Das Stunnel-Paket Die Einleitung Dieses Paket dient dazu SSL verschluesselte Tunnel zwischen entfernten Clients und lokalen und/oder entfernten Servern zur Verfuegung zu stellen. Nicht SSL-faehige Programme koennen somit mit SSL-Verschluesselung und Authentifizierung versehen werden. Die Funktionen Das Stunnel-Paket besteht aus folgenden Komponenten: * Stunnel - Stellt das Programm zum Verschluesseln von TCP-Verbindungen zur Verfuegung. ([1]http://www.stunnel.org/) Die Voraussetzungen Dieses Paket benoetigt zur korrekten Funktion ein installiertes Libssl-Paket. Die Installation Das Stunnel-Paket wird ueber das Setup-Menue installiert. Wird eine aeltere Paketversion vorgefunden, so wird diese deinstalliert bevor die neuen Programmdateien installiert werden. Nach dem Installieren der Programmdateien wird direkt der Konfigurations-Editor gestartet um die Konfiguration anzupassen. Nach Beendigung dieses Schrittes werden die Konfigurationsdateien generiert und alle benoetigten Programme gestartet. Das Menue im Setup-Programm Das Menue im Setup-Programm ist wie folgt aufgebaut: * Stunnel administration + View documentation: Anzeigen der Dokumentation + Edit configuration: Bearbeiten der Konfiguration + Advanced configuration file handling: Konfigurationen verwalten + View configuration log file: Konfigurationsmeldungen anzeigen + Show Status: Status des Stunnel-Service anzeigen + Stop Stunnel service: Stunnel-Service beenden + Start Stunnel service: Stunnel-Service starten + View log file: Logmeldungen anzeigen * Return: Untermenue verlassen Die Menuepunkte duerften selbsterklaerend sein, da sie keinerlei weitere Eingaben erwarten. Aus diesem Grund wird auf deren Funktion nicht weiter eingegangen. Die Aenderung der Konfiguration Die Konfiguration kann ueber den Menuepunkt `Edit configuration' geaendert werden. Standardmaessig wird der Editor aufgerufen, der in der Environment-Konfiguration ueber die Variable `EDITOR' festgelegt wurde. Nachdem der Editor beendet wurde wird abgefragt, ob die Konfiguration aktiviert werden soll. Wird dies bestaetigt, werden ueber ein Skript die Anpassungen umgehend wirksam gemacht. Die Konfigurationsdatei In der Konfigurationsdatei, die ueber das Menue zugaenglich ist, sind folgende Parameter vorhanden; wer sie von Hand editieren will findet sie unter /etc/config.d/stunnel. Die Parameter START_STUNNEL Fuer die Aktivierung des stunnel-Paketes muss diese Variable lediglich auf den Wert `yes' gestellt werden. Die Einstellung `no' deaktiviert das Stunnel-Paket. Gueltige Werte: yes, no Standardeinstellung: START_STUNNEL='no' STUNNEL_DEFAULT_CERT_FILE Ueber diesen Parameter kann eine Zertifikatsdatei im PEM-Format angegeben werden, welche standardmaessig das fuer einen Verbindungsaufbau benoetigte Zertifikat enthaelt. Im Servermodus ist die Angabe einer Zertifikatsdatei zwingend erforderlich. Die Datei muss sich im Verzeichnis /usr/local/ssl/certs befinden. Gueltige Werte: leer oder Name einer Zertifikatsdatei Standardeinstellung: STUNNEL_DEFAULT_CERT_FILE='' STUNNEL_DEFAULT_CERT_KEY Ueber diesen Parameter kann eine private Schluesseldatei im PEM-Format angegeben werden welche standardmaessig zur Authentifizierung eines Zertifikatsbesitzers verwendet werden soll. Die Datei muss sich im Verzeichnis /usr/local/ssl/private befinden. Gueltige Werte: leer oder Name einer Schluesseldatei Standardeinstellung: STUNNEL_DEFAULT_CERT_KEY='' STUNNEL_DEFAULT_PROTOCOL Ueber diesen Parameter wird das Protokoll eingestellt, welches zum Verbindungsaubau verwendet werden soll. Gueltige Werte: all (leer), ssl2, ssl3 oder tls1 Standardeinstellung: STUNNEL_DEFAULT_PROTOCOL='ssl3' STUNNEL_FIPS_ENABLED Ueber diesen Parameter kann eingestellt werden, ob Stunnel von der FIPS (Federal Information Processing Standard) Zertifizierung 140-2 von OpenSSL profitieren soll. Falls ja, muss als Transportprotokoll `TLSv1' verwendet werden. Gueltige Werte: yes oder no Standardeinstellung: STUNNEL_FIPS_ENABLED='no' Mittels der folgenden Parameter werden die individuellen Einstellungen einer Tunnelkonfiguration festgelegt. STUNNEL_N Ueber diesen Parameter wird die Anzahl der zu konfigurierenden Verbindungen festgelegt. Gueltige Werte: Zahl Standardeinstellung: STUNNEL_N='1' STUNNEL_x_ACTIVE Wird dieser Parameter auf den Wert `yes' gesetzt, so wird die zugehoerige Tunnelkonfiguration aktiviert, `no' deaktiviert sie. Gueltige Werte: yes oder no Beispiel: STUNNEL_1_ACTIVE='no' STUNNEL_x_NAME Ueber diesen Parameter kann man einen Namen fuer eine Tunnelkonfiguration festlegen. Gueltige Werte: Name Beispiel: STUNNEL_1_NAME='vpn-1' STUNNEL_x_CLIENT_MODE Ueber diesen Parameter aktiviert man den Client-Modus der Tunnelkonfiguration, der Parameter [2]STUNNEL_x_SERVER_MODE muss in diesem Fall auf den Wert `no' gesetzt werden. Gueltige Werte: yes oder no Standardeinstellung: STUNNEL_1_CLIENT_MODE='yes' STUNNEL_x_CLIENT_DELAYED_DNS Ueber diesen Parameter legt man fest, ob DNS-Anfragen bei Verbindungsanfragen verzoegert ausgefuehrt werden sollen. Dies kann sinnvoll sein, wenn dynamisches DNS verwendet wird oder DNS, z.B. bei einer Einwahlverbindung, noch nicht zur Verfuegung steht wenn der Tunnel gestartet wird. Gueltige Werte: yes oder no Standardeinstellung: STUNNEL_1_CLIENT_DELAYED_DNS='no' STUNNEL_x_CLIENT_LISTEN_HOST Ueber diesen Parameter legt man fest auf welcher IP-Adresse und welchem TCP-Port Verbindungsanfragen akzeptiert werden sollen. Wird nur ein Port aber kein Hostname angegeben, so werden Verbindungen ueber alle IP-Adressen des lokalen Rechners angenommen. Gueltige Werte: [Hostname:] und TCP-Port Standardeinstellung: STUNNEL_1_CLIENT_LISTEN_HOST='' STUNNEL_x_CLIENT_REMOTE_HOST Ueber diesen Parameter legt man fest zu welchem Host bzw. welcher IP-Adresse und welchem TCP-Port eine Verbindung aufgebaut werden soll. Wird nur ein Port aber kein Hostname angegeben, so wird standardmaessig `localhost' angenommen. Gueltige Werte: [Hostname:] und TCP-Port Standardeinstellung: STUNNEL_1_CLIENT_REMOTE_HOST='' STUNNEL_x_CLIENT_OUTGOING_IPADDR Ueber diesen Parameter legt man fest welche Netzwerkschnittstelle fuer ausgehende Verbindungen verwendet werden soll. Gueltige Werte: leer oder IP-Adresse Standardeinstellung: STUNNEL_1_CLIENT_OUTGOING_IPADDR='' STUNNEL_x_CLIENT_APP_PROTOCOL Ueber diesen Parameter kann festgelegt werden welches Applikationsprotokoll zur Aushandlung einer SSL/TLS-gesicherten Verbindung genutzt werden soll. Diese Option sollte nicht verwendet werden, wenn eine verschluesselte Verbindung ueber einen separaten Port aufgebaut werden soll. Die unterstuetzten Protokolle sind: + cifs: Dies ist eine propritaere, undokumentierte, Erweiterung des CIFS-Protokolls in Samba. + connect: Basierend auf RFC 2817 wird dieses Protokoll verwendet um eine TLS-gesicherte Verbindung, aufbauend auf eine HTTP/1.1-Verbindung, zu etablieren. Dieses Protokoll wird nur im Klientenmodus unterstuetzt. + imap: Basierend auf RFC 2595 wird dieses Protokoll verwendet um eine TLS-gesicherte IMAP-Verbindung aufzubauen. + nntp: Basierend auf RFC 4642 wird dieses Protokoll verwendet um eine TLS-gesicherte NNTP-Verbindung aufzubauen. Dieses Protokoll wird nur im Klientenmodus unterstuetzt. + pgsql: Siehe: [3]http://www.postgresql.org/docs/8.3/static/protocol-flow.htm l#AEN73982 + pop3: Basierend auf RFC 2449 wird dieses Protokoll verwendet um eine TLS-gesicherte POP3-Verbindung aufzubauen. + proxy: Haproxy IP-Adresse des Klienten. Siehe: [4]http://haproxy.1wt.eu/download/1.5/doc/proxy-protocol.txt + smtp: Basierend auf RFC 2487 wird dieses Protokoll verwendet um eine TLS-gesicherte SMTP-Verbindung aufzubauen. + socks: Es werden die SOCKS-Versionen 4, 4a und 5 unterstuetzt. Das SOCKS-Protokoll selbst wird in einem SSL/TLS-Layer gekapselt, um die finale Zieladresse zu verschleiern. Siehe: [5]http://www.openssh.com/txt/socks4.protocol Es gilt zu beachten, dass der BIND-Befehl nicht unterstuetzt und der USERID-Parameter ignoriert wird. Standardeinstellung: STUNNEL_1_CLIENT_APP_PROTOCOL='' STUNNEL_x_SERVER_MODE Ueber diesen Parameter aktiviert man den Server-Modus der Tunnelkonfiguration, der Parameter [6]STUNNEL_x_CLIENT_MODE muss in diesem Fall auf den Wert `no' gesetzt werden. Gueltige Werte: yes oder no Standardeinstellung: STUNNEL_1_SERVER_MODE='no' STUNNEL_x_SERVER_LISTEN_HOST Ueber diesen Parameter legt man fest auf welcher IP-Adresse und welchem TCP-Port Verbindungsanfragen akzeptiert werden sollen. Wird kein Hostname angegeben, so werden Verbindungen ueber alle IP-Adressen des lokalen Rechners angenommen. Gueltige Werte: leer oder [Hostname:] und TCP-Port Standardeinstellung: STUNNEL_1_SERVER_LISTEN_HOST='' STUNNEL_x_SERVER_COMMAND Ueber diesen Parameter kann ein lokales Programm angegeben werden welches nach einem Verbindungsaufbau ausgefuehrt werden soll. Gueltige Werte: Programm inkl. Pfad Beispiel: STUNNEL_1_SERVER_COMMAND='/usr/sbin/pppd' STUNNEL_x_SERVER_COMMAND_OPTION Ueber diesen Parameter koennen optionale Programmparameter fuer das ueber [7]STUNNEL_x_SERVER_COMMAND konfigurierte Programm angegeben werden. Gueltige Werte: Optionale Parameter Beispiel: STUNNEL_1_SERVER_COMMAND_OPTION='pppd local' STUNNEL_x_SERVER_APP_PROTOCOL Ueber diesen Parameter kann festgelegt werden welches Applikationsprotokoll zur Aushandlung einer SSL/TLS-gesicherten Verbindung genutzt werden soll. Diese Option sollte nicht verwendet werden, wenn eine verschluesselte Verbindung ueber einen separaten Port aufgebaut werden soll. Die unterstuetzten Protokolle sind: + cifs: Dies ist eine propritaere, undokumentierte, Erweiterung des CIFS-Protokolls in Samba. + imap: Basierend auf RFC 2595 wird dieses Protokoll verwendet um eine TLS-gesicherte IMAP-Verbindung aufzubauen. + pgsql: Siehe: [8]http://www.postgresql.org/docs/8.3/static/protocol-flow.htm l#AEN73982 + pop3: Basierend auf RFC 2449 wird dieses Protokoll verwendet um eine TLS-gesicherte POP3-Verbindung aufzubauen. + proxy: Haproxy IP-Adresse des Klienten. Siehe: [9]http://haproxy.1wt.eu/download/1.5/doc/proxy-protocol.txt + smtp: Basierend auf RFC 2487 wird dieses Protokoll verwendet um eine TLS-gesicherte SMTP-Verbindung aufzubauen. + socks: Es werden die SOCKS-Versionen 4, 4a und 5 unterstuetzt. Das SOCKS-Protokoll selbst wird in einem SSL/TLS-Layer gekapselt, um die finale Zieladresse zu verschleiern. Siehe: [10]http://www.openssh.com/txt/socks4.protocol Es gilt zu beachten, dass der BIND-Befehl nicht unterstuetzt und der USERID-Paramezter ignoriert wird. Standardeinstellung: STUNNEL_1_SERVER_APP_PROTOCOL='' STUNNEL_x_CERT_CHECK Ueber diesen Parameter legt man fest, ob und wie das Zertifikat der Gegenstelle ueberprueft werden soll. + 0 - Zertifikat nicht pruefen. + 1 - Zertifikat der Gegenstelle pruefen, wenn es existiert. + 2 - Zertifikat der Gegenstelle pruefen. + 3 - Zertifikat der Gegenstelle pruefen und mit den lokal installierten Zertifikaten vergleichen. + 4 - Zertifikat der Gegenstelle pruefen und dabei die CA-Zertifikatskette ignorieren. Gueltige Werte: Zahl Standardeinstellung: STUNNEL_1_CERT_CHECK='0' STUNNEL_x_CERT_FILE Ueber diesen Parameter kann eine Zertifikatsdatei im PEM-Format angegeben werden, welche das fuer einen Verbindungsaufbau benoetigte Zertifikat enthaelt. Im Servermodus ist die Angabe einer Zertifikatsdatei zwingend erforderlich. Die Datei muss sich im Verzeichnis /usr/local/ssl/certs befinden. Gueltige Werte: leer oder Zertifikatsdatei Standardeinstellung: STUNNEL_1_CERT_FILE='' STUNNEL_x_CERT_KEY Ueber diesen Parameter kann eine private Schluesseldatei im PEM-Format angegeben werden welche standardmaessig zur Authentifizierung eines Zertifikatsbesitzers verwendet werden soll. Die Datei muss sich im Verzeichnis /usr/local/ssl/private befinden. Gueltige Werte: leer oder Schluesseldatei Standardeinstellung: STUNNEL_1_CERT_KEY='' STUNNEL_x_PROTOCOL Ueber diesen Parameter wird das Sicherheitsprotokoll eingestellt, welches zum Verbindungsaubau verwendet werden soll. Gueltige Werte: all (leer), ssl2, ssl3 oder tls1 Standardeinstellung: STUNNEL_1_PROTOCOL='ssl3' STUNNEL_LOG_COUNT Ueber diesen Parameter wird eingestellt, wie viele Logdateien vorgehalten werden sollen. Wird dieser Wert ueberschritten, so wird immer die aelteste Logdatei geloescht. Gueltige Werte: Zahl Standardeinstellung: STUNNEL_LOG_COUNT='6' STUNNEL_LOG_INTERVAL Dieser Parameter bestimmt in welchen Intervallen die Logdateien archiviert werden sollen. Zur Auswahl stehen die Schluesselwoerter `daily' - taeglich, `weekly' - woechentlich und `monthly - monatlich. Gueltige Werte: daily, weekly, monthly Standardeinstellung: STUNNEL_LOG_INTERVAL='weekly' __________________________________________________________________ Juergen Edner 2016-01-15