יהיה ארוך, למוצר יש כמה אפשרויות עבודה:
אם עובדים מול שרתי HTTP/WEB, אז ה IAG משמש כ WEB PROXY , מדבר עם ה client ב HTTPS, ועם השרת ב HTTP, ומעביר את המידע, מצפין ומסיר הצפנה בהתאם.
אם עובדים מול שרתי אפליקציה שאינם נגישים ב HTTP, צריך להתקין על התחנה רכיב ACTIVE X בשם ssl wrapper, שתפקידו לאפשר מעבר של אפליקציות שאינם HTTP דרך תעלת ה SSL.
לפי מה שהבנתי עד כה, אני רואה שה process של האפליקציה (למשל MSTSC) נפתח אצלי בתחנה.
בפורטל ה SSL, נפתח לי חלון ההשתלטות מרחוק שהוא כנראה ACTIVEX, ודרכו אני מעביר את הפקודות של האפליקציה.
לפני שאני ממשיך, רציתי לדעת האם אני מבין נכון את הנ"ל. (האם ככה זה עובד?)
עכשיו כתוב בפרק של SSL WRAPPER שיש כמה אפשרויות ל- relay כאשר עובדים עם ה SSL WRAPPER, אני אצרף אותו בסוף ההודעה.
לא הבנתי כ"כ איך העניינים עובדים מאחורי הקלעים,
אם האפליקציה מוטמעת בתוך דף ה HTTP ע"י ה ACTIVEX, וגם ב SNIFFER אני רואה שה SSL מצפין תעבורת HTTP, ולא RDP, אם ככה, מה ההבדל בעצם בין אם השרת מתקשר עם שרת WEB או עם שרת אפליקציה, מבחינת התקשורת בין התחנת קצה לבין ה SSL VPN , הרי אני עדיין מתקשר דרך HTTP.
ומה כל הקטע של ה RELAY, שצריך פורט מיוחד עבור אפליקציה, שהוא יעבור דרך ה SSL TUNNEL, או שיהיה לי פורט שישמש כ PROXY ? לא הבנתי את כל הסיפור הזה, אחרי הכל התעבורה נכנסת ל HTTP בשכבה 7, ובשכבה 6 ה HTTP עובר הצפנת SSL, וממשיך הלאה,
בשורה התחתונה, אני רוצה להבין למה ומדוע כאשר עובדים מול אפליקציות שאינם HTTP, יש בעיה,
וזה לא יכול לעבוד בתצורת WEB PROXY, מבחינת התחנה מול ה SSL VPN. ולמה צריך את הפתרונות של ה RELAY האלה ? ומה המשמעות שלהם ?
אני אשמח מאוד אם יש כאן מישהו שיוכל לענות לי על כל הספקות שלי.
בתודה רבה מראש.
*הקטע הרלוונטי מהמאמר:
Technology Overview
When supporting non-web applications over an SSL connection, the
SSL Wrapper causes the application traffic at the endpoint to be tunneled
through SSL to the SSL VPN gateway, that is, the e-Gap Internal Server.
The SSL VPN gateway decrypts the traffic and sends the payload to the
application server in the internal network. The Socket Forwarding
component add-on, which is based on Microsoft’s Layered Service
Provider (LSP) and Named Service Provider (NSP) technologies, can be
used to support a wider variety of applications, such as supporting
applications that jump ports, without needing to make on-the-fly changes
to the operating system.
Application traffic can be tunneled through SSL using one of the following
relay types:
• Simple relay: opens a port on the endpoint computer and tunnels the
TCP traffic to and from a specific port on the application server.
Using this type of relay, in order to communicate with the application
server, the application on the endpoint computer needs to communicate
through the locally opened port. The SSL Wrapper makes changes,
such as changes to the application settings, Registry, or hosts file, in
order for the application to communicate through this tunnel.
• HTTP Proxy and SOCKS Proxy relays: opens a port on the endpoint
computer. This port acts as either an HTTP or SOCKS proxy server,
and tunnels the HTTP or SOCKS traffic to and from the application
server. Using this type of relay, the application on the endpoint
computer can communicate through the locally opened port with
multiple servers and ports. The SSL Wrapper makes changes, such as
changes to the application settings, Registry, or hosts file, in order
for the application to communicate through this tunnel. This type of
relay enables the SSL VPN proxy to request more than one server,
thus enabling the support of dynamic ports.
• Transparent relay: automatically creates a relay between the
endpoint computer and the application server, for every application
on the client that wants to communicate with the internal network.
This type of relay is only supported by the Socket Forwarding
component, and does not require any changes on the endpoint computer.
• Network Connector: supports full connectivity over a virtual
transparent connection, and enables you to install, run, and manage
remote connections, as if they were part of the corporate network. For
details, refer to Chapter 7: “Network Connector”.
|
נושאים פעילים
רשימת משתמשים
חיפוש
עזרה
הרשמה
התחברות
UnderWarrior Forums : 
אבטחת מידע
