Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Beide Seiten der vorigen RevisionVorhergehende ÜberarbeitungNächste Überarbeitung | Vorhergehende ÜberarbeitungLetzte ÜberarbeitungBeide Seiten der Revision | ||
stunnel [2009/10/09 11:39] – bazi | stunnel [2011/12/02 14:41] – bush | ||
---|---|---|---|
Zeile 1: | Zeile 1: | ||
- | <note warning> | + | ====== stunnel ====== |
+ | stunnel (sprich: S-Tunnel) arbeitet als universaler SSL-Tunnel zwischen dem Windows-Client und dem Server und ermöglicht somit auf einfache Weise verschlüsselte Sitzungen auch bei Programmen, die nativ keine Verschlüsselungsmethode beherrschen, | ||
- | ====== STunnel ====== | + | Für gesicherte Dialog- und FTP-Sitzungen empfehlen wir das freie Produkt **[[ssh|SSH |
- | STunnel (sprich: S-Tunnel) arbeitet als universaler SSL-Tunnel zwischen dem Win32-Client und dem Server und ermöglicht somit auf einfache Weise verschlüsselte Sitzungen auch bei Programmen, die nativ keine Verschlüsselungsmethode beherrschen. | + | |
- | Mit STunnel lassen sich Clients (z.B. Eudora oder Pegasus), die SSL nicht beherrschen, | + | \\ |
+ | ===== Download und Installation ===== | ||
+ | Download der Installationsdatei **[[http:// | ||
- | Somit kann dieses Programm unter Windows als angenehmere Alternative zu dem bisher propagierten SSH mit "port forwarding" | + | Speichern Sie die Datei und starten Sie die Installation durch Doppelklick auf die herunter geladene Datei. |
- | < | + | {{bilder-netzsicherheit:stunnel: |
- | Es ist grundsätzlich nicht möglich, eine FTP-Sitzung über STunnel zu betreiben. | + | |
- | Die grundlegenden Eigenschaften des FTP-Protokolls verhindern dies.</ | + | |
- | ===== Download und Installation ===== | + | Zunächst werden Sie über die Lizenz-Situation aufgeklärt.\\ |
- | [{{:bilder-netzsicherheit: | + | Es handelt sich um freie Software, die unter GNU General Public License publiziert wird.\\ |
+ | Akzeptieren | ||
- | Nach einigen Hinweisen, die Sie mit " | + | {{bilder-netzsicherheit:stunnel: |
- | [{{: | + | Nun stellt das Programm |
- | \\ \\ \\ \\ \\ \\ \\ \\ \\ \\ \\ | + | Lassen |
- | Diese Option hat den Start eines DOS-Eingabefensters zur Folge. Das sieht etwa so aus: {{:bilder-netzsicherheit: | + | {{bilder-netzsicherheit: |
- | Gelb markiert ist dabei der Teil, den Sie einzugeben haben. Hier müssen Sie natürlich den Beispieltext " | + | Als nächste Eingabe verlangt |
+ | das dann zum Einsatz kommt, wenn diese stunnel-Installation auch als Server eingesetzt wird. | ||
- | Dieses Programm | + | Die Beispiel-Angaben sind farbig ausgelegt und schränken den Geltungsbereich von\\ |
+ | * grün (deutschlandweit) über | ||
+ | * gelb (Uni Freiburg) bis | ||
+ | * rot (der PC in Ihrer Einrichtung) | ||
+ | immer mehr ein. Tragen Sie hier die für Sie geltenden Werte sinngemäß ein. | ||
- | Nun können | + | Vermeiden |
- | Eine Kennworteingabe ist bei SSL-Tunnels nicht erforderlich. \\ \\ | + | Beachten Sie in diesem Zusammenhang den letzten Abschnitt in dieser Dokumentation! |
- | ===== Manueller Start ===== | + | {{bilder-netzsicherheit: |
- | Suchen Sie über das Startmenü das installierte Programm auf. Sie finden dort die als Beispiele beigefügen bzw. von Ihnen bei der Installation bereits angepassten Tunnel-Scripts vor (es handelt sich um Verweise auf .BAT-Dateien). | + | |
- | Mit dem Programm " | + | |
- | {{:bilder-netzsicherheit: | + | Nach der letzten Eingabe verschwindet das Kommandozeilen-Fenster wieder.\\ |
+ | Die Installation wird fortgeführt und beendet. Klicken Sie auf " | ||
- | Wenn Sie den Tunnel immer manuell starten wollen, erstellen Sie eine Verknüpfung und legen sie auf den Desktop. \\ \\ | + | {{bilder-netzsicherheit: |
- | ===== Automatischer Start ===== | + | Anschließend finden |
- | Falls Sie einen Tunnel automatisch starten lassen | + | |
- | Beim nächsten Neustart von Windows wird der gewählte SSL-Tunnel automatisch eingerichtet. \\ \\ | + | {{bilder-netzsicherheit: |
- | ===== Client-Konfiguration | + | \\ |
- | Bei Internet-Verbindungen werden sogenannte **Ports** zur Unterscheidung verschiedener Dienste zwischen zwei Kommunikationspartnern (Server und Client) verwendet. Auf diese Weise kann über ein und dieselbe Verbindung z.B. Mail und WWW gleichzeitig betrieben werden. Die Portnummern von Quelle und Ziel sind Attribute der Datenpakete (Bestandteil des TCP header) und weisen sie den entsprechenden Diensten über die Transport Service Access Points (TSAP) zu.\\ \\ | + | ===== Programmkomponenten |
- | Portnummern können im Bereich von 0 bis 65535 liegen. | + | Suchen Sie über das Startmenü das installierte Programm auf.\\ |
- | Der Bereich unterhalb | + | Sie finden dort eine Reihe von Einträgen vor, die im folgenden beschrieben werden. |
+ | |||
+ | {{: | ||
+ | |||
+ | * Mit dem ersten Eintrag **" | ||
+ | * Der Eintrag **" | ||
+ | * Den Punkt **" | ||
+ | * Mit **"Run stunnel" | ||
+ | * Um stunnel als Service laufen zu lassen verwenden Sie die vier nächsten Einträge, die mit **" | ||
+ | * **" | ||
+ | * **" | ||
+ | * Mit dem letzten Eintrag " | ||
+ | |||
+ | |||
+ | \\ | ||
+ | ===== Konfiguration ===== | ||
+ | |||
+ | Bei Internet-Verbindungen werden **Ports** zur Unterscheidung der verschiedenen Server-Dienste verwendet. Auf diese Weise kann über ein und dieselbe Verbindung z.B. Mail und WWW gleichzeitig betrieben werden. Die Portnummern von Quelle und Ziel sind Attribute der Datenpakete (Bestandteil des TCP header). | ||
+ | |||
+ | Portnummern können im Bereich von 0 bis 65535 liegen. Der Bereich unterhalb | ||
**Beispiele für reservierte Portnummern: | **Beispiele für reservierte Portnummern: | ||
Zeile 64: | Zeile 87: | ||
| 993 | IMAP mit SSL| | | 993 | IMAP mit SSL| | ||
| 995 | POP3 mit SSL| | | 995 | POP3 mit SSL| | ||
- | \\ \\ | ||
- | Unter **port forwarding** versteht man das Weiterleiten (" | ||
- | Zu diesem Zweck installiert | + | Unter **port forwarding** versteht man das Weiterleiten (" |
+ | |||
+ | Zu diesem Zweck installiert | ||
Dem Vorteil dieses Verfahrens (verschlüsselte Verbindung) stehen allerdings folgende Nachteile gegenüber: | Dem Vorteil dieses Verfahrens (verschlüsselte Verbindung) stehen allerdings folgende Nachteile gegenüber: | ||
- | * Bevor ein Dienst auf diese Weise verschlüsselt werden kann, muß zum Zielrechner eine STunnel-Verbindung aufgebaut werden. | + | * Bevor ein Dienst auf diese Weise verschlüsselt werden kann, muß zum Zielrechner eine stunnel-Verbindung aufgebaut werden. |
- | * Der Zugang zu einem Dienst via STunnel | + | * Der Zugang zu einem Dienst via stunnel |
- | **In den folgenden | + | **In den folgenden |
- | {{: | + | **...eine unverschlüsselten POP3-Sitzung** |
- | **...die Illustration einer getunnelten POP3-Sitzung:** | + | {{:bilder-netzsicherheit:stunnel: |
- | {{: | + | **...eine Verbindung zwischen |
- | + | {{: | |
- | ---- | + | |
- | Letzte inhaltliche Änderung: 09.10.2009 (B. Bußhardt) \\ \\ | + | **...eine Verbindung zwischen stunnel im client mode und stunnel im server mode mit einem nicht-SSL-fähigen Server** |
+ | |||
+ | {{:bilder-netzsicherheit: | ||
+ | |||
+ | |||
+ | Die bei der Installation mitgelieferte Beispiel-Konfiguration ("Edit stunnel.conf" | ||
+ | |||
+ | Eine komplette Dokumentation findet man wie schon erwähnt bei den Programmkomponenten under " | ||
+ | |||
+ | \\ | ||
+ | ===== Sicherheit ===== | ||
+ | |||
+ | |||
+ | Wenn der Schutz durch Zertifikate zuverlässiger gestaltet werden soll, muss man wie folgt vorgehen: | ||
+ | |||
+ | * **Server-Mode**\\ Es wird ein Zertifikat verschickt, das von einer allgemein anerkannten Zertifizierungsstelle beglaubigt wird. An der Uni Freiburg kann man sich diesbezüglich an die **[[http:// | ||
+ | * **Client-Mode**\\ Zur Überprüfung der von einem Server ausgelieferten Zertifikate muss mit dem Parameter **CAfile** die Datei festgelegt werden, die die gesamte Zertifikatskette bis herunter zur ausstellenden Instanz (in Freiburg die Uni FR CA) enthält.\\ \\ | ||
+ | * **Rückruflisten**\\ Um ein übriges zu tun, kann man mit einer zeitgesteuerten Task regelmäßig (und pünktlich!) die sog. Revocation Lists herunterladen und den Pfad dazu im Parameter **CRLfile** angeben. Die Rückruflisten enthalten die Zertifikate, | ||
+ | |||
+ | |||
+ | Wiki-Seiten zu den Zertifikaten finden Sie hier: | ||
+ | **[[tag: | ||
- | {{tag> | + | \\ |
+ | \\ | ||
+ | {{tag> |