CSNA网络分析论坛»首页 流量分析 网络分析 转帖:使用Stunnel提高传输安全性!
返回列表 发帖
查看: 12589|回复: 2

转帖:使用Stunnel提高传输安全性!

[复制链接]
菜鸟人飞
发表于 2006-4-21 17:30:30 | 显示全部楼层 |阅读模式
关键字 网络 分析 Sniffer  Etherpeek  科来   转自:科来软件公司

网络分析软件(如Sniffer/Etherpeek/科来网络分析系统)可对网络中未加密的数据传输进行检测分析并实时显示分析结果,包括用户的邮件收发、Web访问以及各种网络登录等操作。所以,未经加密的数据传输是不安全的,存在被别人窃听的安全隐患。

由于上述的传输不安全性,所以我们建议用户对重要的数据传输进行加密保护,以达到管理和保护的有效结合。在这种情况下,即使数据被窃取,攻击者也无法分析数据的真实内容,从而保证了数据传输的安全性。

图1所示为常见的网络传输情况,在这种情况下,数据在网络中的传输没有经过任何保护,当网络在遭受黑客攻击或黑客入侵时,重要数据很容易被窃取。为了使我们局域网传输的重要数据都是安全的,我们可以利用Stunnel工具对数据进行加密。

(图1,普通网络 )
Stunnel (http://www.stunnel.org/)是一款可以加密网络数据的TCP连接,并可工作在Unix和Windows平台上,它采用Client/Server模式,将Client端的网络数据采用SSL(Secure Sockets Layer)加密后,安全的传输到指定的Server端再进行解密还原,然后再发送到访问的服务器。在加密传输过程中,可充分确保数据的安全性,我们只要把Server端程序安装在局域网外面的一台服务器上,即可保证传输的数据在局域网内是安全的,如图三所示。

(图2,Stunnel加密后的网络)

操作过程:

Stunnel是一款免费的工具,可以在这里下载。下面我们介绍一下具体的使用。
下载Stunnel Client端程序,并解压到本机的C:\Program Files目录下。
下载Stunnel Server端程序,并解压后放在外网的服务器上。
分别配置stunnel.conf文件。
更改本机应用程序的网络连接配置。
分别运行stunnel.-4.04.exe执行文件。
说明:
我们使用Stunnel,需要在外网有一台有管理权限的服务器,来运行Stunnel的Server程序。配置好Stunnel.conf后,可将执行文件在启动菜单中建立快捷方式,这样让每次开机时,能自动运行。Stunnel技术是将传输的信息加密后,通过Server端的服务器进行解密才到达的目的主机,所以在选择Server端服务器的时候,对服务器的带宽速度有一定的要求。
Stunnel的配置:

Client和Server端都包含stunnel.conf配置文件,格式如下表所示:

Client端stunnel.conf文件内容 Server端stunnel.conf文件内容
# Use it for client mode
        client = yes
#Client-level configuration
        [ 应用服务名称 ]
        accept   =本地IP : 目标端口
        connect =Server端IP : 指定的端口 # Use it for server mode
        client = no
#Server-level configuration
        [ 应用服务名称 ]
        accept   = 指定的端口
        connect =目标服务器IP : 目标端口  



常见应用实例:

Stunnel.conf文件配置比较简单,下面我们介绍一些常见应用配置,其中Client端是放在本机,IP是127.0.0.1,Server端是放在外网的服务器上,IP是202.151.90.28。


1.加密邮件传输:

加密邮件,需要将发送和接收的过程都要进行保护,那么我们就要对POP3和SMTP传送方式进行加密。如果我们有一个xxx@colasoft.com.cn信箱,服务器的IP是202.108.44.153,配置文件stunnel.conf如下:

Client端SMTP和POP3文件内容 Server端SMTP和POP3文件内容
        [smtp.colasoft.com.cn]
        accept   = 127.0.0.1:25
        connect = 202.151.90.28:125

        [pop3.colasoft.com.cn]
        accept   = 127.0.0.1:110
        connect = 202.151.90.28:1110          [smtp.colasoft.com.cn]
        accept   = 125
        connect = 202.108.44.170:25

        [pop3.colasoft.com.cn]
        accept   = 1110
        connect = 202.108.44.153:110

如果有多个邮件传输需要加密,则增加相应的POP3和SMTP设置即可。设置好了配置文件,我们还需要将邮件客户端(常见的为Foxmail或Outlook)与其对应,设置如下:
发送的邮件地址改为:127.0.0.1        端口改为:125
接收的邮件地址改为:127.0.0.1        端口改为:1110


2.加密FTP传输:

FTP是比较早的文件传输协议,内容都是以明文方式传输,我们利用Stunnel后,也可以让FTP的传输非常安全,现在我们只需要在前面的stunnel.conf内容里面增加以下配置信息:

Client端FTP的配置 Server端FTP的配置
        [ftp.net130.com]
        accept   = 127.0.0.1:21
        connect = 202.151.90.28:121           [ftp.net130.com]
         accept   = 121
         connect = 218.7.9.73:21

FTP软件(如CuteFTP)也要做相应更改:
登录的远程地址改为:127.0.0.1        端口改为121


3.加密HTTP网站访问传输:

我们不能对所有的网站访问都进行加密,因为太多,但对于很重要的网站,我们也可以用Stunnel来保护访问的内容不受到监听。例如我们要访问www.colasoft.com.cn,网站IP地址是202.108.36.172,HTTP的配置如下:

Client端HTTP的配置 Server端HTTP的配置
        [www.colasoft.com.cn]
        accept   = 127.0.0.1:80
        connect = 202.151.90.28:8080          [www.colasoft.com.cn]
        accept   = 8080
        connect = 202.108.36.172:80

[ 本帖最后由 菜鸟人飞 于 2006-4-21 17:32 编辑 ]

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?CSNA会员注册

×
回复

使用道具 举报

Roy
发表于 2006-4-26 22:53:37 | 显示全部楼层
恩,通过在公司内部部署Stunnel可以很好解决网络分析与公司商务邮件通讯保密之间的冲突
另外也可以考虑采用支持SSL的webmail
回复

使用道具 举报

xiha
发表于 2006-6-8 13:58:50 | 显示全部楼层
没用过这个东西,

安全第一啊~~

明文传输的东西,太不可靠了,稍微有点技术,用点手段,就是泄露了
回复

使用道具 举报

返回列表 发帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | CSNA会员注册

本版积分规则

快速回复 返回顶部 返回列表