SSL Tunneling vs. Load Balancer
Posted: 2010-03-08 14:20
Hallo,
ich benötige einmal einen Rat von den Hardwarespezialisten in Bezug auf TLS / SSL Verschlüsselung.
Ziel ist es eine Verbindung zwischen Clientapplikation und Server zu verschlüsseln. Client und Server kommunizieren über TCP, benutzen jedoch nicht das HTTP(S) Protokoll, sondern ein proprietäres Protokoll, welches von Haus aus nicht für verschlüsselte Verbindungen konzipiert ist.
Zum Testen, ob eine Verschlüsselung überhaupt möglich ist, haben wir mit dem SSL Wrapper Stunnel gearbeitet. Serverseitig wurde eine Stunnel Server eingerichtet, auf Clientseite ein Stunnel Client.
Die Verbindung über das Netzwerk konnte nachweislich verschlüsselt werden und dabei problemlos mit dem eigenen Protokoll gearbeitet werden.
Dies entspricht auch meinem "Weltbild", da SSL ja eigentlich auf dem Transport Layer des TCP/IP Protokollstacks abgewickelt wird und somit unabhängig von der Anwendung im Application Layer ist.
Im nächsten Schritt haben wir nun versucht, die Serverseite von Stunnel durch die in einem Loadbalancer integrierte SSL Serverfunktion zu ersetzen. Dieser Versuch schlug jedoch mit dem Fehler "SSL_accept: 140760FC: error:140760FC:SSL routines:SSL23_GET_CLIENT_HELLO:unknown protocol" fehl.
Nun meine Frage: Arbeiten Loadbalancer als Endpunkt für eine SSL Verbindung in der Regel auf einer höheren Schicht als der Transportschicht? Sind diese also in der Regel protokollabhängig?
Vielen Dank
Philipp
ich benötige einmal einen Rat von den Hardwarespezialisten in Bezug auf TLS / SSL Verschlüsselung.
Ziel ist es eine Verbindung zwischen Clientapplikation und Server zu verschlüsseln. Client und Server kommunizieren über TCP, benutzen jedoch nicht das HTTP(S) Protokoll, sondern ein proprietäres Protokoll, welches von Haus aus nicht für verschlüsselte Verbindungen konzipiert ist.
Zum Testen, ob eine Verschlüsselung überhaupt möglich ist, haben wir mit dem SSL Wrapper Stunnel gearbeitet. Serverseitig wurde eine Stunnel Server eingerichtet, auf Clientseite ein Stunnel Client.
Die Verbindung über das Netzwerk konnte nachweislich verschlüsselt werden und dabei problemlos mit dem eigenen Protokoll gearbeitet werden.
Dies entspricht auch meinem "Weltbild", da SSL ja eigentlich auf dem Transport Layer des TCP/IP Protokollstacks abgewickelt wird und somit unabhängig von der Anwendung im Application Layer ist.
Im nächsten Schritt haben wir nun versucht, die Serverseite von Stunnel durch die in einem Loadbalancer integrierte SSL Serverfunktion zu ersetzen. Dieser Versuch schlug jedoch mit dem Fehler "SSL_accept: 140760FC: error:140760FC:SSL routines:SSL23_GET_CLIENT_HELLO:unknown protocol" fehl.
Nun meine Frage: Arbeiten Loadbalancer als Endpunkt für eine SSL Verbindung in der Regel auf einer höheren Schicht als der Transportschicht? Sind diese also in der Regel protokollabhängig?
Vielen Dank
Philipp