SSL-Tunnelung

Manchmal ist es notwendig, eine TCP-Verbindung durch ein Zusatzprogramm zu verschlüsseln. Früher war soetwas für einige Mail-Clienten bei POP3 nötig, damit auch diese Clienten POP3S (POP3 über SSL) sprechen konnten. Dieses sollte heute nicht mehr nötig sein, da aktuelle Mail-Clienten immer schon SSL oder TLS unterstützen. Trotzdem kann ein extern realisierter SSL-Tunnel auch heute noch interessant sein:

• Viele Programme bieten eine LDAP-Authentifizierung, verschlüsseln aber die Verbindung zum LDAP-Server nicht. Ist auf dem LDAP-Server ein Nutzerpasswort nicht im Klartext sondern nur als Hash hinterlegt, dann kann kein Chalange-Response-Verfahren zum Einsatz kommen und das Passwort ginge im Klartext über das Netz. Hier ist auf Seite des LDAP-Clients ein SSL-Wrapper sinnvoll.
• Einfache Server haben manchmal kein SSL-Support; einige haben zwar SSL-Support, können aber nicht mit Client-Zertifikaten umgehen oder diese prüfen. Hier kann ein SSL-Wrapper auf Server-Seite eingesetzt werden.
• Einige Protokolle sind insgesamt schlecht oder gar nicht verschlüsselt, lassen evt. Man-in-the-Middle-Attacken zu. Hier kann durch Einsatz eines SSL-Wrappers auf Server- und Client-Seite die Verbindung verschlüsselt werden. Beispiele solcher Protokolle sind Remote-Desktop von Windows-XP oder viele VNC-Varianten, sogar Windows-Netzwerkfreigaben (TCP-Port 445).

Eigentlich der SSL-Wrapper schlechthin ist Stunnel:

• Offizielle Homepage von Stunnel
• inoffizelle Hompage mit FAQ

Stunnel ist für Unix und Windows verfügbar. Es kann unter Unix als Daemon oder über inetd gestartet werden, unter Windows kann es als Dienst installiert werden.