Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Beide Seiten der vorigen RevisionVorhergehende ÜberarbeitungNächste Überarbeitung | Vorhergehende ÜberarbeitungLetzte ÜberarbeitungBeide Seiten der Revision | ||
stunnel [2009/10/09 10:45] – bazi | stunnel [2011/12/02 14:41] – bush | ||
---|---|---|---|
Zeile 1: | Zeile 1: | ||
- | <note warning> | + | ====== stunnel ====== |
+ | stunnel (sprich: S-Tunnel) arbeitet als universaler SSL-Tunnel zwischen dem Windows-Client und dem Server und ermöglicht somit auf einfache Weise verschlüsselte Sitzungen auch bei Programmen, die nativ keine Verschlüsselungsmethode beherrschen, | ||
- | ====== Stunnel ====== | + | Für gesicherte Dialog- und FTP-Sitzungen |
- | STunnel (sprich: S-Tunnel) arbeitet als universaler SSL-Tunnel zwischen dem Win32-Client und dem Server und ermöglicht somit auf einfache Weise verschlüsselte | + | |
- | + | ||
- | Mit STunnel lassen sich Clients (z.B. Eudora oder Pegasus), die SSL nicht beherrschen, | + | |
- | + | ||
- | Somit kann dieses Programm unter Windows als angenehmere Alternative zu dem bisher propagierten | + | |
- | + | ||
- | < | + | |
- | Es ist grundsätzlich nicht möglich, eine FTP-Sitzung über STunnel zu betreiben. | + | |
- | Die grundlegenden Eigenschaften des FTP-Protokolls verhindern dies.</ | + | |
+ | \\ | ||
===== Download und Installation ===== | ===== Download und Installation ===== | ||
- | [{{: | + | Download der Installationsdatei **[[http://www.stunnel.org/? |
- | Nach einigen Hinweisen, | + | Speichern Sie die Datei und starten |
- | [{{:bilder-netzsicherheit: | + | {{bilder-netzsicherheit: |
- | \\ \\ \\ \\ \\ \\ \\ \\ \\ \\ \\ | + | |
- | Diese Option hat den Start eines DOS-Eingabefensters zur Folge. Das sieht etwa so aus: {{: | + | Zunächst werden Sie über die Lizenz-Situation aufgeklärt.\\ |
+ | Es handelt sich um freie Software, die unter GNU General Public License publiziert wird.\\ | ||
+ | Akzeptieren Sie die Lizenzbedinungen durch Klick auf "I Agree" | ||
- | Gelb markiert ist dabei der Teil, den Sie einzugeben haben. Hier müssen Sie natürlich den Beispieltext " | + | {{bilder-netzsicherheit: |
- | Dieses Programm (SETDOM.EXE) ist übrigens jederzeit über das Programm-Menü von STunnel | + | Nun stellt |
+ | Lassen Sie alle Häkchen stehen und klicken Sie auf " | ||
- | Nun können Sie einen der mitgelieferten Tunnels über das Startmenü aktivieren. | + | {{bilder-netzsicherheit: |
- | Eine Kennworteingabe ist bei SSL-Tunnels nicht erforderlich. \\ \\ | + | |
- | ===== Manueller Start ===== | + | Als nächste Eingabe verlangt |
- | Suchen Sie über das Startmenü | + | das dann zum Einsatz kommt, wenn diese stunnel-Installation |
- | Mit dem Programm " | + | |
- | {{:bilder-netzsicherheit: | + | Die Beispiel-Angaben sind farbig ausgelegt und schränken den Geltungsbereich von\\ |
+ | * grün (deutschlandweit) über | ||
+ | * gelb (Uni Freiburg) bis | ||
+ | * rot (der PC in Ihrer Einrichtung) | ||
+ | immer mehr ein. Tragen Sie hier die für Sie geltenden Werte sinngemäß ein. | ||
- | Wenn Sie den Tunnel immer manuell starten wollen, erstellen Sie eine Verknüpfung und legen sie auf den Desktop. \\ \\ | + | Vermeiden |
+ | Beachten Sie in diesem Zusammenhang den letzten Abschnitt in dieser Dokumentation! | ||
- | ===== Automatischer Start ===== | + | {{bilder-netzsicherheit: |
- | Falls Sie einen Tunnel automatisch starten lassen | + | |
- | Beim nächsten Neustart von Windows wird der gewählte SSL-Tunnel automatisch eingerichtet. \\ \\ | + | Nach der letzten Eingabe verschwindet das Kommandozeilen-Fenster wieder.\\ |
+ | Die Installation wird fortgeführt und beendet. Klicken Sie auf " | ||
+ | {{bilder-netzsicherheit: | ||
+ | Anschließend finden Sie das Programmsymbol auf Ihrer Arbeitsoberfläche. | ||
- | ===== Client-Konfiguration ===== | + | {{bilder-netzsicherheit: |
- | Bei Internet-Verbindungen werden sogenannte Ports zur Unterscheidung verschiedener Dienste zwischen zwei Kommunikationspartnern (Server und Client) verwendet. Auf diese Weise kann über ein und dieselbe Verbindung z.B. Mail und WWW gleichzeitig betrieben werden. Die Portnummern von Quelle und Ziel sind Attribute der Datenpakete (Bestandteil des TCP header) und weisen sie den entsprechenden Diensten über die Transport Service Access Points (TSAP) zu. | + | |
- | Portnummern können im Bereich von 0 bis 65535 liegen (216 Werte). | + | \\ |
- | Der Bereich unterhalb 256 ist reserviert (well known ports) und kann nicht frei für selbstdefinierte Dienste genutzt werden. Aber auch oberhalb dieser Schranke sind bereits viele Nummern zu Standards geworden, wie man in der folgenden Tabelle sehen kann. | + | ===== Programmkomponenten ===== |
- | + | ||
- | Beispiele für reservierte Portnummern: | + | |
- | Port Protokoll (Verwendungszweck) | + | |
- | 21 FTP (Dateitransfer) | + | |
- | 22 SSH (Verschlüsselte Terminalsitzung) | + | |
- | 23 Telnet (Internet Terminal) | + | |
- | 25 SMTP (Mail versenden) | + | |
- | 80 HTTP (World Wide Web) | + | |
- | 443 HTTPS: HTTP mit SSL | + | |
- | + | ||
- | Port Protokoll (Verwendungszweck) | + | |
- | 110 POP3 (Mail herunterladen) | + | |
- | 119 NNTP (Network News) | + | |
- | 143 IMAP (Mail lesen/ | + | |
- | 993 IMAP mit SSL | + | |
- | 995 POP3 mit SSL | + | |
- | Unter port forwarding versteht man das Weiterleiten (" | + | Suchen Sie über das Startmenü das installierte Programm auf.\\ |
+ | Sie finden dort eine Reihe von Einträgen vor, die im folgenden beschrieben werden. | ||
- | Zu diesem Zweck installiert STunnel einen lokalen TSAP (mit zugehöriger Portnummer) der über eine verschlüsselte Verbindung mit einem entfernten (remote) TSAP verknüpft wird. Der remote Port wird vom gewünschten Dienst (z.B. POP3) festgelegt, der lokale Port kann prinzipiell frei gewählt werden, sollte aus Gründen der Übersichtlichkeit aber normalerweise identisch mit dem remote Port sein. | + | {{: |
- | Dem Vorteil dieses Verfahrens | + | * Mit dem ersten Eintrag **" |
+ | * Der Eintrag **" | ||
+ | * Den Punkt **" | ||
+ | * Mit **"Run stunnel" | ||
+ | * Um stunnel als Service laufen zu lassen verwenden Sie die vier nächsten Einträge, die mit **" | ||
+ | * **" | ||
+ | * **" | ||
+ | * Mit dem letzten Eintrag " | ||
- | * Bevor ein Dienst auf diese Weise verschlüsselt werden kann, muß zum Zielrechner eine STunnel-Verbindung aufgebaut werden. | ||
- | * Der Zugang zu einem Dienst via STunnel muss mit dem Administrator des Servers vereinbart werden, da solche Zugänge nicht von vornherein eingerichtet sind bzw. nicht zum Standard gehören. | ||
- | In den folgenden Abbildung sehen Sie als Beispiele... | + | \\ |
+ | ===== Konfiguration ===== | ||
- | ...die Illustration einer unverschlüsselten POP3-Sitzung, | + | Bei Internet-Verbindungen werden **Ports** zur Unterscheidung der verschiedenen Server-Dienste verwendet. Auf diese Weise kann über ein und dieselbe Verbindung z.B. Mail und WWW gleichzeitig betrieben werden. Die Portnummern von Quelle und Ziel sind Attribute der Datenpakete (Bestandteil des TCP header). |
- | kein_tunnel.gif | + | |
- | ...die Illustration einer getunnelten POP3-Sitzung: | + | Portnummern können im Bereich von 0 bis 65535 liegen. Der Bereich unterhalb 1024 wird als "well known ports" bezeichnet und bestimmten Diensten zugeordnet. Auf einigen Systemen sind diese Portnummern für die Benutzer-Programmierung nicht frei gegeben. |
- | stunnel_forward.gif | + | |
+ | **Beispiele für reservierte Portnummern: | ||
+ | ^Port ^Protokoll (Verwendungszweck)^ | ||
+ | | 21 | FTP (Dateitransfer)| | ||
+ | | 22 | SSH (Verschlüsselte Terminalsitzung)| | ||
+ | | 23 | Telnet (Internet Terminal)| | ||
+ | | 25 | SMTP (Mail versenden)| | ||
+ | | 80 | HTTP (World Wide Web)| | ||
+ | | 443 | HTTPS: HTTP mit SSL| | ||
+ | | | | | ||
+ | | 110 | POP3 (Mail herunterladen)| | ||
+ | | 119 | NNTP (Network News)| | ||
+ | | 143 | IMAP (Mail lesen / Ordner verwalten)| | ||
+ | | 993 | IMAP mit SSL| | ||
+ | | 995 | POP3 mit SSL| | ||
- | Beispiel für den POP3-Zugang (E-Mail via Pegasus oder Eudora vor Version 5.1) | ||
- | Betrifft E-Mail: | + | Unter **port forwarding** versteht man das Weiterleiten (" |
- | Es wird nur das Protokoll | + | Zu diesem Zweck installiert man mit stunnel einen lokalen Transport Service Access Point (TSAP, mit zugehöriger Portnummer) der über eine verschlüsselte Verbindung mit einem entfernten (remote) TSAP verknüpft |
- | Das Protokoll zum Verschicken von Mails (SMTP) muss derzeit nicht verschlüsselt werden, da es sich dem Server | + | Dem Vorteil dieses Verfahrens |
- | Das Protokoll IMAP kann bei Netscape und Outlook Express / Outlook 98 mit der Verschlüsselungstechnik SSL kombiniert | + | * Bevor ein Dienst auf diese Weise verschlüsselt werden |
+ | * Der Zugang zu einem Dienst via stunnel muss mit dem Administrator des Servers vereinbart werden, da solche Zugänge nicht von vornherein eingerichtet sind bzw. nicht zum Standard gehören. | ||
- | Wenn Sie nun über eine verschlüsselte Strecke eine POP3-Sitzung aufbauen wollen, müssen Sie dem Mail-Client (z.B. Eudora oder Pegasus) als Zielrechner Ihren lokalen PC nennen. Der symbolische Name dafür ist localhost (=127.0.0.1). | + | **In den folgenden Abbildungen sehen Sie Beispiele für ...** |
- | Eudora teilen Sie das mit, indem Sie als Mail-Account login@localhost angeben. " | + | **...eine unverschlüsselten POP3-Sitzung** |
- | Bei Pegasus und anderen Mail-Clients geben Sie einfach localhost als Server für die eingehende Mail an. | + | |
- | Damit wird erreicht, daß der lokale Mail-Client unter Verwendung des Local Port an das lokale Ende des SSL-Tunnels gebunden wird. Dabei übernimmt die lokale Seite des SSL-Tunnels (der lokale TSAP) formal die Rolle des Servers. | + | {{:bilder-netzsicherheit: |
- | Auf der Gegenseite sorgt der SSL-Server des Hosts dafür, daß die getunnelte Sitzung an den zum Remote Port gehörenden Dienst (hier POP3) weitergereicht wird. | + | |
- | Das STunnel-Kommando im DOS-Fenster (oder in einer Batch-Datei): | + | **...eine Verbindung zwischen stunnel im client mode und einem SSL-fähigen Server** |
- | @echo off | + | |
- | REM pop3-Tunnel zu MEINEDOMAIN.uni-freiburg.de | + | |
- | REM Bedeutung der Argumente: | + | |
- | REM STunnel -c -r mailserver: | + | |
- | start /min STunnel -c -r MEINEDOMAIN.uni-freiburg.de: | + | |
- | exit | + | |
- | Der angegebene Text stammt aus dem Beispiel-Skript pop3.bat. | + | {{:bilder-netzsicherheit: |
+ | **...eine Verbindung zwischen stunnel im client mode und stunnel im server mode mit einem nicht-SSL-fähigen Server** | ||
- | Beispiel für die Konfiguration in Eudora: | + | {{:bilder-netzsicherheit: |
- | eudora_localhost.gif | + | |
- | Beispiel für die Konfiguration in Pegasus: | ||
- | pegasus_localhost.gif | ||
- | Übrigens: Pegasus hat ein Problem beim Verschicken von mails, wenn als pop3-Host localhost eingetragen ist; es hilft ein Update und/oder aktivieren | + | Die bei der Installation mitgelieferte Beispiel-Konfiguration ("Edit stunnel.conf" |
- | Unter Pegasus 3.1 für Win32 konnte | + | |
+ | Eine komplette Dokumentation findet man wie schon erwähnt bei den Programmkomponenten under " | ||
- | Grundsätzlich: | + | \\ |
- | Sie müssen immer vor dem Aufruf des Mail-Programmes einen SSL-Tunnel zum entsprechenden Zielrechner eröffnen. | + | ===== Sicherheit ===== |
+ | Wenn der Schutz durch Zertifikate zuverlässiger gestaltet werden soll, muss man wie folgt vorgehen: | ||
- | Ein konkretes Beispiel aus der Praxis: | + | * **Server-Mode**\\ Es wird ein Zertifikat verschickt, das von einer allgemein anerkannten Zertifizierungsstelle beglaubigt wird. An der Uni Freiburg kann man sich diesbezüglich an die **[[http:// |
+ | * **Client-Mode**\\ Zur Überprüfung der von einem Server ausgelieferten Zertifikate muss mit dem Parameter **CAfile** die Datei festgelegt werden, die die gesamte Zertifikatskette bis herunter zur ausstellenden Instanz (in Freiburg die Uni FR CA) enthält.\\ \\ | ||
+ | * **Rückruflisten**\\ Um ein übriges zu tun, kann man mit einer zeitgesteuerten Task regelmäßig (und pünktlich!) die sog. Revocation Lists herunterladen und den Pfad dazu im Parameter **CRLfile** angeben. Die Rückruflisten enthalten die Zertifikate, | ||
- | Problem: Eine hochschulnahe Einrichtung kommt via ISDN und unseren PPP-Knoten ins Internet. Als einzigen passwortgeschützten Dienst nutzt man den POP3-Server mit Eudora unter Windows 95 und will auch nach Möglichkeit nicht davon abgehen. Durch die Schließung der unverschlüsselten Zugänge ist der Mailserver nicht mehr erreichbar. | ||
- | Lösung: Installation des STunnel-Programmes. | + | Wiki-Seiten zu den Zertifikaten finden Sie hier: |
- | Um der Angestellten | + | **[[tag:zertifikate|Zertifikate |
- | + | ||
- | @echo off | + | |
- | REM POP3-Tunnel zu biologie.uni-freiburg.de | + | |
- | rundll32 rnaui.dll, | + | |
- | start /min STunnel -c -r biologie.uni-freiburg.de:995 -d 110 | + | |
- | start c: | + | |
- | exit | + | |
- | + | ||
- | + | ||
- | Anmerkung 1: | + | |
- | Das oben angegebene Beispiel gilt für Windows 9x. | + | |
- | Hier wird die DFÜ-Verbindung hergestellt. Dazu musste das Icon im Ordner Arbeitsplatz/ | + | |
- | Falls der Wählvorgang vom Start des STunnel-Programmes überholt wird, sollte nach dem rundll-Kommando eine Zwangspause eingefügt werden. | + | |
- | Unter Windows NT setzen Sie stattdessen rasphone -d fun ein (' | + | |
- | + | ||
- | Anmerkung 2: | + | |
- | In dieser Zeile startet Eudora. Hier kann auch der Start einer anderen Internetanwendung stehen. | + | |
- | + | ||
- | + | ||
- | STunnel beenden | + | |
- | + | ||
- | + | ||
- | systray.gifUm einen STunnel zu beenden (" | + | |
- | + | ||
- | + | ||
- | Anmerkungen zu Windows NT und Windows 2000 | + | |
- | + | ||
- | Wenn Sie vorhaben, STunnel unabhängig von der Anmeldung eines Benutzers im Hintergrund als Service zu starten, hilft Ihnen der folgende Tip: | + | |
- | neuen Link Setzen: | + | |
- | + | ||
- | Starten eines beliebigen Programmes als Service unter Windows NT, 2000 und XP | + | |
- | + | ||
- | Programme, die nicht für den Service-Betrieb geschrieben sind (dazu gehört auch STunnel), können mit Hilfe und sozusagen "unter den Fittichen" | + | |
- | + | ||
- | Alles, was Sie an Information für die Anwendung des obigen Tips benötigen, sind die Aufruf-Parameter für STunnel: | + | |
- | Zugang zum Server: Protokoll Parameter für STunnel | + | |
- | MEINEDOMAIN.uni-freiburg.de POP3 -c -r MEINEDOMAIN.uni-freiburg.de: | + | |
- | MEINEDOMAIN.uni-freiburg.de IMAP -c -r MEINEDOMAIN.uni-freiburg.de: | + | |
- | + | ||
- | + | ||
- | + | ||
- | Wie oben schon erwähnt, können Sie mit dem mitgelieferten Programm domain.exe die BAT-Dateien anpassen. | + | |
- | + | ||
- | + | ||
- | ---- | + | |
- | Letzte inhaltliche Änderung: 21.10.2008 (B. Bußhardt) | + | |
- | {{tag> | + | \\ |
+ | \\ | ||
+ | {{tag> |