GNU/Linux >> Belajar Linux >  >> Panels >> Webmin

Terowongan SSL

Pada halaman ini program STunnel dan modul Webmin untuk pengaturannya didokumentasikan.

Pengantar SSL dan STunnel

SSL adalah protokol untuk mengenkripsi data dalam koneksi TCP saat berjalan melalui jaringan. Ini pada awalnya dikembangkan untuk melindungi lalu lintas antara browser web dan server, tetapi dapat digunakan untuk mengenkripsi segala jenis aliran data yang biasanya akan dikirim melalui protokol TCP.

Protokol SSL memungkinkan klien dan server untuk mengotentikasi diri satu sama lain, sehingga klien dapat yakin itu benar-benar terhubung ke host yang dianggapnya. Ini dilakukan dengan menggunakan sertifikat yang dikeluarkan oleh otoritas sertifikat yang diakui oleh klien (sehingga dapat diverifikasi) dan dikaitkan dengan nama host tertentu. Tanpa sertifikat, penyerang dapat mengarahkan ulang koneksi SSL ke servernya sendiri dan menangkap informasi sensitif dari klien yang mengira sedang berbicara dengan server sebenarnya.

Data apa pun yang melintasi Internet tanpa enkripsi dapat ditangkap dan dibaca oleh penyerang dengan akses ke salah satu jaringan yang dilaluinya. Bahkan perjalanan data antara sistem klien dan server di LAN dapat dengan mudah didengarkan. Saat Anda terhubung ke server telnet, FTP, atau POP3, kata sandi Anda dikirim melalui jaringan dan dengan demikian dapat ditangkap oleh penyerang.

SSL dapat digunakan untuk melindungi data dalam situasi seperti ini, tetapi hanya jika klien dan server mendukungnya. Sebagian besar browser web dan klien email dapat membuat koneksi HTTP, POP3, dan IMAP terenkripsi SSL, tetapi tidak semua server web dan POP3 dapat menerimanya. POP3 khususnya sulit untuk dilindungi, karena server standar yang datang dengan sebagian besar sistem Unix tidak mendukung SSL sama sekali. Untungnya meskipun ada solusi - STunnel.

STunnel adalah program sederhana yang mengubah koneksi tidak terenkripsi menjadi koneksi terenkripsi SSL. Biasanya diatur untuk dijalankan dari server super seperti inetd atau xinetd, dan kemudian menjalankan beberapa program lain seperti server POP3 yang tidak mendukung SSL. Desain ini memungkinkannya untuk melindungi server apa pun yang biasanya dijalankan dari inetd, seperti server telnet, NNTP, dan IMAP.

Tidak semua server dapat dilindungi secara berguna dengan enkripsi, karena tidak ada klien yang menggunakannya dalam mode SSL. Sebagai contoh, saya belum pernah mendengar klien telnet atau FTP yang dapat menggunakan SSL, karena paket SSH umum sudah memungkinkan login jarak jauh terenkripsi dan transfer file.

Modul Terowongan SSL

Modul Webmin ini memudahkan untuk menyiapkan layanan super-server yang menjalankan STunnel untuk memulai beberapa program server. Meskipun ini dapat dilakukan secara manual menggunakan modul Layanan Internet (dibahas dalam bab 15), modul ini dirancang khusus untuk menyiapkan dan mengonfigurasi STunnel. Secara otomatis mendeteksi jika Anda telah menginstal inetd dan/atau xinetd, membaca konfigurasinya untuk memeriksa terowongan SSL yang ada dan menambahkannya saat Anda membuat terowongan baru. Jika keduanya diinstal, terowongan SSL baru ditambahkan ke konfigurasi xinetd karena menurut saya ini lebih unggul dari keduanya.

Modul dapat ditemukan di Webmin di bawah kategori Jaringan pada menu utama. Ketika Anda mengklik ikonnya, halaman seperti yang ditunjukkan di bawah ini akan ditampilkan, mencantumkan semua terowongan yang ada. Di bagian bawah halaman terdapat tombol berlabel Terapkan Perubahan yang ketika diklik memulai ulang inetd atau xinetd, sehingga membuat konfigurasi saat ini aktif.


Modul Terowongan SSL

Jika program tidak dapat ditemukan di server Anda, pesan kesalahan seperti *Perintah STunnel /usr/bin/stunnel tidak ditemukan di sistem Anda* akan ditampilkan sebagai gantinya. Ini dapat menunjukkan bahwa itu tidak diinstal atau bahwa modul mencari di direktori yang salah untuk perintah stunnel. Dalam kasus terakhir, Anda dapat menyesuaikan konfigurasi modul, seperti yang dijelaskan di bagian *Mengonfigurasi modul SSL Tunnels* nanti di halaman.

Namun, jika program tersebut benar-benar tidak terinstal, periksa CD sistem operasi atau situs web Anda untuk melihat apakah ada paket untuk STunnel. Jika demikian, Anda dapat menginstalnya menggunakan modul Paket Perangkat Lunak. Jika tidak, Anda perlu mengunduh kode sumber dari www.stunnel.org, kompilasi dan instal.

Membuat dan mengedit Terowongan SSL

Jika Anda ingin melindungi beberapa layanan dengan enkripsi SSL, Anda perlu membuat terowongan SSL baru. Dua jenis terowongan yang berbeda dapat dibuat - terowongan yang menjalankan proses server seperti yang dilakukan inetd, atau terowongan yang menghubungkan ke host dan port lain dalam mode non-SSL. Yang terakhir ini lebih sederhana jika Anda sudah menjalankan server dalam mode tidak terenkripsi, tetapi akan sedikit lebih lambat karena kebutuhan untuk membuat koneksi jaringan tambahan.

Sebelum Anda dapat membuat terowongan, Anda harus memutuskan nomor port yang akan digunakan. Untuk beberapa protokol ada nomor port standar - misalnya 995 sering digunakan untuk POP3 terenkripsi, dan 993 digunakan untuk IMAP terenkripsi. Tentu saja, nomor port yang Anda pilih tidak boleh digunakan oleh layanan atau server inetd lain di sistem Anda.

Langkah-langkah yang harus diikuti untuk membuat tunnel adalah :

  1. Pada halaman utama modul, klik Tambahkan terowongan SSL baru link di atas atau di bawah tabel terowongan yang ada. Formulir pembuatan yang ditunjukkan pada Gambar 46-2 akan ditampilkan di browser Anda.
  2. Dalam Nama layanan bidang masukkan nama unik untuk layanan inetd terowongan ini, seperti ssl-pop3 .
  3. Di port TCP bidang masukkan nomor port tempat terowongan harus menerima koneksi, seperti 993 .
  4. Kecuali Anda ingin terowongan dinonaktifkan sementara, setel Aktif? bidang ke Ya .
  5. Jika terowongan ini menjalankan program seperti server POP3, pilih Jalankan program gaya inetd pilihan. Di Jalur ke program field masukkan path lengkap ke server, seperti /usr/sbin/ipop3d . Dalam dengan argumen bidang masukkan nama program diikuti dengan argumen baris perintah apa pun, seperti ipop3d . Seperti halnya layanan yang dibuat dalam modul Layanan dan Protokol Internet, Anda harus menyertakan nama program sebagai argumen pertama.
  6. Sebagai alternatif, jika terowongan ini harus terhubung ke beberapa server yang ada, pilih Hubungkan ke host jarak jauh pilihan. Kemudian masukkan host untuk terhubung (seperti localhost ) dan nomor port yang akan digunakan (seperti 110 ) di *Nama host jarak jauh dan *Port jarak jauh bidang masing-masing.
  7. Sertifikat SSL dan file kunci bidang menentukan sertifikat SSL mana yang akan disajikan kepada klien untuk koneksi ini. Jika Anda telah membuat sertifikat yang ditandatangani sendiri atau sertifikat asli dengan perintah openssl, pilih Gunakan sertifikat dalam file pilihan dan masukkan path lengkap ke file di kotak teks yang berdekatan. Jika tidak, Anda dapat memilih Gunakan sertifikat Webmin untuk menggunakan sertifikat yang sama yang digunakan Webmin dalam mode SSL, atau *Dikompilasi secara default* untuk menggunakan sertifikat yang disertakan dengan perangkat lunak STunnel. Jika Anda membuat sertifikat sendiri, pastikan file tersebut berisi kunci pribadi dan sertifikat dalam format PEM.
  8. Saat menghubungkan ke host jarak jauh, STunnel dapat dikonfigurasi untuk berperilaku berlawanan dengan normal. Alih-alih menerima koneksi SSL dan mendekripsinya, Anda dapat memilih untuk menerima koneksi normal dan mengenkripsinya untuk menghubungkan ke server berkemampuan SSL yang berbeda. Mode ini dapat diaktifkan dengan memilih Terima normal dan sambungkan dengan SSL di bidang *Mode terowongan*. Ini dapat berguna jika program klien atau server Anda tidak mendukung SSL, tetapi Anda masih ingin data di antara keduanya dienkripsi. STunnel dapat diatur pada sistem klien dalam mode ini, dikonfigurasi untuk menyambung ke layanan STunnel lain pada sistem server yang menggunakan mode *Terima SSL dan sambungkan secara normal*.
  9. Tekan tombol Buat tombol di bagian bawah halaman untuk menambahkan layanan baru.
  10. Setelah Anda kembali ke halaman utama modul, klik Terapkan Perubahan untuk membuat terowongan baru aktif.


Formulir pembuatan terowongan SSL

Semua detail terowongan yang ada dapat diedit dengan mengklik namanya dalam daftar di halaman utama modul. Ini akan memunculkan formulir pengeditan yang mirip dengan yang ada di Gambar 46-2, tetapi semua bidang sudah diisi. Anda dapat membuat perubahan dan menekan tombol Simpan untuk merekamnya, atau klik Hapus untuk benar-benar menghapus terowongan. Cara lainnya, Terapkan Perubahan tombol di halaman utama harus diklik untuk mengaktifkan perubahan.


Webmin

  1. Jabber IM Server

  2. Server Database PostgreSQL

  3. Server ProFTPD

  1. Server Proksi Squid

  2. Server WU-FTPD

  3. Server VPN PPTP

  1. Klien LDAP

  2. Terowongan SSL

  3. Nyalakan ulang server