Uživatelský modul Stunnel APLIKAC NÍ PR ÍRUC KA
POUŽITÉ SYMBOLY Použité symboly Nebezpec í du ležité upozorne ní, které mu že mít vliv na bezpec í osoby nebo funkc nost pr ístroje. Pozor upozorne ní na možné problémy, ke kterým mu že dojít ve specifických pr ípadech. Informace, poznámka informace, které obsahují užitec né rady, nebo zajímavé poznámky. GPL licence Zdrojové kódy, na které se vztahuje GPL licence, jsou dostupné bez poplatku po zaslání žádosti na adresu: info@conel.cz. Conel s.r.o., Sokolská 71, 562 04 Ústi nad Orlicí, C eská Republika Pr íruc ka byla vydána v C R, 6. br ezna 2015 i
OBSAH Obsah 1 Popis uživatelského modulu 1 2 Konfigurace 3 2.1 Vzorový příklad.................................... 4 3 Systémový log 6 4 Doporučená literatura 7 ii
SEZNAM OBRÁZKŮ Seznam obrázků 1 Změna po aktivaci stunnelu............................. 1 2 Webové rozhraní................................... 2 3 Konfigurační formulář................................ 3 4 Příklad konfigurace Stunnelu............................ 4 5 Příklad konfigurace SMTP.............................. 5 6 Schéma příkladu konfigurace Stunnelu....................... 5 7 Systémový log.................................... 6 iii
SEZNAM TABULEK Seznam tabulek 1 Popis položek v konfiguračním formuláři...................... 3 iv
1. POPIS UŽIVATELSKÉHO MODULU 1. Popis uživatelského modulu Uživatelský modul Stunnel není součástí standardního firmware routeru. Způsob, jakým jej lze nahrát, je popsán v Konfiguračním manuálu (viz [1, 2]). Uživatelský modul je kompatibilní s v2 a v3 routery. Tento modul umožňuje vytvořit šifrovaný sít ový tunel, pro nějž platí, že na jednom konci bud na vstupu, nebo na výstupu jsou data zabalená v SSL. To znamená, že vstupující data jsou bud šifrovaná, pak vystupují dešifrovaná, nebo naopak. Stunnel je tedy primárně určen pro přidání SSL šifrování ke komunikačním kanálům, které jej samy o sobě nepodporují, čímž dochází ke značnému zvýšení bezpečnosti komunikace (v rámci těchto kanálů). Lze jej využít jako doplňující funkcionalitu pro běžně používané servery spouštěné Inetd démonem (linuxový démon, jehož úkolem je naslouchat komunikaci na sít ovém rozhraní a podle potřeby spouštět servery pro obsluhu požadavků), mezi které např. patří POP2, POP3 nebo IMAP. SSL šifrování lze díky tomuto modulu přidat také ke službám NNTP, SMTP a HTTP spouštěným nezávislými démony (standalone) nebo k PPP tunelům. Na příkladu níže je znázorněno, jakým způsobem dojde ke změně na komunikační trase po aktivaci stunnelu. Obrázek 1: Změna po aktivaci stunnelu 1
1. POPIS UŽIVATELSKÉHO MODULU Pro konfiguraci Stunnel modulu je k dispozici webové rozhraní, které vyvoláte kliknutím na jméno modulu na stránce User modules webového rozhraní příslušného routeru. V levé části webového rozhraní modulu je umístěno menu, kde se nachází položky System Log a Return, přičemž Return přepíná z rozhraní tohoto modulu na rozhraní příslušného routeru. V pravé části je pak stránka s konfiguračním formulářem. Obrázek 2: Webové rozhraní 2
2. KONFIGURACE 2. Konfigurace Konfigurace uživatelského modulu Stunnel se provádí prostřednictvím konfiguračního formuláře ve webovém rozhraní modulu. První položka Enable Stunnel slouží k aktivaci tohoto modulu. Následuje blok, jehož součástí jsou položky mající tento význam: Položka Name Accept Port Connect Port Host Protocol Význam Aktivuje/Deaktivuje nadefinovaný stunnel Libovolné jméno daného stunnelu Číslo portu, na kterém se odposlouchává. Číslo portu, na který jsou posílána odposlechnutá data. Adresa serveru, ke kterému se stunnel připojuje. Specifikuje (internetový) přenosový protokol. Zvolit lze SMTP, IMAP, POP3, CIFS, NNTP nebo protokol nedefinovat. Tabulka 1: Popis položek v konfiguračním formuláři Není-li položka Host vyplněna, je stunnel vytvořen v režimu server. V opačném případě je vytvořený stunnel v režimu client. Obrázek 3: Konfigurační formulář 3
2. KONFIGURACE 2.1 Vzorový příklad Představte si, že pro přenos zpráv elektronické pošty využíváte internetový protokol SMTP a chcete přenášená data zabalit do SSL. Stunnel je potřeba nastavit tímto způsobem: Jméno (Name) lze zvolit libovolně, např.: MailTunnel. Accept port bude mít hodnotu 25. Connect port nastavte na 465. Položka Host bude nastavena v závislosti na provozovateli emailové služby. Pro Gmail je to např.: smtp.gmail.com. Nakonec nezapoměňte zatrhnout políčko pro aktivaci stunnelu a také položku Enable Stunnel pro aktivaci modulu. Obrázek 4: Příklad konfigurace Stunnelu Zároveň je potřeba ve webovém rozhraní routeru nakonfigurovat SMTP, což v našem případě znamená následující: SMTP Server Address bude obsahovat adresu localhostu, čili 127.0.0.1. Do kolonek Username a Pasword vyplňte své přihlašovací údaje. V položce Own Email Address bude vyplněn Váš email. 4
2. KONFIGURACE Obrázek 5: Příklad konfigurace SMTP Na obrázku níže je schematicky znázorněna situace odpovídající popisovanému příkladu. Obrázek 6: Schéma příkladu konfigurace Stunnelu 5
3. SYSTÉMOVÝ LOG 3. Systémový log V případě jakýchkoliv problémů s připojením je možné vyvolat systémový log volbou položky System Log v menu. Zobrazí se okno, v němž jsou uvedena podrobná hlášení od jednotlivých aplikací běžících v routeru. Činnost Stunnel modulu je v systémovém logu indikována řádky začínajícími slovem stunnel. Pomocí tlačítka Save Log je možné systémový log uložit do připojeného počítače. Obrázek 7: Systémový log 6
4. DOPORUČENÁ LITERATURA 4. Doporučená literatura [1] Conel: Konfigurační manuál pro v2 routery [2] Conel: Konfigurační manuál pro v3 routery 7