Stunnel: Difference between revisions

From ICO wiki
Jump to navigationJump to search
Jviiderm (talk | contribs)
Jviiderm (talk | contribs)
Line 109: Line 109:


=Kokkuvõte=
=Kokkuvõte=
Antud artiklis tutvustatakse Stunneli kasutamist Samba näitel, kirjeldades täpsemalt krüpteritud  andmete liikumist sisevõrgust läbi avaliku internetipilve teise sisevõrku
Antud artiklis tutvustatakse Stunnel’i kasutamist Samba näitel, kirjeldades täpsemalt krüpteritud  andmete liikumist sisevõrgust läbi avaliku internetipilve teise sisevõrku.
KAS LÄKS VÕSS
Artikli koostamisel on tutvutud Stunnel’i  erinevate võimalustega, siiski antud artiklis on  kirjeldatud ainult väike osa sellest. Huvipakkuvaks võimaluseks võib nimetada veel e-maili kasutamine jne, mille kirjeldus antud artiklis kajastamist ei leia.
Kokkuvõttes pakub Sunnel palju erinevaid võimalusi, antud artiklis ledsid käsitlust (tutvustamist) ainult osa selles.
 


=Kasulikud viited=
=Kasulikud viited=

Revision as of 10:22, 13 June 2011

Artikel on poolik

Juhendi autor ja versioneerimine

Nimi: Janar Viidermets
Grupp: AK41


Versioon Kuupäev Kommentaar
0.1 26.04.2011 Struktuuri loomine
0.2 27.04.2011 Sissejuhatuse kirjutamine
0.3 28.04.2011 Stunneli kasutamine läbi teenuse Samba

Sissejuhatus

Stunnel on andmete edastamine turvalise sidekanal abil. Stunneli tarkvara on loodud nii Linuxi kui ka Windowsi platvormile. Stunnel on SSL krüpteeritud ümbris, mis võimaldab, et tavaline lihttekst ja ebaturvaline (ebakindel) sidekanal oleksid edastamise ajal krüpteeritud. Stunnel on läbi teinud mõned olulised muudatused võrreldes varasemate versioonidega, praegune versioon (4.x) on arhitektuuri poolest eelmistest versioonidest täiesti erinev. Antud artiklis leiab käsitlust ainult uuemat versiooni.

Üks Stunnel kõige tavalisem kasutusviise on teabevahetuse krüptimine POP või IMAP (protokollid) e-posti serveri ja e-posti klientide vahel aga võib ka kasutada teiste teenuste turvalise ühenduse pidamiseks (samba jne). Mõlemad protokollid peavad kasutajaid autentima kasutajanime ja parooliga. Enamikel juhtudel on need kasutajanimed ja paroolid ühed ja samad masinasse logimise kohal või läbi SSH. Andmete krüpteerimisel ilma Stunnel kasutamata, võib kolmanda osapoole kasutaja (häkker või kräkker) ühenduse kinnipidamisel logida serverisse ja saada administraatoriõigused oluliselt lihtsamalt, kui kohalik kasutamine seda nõuaks.

Legend

Tegemist on ettevõttega, kellel on Ubuntu operatsioonsisteemil töötav failiserver (SAMBA) ja mitmed klient tööjaamad. Kasutajad asuvad erinevates kontorites ja vajavad ühiseid kaustasi kuhu saavad oma faile salvestada. Kuna tegemist on kahe kontori vahelise ühendusega mis asuvad erinevatel aadressitel, siis on vaja turvaühendust kahe kontori vahel.

Skoop

Skoobis on Stunneli paigaldamine ja häälestamine openSSH vahendusel, Samba paigaldamine ja häälestamine nii serveri kui ka kliendi vaates.

Eeldused

  • Eelduseks on vähemalt kahe riistvara (arvuti) olemasolu, millest üks täidab serveri funksiooni ja teine kliendi arvuti.
  • Mõlemale arvutile on paigaldatud Ubuntu operatsioonsüsteem (Ubuntu desktop ja Ubuntu server).
  • Mõlemad arvutid peavad asuma arvutivõrgus.

Paigaldamine ja häälestamine

Tarkvara paigaldamine

Kõige pealt veendume, et operatsioonsüsteemi uuendused on installeeritud (peale pandud).

apt-get update

Paigaldame Samba ja Stunneli tarkvara

apt-get install samba
apt-get install stunnel

Serveri häälestamine

Seadistame Samba. Selleks avame samba conf faili

nano /etc/samba/smb.conf

Seadistame, et samba kuulab ainult localhosti

interfaces = 127.0.0.0/8

bind interfaces only = yes

Teeme Sambale restardi

/etc/init.d/samba restart

Teeme SSL sertifikaadi ja võtme

openssl req -new -nodes -x509 -out /etc/stunnel/stunnel.pem -keyout /etc/stunnel/stunnel.pem

Seadistame stunneili kasutama turvalist ühendust. Kuulav port on 8139 ja edastab selle localhost port 139-le. Selleks avame /etc/stunnel/stunnel.conf

nano /etc/stunnel/stunnel.conf

ja täiendame Stunneli conf faili

cert = /etc/stunnel/stunnel.pem
 
[smb]
accept = 8139
connect = 139

Lubame stunneli teenuse kasutamist selleks tuleb muuta /etc/default/stunnel4

nano /etc/default/stunnel4

ja muuta vääruseks 1 vaikimisi on 0

ENABLED=1

Teeme Stunnelile restardi

/etc/init.d/stunnel4 restart

Kliendiarvuti poolne tarkvara paigaldamine ja häälestamine

Installeerime stunneli ja samba kliendi

apt-get install smbclient stunnel

Muudame stunnel.conf faili kuulama localhost:139 porti ja seda edastama serveri 8139 pordile

nano /etc/stunnel/stunnel.conf 

connect = {ip} tuleb panna serveri IP aadress

client = yes
 
[smb]
accept = localhost:139
connect = {ip}:8139

Lubame Stunneli kasutamise selleks tuleb muuta /etc/default/stunnel4

nano /etc/default/stunnel4

ja muuta vääruseks 1 vaikimisi on 0

ENABLED=1

Teeme stunnelile restardi

/etc/init.d/stunnel4 restart

Ühenduse testimiseks saame kasutada samba klienti

smbclient -U user //localhost/sambashare

Varundamine

Kõige parem lahendus on kasutada rsync koos IBackup. Seda saab lugeda täpsemalt siit [1]

Kokkuvõte

Antud artiklis tutvustatakse Stunnel’i kasutamist Samba näitel, kirjeldades täpsemalt krüpteritud andmete liikumist sisevõrgust läbi avaliku internetipilve teise sisevõrku. Artikli koostamisel on tutvutud Stunnel’i erinevate võimalustega, siiski antud artiklis on kirjeldatud ainult väike osa sellest. Huvipakkuvaks võimaluseks võib nimetada veel e-maili kasutamine jne, mille kirjeldus antud artiklis kajastamist ei leia.

Kasulikud viited

http://www.vbox4php.org/unix/network-and-scripts/break-out
http://linuxgazette.net/107/odonovan.html