Unterschiede zwischen den Revisionen 5 und 6
Revision 5 vom 2016-09-06 21:10:14
Größe: 1966
Autor: DanielHess
Kommentar:
Revision 6 vom 2016-09-14 20:38:42
Größe: 3233
Autor: DanielHess
Kommentar:
Gelöschter Text ist auf diese Art markiert. Hinzugefügter Text ist auf diese Art markiert.
Zeile 12: Zeile 12:

== Stunnel ==
Stunnel wird auf Lucy durch die Konfigurationsdatei {{{/etc/stunnel/lilly.conf}}} für die Dienste auf Lilly konfiguriert. Dabei besteht die Konfigurationsdatei aus einem allgemeinen Block mit Parametern für's Logging, SSL-Schlüssel und -Zertifikate und Optionen für die OpenSSL-Bibliothek. Hierbei sind die Einträge für {{{options}}} und {{{ciphers}}} die wichtigsten.

{{{
options = SINGLE_ECDH_USE
options = SINGLE_DH_USE
options = CIPHER_SERVER_PREFERENCE

ciphers = HIGH+kEECDH:HIGH+kEDH:HIGH:!PSK:!SRP:!DES:!3DES:!aNULL:!RC4:!CAMELLIA
}}}

Die Option {{{CIPHER_SERVER_PREFERENCE}}} weißt dabei OpenSSL an beim Aushandeln der verwendeten Verschlüsselungsalgorithmen auf die eigene Reihenfolge zu bestehen. Dies ist deswegen wichtig, da einige Clients zwar PFS (hier insbesondere {{{HIGH+kEECDH}}} und {{{HIGH+kEDH}}}) unterstützen, aber in der eigenen Sortierung diese nicht bevorzugen würden. Als {{{ciphers}}} wird eine Folge von Verschlüsselungsalgorithmen aufgeführt, die auch in dieser Reihenfolge ausgehandelt wird. Dabei werden schon einige Ciphers von OpenSSL gar nicht mehr angeboten, andere, wie {{{3DES}}} und {{{RC4}}} werden hier deaktiviert, um, nach aktuellem Stand, nur sichere Verschlüsselung anzubieten.

secure.ping.de

Das für PING bei einer verbreiteten CA gekaufte Zertifikat dient zur Absicherung einiger zentraler Dienst.

secure.ping.de (83.97.42.25) als IPv4-Host existiert dabei als Alias-Interface auf lucy.ping.de.

Die abzusichernden Dienste laufen dabei Verteilt auf Lucy und Lilly und müssen über eine IP-Adresse ansprechbar sein. Hierfür „leitet“ Lucy entsprechende Anfragen, die an 83.97.42.25 ankommen an lokal auf Lucy laufende Dienste oder an Lilly weiter.

Aufgrund der alten OpenSSL-Version auf Lilly, die sich auch nicht ohne großen Aufwand aktualisieren lässt, übernimmt Lucy dabei die Verschlüsslung der Daten. Hierdurch ist die Kommunikation der auf Lilly laufenden Dienste zwischen Lucy und Lilly unverschlüsselt. Deswegen ist es dringend erforderlich, dass die unverschlüsselten Daten nicht von Dritten mitgelesen werden können. Dies wird dadurch ermöglicht, dass Lucy und Lilly über eine private Ethernet-Verbindung kommunizieren. Dabei ist auf dem Host-System PING09, auf den beide VMs ausgeführt werden, eine private Bridge mit dem Namen lillysslnetz angelegt.

Die Verschlüsselung wird auf Lucy durch den SSL-Proxy stunnel durchgeführt. Stunnel (Debian-Paket stunnel4 nutzt dabei die OpenSSL-Version des Systems und erhält damit alle Sicherheitsupdates. Des Weiteren wird unter Debian Jessie auch Perfect Forward Secrecy (PFS) unterstützt, wodurch Verbindungen mit Client-Programme, die PFS unterstützen, noch sicherer werden.

Stunnel

Stunnel wird auf Lucy durch die Konfigurationsdatei /etc/stunnel/lilly.conf für die Dienste auf Lilly konfiguriert. Dabei besteht die Konfigurationsdatei aus einem allgemeinen Block mit Parametern für's Logging, SSL-Schlüssel und -Zertifikate und Optionen für die OpenSSL-Bibliothek. Hierbei sind die Einträge für options und ciphers die wichtigsten. 

options = SINGLE_ECDH_USE
options = SINGLE_DH_USE
options = CIPHER_SERVER_PREFERENCE

ciphers = HIGH+kEECDH:HIGH+kEDH:HIGH:!PSK:!SRP:!DES:!3DES:!aNULL:!RC4:!CAMELLIA

Die Option CIPHER_SERVER_PREFERENCE weißt dabei OpenSSL an beim Aushandeln der verwendeten Verschlüsselungsalgorithmen auf die eigene Reihenfolge zu bestehen. Dies ist deswegen wichtig, da einige Clients zwar PFS (hier insbesondere HIGH+kEECDH und HIGH+kEDH) unterstützen, aber in der eigenen Sortierung diese nicht bevorzugen würden. Als ciphers wird eine Folge von Verschlüsselungsalgorithmen aufgeführt, die auch in dieser Reihenfolge ausgehandelt wird. Dabei werden schon einige Ciphers von OpenSSL gar nicht mehr angeboten, andere, wie 3DES und RC4 werden hier deaktiviert, um, nach aktuellem Stand, nur sichere Verschlüsselung anzubieten.

Bridge lillysslnetz auf DOM0

Auf der DOM0, auf der Lucy und Lilly ausgeführt werden, muss ein Bridge-Interface angelegt werden. Dies geschieht über die Konfigurationsdatei /etc/network/interfaces wie folgt: 

auto lillysslnetz
iface lillysslnetz inet manual
        bridge_ports none
        bridge_stp off
        bridge_fd 0

/!\ : Nach dem anlegen hinzufügen mit ifup lillysslnetz auch hochfahren.

Systeme/secure.ping.de (zuletzt geändert am 2016-12-21 14:22:10 durch DanielHess)