传输信道加密Stunnel配置
接着上一节的OSSIM加密传输信道继续讲解,这里我们选用开源工具Stunnel,它用于提供全局的TLS/SSL服务,其关键的配置如下:
Acl safe_port port 443 # https 访问原始服务器的443端口stunnel4 是用来建立ssl通道,以实现加密传输,默认OSSIM4.3系统中,stunnel是关闭的,当配置好stunnel后,就可以用foxmail或者outlook之类的邮件客户端就可以使用加密的通道访问邮箱了。
注:Ossim 4.15之后的版本取消了stunnel包。
实现思路:利用Stunnel给Squid加密,要用Stunnel加密,所以只允许本地访问传统的POP3、SMTP、Samba、Syslog等服务,都是不加密的协议,这样传输不安全,通过Stunnel可以将访问这些服务的数据,通过一个加密的管道传输,这样更加安全。
图 使用Stunel加密流程
1.启用Stunnel
#vi /etc/default/stunnel4
将enabled=0,改成enabled=1
然后,保存退出。
2.配置SSL
#cd /etc/ssl
#openssl req -new -x509 -days 365 -nodes -config openssl.cnf -out stunnel.pem -keyout stunnel.pem
#cp stunnel.pem /etc/ssl/certs/
#/etc/init.d/stunnel4 start
Stunnel 服务方式需要一个证书文件。通过 openssl.exe 来创建服务器证书。
这将会创建一个自己给自己签名的证书。参数的含义:
-days 365 使这个证书的有效期是1年,之后它将不能再用。
-new 创建一个新的证书
-x509 创建一个 X509 证书(自己签名的)
-nodes 这个证书没有密码
-config openssl.cnf
OpenSSL 使用的配置文件(可能需要修改的有[CA_default]和[req_distinguished_name]这两个 section)。
-out stunnel.pem 把 SSL 证书写到哪里
-keyout stunnel.pem 把 SSL 证书放到这个文件中这个命令将会问以下问题:
Country name PL, UK, US, CA
State or Province name Illinois, Ontario
Locality Chicago, Toronto
Organization Name Bill's Meats, Acme Anvils
Organizational Unit Name Ecommerce Division
Common Name (FQDN) www.example.com
注意:Common Name (FQDN) 应该是运行 stunnel 机器的主机名。如果能通过不同的主机名访问这台机器,有些 SSL 客户会警告这个主机的证书有问题,所以最好是使它和用户访问的主机名匹配。
openssl gendh 512>> stunnel.pem
这将生成 Diffie-Hellman 部分,追加到 pem 文件中。这个只有在指定 stunnel 使用 DH 才需要,但默认是不用的。
除了使用stunnel加密以外,还可以使用rsyslog-gnutls加密syslog连接。
#apt-get install rsyslog-gnutls
具体设置大家可参考encrypting syslog traffic with TLS文档。大家想了解完整的OSSIM技术,请继续关注2015年11月出版的《开源安全运维平台OSSIM最佳实践》一书,该书为您揭秘更多OSSIM底层技术,这些内容在我的博客里也未曾出现过的哦!