Разделение клиентов по шифрованию

Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Error

Разделение клиентов по шифрованию - Возможность разделить клиентов исходя из их шифрования

Опции

Предыдущая тема Следующая тема

Yakov-Mishin		#1 Оставлено : 29 августа 2022 г. 18:29:49(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 29.08.2022(UTC) Сообщений: 3 Сказал(а) «Спасибо»: 1 раз		Добрый день! Не смог найти в документации, но интересно следующее: есть n-gate с белым адресом и доменным именем, например exapmle.ru, за ним сервер, в который происходит проброс. Есть клиент А, у которого есть браузер и прочее оборудования, которое поддерживает ГОСТ-овое шивроание. Есть клиент Б, у которого обычный хром. Клиент А обращаясь к example.ru реализует ГОСТ-овое соединение, клиент Б RSA-шное. Есть необходимость разделять эти потоки за n-gate, то есть клиенту А мы на ресурсе даем полную картину, а клиенту Б только половину. На железках за n-gate мы можем раскидывать юзеров сами, вопрос возможности именно силами n-gate разделить запросы к одному и тому же ресурсу. Как вариант - клиент А на выходе получает один source ip, клиент Б другой. С этими данными, железки за n-gate разрулят трафик так, как требуется. Но может ли n-gate разделить трафик на основании типов шифрования запросов к нему?


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»


	Wanna join the discussion?! Login to your Форум КриптоПро forum account, or Register a new forum account.

Андрей Куликов		#2 Оставлено : 30 августа 2022 г. 23:07:59(UTC)
Статус: Сотрудник Группы: Участники Зарегистрирован: 17.10.2010(UTC) Сообщений: 128 Откуда: КРИПТО-ПРО Сказал «Спасибо»: 2 раз Поблагодарили: 9 раз в 8 постах		Добрый день! Похоже, так как вы описали - работает наш тестовый стенд https://ng-test.cryptopro.ru/ При заходе разными браузерами (с поддержкой ГОСТ-TLS или без таковой) пользователю будет досупен разный набор ресурсов. Проверте пожалуйста на нём, то ли это что вам нужно?

1 пользователь поблагодарил Андрей Куликов за этот пост.		Yakov-Mishin оставлено 31.08.2022(UTC)
Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Yakov-Mishin		#3 Оставлено : 31 августа 2022 г. 11:53:03(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 29.08.2022(UTC) Сообщений: 3 Сказал(а) «Спасибо»: 1 раз		Автор: Андрей Куликов Добрый день! Похоже, так как вы описали - работает наш тестовый стенд https://ng-test.cryptopro.ru/ При заходе разными браузерами (с поддержкой ГОСТ-TLS или без таковой) пользователю будет досупен разный набор ресурсов. Проверте пожалуйста на нём, то ли это что вам нужно? Спасибо, да, примерно так и требуется. Но это требуется делать в прозрачном режиме. Есть такая возможность? Можете поделиться конкретными примерами настройки для реализации одного из этих способов, так как в мануалах не нашел.


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Андрей Куликов		#4 Оставлено : 31 августа 2022 г. 15:29:28(UTC)
Статус: Сотрудник Группы: Участники Зарегистрирован: 17.10.2010(UTC) Сообщений: 128 Откуда: КРИПТО-ПРО Сказал «Спасибо»: 2 раз Поблагодарили: 9 раз в 8 постах		Уточните пожалуйста, что значит "в прозрачном режиме" в данном случае? Без аутентификации? Если да - то тогда так можно сделать только на самом защищаемом ресурсе. NGate может передавать данные о использованном клиенте алгоритме подключения в HTTP-заголовках. А защищаемый ресурс сможет перенаправлять пользователя на конкретные страницы в зависимости от этой информации.


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Yakov-Mishin		#5 Оставлено : 31 августа 2022 г. 15:45:15(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 29.08.2022(UTC) Сообщений: 3 Сказал(а) «Спасибо»: 1 раз		Автор: Андрей Куликов Уточните пожалуйста, что значит "в прозрачном режиме" в данном случае? Без аутентификации? Если да - то тогда так можно сделать только на самом защищаемом ресурсе. NGate может передавать данные о использованном клиенте алгоритме подключения в HTTP-заголовках. А защищаемый ресурс сможет перенаправлять пользователя на конкретные страницы в зависимости от этой информации. Без аутентификации и без отображения того, какие ресурсы доступны (если смотреть на примере ng-test, где отображаются три или один вариант в зависимости от шифрования). С защищаемым ресурсом понял, как реализовать передачу информации об алгоритмах в заголовках? Это в nginx-е делать?


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Андрей Куликов		#6 Оставлено : 31 августа 2022 г. 21:02:56(UTC)
Статус: Сотрудник Группы: Участники Зарегистрирован: 17.10.2010(UTC) Сообщений: 128 Откуда: КРИПТО-ПРО Сказал «Спасибо»: 2 раз Поблагодарили: 9 раз в 8 постах		Автор: Yakov-Mishin как реализовать передачу информации об алгоритмах в заголовках? Это в nginx-е делать? Все настройки NGate делаются через Web-интерфейс. Воспользуйтесь динамическими заголовками: https://cpdn.cryptopro.r...k-dynamic-headerset.html Вам нужен заголовок X Client Cipher Если он содержит одно из следующих значений, значит клиент пришел с ГОСТом: Цитата: "TLS_GOSTR341001_WITH_28147_CNT_IMIT", "TLS_GOSTR341112_256_WITH_28147_CNT_IMIT", "TLS_GOSTR341112_256_WITH_KUZNYECHIK_CTR_OMAC", "TLS_GOSTR341112_256_WITH_MAGMA_CTR_OMAC", "TLS_GOSTR341112_256_WITH_28147_CNT_IMIT_IANA"


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

RSS Лента

Atom Лента

Пользователи, просматривающие эту тему
Guest

Быстрый переход

Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.

Important Information: The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies. More Details Close