Различия между версиями 1 и 13 (по 12 версиям)
Версия 1 от 2008-08-01 03:30:34
Размер: 5576
Редактор: eSyr
Комментарий:
Версия 13 от 2008-08-04 12:46:54
Размер: 8353
Редактор: DmitryChistikov
Комментарий:
Удаления помечены так. Добавления помечены так.
Строка 3: Строка 3:
Сегодня всякая сеть. В-первых прдлжение про безпасность, причём практическая. Хотели попробовать stunnel, ssh. Установим пакет stunnel командой `apt-get install stunnel` (для этого, возможно, придется подключить дополнительные репозитории: он не входит в состав ALT Linux Lite, но есть в школьном бранче) и рассмотрим соответствующую программу "поближе". Stunnel может служить как клиентом, так и сервером для организации защищенного с помощью SSL туннеля.
Строка 5: Строка 5:
Вспомним про stunnel и попробуем его настроить, чтобы показать, каким образм, почему SSL --- протокол 6 уровня ISO/OSI, в любом случае, реализация его полностью оторвана от прикл. уровня, в тличие от TLS? реализация которого встраивается в протокол прикл.ю урвня. В первом случае stunnel запускается с клиентской машины и организует доступ к серверу, принимающему защищенные с помощью SSL подключения. Она прокидывает к серверу туннель и открывает на клиентской машине специальный порт, к которому можно подключаться без SSL. Подключения будут автоматически защищаться SSL и пробрасываться на сервер (работу с SSL при такой схеме stunnel берет на себя).
Строка 7: Строка 7:
Для начала установим этт пакет. Он не входит в состав ПСПО (входит, взодит), но входит в бранч 4.0. stunnel это программа, котрая может служить и клиентом, и сервером для организации туннеля, защищённого с помощью ssl, между клиентской и серверной машиныю При этом в случае клиентской машины она орг. доступ до https/imaps/..., а со стороны клиента пзв. откр. порт, к кторому мжно подкл. без ssl. Исп. ... сстоит в том, чтобы подклю по ...., а после того, как это подкл. призошло, расшифр. траффик предст. в виде ещё одного сокета на локальной машине, к которому можно подкл, не зная про ssl. Второй способ использования stunnel состоит в организации защиты для не умеющего SSL сервера (pppd, imapd). Схема работы stunnel в таком случае напоминает использование xinetd, только в данном случае соединения принимаются программой stunnel (она берет на себя создание SSL-прослойки), которая выступает в роли фильтра.
Строка 9: Строка 9:
В качестве примера рассм. https://webmail.cs.msu.su/, где можно видеть отпечатки пальцев. Кнечно, если есть злоумышленник между вами и сайтом доверенным, т он может сущ. и такую перация: не только подм. сертификаты, но и анализирвать и менять траффик, но вероятность пдбного сильно уменьшается, пскольку злумышленнику надо найти место на сайте, где клю публикован и подменять это место. Проиллюстрируем первый способ использования Stunnel. Рассмотрим сайт https://webmail.cs.msu.su/ --- web-интерфейс почтового сервера факультета ВМК МГУ. При подключении к данному сайту браузер обратит наше внимание на то, что подключение защищено с помощью SSL, адресная строка при этом имеет желтый фон:
Строка 11: Строка 11:
Почитаем ман по stunnel. Там внизу нарисован второй способ исп. stunnel --- в случае, если сервер не умеет орг. нрм. ssl, а вам хочется шифровать соединение, причём это серверы-фильтры, как в xinetd. И для орг. ssl они вместо xinetd исп. в stunnel. {{attachment:../https_site.png}}
Строка 13: Строка 13:
На stunnel.org есть примеры. Указанные на сайте "отпечатки пальцев" --- это значения двух различных хэш-функций от публичного ключа сервера. Если просмотреть свойства сайта, то среди информации об используемом сертификате мы увидим такие же отпечатки:
Строка 15: Строка 15:
Два параметра: -d, чтобы он рабтал в качестве демна, -r --- к какому порту присоединяться, птом двоеточие, номер порта. Обратите внимание на т, что можно исп. как числовые номера, так и символьные, есть орг. IANA, которая среди прочего регистрирует номера портов, и они хранятся в файле /etc/services {{attachment:../https_site_properties.png}}
Строка 17: Строка 17:
Теперь мы можем зайти на localhost:8088 и увидеть то же самое. Зачем вобще такое нужн? Когда вы заходите на локалхост, считается, что подсмотреть трафик очень сложно, а те, кто могут, имеют рута на машине и тогда уже всё равно. Если такого нету, то есть, подсоединение по сети в защ. режиме может нанести ... . Это совпадение и должно убеждать нас в том, что сайт "подлинный", то есть с нами "разговаривает" именно webmail.cs.msu.su. Конечно, злоумышленник может встать на пути между нами и доверенным сайтом и выполнить более сложную операцию: подменить не только сертификат, но и поменять значение "отпечатков пальцев" на странице. Вероятность подобного, однако, значительно меньше: необходимо найти место на сайте, где опубликованы соответствующие значения, фильтровать содержимое http-трафика и подменять опубликованные "отпечатки" своими.
Строка 19: Строка 19:
Лектор посмотрит, как скрипт генерирует сертификаты, у него есть разные опции, в том числе подписывание, и может быть можно будет запустить его со стороны сервера, чтобы он преобр. 80-й порт в какой ещё. Посмотрим в документацию: man stunnel. Полезно также изучить примеры с stunnel.org.
Строка 21: Строка 21:
На чём часть пр стуннель заканчивается... Лектор исп. stunnel, когда не было у imapd ssl, был с ssl только циррус, а н большой и страшный. Обратим внимание на следующие параметры:

 * -P --- в каком каталоге хранить PID-файл;
 * -c --- работать в режиме клиента (первый из описанных нами вариантов);
 * -d --- работать в режиме демона и принимать соединения на указанный порт;
 * -r --- адрес и порт сервера.

Пусть PID-файл хранится в нашем домашнем каталоге ~. Подключаемся мы к машине webmail.cs.msu.su по порту https (он имеет номер 443, о чем можно узнать в /etc/services). В качестве же локального порта укажем 8088 (стандартный порт http --- 80 --- может быть занят обычным web-сервером, а 8080 в нашем случае используется alterator-httpd).

{{{
$ /usr/sbin/stunnel -P ~ -c -d 8088 -r webmail.cs.msu.su:https
}}}

Поскольку мы указали программе stunnel работать в режиме демона, то мы снова увидим приглашение командной строки. Проверим, принимает ли теперь stunnel соединения. Перейдем в режим суперпользователя и воспользуемся утилитой netstat (ключ -l предписывает выводить лишь "слушающие" listening сокеты, -t --- только TCP-сокеты, -n указывает не использовать символьные имена портов и адресов, -p заставляет вывести PID и имя слушающей программы):

{{{
# netstat -ltnp | grep stunnel
tcp 0 0 0.0.0.0:8088 0.0.0.0:* LISTEN 4667/stunnel
}}}

Как видно, stunnel успешно запустилась и принимает соединения.

Если мы теперь попробуем подключиться с помощью браузера к localhost:8088, мы увидим обычный "незащищенный" сайт:

{{attachment:../https_site_stunnel.png}}

Зачем может пригодиться такая схема? В результате наших действий незащищенное подключение устанавливается только к локальной машине (localhost). Считается, что подсмотреть трафик в этом случае очень сложно. Те, у кого такая возможность есть, обычно обладают "полноценными" правами суперпользователя на данной машине, а значит, имеют практически неограниченные возможности обхода любой защиты. Если же этот вариант исключить, то остается "подсматривать" внутрь защищенного SSL подключения по сети, что в нормальном случае довольно бесполезно.
Строка 29: Строка 56:
|| 0  || 1 || 1 || 1 || || 1 || SergeyKorobkov, DmitryChistikov, MaximByshevskiKonopko || || || || 40 || 1 || 1 || 1 || || 1 || SergeyKorobkov, DmitryChistikov, MaximByshevskiKonopko || || ||

Практика использования stunnel

Установим пакет stunnel командой apt-get install stunnel (для этого, возможно, придется подключить дополнительные репозитории: он не входит в состав ALT Linux Lite, но есть в школьном бранче) и рассмотрим соответствующую программу "поближе". Stunnel может служить как клиентом, так и сервером для организации защищенного с помощью SSL туннеля.

В первом случае stunnel запускается с клиентской машины и организует доступ к серверу, принимающему защищенные с помощью SSL подключения. Она прокидывает к серверу туннель и открывает на клиентской машине специальный порт, к которому можно подключаться без SSL. Подключения будут автоматически защищаться SSL и пробрасываться на сервер (работу с SSL при такой схеме stunnel берет на себя).

Второй способ использования stunnel состоит в организации защиты для не умеющего SSL сервера (pppd, imapd). Схема работы stunnel в таком случае напоминает использование xinetd, только в данном случае соединения принимаются программой stunnel (она берет на себя создание SSL-прослойки), которая выступает в роли фильтра.

Проиллюстрируем первый способ использования Stunnel. Рассмотрим сайт https://webmail.cs.msu.su/ --- web-интерфейс почтового сервера факультета ВМК МГУ. При подключении к данному сайту браузер обратит наше внимание на то, что подключение защищено с помощью SSL, адресная строка при этом имеет желтый фон:

../https_site.png

Указанные на сайте "отпечатки пальцев" --- это значения двух различных хэш-функций от публичного ключа сервера. Если просмотреть свойства сайта, то среди информации об используемом сертификате мы увидим такие же отпечатки:

../https_site_properties.png

Это совпадение и должно убеждать нас в том, что сайт "подлинный", то есть с нами "разговаривает" именно webmail.cs.msu.su. Конечно, злоумышленник может встать на пути между нами и доверенным сайтом и выполнить более сложную операцию: подменить не только сертификат, но и поменять значение "отпечатков пальцев" на странице. Вероятность подобного, однако, значительно меньше: необходимо найти место на сайте, где опубликованы соответствующие значения, фильтровать содержимое http-трафика и подменять опубликованные "отпечатки" своими.

Посмотрим в документацию: man stunnel. Полезно также изучить примеры с stunnel.org.

Обратим внимание на следующие параметры:

  • -P --- в каком каталоге хранить PID-файл;
  • -c --- работать в режиме клиента (первый из описанных нами вариантов);
  • -d --- работать в режиме демона и принимать соединения на указанный порт;
  • -r --- адрес и порт сервера.

Пусть PID-файл хранится в нашем домашнем каталоге ~. Подключаемся мы к машине webmail.cs.msu.su по порту https (он имеет номер 443, о чем можно узнать в /etc/services). В качестве же локального порта укажем 8088 (стандартный порт http --- 80 --- может быть занят обычным web-сервером, а 8080 в нашем случае используется alterator-httpd).

$ /usr/sbin/stunnel -P ~ -c -d 8088 -r webmail.cs.msu.su:https

Поскольку мы указали программе stunnel работать в режиме демона, то мы снова увидим приглашение командной строки. Проверим, принимает ли теперь stunnel соединения. Перейдем в режим суперпользователя и воспользуемся утилитой netstat (ключ -l предписывает выводить лишь "слушающие" listening сокеты, -t --- только TCP-сокеты, -n указывает не использовать символьные имена портов и адресов, -p заставляет вывести PID и имя слушающей программы):

# netstat -ltnp | grep stunnel
tcp     0    0 0.0.0.0:8088     0.0.0.0:*         LISTEN       4667/stunnel

Как видно, stunnel успешно запустилась и принимает соединения.

Если мы теперь попробуем подключиться с помощью браузера к localhost:8088, мы увидим обычный "незащищенный" сайт:

../https_site_stunnel.png

Зачем может пригодиться такая схема? В результате наших действий незащищенное подключение устанавливается только к локальной машине (localhost). Считается, что подсмотреть трафик в этом случае очень сложно. Те, у кого такая возможность есть, обычно обладают "полноценными" правами суперпользователя на данной машине, а значит, имеют практически неограниченные возможности обхода любой защиты. Если же этот вариант исключить, то остается "подсматривать" внутрь защищенного SSL подключения по сети, что в нормальном случае довольно бесполезно.


Сведения о ресурсах

Готовность (%)

Продолжительность (ак. ч.)

Подготовка (календ. ч.)

Полный текст (раб. д.)

Предварительные знания

Level

Maintainer

Start date

End date

40

1

1

1

1

SergeyKorobkov, DmitryChistikov, MaximByshevskiKonopko


CategoryLectures CategoryPspo CategoryMpgu CategoryUneex

PspoClasses/080730/01Stunnel (последним исправлял пользователь MaximByshevskiKonopko 2008-10-09 21:54:14)