• Zielgruppen
  • Suche
 

SSL-Tunnelung

Manchmal ist es notwendig, eine TCP-Verbindung durch ein Zusatzprogramm zu verschlüsseln. Früher war soetwas für einige Mail-Clienten bei POP3 nötig, damit auch diese Clienten POP3S (POP3 über SSL) sprechen konnten. Dieses sollte heute nicht mehr nötig sein, da aktuelle Mail-Clienten immer schon SSL oder TLS unterstützen. Trotzdem kann ein extern realisierter SSL-Tunnel auch heute noch interessant sein:

  • Viele Programme bieten eine LDAP-Authentifizierung, verschlüsseln aber die Verbindung zum LDAP-Server nicht. Ist auf dem LDAP-Server ein Nutzerpasswort nicht im Klartext sondern nur als Hash hinterlegt, dann kann kein Chalange-Response-Verfahren zum Einsatz kommen und das Passwort ginge im Klartext über das Netz. Hier ist auf Seite des LDAP-Clients ein SSL-Wrapper sinnvoll.
  • Einfache Server haben manchmal kein SSL-Support; einige haben zwar SSL-Support, können aber nicht mit Client-Zertifikaten umgehen oder diese prüfen. Hier kann ein SSL-Wrapper auf Server-Seite eingesetzt werden.
  • Einige Protokolle sind insgesamt schlecht oder gar nicht verschlüsselt, lassen evt. Man-in-the-Middle-Attacken zu. Hier kann durch Einsatz eines SSL-Wrappers auf Server- und Client-Seite die Verbindung verschlüsselt werden. Beispiele solcher Protokolle sind Remote-Desktop von Windows-XP oder viele VNC-Varianten, sogar Windows-Netzwerkfreigaben (TCP-Port 445).

Stunnel

Eigentlich der SSL-Wrapper schlechthin ist Stunnel:

Stunnel ist für Unix und Windows verfügbar. Es kann unter Unix als Daemon oder über inetd gestartet werden, unter Windows kann es als Dienst installiert werden.

Daneben gibt es noch ein eher an netcat angelehntes Programm, dass aber zusätzlich Funktionen ähnlich denen von Stunnel enthält, und bedingt auch für UDP geeignet ist: