Sicherer Datenkanal mit stunnel

Vertraulich

Vertrauensvolle Daten über eine unsichere Verbindung zu schicken, ist keine gute Idee und sollte grundsätzlich vermieden werden. Was aber tun, wenn ein Service keinen sicheren Kommunikationskanal anbietet und auch gerade kein VPN verfügbar ist? Der Open-Source-Tipp in diesem Monat gibt Rat.
Der Mailserver ist für Firmen das kommunikative Tor zur Welt. Hinzu kommen verschiedene Collaboration-Werkzeuge für die Zusammenarbeit der Mitarbeiter. Fallen ... (mehr)

Wer kennt nicht die folgende Situation: Sie sitzen gemütlich in einem Cafe oder Hotel, sind im lokalen WLAN angemeldet und surfen im Internet. Nun möchten Sie aber vielleicht nicht, dass

andere Benutzer desselben WLANs Ihr Surfverhalten nachverfolgen können. Oder noch schlimmer, ein Service erfordert die Eingabe von sensiblen Daten, beispielsweise zur Anmeldung, bietet aber keinen Schutz der Daten durch eine sichere TLS-Verbindung an. Solche Fälle sind leider auch im Jahre 2019 immer noch anzutreffen. Was also tun?

Die meisten Linux-Distributionen bieten von Hause aus ein Paket namens "stunnel" an. Hierbei handelt es sich um einen TLS-Wrapper, mit dem Sie ebenfalls einen Tunnel zwischen zwei Endpunkten aufbauen. Das Tool kann dabei sowohl im Client- als auch im Server-Mode agieren.

stunnel vorbereiten

Nachdem Sie das Paket stunnel aus dem Repository der Distribution geladen und installiert haben, müssen Sie die Konfigurationsdatei "/etc/stunnel/stunnel.conf" entsprechend anpassen. Sollte diese nicht vorhanden sein, finden sich zumeist Beispielkonfigurationen im Dokumentationsverzeichnis "/usr/share/doc/stunnel*/". Das folgende Beispiel zeigt eine sehr einfache Konfiguration, um stunnel als reinen TLS-Client zu verwenden:

; globale Einstellungen
sslVersion = TLSv1.2
chroot = /var/run/stunnel
setuid = nobody
setgid = nobody
pid = /stunnel.pid
socket = l:TCP_NODELAY=1
socket = r:TCP_NODELAY=1
CAfile = /etc/pki/tls/certs/roots.pem
verifyChain = yes
 
[gmail-smtp]
client = yes
accept = 127.0.0.1:1234
 ...
                

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.

comments powered by Disqus

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Google+

Ausgabe /2019