DESS IIR Tunneling des flux réseaux dans des environnements de type « HTTP-only » Application SocksViaHTTP
DESS IIR 2 Motivations sLe tunneling est un sujet qui a été abordé de nombreuses fois en OSI/IP sMais: vision synthétique de cette solution technique Quels sont les problèmes liés à une véritable implémentation sVision essentiellement axée sur les couches bases Choix dun type de tunneling à un niveau plus applicatif: HTTP
DESS IIR 3 Plan sIntroduction sCommunication avec Proxy HTTP – Firewall sCommunication avec SOCKS via HTTP sPortion client et interface SOCKS sPortion client et « tunneling direct » sPortion serveur : concepts sPortion serveur : technologie sRemarques sDémonstration sConclusion sQuestions
DESS IIR 4 Introduction sAvec le développement de l'Internet, et des liaisons à connexions permanentes, de plus en plus de particuliers ou dentreprises cherchent à partager leur accès au réseau mondial. sSolutions: NAT (Network Address Translation) et Proxy –NAT: indépendant du protocole, transparent –Proxy : dépendant du protocole, interprète les données Critères décisifs de lentreprise : sécurité et bande passante optimale
DESS IIR 5 Communication avec Proxy HTTP – Firewall sCette architecture : –nautorise que des requêtes HTTP –Interdit lutilisation des services comme le telnet ou le FTP
DESS IIR 6 Communication avec SOCKS via HTTP sEncapsulation des données dans un tunnel HTTP –Implique lexistence dune machine de relais. –Et dun système dinterconnexion entre portion cliente et application cliente.
DESS IIR 7 SOCKS via HTTP – Portion client sInterface grâce à lutilisation dun serveur SOCKS –Trois versions supportées SOCKSv4, SOCKSv4.A, SOCKSv5. –Système dinterconnexion entre portion client et application client
DESS IIR 8 SOCKS via HTTP – Portion client sInterface grâce au « tunneling direct » –Pour les applications non compatibles avec SOCKS. –Utilisable que pour des applications avec des numéros de ports statiques.
DESS IIR 9 SOCKS via HTTP – Portion serveur sLa portion serveur est responsable des connexions avec lapplication serveur sNécessité de maintenir un contexte pour chaque connexion dont elle a la responsabilité sCommunication entre les portions client et serveur matérialisée par lenvoi et la réception de messages HTTP contenant une classe JAVA sérialisée.
DESS IIR 10 SOCKS via HTTP – Portion serveur sTechnologie Servlet –La spécification Servlet définit un modèle de composants côté serveur qui peut être implémenté par les fournisseurs de serveurs Web. Les servlets offrent une API simple mais puissante pour générer dynamiquement des pages Web sjHTTPServer –Constitué dun moteur HTTP il assure lexécution de Servlets. Intégré à SocksViaHTTP il permet de mettre en place facilement la portion serveur
DESS IIR 11 Remarques sSocksCap pour Windows –Il intercepte de manière transparente les appels à lAPI WinSock –permet de remplacer le mode « tunneling direct » sSSL/TLS –Côté application serveur certains certificats peuvent être générés en tenant compte de lIP publique de la connexion entrante –Cas de blocage côté client –Solution: utiliser un wrapper SSL comme TLSWRAP pour le FTPS
DESS IIR 12 Démonstration
DESS IIR 13 En pratique: sous Windows NomProtocoles testésModeRemarques FlashFXPFTP, FTPSSocks Totalement fonctionnel, modes SOCKSv4 ou SOCKSv5 CuteFTPFTP, FTPSSocks Idem mis à part la résolution des noms. CuteFTP ne fait aucune requête de résolution SecureCRTTELNET, SSHSocksTotalement fonctionnel TelnetTELNETTunnel directTotalement fonctionnel Outlook ExpressPOP3SocksTotalement fonctionnel OutlookPOP3, IMAPTunnel directTotalement fonctionnel Internet ExplorerHTTPTunnel directTotalement fonctionnel VncViewerVNCTunnel directTotalement fonctionnel mIRCIRCSocks Totalement fonctionnel. Support du SOCKSv4, SOCKSv4.A et SOCKSv5.0 ICQ Socks Ne fonctionne que en SOCKSv4.0. Les requêtes SOCKS v5.0 ne sont pas valides
DESS IIR 14 En pratique: sous Unix NomProtocoles testésModeRemarques lFTPFTP, FTPSSocksTotalement fonctionnel IglooFTPFTPSocksTotalement fonctionnel TelnetTELNETTunnel directTotalement fonctionnel MozillaHTTPSocksTotalement fonctionnel VncViewerVNCTunnel directTotalement fonctionnel SircIRCSocks Totalement fonctionnel, Support du SOCKSv4.0 et SOCKSv4.A
DESS IIR 15 Conclusion sLe tunneling HTTP est un moyen particulièrement efficace pour permettre lutilisation de services utiles dans des environnements très restrictifs munis de Proxy HTTP et de firewalls. sLe problème de la sécurité –SOCKSViaHTTP ne permet que des « connexions clientes » sEnrichissement personnel –Technologies de tunneling et dencapsulation –Critères de sécurité dans les architectures réseaux daujourdhui
DESS IIR 16 Questions ?