| Beide Seiten der vorigen RevisionVorhergehende ÜberarbeitungNächste Überarbeitung | Vorhergehende Überarbeitung |
| stunnel [2011/12/01 09:11] – weitergebaut bush | stunnel [2011/12/02 14:46] (aktuell) – bush |
|---|
| ====== STunnel ====== | ====== stunnel ====== |
| STunnel (sprich: S-Tunnel) arbeitet als universaler SSL-Tunnel zwischen dem Windows-Client und dem Server und ermöglicht somit auf einfache Weise verschlüsselte Sitzungen auch bei Programmen, die nativ keine Verschlüsselungsmethode beherrschen, der Server dies aber zulässt. | stunnel (sprich: S-Tunnel) arbeitet als universaler SSL-Tunnel zwischen dem Windows-Client und dem Server und ermöglicht somit auf einfache Weise verschlüsselte Sitzungen auch bei Programmen, die nativ keine Verschlüsselungsmethode beherrschen, der Server dies aber zulässt. |
| |
| Für gesicherte Dialog- und FTP-Sitzungen empfehlen wir das freie Produkt **[[ssh|SSH - Secure Shell für Windows]]**. | Für gesicherte Dialog- und FTP-Sitzungen empfehlen wir das freie Produkt **[[ssh|SSH - Secure Shell für Windows]]**. |
| immer mehr ein. Tragen Sie hier die für Sie geltenden Werte sinngemäß ein. | immer mehr ein. Tragen Sie hier die für Sie geltenden Werte sinngemäß ein. |
| |
| Vermeiden Sie auf jeden Fall nationale Sonderzeichen (z.B. Umlaute). | Vermeiden Sie auf jeden Fall nationale Sonderzeichen (z.B. Umlaute).\\ |
| | Beachten Sie in diesem Zusammenhang den letzten Abschnitt in dieser Dokumentation! |
| |
| {{bilder-netzsicherheit:stunnel:makecert.png}} | {{bilder-netzsicherheit:stunnel:makecert.png}} |
| * **"Service start"** bzw. **"Service stop"** startet bzw. stoppt den Service, belässt ihn aber im System. Nach einem manuellen Stop wird der Service auf Grund seiner Autostart-Eigenschaft beim nächsten Systemstart ebenfalls wieder gestartet. | * **"Service start"** bzw. **"Service stop"** startet bzw. stoppt den Service, belässt ihn aber im System. Nach einem manuellen Stop wird der Service auf Grund seiner Autostart-Eigenschaft beim nächsten Systemstart ebenfalls wieder gestartet. |
| * Mit dem letzten Eintrag "Uninstall stunnel" entfernen Sie das Programm wieder aus dem System. Einen laufenden Service müssen Sie dazu nicht stoppen bzw. deinstallieren. | * Mit dem letzten Eintrag "Uninstall stunnel" entfernen Sie das Programm wieder aus dem System. Einen laufenden Service müssen Sie dazu nicht stoppen bzw. deinstallieren. |
| |
| |
| <note important>Bitte beachten Sie:\\ | |
| Der nachfolgende Text befindet sich noch in der Umbauphase.\\ | |
| Er bezieht sich nicht auf die oben beschriebene Version von stunnel.</note> | |
| |
| |
| | 993 | IMAP mit SSL| | | 993 | IMAP mit SSL| |
| | 995 | POP3 mit SSL| | | 995 | POP3 mit SSL| |
| \\ \\ | |
| |
| Unter **port forwarding** versteht man das Weiterleiten ("tunneln") von Datenpaketen mit einer ausgewählten Portnummer über die mit STunnel aufgebaute Verbindung. Dadurch wird der gesamte Datenverkehr des zur Portnummer gehörenden Internet-Dienstes verschlüsselt. | |
| |
| Zu diesem Zweck installiert STunnel einen lokalen TSAP (mit zugehöriger Portnummer) der über eine verschlüsselte Verbindung mit einem entfernten (remote) TSAP verknüpft wird. Der remote Port wird vom gewünschten Dienst (z.B. POP3) festgelegt, der lokale Port kann prinzipiell frei gewählt werden, sollte aus Gründen der Übersichtlichkeit aber normalerweise identisch mit dem remote Port sein. | Unter **port forwarding** versteht man das Weiterleiten ("tunneln") von Datenpaketen mit einer ausgewählten (Ziel-)Portnummer über die mit stunnel aufgebaute Verbindung. Dadurch wird der gesamte Datenverkehr des zur Portnummer gehörenden Internet-Dienstes verschlüsselt. |
| | |
| | Zu diesem Zweck installiert man mit stunnel einen lokalen Transport Service Access Point (TSAP, mit zugehöriger Portnummer) der über eine verschlüsselte Verbindung mit einem entfernten (remote) TSAP verknüpft wird. Der remote Port wird vom gewünschten Dienst (z.B. POP3) festgelegt, der lokale Port kann prinzipiell frei gewählt werden, sollte aus Gründen der Übersichtlichkeit aber normalerweise identisch mit dem remote Port sein. |
| |
| Dem Vorteil dieses Verfahrens (verschlüsselte Verbindung) stehen allerdings folgende Nachteile gegenüber: | Dem Vorteil dieses Verfahrens (verschlüsselte Verbindung) stehen allerdings folgende Nachteile gegenüber: |
| |
| * Bevor ein Dienst auf diese Weise verschlüsselt werden kann, muß zum Zielrechner eine STunnel-Verbindung aufgebaut werden. | * Bevor ein Dienst auf diese Weise verschlüsselt werden kann, muß zum Zielrechner eine stunnel-Verbindung aufgebaut werden. |
| * Der Zugang zu einem Dienst via STunnel muss mit dem Administrator des Servers vereinbart werden, da solche Zugänge nicht von vornherein eingerichtet sind bzw. nicht zum Standard gehören. | * Der Zugang zu einem Dienst via stunnel muss mit dem Administrator des Servers vereinbart werden, da solche Zugänge nicht von vornherein eingerichtet sind bzw. nicht zum Standard gehören. |
| |
| **In den folgenden Abbildung sehen Sie als Beispiele die Illustration einer unverschlüsselten POP3-Sitzung, sowie...** | **In den folgenden Abbildungen sehen Sie Beispiele für ...** |
| |
| {{:bilder-netzsicherheit:stunnel:kein-tunnel.gif}} | **...eine unverschlüsselten POP3-Sitzung** |
| |
| **...die Illustration einer getunnelten POP3-Sitzung:** | {{:bilder-netzsicherheit:stunnel:client-server.png|}} |
| |
| {{:bilder-netzsicherheit:stunnel:stunnel-forward.gif}} \\ \\ | **...eine Verbindung zwischen stunnel im client mode und einem SSL-fähigen Server** |
| |
| | {{:bilder-netzsicherheit:stunnel:stunnel-server.png|}} |
| | |
| |
| | **...eine Verbindung zwischen stunnel im client mode und stunnel im server mode mit einem nicht-SSL-fähigen Server** |
| |
| | {{:bilder-netzsicherheit:stunnel:stunnel-stunnel.png|}} |
| | |
| | |
| | Die bei der Installation mitgelieferte Beispiel-Konfiguration ("Edit stunnel.conf" bei den Programmkomponenten) führt Mustereinträge auf sowohl für den Client- als auch für den Server-Betrieb. Der Abschnitt für die Zertifikate ist in der Voreinstellung deaktiviert. Das bedeutet, dass im Client-Mode jedes vom Server ausgegebene Zertifikat akzeptiert wird und im Server-Mode das bei der Installation selbst erstellte Zertifikat an die Clients verschickt wird. |
| | |
| | Eine komplette Dokumentation findet man wie schon erwähnt bei den Programmkomponenten under "Manual". |
| | |
| | \\ |
| | ===== Sicherheit ===== |
| | |
| | |
| | Wenn der Schutz durch Zertifikate zuverlässiger gestaltet werden soll, muss man wie folgt vorgehen: |
| | |
| | * **Server-Mode**\\ Es wird ein Zertifikat verschickt, das von einer allgemein anerkannten Zertifizierungsstelle beglaubigt wird. An der Uni Freiburg kann man sich diesbezüglich an die **[[http://portal.uni-freiburg.de/rz/services/sicherheit/zertifizierung|Zertifizierungsstelle der Universität (Uni FR CA)]]** wenden.\\ Mit dem Konfigurationsparameter **cert** wird stunnel der Name einer Datei mitgeteilt, in der sich, angefangen vom Wurzelzertifikat, die gesamte Zertifikatskette bis herunter zum eigenen Server-Zertifikat befindet.\\ \\ |
| | * **Client-Mode**\\ Zur Überprüfung der von einem Server ausgelieferten Zertifikate muss mit dem Parameter **CAfile** die Datei festgelegt werden, die die gesamte Zertifikatskette bis herunter zur ausstellenden Instanz (in Freiburg die Uni FR CA) enthält.\\ \\ |
| | * **Rückruflisten**\\ Um ein übriges zu tun, kann man mit einer zeitgesteuerten Task regelmäßig (und pünktlich!) die sog. Revocation Lists herunterladen und den Pfad dazu im Parameter **CRLfile** angeben. Die Rückruflisten enthalten die Zertifikate, die bis zum aktuellen Zeitpunkt für ungültig erklärt wurden. |
| | |
| | Mit dem Parameter **verify** legen Sie fest, wie stringent stunnel mit den Zertifikaten umzugehen hat. |
| | |
| | Wiki-Seiten zu den Zertifikaten finden Sie hier: |
| | **[[tag:zertifikate|Zertifikate - Artikelübersicht]]** |
| | |
| | |
| | \\ |
| | \\ |
| {{tag>sicherheit software netz}} | {{tag>sicherheit software netz}} |
