Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Beide Seiten der vorigen RevisionVorhergehende ÜberarbeitungNächste Überarbeitung | Vorhergehende Überarbeitung | ||
stunnel [2011/11/29 11:44] – Installation auf neuen Stand gebracht bush | stunnel [2011/12/02 14:46] (aktuell) – bush | ||
---|---|---|---|
Zeile 1: | Zeile 1: | ||
- | ====== | + | ====== |
- | STunnel | + | stunnel |
- | Somit kann dieses Programm unter Windows als angenehmere Alternative zu dem bisher propagierten SSH mit "port forwarding" | + | Für gesicherte |
- | + | ||
- | < | + | |
- | Es ist grundsätzlich nicht möglich, eine FTP-Sitzung über STunnel zu betreiben. | + | |
- | Die grundlegenden Eigenschaften des FTP-Protokolls verhindern dies.</ | + | |
+ | \\ | ||
===== Download und Installation ===== | ===== Download und Installation ===== | ||
Download der Installationsdatei **[[http:// | Download der Installationsdatei **[[http:// | ||
Zeile 34: | Zeile 31: | ||
* rot (der PC in Ihrer Einrichtung) | * rot (der PC in Ihrer Einrichtung) | ||
immer mehr ein. Tragen Sie hier die für Sie geltenden Werte sinngemäß ein. | immer mehr ein. Tragen Sie hier die für Sie geltenden Werte sinngemäß ein. | ||
+ | |||
+ | Vermeiden Sie auf jeden Fall nationale Sonderzeichen (z.B. Umlaute).\\ | ||
+ | Beachten Sie in diesem Zusammenhang den letzten Abschnitt in dieser Dokumentation! | ||
{{bilder-netzsicherheit: | {{bilder-netzsicherheit: | ||
Zeile 46: | Zeile 46: | ||
{{bilder-netzsicherheit: | {{bilder-netzsicherheit: | ||
- | \\ | ||
- | <note important> | + | \\ |
- | Der nachfolgende Text befindet sich noch in der Umbauphase.\\ | + | ===== Programmkomponenten |
- | Er bezieht sich nicht auf die oben beschriebene Version von stunnel.</ | + | |
- | + | ||
- | ===== Manueller Start ===== | + | |
Suchen Sie über das Startmenü das installierte Programm auf.\\ | Suchen Sie über das Startmenü das installierte Programm auf.\\ | ||
Zeile 59: | Zeile 55: | ||
{{: | {{: | ||
+ | * Mit dem ersten Eintrag **" | ||
+ | * Der Eintrag **" | ||
+ | * Den Punkt **" | ||
+ | * Mit **"Run stunnel" | ||
+ | * Um stunnel als Service laufen zu lassen verwenden Sie die vier nächsten Einträge, die mit **" | ||
+ | * **" | ||
+ | * **" | ||
+ | * Mit dem letzten Eintrag " | ||
- | ===== Automatischer Start ===== | ||
- | Falls Sie einen Tunnel automatisch starten lassen | ||
- | Beim nächsten Neustart von Windows wird der gewählte SSL-Tunnel automatisch eingerichtet. \\ \\ | + | \\ |
+ | ===== Konfiguration ===== | ||
+ | Bei Internet-Verbindungen werden **Ports** zur Unterscheidung der verschiedenen Server-Dienste verwendet. Auf diese Weise kann über ein und dieselbe Verbindung z.B. Mail und WWW gleichzeitig betrieben werden. Die Portnummern von Quelle und Ziel sind Attribute der Datenpakete (Bestandteil des TCP header). | ||
- | ===== Client-Konfiguration ===== | + | Portnummern können im Bereich von 0 bis 65535 liegen. Der Bereich unterhalb |
- | Bei Internet-Verbindungen werden sogenannte **Ports** zur Unterscheidung verschiedener Dienste zwischen zwei Kommunikationspartnern (Server und Client) verwendet. Auf diese Weise kann über ein und dieselbe Verbindung z.B. Mail und WWW gleichzeitig betrieben werden. Die Portnummern von Quelle und Ziel sind Attribute der Datenpakete (Bestandteil des TCP header) und weisen sie den entsprechenden Diensten über die Transport Service Access Points (TSAP) zu.\\ \\ | + | |
- | + | ||
- | Portnummern können im Bereich von 0 bis 65535 liegen. | + | |
- | Der Bereich unterhalb | + | |
**Beispiele für reservierte Portnummern: | **Beispiele für reservierte Portnummern: | ||
Zeile 87: | Zeile 87: | ||
| 993 | IMAP mit SSL| | | 993 | IMAP mit SSL| | ||
| 995 | POP3 mit SSL| | | 995 | POP3 mit SSL| | ||
- | \\ \\ | ||
- | Unter **port forwarding** versteht man das Weiterleiten (" | ||
- | Zu diesem Zweck installiert | + | Unter **port forwarding** versteht man das Weiterleiten (" |
+ | |||
+ | Zu diesem Zweck installiert | ||
Dem Vorteil dieses Verfahrens (verschlüsselte Verbindung) stehen allerdings folgende Nachteile gegenüber: | Dem Vorteil dieses Verfahrens (verschlüsselte Verbindung) stehen allerdings folgende Nachteile gegenüber: | ||
- | * Bevor ein Dienst auf diese Weise verschlüsselt werden kann, muß zum Zielrechner eine STunnel-Verbindung aufgebaut werden. | + | * Bevor ein Dienst auf diese Weise verschlüsselt werden kann, muß zum Zielrechner eine stunnel-Verbindung aufgebaut werden. |
- | * Der Zugang zu einem Dienst via STunnel | + | * Der Zugang zu einem Dienst via stunnel |
- | **In den folgenden | + | **In den folgenden |
- | {{: | + | **...eine unverschlüsselten POP3-Sitzung** |
- | **...die Illustration einer getunnelten POP3-Sitzung:** | + | {{:bilder-netzsicherheit:stunnel: |
- | {{: | + | **...eine Verbindung zwischen |
- | + | {{: | |
- | + | ||
+ | **...eine Verbindung zwischen stunnel im client mode und stunnel im server mode mit einem nicht-SSL-fähigen Server** | ||
+ | {{: | ||
+ | |||
+ | |||
+ | Die bei der Installation mitgelieferte Beispiel-Konfiguration ("Edit stunnel.conf" | ||
+ | |||
+ | Eine komplette Dokumentation findet man wie schon erwähnt bei den Programmkomponenten under " | ||
+ | |||
+ | \\ | ||
+ | ===== Sicherheit ===== | ||
+ | |||
+ | |||
+ | Wenn der Schutz durch Zertifikate zuverlässiger gestaltet werden soll, muss man wie folgt vorgehen: | ||
+ | |||
+ | * **Server-Mode**\\ Es wird ein Zertifikat verschickt, das von einer allgemein anerkannten Zertifizierungsstelle beglaubigt wird. An der Uni Freiburg kann man sich diesbezüglich an die **[[http:// | ||
+ | * **Client-Mode**\\ Zur Überprüfung der von einem Server ausgelieferten Zertifikate muss mit dem Parameter **CAfile** die Datei festgelegt werden, die die gesamte Zertifikatskette bis herunter zur ausstellenden Instanz (in Freiburg die Uni FR CA) enthält.\\ \\ | ||
+ | * **Rückruflisten**\\ Um ein übriges zu tun, kann man mit einer zeitgesteuerten Task regelmäßig (und pünktlich!) die sog. Revocation Lists herunterladen und den Pfad dazu im Parameter **CRLfile** angeben. Die Rückruflisten enthalten die Zertifikate, | ||
+ | |||
+ | Mit dem Parameter **verify** legen Sie fest, wie stringent stunnel mit den Zertifikaten umzugehen hat. | ||
+ | |||
+ | Wiki-Seiten zu den Zertifikaten finden Sie hier: | ||
+ | **[[tag: | ||
+ | |||
+ | |||
+ | \\ | ||
+ | \\ | ||
{{tag> | {{tag> |