Главная » Статьи » Защита информации


Шифрование и создание канала для трафика с помощью SSL. Установка stunnel. SSL-поддержка в SWAT

Шифрование и создание канала для трафика с помощью SSL

Используйте stunnel для обеспечения SSL-шифрования любой сетевой службы. Stunnel (stunnel.org) — это мощная и удобная программа, которая с помощью SSL шифрует трафик любого TCP-порта. Она образует канал, практически так же, как SSH, предоставляя для этого локальный порт. Программа шифрует трафик, посылаемый на этот порт, направляет его удаленной системе, дешифрует трафик и направляет его на локальный порт системы. Stunnel также может обеспечить явную SSL-поддержку для inetd-совместимых служб.

Установка stunnel

Для установки stunnel просто выполните команду ./configure из каталога, который создан при распаковке загруженного из Сети архива. Поскольку stunnel для работы требуется OpenSSL (http://www.openssl.org), то сначала загрузите и установите OpenSSL Если вы хотите откомпилировать stunnel с поддержкой ТСР-оболочек или установить OpenSSL в нестандартное место, то необходимо воспользоваться параметром --with-tcp-wrappers или --with-ssl. Например, для настройки stunnel с поддержкой TCP-оболочек при установке OpenSSL в /opt/ выполните $ ./configure --with-tcp-wrappers --with-ssl=/opt/openssl.

После запуска этого сценария для действительной компиляции stunnel необходимо выполнить команду make. После этого будет предложено создать самоподписанный сертификат. Этот сертификат будет не только самоподписанным, но и срок его действия будет ограничен одним годом. Если вас это не устраивает, создайте собственный сертификат и Certificate Authority. До версии 3.x программы stunnel имелась возможность настраивать все параметры из командной строки. В версиях 4.x и выше используется файл настройки stunnel.conf. Пример этого файла обычно можно найти в /etc/stunnel/stunnel.conf-sample или /usr/local/etc/stunnel/stunnel.conf-sample.

Давайте рассмотрим базовую форму файла настройки, указывающего перенаправление локального порта на удаленный порт.

Можно использовать стандартный файл настройки или выбрать иной файл.В первом случае stunnel запускается безо всяких аргументов. В противном случае следует указать необходимый файл настройки в качестве первого аргумента. При имеющейся сейчас настройке программа способна подключиться к <forwarded port> (перенаправляемому порту) на клиентской стороне. После этого stunnel зашифрует трафик, получаемый с этого порта, и отправит его на <server port> (серверный порт) удаленной стороны, указанной в <remote address> (адрес удаленной стороны). На удаленной системе stunnel дешифрует полученный на указанный порт трафик и направит его программе, которая «слушает» <forwarded port> на удаленной системе.

Эквивалентная команда перенаправления портов в SSH могла бы выглядеть так: ssh -f -N -L <forwarded port>:<remote address>:<forwarded port> \<remote address>.

Если есть желание указать PID файла, можно настроить переменную pid для любого файла. Однако если полностью пропустить переменную pid, то stunnel попытается на основе настроек, использовавшихся при компиляции, создать либо /var/run/stunnel.pid, либо /usr/local/var/run/stunnel.pid (то есть $prefix/var/run/stunnel.pid). Помимо предоставления SSH-подобного перенаправления портов, stunnel также может использоваться для добавления SSL-возможностей в inetd-подобные службы. Это идеально подходит для внедрения SSL в электронную почту или другие сервисы, не обладающие «родной» SSL-функциональностью. Вот элемент inetd.conf для SWAT (средства настройки Samba с web-интерфейсом): swat stream tcp nowait.400 root /usr/local/samba/bin/swat swat.

SSL-поддержка в SWAT

Для добавления SSL-поддержки в SWAT сначала необходимо создать файл настройки для stunnel. Давайте назовем его swat.conf и поместим в /etc/stunnel: cert = /etc/stunnel/swat.pemexec = /usr/local/samba/bin/swat execargs = swat. Затем изменим элемент inetd.conf следующим образом:swat stream tcp nowait.400 root /usr/sbin/stunnel stunnel \/etc/stunnel/swat.conf Теперь можно безопасно обращаться к SWAT с помощью любимого браузера, поддерживающего SSL.

В качестве альтернативного варианта можно вообще покончить с inetd и заставить stunnel «слушать» соединения клиентов, а затем порождать подпроцесс от самого процесса службы. Для этого создайте файл настройки с подобным содержанием:cert = /etc/stunnel/swat.pern.Кроме того, эту программу можно запускать во время загрузки, поместив предыдущую команду в сценарий запуска (то есть в /etc/rc.local).

Stunnel — очень мощное средство: оно может не только перенаправлять соединения по зашифрованному каналу, но и использоваться для добавления SSL-возможностей в распространенные службы. Это особенно удобно, когда уже существуют клиенты с SSL-поддержкой. Таким образом, на серверной стороне достаточно использовать лишь stunnel, которая обеспечивает шифрование службы без необходимости установки дополнительного программного обеспечения.

Категория: Защита информации | Добавил: george27 (23.09.2014)
Просмотров: 586 | Рейтинг: 5.0/1
Всего комментариев: 0
Имя *:
Email *:
Код *:

Последнее в Блоге

Как выбрать ноутбук? На что обратить внимание при выборе ноутбука?Как выбрать ноутбук? На что обратить внимание при выборе ноутбука?
Компактный ноутбук от Lenovo бюджетной серии IdeaPad 100-14Компактный ноутбук от Lenovo бюджетной серии IdeaPad 100-14
Обзор игрового ноутбука Acer Predator 17XОбзор игрового ноутбука Acer Predator 17X
Аркадный симулятор Smashy Road: теперь и Windows может похвастаться игрой WantedАркадный симулятор Smashy Road: теперь и Windows может похвастаться игрой Wanted