转帖：使用Stunnel提高传输安全性！

菜鸟人飞

关键字　网络　分析　Sniffer  Etherpeek  科来　　　转自：科来软件公司

网络分析软件（如Sniffer/Etherpeek/科来网络分析系统）可对网络中未加密的数据传输进行检测分析并实时显示分析结果，包括用户的邮件收发、Web访问以及各种网络登录等操作。所以，未经加密的数据传输是不安全的，存在被别人窃听的安全隐患。

由于上述的传输不安全性，所以我们建议用户对重要的数据传输进行加密保护，以达到管理和保护的有效结合。在这种情况下，即使数据被窃取，攻击者也无法分析数据的真实内容，从而保证了数据传输的安全性。

图1所示为常见的网络传输情况，在这种情况下，数据在网络中的传输没有经过任何保护，当网络在遭受黑客攻击或黑客入侵时，重要数据很容易被窃取。为了使我们局域网传输的重要数据都是安全的，我们可以利用Stunnel工具对数据进行加密。

（图1，普通网络 ）
Stunnel (http://www.stunnel.org/)是一款可以加密网络数据的TCP连接，并可工作在Unix和Windows平台上，它采用Client/Server模式，将Client端的网络数据采用SSL(Secure Sockets Layer)加密后，安全的传输到指定的Server端再进行解密还原，然后再发送到访问的服务器。在加密传输过程中，可充分确保数据的安全性，我们只要把Server端程序安装在局域网外面的一台服务器上，即可保证传输的数据在局域网内是安全的，如图三所示。

（图2，Stunnel加密后的网络）

操作过程：

Stunnel是一款免费的工具，可以在这里下载。下面我们介绍一下具体的使用。
下载Stunnel Client端程序，并解压到本机的C:\Program Files目录下。
下载Stunnel Server端程序，并解压后放在外网的服务器上。
分别配置stunnel.conf文件。
更改本机应用程序的网络连接配置。
分别运行stunnel.-4.04.exe执行文件。
说明：
我们使用Stunnel，需要在外网有一台有管理权限的服务器，来运行Stunnel的Server程序。配置好Stunnel.conf后，可将执行文件在启动菜单中建立快捷方式，这样让每次开机时，能自动运行。Stunnel技术是将传输的信息加密后，通过Server端的服务器进行解密才到达的目的主机，所以在选择Server端服务器的时候，对服务器的带宽速度有一定的要求。
Stunnel的配置：

Client和Server端都包含stunnel.conf配置文件，格式如下表所示：

Client端stunnel.conf文件内容 Server端stunnel.conf文件内容
# Use it for client mode
        client = yes
#Client-level configuration
        [ 应用服务名称 ]
        accept   =本地IP : 目标端口
        connect =Server端IP : 指定的端口 # Use it for server mode
        client = no
#Server-level configuration
        [ 应用服务名称 ]
        accept   = 指定的端口
        connect =目标服务器IP : 目标端口  



常见应用实例：

Stunnel.conf文件配置比较简单，下面我们介绍一些常见应用配置，其中Client端是放在本机，IP是127.0.0.1，Server端是放在外网的服务器上，IP是202.151.90.28。


1.加密邮件传输：

加密邮件，需要将发送和接收的过程都要进行保护，那么我们就要对POP3和SMTP传送方式进行加密。如果我们有一个xxx@colasoft.com.cn信箱，服务器的IP是202.108.44.153，配置文件stunnel.conf如下：

Client端SMTP和POP3文件内容 Server端SMTP和POP3文件内容
        [smtp.colasoft.com.cn]
        accept   = 127.0.0.1:25
        connect = 202.151.90.28:125

        [pop3.colasoft.com.cn]
        accept   = 127.0.0.1:110
        connect = 202.151.90.28:1110          [smtp.colasoft.com.cn]
        accept   = 125
        connect = 202.108.44.170:25

        [pop3.colasoft.com.cn]
        accept   = 1110
        connect = 202.108.44.153:110

如果有多个邮件传输需要加密，则增加相应的POP3和SMTP设置即可。设置好了配置文件，我们还需要将邮件客户端（常见的为Foxmail或Outlook）与其对应，设置如下：
发送的邮件地址改为：127.0.0.1        端口改为：125
接收的邮件地址改为：127.0.0.1        端口改为：1110


2.加密FTP传输：

FTP是比较早的文件传输协议，内容都是以明文方式传输，我们利用Stunnel后，也可以让FTP的传输非常安全，现在我们只需要在前面的stunnel.conf内容里面增加以下配置信息：

Client端FTP的配置 Server端FTP的配置
        [ftp.net130.com]
        accept   = 127.0.0.1:21
        connect = 202.151.90.28:121           [ftp.net130.com]
         accept   = 121
         connect = 218.7.9.73:21

FTP软件（如CuteFTP）也要做相应更改：
登录的远程地址改为：127.0.0.1        端口改为121


3.加密HTTP网站访问传输：

我们不能对所有的网站访问都进行加密，因为太多，但对于很重要的网站，我们也可以用Stunnel来保护访问的内容不受到监听。例如我们要访问www.colasoft.com.cn，网站IP地址是202.108.36.172，HTTP的配置如下：

Client端HTTP的配置 Server端HTTP的配置
        [www.colasoft.com.cn]
        accept   = 127.0.0.1:80
        connect = 202.151.90.28:8080          [www.colasoft.com.cn]
        accept   = 8080
        connect = 202.108.36.172:80

[ 本帖最后由 菜鸟人飞 于 2006-4-21 17:32 编辑 ]

Roy

恩，通过在公司内部部署Stunnel可以很好解决网络分析与公司商务邮件通讯保密之间的冲突
另外也可以考虑采用支持SSL的webmail

xiha

没用过这个东西，

安全第一啊~~

明文传输的东西，太不可靠了，稍微有点技术，用点手段，就是泄露了