Graven met stunnel

Armijn Hemel, 10 mei 2009, 6363 views.

Als je op een veilige manier systemen aan elkaar wil knopen die niet op hetzelfde netwerk zitten, dan is een VPN een betrouwbare oplossing. Voor veel toepassingen kan het ook op een simpelere manier, namelijk met stunnel.

Tags: , ,

Een tijd geleden besloot de ISP die we hebben (we zitten in een bedrijvenverzamelgebouw met wat veel kleine bedrijfjes) om hun steentje bij te dragen in het bestrijden van spam, door TCP poort 25 uitgaande blokkeren. Hoewel dat op zich prima is, was de manier waarop dit gebeurde iets minder naar onze zin: het werd niet verteld. Plotseling konden we geen mail meer versturen en moesten we een manier hebben om op een betrouwbare manier mail te versturen. We hadden al een mailserver in een datacenter en dus was de oplossing snel en elegant: gebruik stunnel om een directe connectie op te zetten naar de mailserver.

Met stunnel kan je op een eenvoudige manier ene beveiligde verbinding opzetten tussen twee plekken met SSL, zonder dat je meteen een heel VPN op hoeft te zetten. Stunnel is opgezet als client/server-systeem en dus erg geschikt voor ene protocol als SMTP, waarbij een mailprogramma een connectie opzet met de mailserver en niet andersom.

Het opzetten van stunnel is vrij triviaal: je genereert sleutels (publiek en privé) voor beide kanten van de tunnel, je wisselt de publieke gedeeltes uit, je start de tunnel en je bent klaar (de documentatie van stunnel legt het precies uit).

Een paar dingen die je in je achterhoofd moet houden:

  • als je stunnel draait op poort 25 op localhost dan moet je er rekening mee houden dat programma's en scripts die mail sturen via het systeem, zoals logwatch, ook via de tunnel hun mail versturen en het dus op de mailserver lokaal aankomt. Je wil hier hoogstwaarschijnlijk wat instellingen voor veranderen.
  • als je stunnel draait op poort 25 op localhost zorg er voor dat deze ook alleen vanaf localhost beschikbaar is en niet voor het hele LAN, anders heb je van je mailserver effectief een open relay gemaakt.
  • maak opstartscripts om de tunnels te starten tijdens het opstarten van je machine.
Creative Commons License Op dit werk is een Creative Commons Licentie van toepassing.
Social networking: Tweet dit artikel op Twitter Geef dit artikel door op LinkedIn Bookmark dit artikel op Google Bookmark dit artikel op Yahoo! Bookmark dit artikel op Technorati Bookmark dit artikel op Delicious Deel dit artikel op Facebook Digg dit artikel op Digg Zend dit artikel naar to Reddit Geef dit artikel een duim omhoog op StumbleUpon Zend dit artikel naar Furl

Talkback

reageer op dit artikel