51CTO首页
AI.x社区
博客
学堂
精品班
软考社区
免费课
企业培训
鸿蒙开发者社区
WOT技术大会
IT证书
公众号矩阵
移动端
短视频免费课程课程排行直播课软考学堂
全部课程厂商认证IT技术25年5月软考PMP项目管理免费题库
在线学习
文章资源问答课堂专栏直播
51CTO
鸿蒙开发者社区
51CTO技术栈
51CTO官微
51CTO学堂
51CTO博客
CTO训练营
鸿蒙开发者社区订阅号
51CTO软考
51CTO学堂APP
51CTO学堂企业版APP
鸿蒙开发者社区视频号
51CTO软考题库
账号设置 退出

Stunnel:用途广泛的SSL加密封装器

作者:John Viega
安全 数据安全
有一种方法可以将加密功能无缝添加到网络连接中,而不会将您原来的代码段基址搞乱。Stunnel 是一个程序,可以使用 OpenSSL 库对任意 TCP 会话进行加密。它作为服务器运行在程序外部。

stunnel用来对远程客户端和本地机(可启动inetd的:inetd-startable)或远程服务器间的SSL加密进行封装。它可以在不修改任何代码的情况下,为一般的使用inetd daemon的POP2、POP3和IMAP服务器添加SSL功能。它通过使用OpenSSL或SSLeay库建立SSL连接。

下载链接:http://down.51cto.com/data/157863

>>去网络安全工具百宝箱看看其它安全工具

有一种方法可以将加密功能无缝添加到网络连接中,而不会将您原来的代码段基址搞乱。Stunnel 是一个程序,可以使用 OpenSSL 库对任意 TCP 会话进行加密。它作为服务器运行在程序外部。Stunnel 服务器主要执行两个功能:一,首先,接收未加密的数据流,进行 SSL 加密,然后将其通过网络发送;二,对已进行 SSL 加密的数据流进行解密,并将其通过网络发送给另一个程序(该程序通常驻留在同一机器上,以避免本地网络上的窥探攻击)。

这样,在必要时,您就可以很容易地运行未加密的程序,当您想要“嗅探”网络,看看到底有什么东西正在通过网络时,这一点很有用。

即使您是一个系统管理员,而不是一个开发者,Stunnel 对您来说也是一个强大的武器,因为它可以向不启用 SSL 的服务器端软件添加 SSL。例如,我已经使用 Stunnel 来保护 POP、SMTP 和 IMAP 服务器。唯一不太尽人意的地方是要使用这些服务器的安全版本,客户机必须是可识别 SSL 的。

Stunnel 要求已经安装了 OpenSSL。它已被移植到了 Windows,以及大多数 UNIX 平台。

一旦安装了 Stunnel,用它来保护服务器就很轻松。例如,您可以通过将常规服务绑定到本地主机使 IMAP 服务器启用 SSL,然后在外部 IP 地址(假设 IMAP 服务器已经在运行,且外部地址为 192.168.100.1)运行 Stunnel:

  1. stunnel -d 192.168.100.1:imap2 -r 127.0.0.1:imap2 

-d 标志指定我们希望用来运行自己的安全服务的端口。 imap2 字符串指定使用标准 IMAP 端口;我们也可以将其设为 143。Stunnel 检查 "/etc/services" 文件以便将符号名映射到端口号。并非所有的机器都拥有这个文件(有些机器并不列出所有的标准服务),所以使用数字比使用服务名更方便。

-r 标志指定未加密的 IMAP 服务器运行所在的端口。

这个解决方案要求您的 IMAP 服务器只在回送(loopback)接口上侦听。如果 IMAP 服务器绑定到 IP 地址“0.0.0.0”,那么它将侦听机器上每个 IP 地址上的信息,包括 192.168.100.1;这会导致出现一条出错消息,指出我们的安全服务端口已在使用中。大多数服务都可以配置为只绑定到一个接口。不然的话,可能要更改一行代码。

另外,您可以将一个未加密的服务器设在一个非标准端口上。例如,您可以在端口 1143 上运行 IMAP,然后将安全的 IMAP 数据流转发到该端口。一般情况下,您不希望其它机器上的用户访问您未加密的服务。运行服务的机器上的个人防火墙可以加强这种策略。

使用 Stunnel 来保护如 IMAP 等服务面临的一个问题是服务器只接收来自我们提供的 Stunnel 服务器的连接。因此,所有的连接都看起来好象是来自本地机器。在 Linux 上,可以通过传递 -T 标志避开这个问题,传递 -T 标志可以使 Stunnel 服务器透明地代理信息包,这样真正的服务器就可以得到接收到的所有信息包中的正确的源地址。#p#

用于客户机的Stunnel

还可以使用客户机的 Stunnel 与服务器连接,不过要多做一些工作。首先,必须生成 Stunnel 作为外部进程。在基于 UNIX 的系统上,执行这个操作的最好方法是 fork() 客户机,并让子进程 execv() stunnel 。父进程必须准备两套文件描述符用来与子进程通信 ― 一对用于从 Stunnel 进程读取数据,另一对用于通过网络发送数据。这个工作量不小。实现这项功能的示例代码,提供一个简单的函数调用 run_cmd ,掩盖潜在的复杂性; run_cmd 使用一个字符串指出要运行的命令,并返回一个 PIPE 对象,该对象有一个文件描述符,套接字使用该文件描述符进行读写操作:

  1. pipe.h:  
  2.  
  3. #ifndef POPEN_H__  
  4. #define POPEN_H__  
  5.  
  6. #include <sys/types.h>  
  7. #include <stdio.h>  
  8.  
  9. #define EXITVAL        127  
  10.  
  11. typedef struct pipe_st {  
  12.   FILE           *read_ptr;  
  13.   FILE           *write_ptr;  
  14.   pid_t           pid;  
  15. } PIPE;  
  16.  
  17. PIPE *run_cmd(char *cmd);  
  18. int   pipe_close(PIPE *p);  
  19. #endif POPEN_H__  
  20.  
  21.  
  22.  
  23. pipe.c:  
  24.  
  25. #include <sys/wait.h>  
  26. #include <unistd.h>  
  27. #include <fcntl.h>  
  28. #include <signal.h>  
  29. #include <errno.h>  
  30. #include <stdlib.h>  
  31.  
  32. #include "pipe.h"  
  33.  
  34. /* We allow double quotes and \ to escape spaces.  
  35.  * All backslashes are "processed", despite the value  
  36.  * of the next character. (Though \\ -> \).  
  37.  * We don't care if there's a missing trailing quote,  
  38.  * even if it should really be a syntax error.  
  39.  */ 
  40. static char **  
  41. to_words(char *arg) {  
  42.   char **arr;  
  43.   char  *p = arg;  
  44.   int    nw = 1;  
  45.   int    slc = 0;  
  46.   int    slm = 0;  
  47.   char   c;  
  48.   short  quote = 0;  
  49.   char  *cur;  
  50.  
  51.  
  52.   /* Build a rough approximation of the number of words,  
  53.    * simply so we don't malloc too low.  
  54.    */ 
  55.   while((c = *p++)) {  
  56.     if(c == '"' || c == ' ') {  
  57.       nw++;  
  58.       if(slm < slc) slm = slc;  
  59.       slc = 0;  
  60.     }  
  61.   }  
  62.   arr = (char **)malloc(sizeof(char *)*(nw+1));  
  63.   quote = nw = slc = 0;  
  64.   p = arg;  
  65.   cur = (char *)malloc(sizeof(char)*(slm+1));  
  66.   arr[nw++] = cur;  
  67.   while((c = *p++)) {  
  68.     switch(c) {  
  69.     case '"':  
  70.       quote = !quote;  
  71.       continue;  
  72.     case ' ':  
  73.       if(quote) {  
  74.     *cur++ = c;  
  75.     slc++;  
  76.     continue;  
  77.       } else {  
  78.     if(!slc) continue;  
  79.     *cur = 0;  
  80.     cur = (char *)malloc(sizeof(char)*(slm+1));  
  81.     arr[nw++] = cur;  
  82.     slc = 0;  
  83.     continue;  
  84.       }  
  85.     case '\\':  
  86.       if(*p) {  
  87.     *cur++ = *p++;  
  88.     slc++;  
  89.     continue;  
  90.       }  
  91.     default:  
  92.       *cur++ = c;  
  93.       slc++;  
  94.       continue;  
  95.     }  
  96.   }  
  97.   *cur = 0;  
  98.   arr[nw] = 0;  
  99.   return arr;  
  100. }  
  101.  
  102. PIPE *  
  103. run_cmd(char *cmd) {  
  104.   int    prpd[2];  
  105.   int    pwpd[2];  
  106.   pid_t  pid;  
  107.   char **args;  
  108.   PIPE  *ret;  
  109.  
  110.   args = to_words(cmd);  
  111.  
  112.   if(pipe(prpd) < 0 || pipe(pwpd) < 0) {  
  113.     return 0; /* Pipe failed. */ 
  114.   }  
  115.  
  116.   pid = fork();  
  117.   switch(pid) {  
  118.   case -1:  
  119.     close(prpd[STDIN_FILENO]);  
  120.     close(prpd[STDOUT_FILENO]);  
  121.     close(pwpd[STDIN_FILENO]);  
  122.     close(pwpd[STDOUT_FILENO]);  
  123.     return 0; /* Fork failed. */ 
  124.     /* Here we can only exit on error. */ 
  125.   case 0:  
  126.     /* Child...  */ 
  127.     if(dup2(pwpd[STDIN_FILENO], STDIN_FILENO) < 0) {  
  128.       exit(EXITVAL);  
  129.     }  
  130.     if(dup2(prpd[STDOUT_FILENO], STDOUT_FILENO) < 0) {  
  131.       exit(EXITVAL);  
  132.     }  
  133.  
  134.     close(pwpd[STDIN_FILENO]);  
  135.     close(pwpd[STDOUT_FILENO]);  
  136.     close(prpd[STDIN_FILENO]);  
  137.     close(prpd[STDOUT_FILENO]);  
  138.     execv(args[0], args);  
  139.     exit(EXITVAL);  
  140.   default:  
  141.     ret = (PIPE *)malloc(sizeof(PIPE));  
  142.     ret->read_ptr = ret->write_ptr = 0;  
  143.     ret->pid = pid;  
  144.     close(pwpd[0]);  
  145.     fcntl(pwpd[1], F_SETFD, FD_CLOEXEC);  
  146.     ret->write_ptr = fdopen(pwpd[1], "wb");  
  147.     if(!ret->write_ptr) {  
  148.       int old = errno;  
  149.       kill(pid, SIGKILL);  
  150.       close(pwpd[1]);  
  151.       waitpid(pid, 0, 0);  
  152.       errno = old;  
  153.       free(ret);  
  154.       return 0;  
  155.     }  
  156.     close(prpd[1]);  
  157.     fcntl(prpd[0], F_SETFD, FD_CLOEXEC);  
  158.     ret->read_ptr = fdopen(prpd[0], "rb");  
  159.     if(!ret->read_ptr) {  
  160.       int old = errno;  
  161.       kill(pid, SIGKILL);  
  162.       close(prpd[0]);  
  163.       waitpid(pid, 0, 0);  
  164.       errno = old;  
  165.       free(ret);  
  166.       return 0;  
  167.     }  
  168.     return ret;  
  169.   }  
  170. }  
  171.  
  172.  
  173. int 
  174. pipe_close(PIPE *p) {  
  175.   int status;  
  176.  
  177.   if(!(p->read_ptr || p->write_ptr)) {  
  178.     return -1;  
  179.   }  
  180.   if(p->read_ptr && fclose(p->read_ptr)) {  
  181.     return -1;  
  182.   }  
  183.   if(p->write_ptr && fclose(p->write_ptr)) {  
  184.     return -1;  
  185.   }  
  186.   if(waitpid(p->pid, &status, 0) != p->pid) {  
  187.     return -1;  
  188.   }  
  189.   p->read_ptr = p->write_ptr = 0;  
  190.   return status;  

#p#

例如,要使用此函数建立一个连接到上面启用 SSL 的 IMAP 服务器的客户机,我们可以编写如下代码:

  1. PIPE *p;  
  2.  
  3. p = run_cmd("stunnel -c -r 192.168.100.1:imap2 -A /etc/ca_certs -v 3"); 

在上面的代码中,我们这样调用 Stunnel:

  1. stunnel -c -r 192.168.100.1:imap2 -A /etc/ca_certs -v 3 

最后两个选项并非必需;客户机可以不考虑这两个选项进行连接。但是,如果我们省去了这两个选项,客户机将无法对服务器证书进行充分的验证,会使客户机随时可能遭到 man-in-the-middle 攻击。在这种攻击中,有人创建了一个虚假服务器,使客户机把它当作真正的服务器,而与之进行通信。虚假服务器代理到真正的服务器的连接,读取所有的数据。使用现成的工具如 Dsniff(请参阅 参考资料)很容易发动这种攻击。

v 参数指定验证级别。缺省值为 0,适用于使用其它方法验证客户机的服务器,也是如此。但级别 1 和级别 2 更好一些。级别 1 检查(非强制地)服务器证书是否有效,但可与无证书的服务器连接。级别 2 要求有效的服务器证书,但并不检查证书是否由权威认证中心如 VeriSign 签署。

A 参数指定一个必须包含可信证书列表的文件。一个服务器证书要被接受,它必须是在 A 参数指定的文件内,或者是一个用于签署推荐证书(通常是来自权威认证中心,或称 CA,如 VeriSign 的证书)的证书,该证书必须在指定的文件内。在 参考资料部分,您会找到几个主要认证中心的当前有效证书的链接,您可以将它作为必需内容放在这个文件中。

在使用大型 CA 时,甚至这种方法也会出现问题。例如,确保某个特定的证书是由 VeriSign 签署的是不错的。但您如何确保证书是来自您想要连接的站点呢?

不幸的是,在写这篇文章的时候,Stunnel 还不能使调用程序访问验证过的证书的信息。因此,您无法确定服务器正在使用的是谁的证书。例如,您可能如愿以偿被连接到 Amazon,或者可能被连接到一个服务器,该服务器使用的是偷来的(但有效的)Microsoft 证书。

由于这种局限性,您只能局限于下面四个选择:

希望没有人发动 man-in-the-middle 攻击(不正确的想法)。

在客户机端对每个可能的服务器证书进行硬编码(Hardcode)。

运行自己的认证中心,这样可以动态地添加可信的服务器。

在应用程序中使用 SSL 代替外部的通道,这样可以通过编程检查。

即使这些解决方案都可使用,也没有一个理想的。

责任编辑:佟健 来源: ibm.com
Stunnel加密
相关推荐
Stunnel加密封装安装设置和使用
针对有访问限制的局域网,Stunnel提供加密的SSL连接解除防火墙和代理的限制直接和远端服务器理论上的任何网络服务连接。

2011-01-10 09:47:01

StunnelStunnel设置Stunnel使用
加密工具:四步搞定邮件服务
Stunnel是一款可以加密网络数据的TCP连接工具,采用ClientServer模式,将CIient端的网络数据采用SSL加密,安全传输到指定的Server端再进行解密还原,然后发送到访问的服务器。

2010-04-23 14:33:34

邮件服务器加密
使用stunnel保护telnet连接
stunnel旨在为使用不安全连接协议的程序增加SSL加密。本文将以telnet为例介绍如何使用它。

2019-06-06 15:20:02

stunneltelnetLinux
让你邮件更安全 加密保护邮件服务
Stunnel是一款可以加密网络数据的TCP连接工具,可工作在Unix、Linux和Windows平台上,采用ClientServer模式,将CIient端的网络数据采用SSL加密,安全传输到指定的Server端再进行解密还原,然后发送到访问的服务器。

2010-04-22 15:24:36

邮件安全网络加密服务器
OpenSSL:最好SSL TLS加密
OpenSSL项目的目的是通过开源合作精神开发一种健壮的、可以和同类型商业程序媲美的、全功能的,且开源的应用于SSLv2v3(SecureSocketsLayer)和TLSv1(TransportLayerSecurity)协议的普遍适用的加密库工具集。

2010-12-16 13:59:52

OpenSSL
理解SSL(https)中对称加密与非对称加密
密码学最早可以追溯到古希腊罗马时代,那时的加密方法很简单:替换字母。

2014-07-07 10:04:32

巧选服务证书一:SSL服务证书加密强度
在世界范围内,安全套接协议层SecureSocketsLayer(简称SSL)是网络安全的最为基础的安全标准。SSL协议通过加密敏感数据使得真正信息接受者才能阅读相关信息,阻止机密信息、重要数据通过网络泄露出去。与此同时,SSL技术可以使访问网页的客户识别所访问的网站的真实性。

2009-08-14 16:09:12

从SGC技术看SSL证书加密作用
在对称密钥加密算法中,对于明文的加密和解密需要用同一密钥(key)进行,密钥的长度直接影响到该算法是否容易破解。加密强度就指密钥长度,即位数。

2009-08-14 13:51:05

Array ADC支持全新SSL加密标准
应用交付厂商正在抓紧机会,在采用2048位安全套接层(SSL)加密标准实施的最后期限,积极对产品进行改造。

2013-12-31 13:46:23

ArrayADCSSL
服务常见接口及其用途
我们做信息化项目,除了最常见的交换机、路由器等连接设备外,服务器是最重要的基础设备,服务器的安全、可靠运行,是保障OA、ERP、WEB、邮件、数据库等业务系统的能否稳定运行的关键。

2021-08-02 23:01:26

服务器安全数据
黑客攻破SSL加密数据6种方法
安全套接层(SSL)被用于保护无数的网络用户,但是它有什么弱点呢最近几年出现了许多专门攻击SSL的攻击。虽然这个技术实际上还是比较安全的,但是攻击者一直在寻找漏洞绕过安全协议和标准。其中SSL是他们的主要目标。

2013-10-21 14:26:04

实施SSL加密流量管理策略五个步骤
在当今高度多样化的威胁环境中,总会有某种恶意行为试图利用企业或用户工作环境中的漏洞。加密通信有助于最大限度降低风险并减轻这些威胁,但是它不只是在网站或应用上添加一个功能那么简单,企业同时还需要全面了解运行在其网络上的加密SSL流量。

2014-11-17 10:53:38

SSL加密
iPhone邮件必须经过SSL加密吗?
当TCPIP客户机和服务器之间通过因特网和网络时,SSL为TCPIP连接提供了加密服务。对于iPhone邮件,SSL为你的电话和邮件服务器之间的所有通信加密。

2010-02-25 10:44:39

在线安全威胁:隐藏在SSL加密恶意软件
SSL证书是针对试图窃听我们的互联网活动,保护我们的数据免遭犯罪分子入侵的优秀防御策略。不过,这就是问题:黑客也可以使用加密!黑客和网络犯罪分子正在使用SSLHTTPS隐藏恶意代码。

2019-11-20 15:09:25

安全威胁SSL加密
Java类(接口)新类型-密封
在以往的Java类继承中,Java类的继承控制非常有限,仅能通过final关键字和访问控制符来控制类的继承。例如final类无法被集成;包私有类仅仅只能在该包下进行继承。

2021-11-01 23:55:09

Java接口密封类
企业加密:利大于弊否?
POODLE攻击促使很多企业更新其安全做法,以避免因客户端或服务器回退到安全套接字层(SSL)3.0导致的企业加密漏洞(SSL3.0是比较旧的,但广泛用于加密传输数据的通信协议)。谷歌在2014年10月发现SSL3.0漏洞。

2016-06-13 09:31:40

SSL证书加密有效规避钓鱼网站
一般来说,网络钓鱼诈骗是网络攻击的一种,通过大量发送声称来自于银行或其他知名机构的欺骗性垃圾邮件,意图引诱收到邮件的人给出敏感信息(如用户名、口令、账号ID、ATMPIN码或信用卡详细信息)的一种攻击方式。

2019-11-20 10:11:57

网络钓鱼SSL证书加密
SSL加密认证被攻破 数据安全如何保证
随着网络技术的快速发展,网络已经成为人们日常生活中的重要组成部分,网上购物、网上炒股、网上缴费都已非常普遍,而这些页面上的操作都需要输入一些敏感数据,例如银行账号、交易密码等,所以网络安全已经成为网民最关注的问题。

2009-04-09 21:56:14

F5公司:SSL加密到可控
随着2015年初IESG正式批准HTTP2及HPACK标准,整个互联网界在不久的将来有望迎来自1999年以来最大幅度的速度、效率与安全性能的提升。

2015-12-02 11:18:32

HTTPS 中SSL协议通信过程及对称加密和非对称加密详解
对称加密:所谓对称加密,就是它们在编码时使用的密钥e和解码时一样d(ed),我们就将其统称为密钥k。

2019-09-11 08:37:16

点赞
收藏

51CTO技术栈公众号

业务
速览
在线客服