Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen RevisionVorhergehende Überarbeitung
Nächste Überarbeitung		Vorhergehende Überarbeitung
stunnel [2011/12/01 09:44] – weitergebaut bushstunnel [2011/12/02 14:46] (aktuell) bush
Zeile 32: Zeile 32:
 immer mehr ein. Tragen Sie hier die für Sie geltenden Werte sinngemäß ein. immer mehr ein. Tragen Sie hier die für Sie geltenden Werte sinngemäß ein.
  
-Vermeiden Sie auf jeden Fall nationale Sonderzeichen (z.B. Umlaute).+Vermeiden Sie auf jeden Fall nationale Sonderzeichen (z.B. Umlaute).\\  
 +Beachten Sie in diesem Zusammenhang den letzten Abschnitt in dieser Dokumentation!
  
 {{bilder-netzsicherheit:stunnel:makecert.png}} {{bilder-netzsicherheit:stunnel:makecert.png}}
Zeile 62: Zeile 63:
     * **"Service start"** bzw. **"Service stop"** startet bzw. stoppt den Service, belässt ihn aber im System. Nach einem manuellen Stop wird der Service auf Grund seiner Autostart-Eigenschaft beim nächsten Systemstart ebenfalls wieder gestartet.     * **"Service start"** bzw. **"Service stop"** startet bzw. stoppt den Service, belässt ihn aber im System. Nach einem manuellen Stop wird der Service auf Grund seiner Autostart-Eigenschaft beim nächsten Systemstart ebenfalls wieder gestartet.
   * Mit dem letzten Eintrag "Uninstall stunnel" entfernen Sie das Programm wieder aus dem System. Einen laufenden Service müssen Sie dazu nicht stoppen bzw. deinstallieren.   * Mit dem letzten Eintrag "Uninstall stunnel" entfernen Sie das Programm wieder aus dem System. Einen laufenden Service müssen Sie dazu nicht stoppen bzw. deinstallieren.
- 
- 
-<note important>Bitte beachten Sie:\\ 
-Der nachfolgende Text befindet sich noch in der Umbauphase.\\ 
-Er bezieht sich nicht auf die oben beschriebene Version von stunnel.</note> 
  
  
Zeile 102: Zeile 98:
   * Der Zugang zu einem Dienst via stunnel muss mit dem Administrator des Servers vereinbart werden, da solche Zugänge nicht von vornherein eingerichtet sind bzw. nicht zum Standard gehören.   * Der Zugang zu einem Dienst via stunnel muss mit dem Administrator des Servers vereinbart werden, da solche Zugänge nicht von vornherein eingerichtet sind bzw. nicht zum Standard gehören.
  
-**In den folgenden Abbildungen sehen Sie als Beispiel die Illustration einer unverschlüsselten POP3-Sitzung, sowie...**+**In den folgenden Abbildungen sehen Sie Beispiele für ...**
  
-{{:bilder-netzsicherheit:stunnel:kein-tunnel.gif}}+**...eine unverschlüsselten POP3-Sitzung**
  
-**...die Illustration einer getunnelten POP3-Sitzung:**+{{:bilder-netzsicherheit:stunnel:client-server.png|}}
  
-{{:bilder-netzsicherheit:stunnel:stunnel-forward.gif}} \\ \\ +**...eine Verbindung zwischen stunnel im client mode und einem SSL-fähigen Server**
  
 +{{:bilder-netzsicherheit:stunnel:stunnel-server.png|}}
  
-Die angegebenen Servernamen sind fiktiv!+**...eine Verbindung zwischen stunnel im client mode und stunnel im server mode mit einem nicht-SSL-fähigen Server**
  
 +{{:bilder-netzsicherheit:stunnel:stunnel-stunnel.png|}}
  
-  
  
 +Die bei der Installation mitgelieferte Beispiel-Konfiguration ("Edit stunnel.conf" bei den Programmkomponenten) führt Mustereinträge auf sowohl für den Client- als auch für den Server-Betrieb. Der Abschnitt für die Zertifikate ist in der Voreinstellung deaktiviert. Das bedeutet, dass im Client-Mode jedes vom Server ausgegebene Zertifikat akzeptiert wird und im Server-Mode das bei der Installation selbst erstellte Zertifikat an die Clients verschickt wird.
  
 +Eine komplette Dokumentation findet man wie schon erwähnt bei den Programmkomponenten under "Manual".
 +
 +\\
 +===== Sicherheit =====
 +
 +
 +Wenn der Schutz durch Zertifikate zuverlässiger gestaltet werden soll, muss man wie folgt vorgehen:
 +
 +  * **Server-Mode**\\ Es wird ein Zertifikat verschickt, das von einer allgemein anerkannten Zertifizierungsstelle beglaubigt wird. An der Uni Freiburg kann man sich diesbezüglich an die **[[http://portal.uni-freiburg.de/rz/services/sicherheit/zertifizierung|Zertifizierungsstelle der Universität (Uni FR CA)]]** wenden.\\ Mit dem Konfigurationsparameter **cert** wird stunnel der Name einer Datei mitgeteilt, in der sich, angefangen vom Wurzelzertifikat, die gesamte Zertifikatskette bis herunter zum eigenen Server-Zertifikat befindet.\\ \\ 
 +  * **Client-Mode**\\ Zur Überprüfung der von einem Server ausgelieferten Zertifikate muss mit dem Parameter **CAfile** die Datei festgelegt werden, die die gesamte Zertifikatskette bis herunter zur ausstellenden Instanz (in Freiburg die Uni FR CA) enthält.\\ \\ 
 +  * **Rückruflisten**\\ Um ein übriges zu tun, kann man mit einer zeitgesteuerten Task regelmäßig (und pünktlich!) die sog. Revocation Lists herunterladen und den Pfad dazu im Parameter **CRLfile** angeben. Die Rückruflisten enthalten die Zertifikate, die bis zum aktuellen Zeitpunkt für ungültig erklärt wurden.
 +
 +Mit dem Parameter **verify** legen Sie fest, wie stringent stunnel mit den Zertifikaten umzugehen hat.
 +
 +Wiki-Seiten zu den Zertifikaten finden Sie hier:
 +**[[tag:zertifikate|Zertifikate - Artikelübersicht]]**
 +
 +
 +\\
 +\\
 {{tag>sicherheit software netz}} {{tag>sicherheit software netz}}

Zuletzt angesehen:

QR-Code
QR-Code stunnel (erstellt für aktuelle Seite)