מבוא למנהרות SSL
SSL הוא פרוטוקול להצפנת נתונים בחיבור TCP בזמן שהוא עובר דרך הרשת. הוא פותח במקור כדי להגן על התעבורה בין דפדפני האינטרנט לשרתים, אך ניתן להשתמש בו כדי להצפין כל סוג של זרם נתונים אשר בדרך כלל יישלח באמצעות פרוטוקול TCP.

פרוטוקול SSL מאפשר ללקוחות ושרתים לאמת את עצמם זה לזה, כך שלקוח יכול להיות בטוח שהוא באמת מתחבר למארח שהוא חושב שהוא. הדבר נעשה באמצעות אישורים המונפקים על ידי רשות אישורים המוכרת על ידי הלקוח (כך שניתן יהיה לאמת אותם) ומשויכים לשם מארח מסוים. ללא אישורים, התוקף יכול לכוון מחדש חיבור SSL לשרת שלו וללכוד מידע רגיש מלקוח שחושב שהוא מדבר עם השרת האמיתי.

כל מידע שנוסע באינטרנט לא מוצפן ניתן לתפוס ולקרוא על ידי תוקף עם גישה לאחת מהרשתות שהוא עובר. אפילו נתונים הנוסעים בין לקוח ומערכת שרתים ברשת LAN יכולים להאזין בקלות ב. כשאתה מתחבר לשרת telnet, FTP או POP3 הסיסמה שלך נשלחת דרך הרשת וכך ניתן לתפוס על ידי תוקף.

ניתן להשתמש ב- SSL כדי להגן על נתונים בסיטואציות מסוג זה, אך רק אם גם הלקוח וגם השרת תומכים בהם. מרבית דפדפני האינטרנט ולקוחות הדואר יכולים ליצור חיבורי HTTP, POP3 ו- IMAP מוצפני SSL, אך לא כל שרתי האינטרנט ו- POP3 יכולים לקבל אותם. קשה להגן על POP3, מכיוון ששרת רגיל שמגיע עם מרבית מערכות יוניקס אינו תומך בכלל ב- SSL. למרבה המזל אם כי יש פיתרון - סטונל.

STunnel היא תוכנית פשוטה שממירה חיבור לא מוצפן לחיבור מוצפן SSL. בדרך כלל זה מוגדר להפעלה משרת-על כמו inetd או xinetd, ואז להפעיל תוכנית אחרת כמו שרת POP3 שאינו תומך ב- SSL. עיצוב זה מאפשר לו להגן על כל שרת שמופעל בדרך כלל מכניסה, כגון telnet, NNTP ו- IMAP.

לא כל השרתים ניתנים להגנה שימושית באמצעות הצפנה, מכיוון שאף לקוח אינו יכול להשתמש בהם במצב SSL. לדוגמה, מעולם לא שמעתי על לקוח telnet או FTP שיכול להשתמש ב- SSL, מכיוון שחבילת ה- SSH הנפוצה כבר מאפשרת כניסות מרוחקות והעברת קבצים מוצפנות.

מודול Webmin זה מקל על הגדרת שירותי שרת-על המריצים STunnel להפעלת תוכנית שרת כלשהי. למרות שניתן לעשות זאת ידנית באמצעות מודול שירותי האינטרנט, זה מיועד במיוחד להגדרה ותצורה של סטונל. זה מגלה אוטומטית אם התקנת inetd ו / או xinetd, קורא את התצורות שלהם כדי לבדוק אם יש מנהרות SSL קיימות ומוסיף להן כשאתה יוצר מנהרה חדשה. אם שתיהן מותקנות, מנהרות SSL חדשות מתווספות לתצורת ה- xinetd מכיוון שהיא העליונה מבין השניים לדעתי.