STunnel

Материал из wiki.p3.ru

В этой статье описан процесс быстрого поднятия шифрованного туннеля, который может служить для самых различных целей для VDS с ОС FreeBSD.

Очевидно, что для создания безопасной и устойчивой к сниффингу прокси-цепочки (ну или любого другого сервиса), необходимо создание шифрованного туннеля. Сразу скажу о том, что VPN на эту роль ну никак не подходит по той простой причине, что ни OpenVPN, ни какие-либо другие реализации VPN под текущей реализацией виртуализации FreeBSD не работают!

Итак, начнём.

Первое, что нужно сделать - это сконфигурировать сам STunnel:

# cd /usr/ports/security/stunnel
# make config

Советую выбрать потоковую модель "Ucontext", ибо все прочие на моей машине приводили к полному зависанию STunnel после определённого периода работы.

Далее:

# make install clean

Этим самым мы скомпилируем, установим STunnel и сразу же удалим временные файлы, которые занимают довольно приличное дисковое пространство.

На этом, фактически, сам процесс установки завершён. Далее следует созать сертификаты безопасности и настроить сам STunnel.

# cd /usr/local/etc/stunnel


Самостоятельно создаем ключи и сертификаты со сроком действия 1 год. В связи с тем, что stunnel не умеет работать с ключами, защищенными паролями, используем опцию -nodes.

# openssl req -new -x509 -days 365 -nodes -out stunnel.cert -keyout stunnel.key
Generating a 1024 bit RSA private key
................++++++
......................++++++
writing new private key to 'stunnel.key'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:RU
State or Province Name (full name) [Some-State]:Rostov region
Locality Name (eg, city) []:Rostov-on-Don
Organization Name (eg, company) [Internet Widgits Pty Ltd]:home
Organizational Unit Name (eg, section) []:Test Lab
Common Name (eg, YOUR name) []:freebsd410.unreal.net
Email Address []:tigrisha@freebsd410.unreal

Обращаю внимание на то, что Email Address и Common Name должны соответствовать обратной DNS зоне вашего сервера (PTR-запись), иначе это может привести к различным негативным последствиям.

Далее создаёте сам файл конфигурации:

# echo "
cert = /usr/local/etc/stunnel/stunnel.cert
key = /usr/local/etc/stunnel/stunnel.key
; Protocol version (all, SSLv2, SSLv3, TLSv1)
sslVersion = SSLv3
; Some security enhancements for UNIX systems - comment them out on Win32
;chroot = /var/tmp/stunnel
;setuid = stunnel
;setgid = stunnel
; PID is created inside chroot jail
;pid = /stunnel.pid
;engineNum = 1
ciphers = AES256-SHA
; Some performance tunings
socket = l:TCP_NODELAY=1
socket = r:TCP_NODELAY=1
compression = rle 
; Workaround for Eudora bug
options = DONT_INSERT_EMPTY_FRAGMENTS
; Authentication stuff
;verify = 2
; Don't forget to c_rehash CApath
; CApath is located inside chroot jail
;CApath = /certs
; It's often easier to use CAfile
;CAfile = /usr/local/etc/stunnel/certs.pem
; Don't forget to c_rehash CRLpath
; CRLpath is located inside chroot jail
;CRLpath = /crls
; Alternatively you can use CRLfile
;CRLfile = /usr/local/etc/stunnel/crls.pem 
; Some debugging stuff useful for troubleshooting
debug = 4
output = /var/log/stunnel.log
; Use it for client mode
;client = yes 
[proxy]
accept = 5131
connect = 127.0.0.1:_порт_вашего_http_прокси_
TIMEOUTclose = 0
[sproxy]
accept = 5133
connect = 127.0.0.1:_порт_вашего_https_прокси_
TIMEOUTclose = 0
" > stunnel.conf
</source>

На это серверная часть настройки STunnel завершена. У клиента же потребуется указать в конфигурации всё то же самое, за исключением того, что необходимо закомментировать строчки с путями к сертификату и ключу, раскомментировать строку "client = yes", а также подправить секцию с сервисами следующим образом:

[proxy]
accept = 5131
connect = _ip_адрес_вашего_сервера_:5131
TIMEOUTclose = 0
[sproxy]
accept = 5133
connect = _ip_адрес_вашего_сервера_:5133
TIMEOUTclose = 0
</source>

Теперь в браузере необходимо указать в настройках прокси следущее:

HTTP-прокси: 127.0.0.1:5131
HTTPS-прокси: 127.0.0.1:5133

Всё, теперь данные от Вас до Вашего прокси-сервера надёжно защищены от сниффинга.