STunnel

STunnel (sprich: S-Tunnel) arbeitet als universaler SSL-Tunnel zwischen dem Win32-Client und dem Server und ermöglicht somit auf einfache Weise verschlüsselte Sitzungen auch bei Programmen, die nativ keine Verschlüsselungsmethode beherrschen.

Mit STunnel lassen sich Clients (z.B. Eudora oder Pegasus), die SSL nicht beherrschen, über verschlüsselte Verbindungen betreiben, sofern der Server den entsprechenden Dienst über SSL zulässt.

Somit kann dieses Programm unter Windows als angenehmere Alternative zu dem bisher propagierten SSH mit „port forwarding“ herangezogen werden, sofern kein Terminal-Dialog gewünscht ist.

Wichtiger Hinweis: 
Es ist grundsätzlich nicht möglich, eine FTP-Sitzung über STunnel zu betreiben. 
Die grundlegenden Eigenschaften des FTP-Protokolls verhindern dies.

Download der Installationsdatei stunnel.exe auf Ihren PC.

Speichern Sie die Datei und starten Sie die Installation durch Doppelklick auf stunnel.exe.

Nach einigen Hinweisen, die Sie mit „Weiter“ quittieren, erscheint folgendes Fenster:

Wählen Sie auf jeden Fall die rot markiert Option!
Damit starten Sie ein kleines Hilfsprogramm, mit dem Sie Ihre Mail-Domain (der Name zwischen @ und .uni-freiburg.de in Ihrer Mailadresse) in Kommandodateien einbauen können. Näheres dazu sehen Sie in den folgenden Abschnitten.

Diese Option hat den Start eines DOS-Eingabefensters zur Folge. Das sieht etwa so aus:

Gelb markiert ist dabei der Teil, den Sie einzugeben haben. Hier müssen Sie natürlich den Beispieltext „meinedomain“ durch Ihre tatsächliche Domain ersetzen. Nach dem Drücken der Eingabetaste (RETURN) verschwindet das Fenster sang- und klanglos. Danach finden Sie in dem Installationsverzeichnis von STunnel zwei Dateien (imap.bat und pop3.bat), die Ihren zuständigen Mailserver als Adresse für den STunnel-Verbindungsaufbau enthalten (s. weiter unten!).

Dieses Programm (SETDOM.EXE) ist übrigens jederzeit über das Programm-Menü von STunnel zu erreichen.

Nun können Sie einen der mitgelieferten Tunnels über das Startmenü aktivieren. Eine Kennworteingabe ist bei SSL-Tunnels nicht erforderlich.

Suchen Sie über das Startmenü das installierte Programm auf. Sie finden dort die als Beispiele beigefügen bzw. von Ihnen bei der Installation bereits angepassten Tunnel-Scripts vor (es handelt sich um Verweise auf .BAT-Dateien). Mit dem Programm „Maildomain festlegen“ können Sie auch nachträglich noch die „STunnel to…“-Dateien an Ihre Domain anpassen.

Das gestartete Programm ist am Eintrag in der Task-Leiste zu erkennen.

Wenn Sie den Tunnel immer manuell starten wollen, erstellen Sie eine Verknüpfung und legen sie auf den Desktop.

Falls Sie einen Tunnel automatisch starten lassen möchten, damit er jedesmal installiert wird, sobald Windows hochfährt, fügen Sie dem Autostart-Ordner einen Verweis auf das entsprechende Programm hinzu (über Eigenschaften der Taskleiste).

Beim nächsten Neustart von Windows wird der gewählte SSL-Tunnel automatisch eingerichtet.

Bei Internet-Verbindungen werden sogenannte Ports zur Unterscheidung verschiedener Dienste zwischen zwei Kommunikationspartnern (Server und Client) verwendet. Auf diese Weise kann über ein und dieselbe Verbindung z.B. Mail und WWW gleichzeitig betrieben werden. Die Portnummern von Quelle und Ziel sind Attribute der Datenpakete (Bestandteil des TCP header) und weisen sie den entsprechenden Diensten über die Transport Service Access Points (TSAP) zu.

Portnummern können im Bereich von 0 bis 65535 liegen. Der Bereich unterhalb 256 ist reserviert (well known ports) und kann nicht frei für selbstdefinierte Dienste genutzt werden. Aber auch oberhalb dieser Schranke sind bereits viele Nummern zu Standards geworden, wie man in der folgenden Tabelle sehen kann.

Beispiele für reservierte Portnummern:

Unter port forwarding versteht man das Weiterleiten („tunneln“) von Datenpaketen mit einer ausgewählten Portnummer über die mit STunnel aufgebaute Verbindung. Dadurch wird der gesamte Datenverkehr des zur Portnummer gehörenden Internet-Dienstes verschlüsselt.

Zu diesem Zweck installiert STunnel einen lokalen TSAP (mit zugehöriger Portnummer) der über eine verschlüsselte Verbindung mit einem entfernten (remote) TSAP verknüpft wird. Der remote Port wird vom gewünschten Dienst (z.B. POP3) festgelegt, der lokale Port kann prinzipiell frei gewählt werden, sollte aus Gründen der Übersichtlichkeit aber normalerweise identisch mit dem remote Port sein.

Dem Vorteil dieses Verfahrens (verschlüsselte Verbindung) stehen allerdings folgende Nachteile gegenüber:

• Bevor ein Dienst auf diese Weise verschlüsselt werden kann, muß zum Zielrechner eine STunnel-Verbindung aufgebaut werden.
• Der Zugang zu einem Dienst via STunnel muss mit dem Administrator des Servers vereinbart werden, da solche Zugänge nicht von vornherein eingerichtet sind bzw. nicht zum Standard gehören.

In den folgenden Abbildung sehen Sie als Beispiele die Illustration einer unverschlüsselten POP3-Sitzung, sowie…

…die Illustration einer getunnelten POP3-Sitzung:

—- Letzte inhaltliche Änderung: 09.10.2009 (B. Bußhardt)