Discussion :

[ikuzar]

Bonjour,
Je dois développer une petite application sécurisée client/serveur en TCP utilisant OpenSSL. j'aimerais établir une connexion entre une machine A et une machine B. Entre A et B, il y a un serveur R qui fait le relais :

A -> R -> B

Mes questions :

1) Dans le cas de figure où l'on ne considère pas la partie sécurisée :
La machine A contacte la machine B. j'installe donc la partie client sur A et la partie serveur sur B. Est ce que je dois coder / installer quelques chose sur le serveur R qui est au milieu, ou bien tout est transparent pour moi en ce qui concerne R ?

2) Dans la version sécurisée :
Je suis obligé de lancer la partie ssl_serveur sur R car je veux authentifier R en vérifiant son certificat. sur A je lance la partie ssl_client car je veux aussi l'authentifier vis à vis de R. Mais R à son tour dois communiquer avec B ( parce qu'au final je veux une comm sécurisée entre A et B ). Je dois installer donc la partie ssl_serveur sur R.
Mes questions : Comment et à quel moment dire à R d'ouvrir une socket pour établir une comm sécuriser avec B ??

Merci d'avance pour votre aide.

[ram-0000]

Est ce que je dois coder / installer quelques chose sur le serveur R qui est au milieu, ou bien tout est transparent pour moi en ce qui concerne R ?

Ha non, rien n'est transparent au contraire sur R.
Tu dois, dans le meilleur des cas installer ton relais et sinon, développer ton relais et l'installer. Tout dépend du protocole que tu veux transporter.

Typiquement, si c'est du HTTP ou du FTP, tu n'auras pas grand chose à faire car il existe des logiciels relais tout fait. Squid par exemple est un relais HTTP et FTP (entres autres car il fait beaucoup d'autres choses).

Si ton protocole est un protocole propriétaire ou un protocole exotique ou encore un protocole pour lequel aucun relais n'existe, tout est à faire au niveau développement.

Je suis obligé de lancer la partie ssl_serveur sur R car je veux authentifier R en vérifiant son certificat. sur A je lance la partie ssl_client car je veux aussi l'authentifier vis à vis de R. Mais R à son tour dois communiquer avec B ( parce qu'au final je veux une comm sécurisée entre A et B ). Je dois installer donc la partie ssl_serveur sur R.

Conceptuellement, cela me parait bizarre. Quand je fais du HTTPS au travers du proxy de mon boulot, le site que je veux authentifier, c'est le site distant (ma banque), pas le relais du boulot.
Dans le schéma que tu décris, la communication n'est pas vraiment sécurisée (ou plutôt, il y a des faiblesses dans la sécurité) car les 2 extrémités ne se sont pas mutuellement ou partiellement authentifiées. De plus, le canal sécurisé de bout en bout est cassé par le relais (le relais déchiffre un côté pour le rechiffre pour l'autre et inversement) et donc ton relais devient un point stratégique et névralgique sur lequel on peut placer un espion pour analyser le contenu du tuyau soit disant sécurisé.

Comment et à quel moment dire à R d'ouvrir une socket pour établir une comm sécuriser avec B ??

C'est justement le rôle du logiciel du relais, il sait que lorsqu'il reçoit une connexion de A, il doit ouvrir une connexion vers B.[/QUOTE]