Практика использования stunnel
Сегодня всякая сеть. В-первых прдлжение про безпасность, причём практическая. Хотели попробовать stunnel, ssh.
Вспомним про stunnel и попробуем его настроить, чтобы показать, каким образм, почему SSL --- протокол 6 уровня ISO/OSI, в любом случае, реализация его полностью оторвана от прикл. уровня, в тличие от TLS? реализация которого встраивается в протокол прикл.ю урвня.
Для начала установим этт пакет. Он не входит в состав ПСПО (входит, взодит), но входит в бранч 4.0. stunnel это программа, котрая может служить и клиентом, и сервером для организации туннеля, защищённого с помощью ssl, между клиентской и серверной машиныю При этом в случае клиентской машины она орг. доступ до https/imaps/..., а со стороны клиента пзв. откр. порт, к кторому мжно подкл. без ssl. Исп. ... сстоит в том, чтобы подклю по ...., а после того, как это подкл. призошло, расшифр. траффик предст. в виде ещё одного сокета на локальной машине, к которому можно подкл, не зная про ssl.
В качестве примера рассм. https://webmail.cs.msu.su/, где можно видеть отпечатки пальцев. Кнечно, если есть злоумышленник между вами и сайтом доверенным, т он может сущ. и такую перация: не только подм. сертификаты, но и анализирвать и менять траффик, но вероятность пдбного сильно уменьшается, пскольку злумышленнику надо найти место на сайте, где клю публикован и подменять это место.
Почитаем ман по stunnel. Там внизу нарисован второй способ исп. stunnel --- в случае, если сервер не умеет орг. нрм. ssl, а вам хочется шифровать соединение, причём это серверы-фильтры, как в xinetd. И для орг. ssl они вместо xinetd исп. в stunnel.
На stunnel.org есть примеры.
Два параметра: -d, чтобы он рабтал в качестве демна, -r --- к какому порту присоединяться, птом двоеточие, номер порта. Обратите внимание на т, что можно исп. как числовые номера, так и символьные, есть орг. IANA, которая среди прочего регистрирует номера портов, и они хранятся в файле /etc/services
Теперь мы можем зайти на localhost:8088 и увидеть то же самое. Зачем вобще такое нужн? Когда вы заходите на локалхост, считается, что подсмотреть трафик очень сложно, а те, кто могут, имеют рута на машине и тогда уже всё равно. Если такого нету, то есть, подсоединение по сети в защ. режиме может нанести ... .
Лектор посмотрит, как скрипт генерирует сертификаты, у него есть разные опции, в том числе подписывание, и может быть можно будет запустить его со стороны сервера, чтобы он преобр. 80-й порт в какой ещё.
На чём часть пр стуннель заканчивается... Лектор исп. stunnel, когда не было у imapd ssl, был с ssl только циррус, а н большой и страшный.
Сведения о ресурсах
Готовность (%) |
Продолжительность (ак. ч.) |
Подготовка (календ. ч.) |
Полный текст (раб. д.) |
Предварительные знания |
Level |
Maintainer |
Start date |
End date |
0 |
1 |
1 |
1 |
|
1 |
|
|