stunnel (SSL/IMAP, SSL/POP3d)

To: ayuda en linux org mx
Subject: stunnel (SSL/IMAP, SSL/POP3d)
From: Lista de Linux <lista en biomedicas unam mx>
Date: Mon, 22 May 2000 14:35:29 -0500 (CDT)
List-help: <mailto:ayuda-help@linux.org.mx>
List-post: <mailto:ayuda@linux.org.mx>
List-unsubscribe: <mailto:ayuda-unsubscribe@linux.org.mx>
Mailing-list: contact ayuda-help en linux org mx; run by ezmlm

Hola como hace mucho que pregunto esto y nadie me respondia, me puse a
investigar algo y de ahi salio esta experiencia que relato..la mando en
texto plano, dice como implemente SSL/POP con un programita que se llama 
stunnel, oaja a alguien le sirva....y perdon por mandarlo como Attchmnt.


RIII

Pd. de stunnel existe una vercion en RPM pero no jala!

Bueno esto no pretende ser una "suer guia" ni siquiera una "mini guia",
aqui relato mi experiencia personal sobre la instalación y puesta apunto
de un servicio, a mi parecer, bastante util, llamado "stunnel", el porque
escogi este solo es por su sencillez, a comparación de, por ejemplo
sslwrap, que nunca lo pude hacer funcionar, pero si quieres saber mas de
sslwrap, revisa esta página, donde viene, la documentación completa (y si
lo puedes hechar a andar me avisas :)) 

http://www.rickk.com/sslwrap

Bueno vallamos al grano...(no dare ninguna descripción del programa, ya
que esta se encontrara en las páginas correspondientes que mas abajo dare)

Los pasos para la instalación en resumen son estos:

instalar Openssl 0.9.4 (con el cual me funciono correctamente, porque
alguna verción menor no me funciono, ignoro el porque)

instalar stunnel

Crear el server key y los certificados

Poner en inetd.conf para hacer wrap a los demonios.

(1)  Obtener e Instalar OpenSSL 0.9.4 (referencias para saber de donde) 

1 ./configure dgux-R4-gcc (o el tipo de arquitectura que tienes, solo es
ejemplo)
2. make
3. make test
4. make install

2 Obten e instala stunnel (referencias para saber de donde)

1. corre ./configure 
2. make
3. copia stunnel a /usr/sbin,  
4. edita /etc/inetd.conf (aquí es donde esta el truco, yo particularmente
al instalarlo con el demonio TCPwrappers no me funciono, pero puedes
intentarlo y me avisas, aumenta al inetd.conf un par de lineas
como estas:

#Tunel SSL/IMAP SSL/POP

imaps stream tcp nowait root /usr/sbin/stunnel imapd -l /usr/sbin/imapd
pops stream tcp nowait root /usr/sbin/stunnel ipop3d -l /usr/sbin/ipop3d

no se te olvide descomentar las lineas correspondientes en /etc/services
para imap y pop seguros, si no tienes estas entradas aumentalas, el puerto
default es: para el POP 995 y para el IMAP 993 
imaps           993/tcp                         # IMAP over SSL
pops            995/tcp                         # POP-3 over SSL  


3. Generando certificados

Aqui esta el otro truco, no vamos a generar un ceríficado de lo mas
"sofisticado" si no que vamos a generar un certificado "tonto", de tal
forma que no nos provoque errores al tratar de conectarnos por Outlook.
(Claro que si estan "certificados" por alguna compañia ni hablar...)

crea el certificado de esta forma:

root#/usr/local/ssl/bin/openssl req -new -x509 -nodes -out stunnel.pem
-kyeout stunnel.pem -days 999

NOTA!: Asegurate que donde te pregunta: Common Name
pongas el nombde de tu maquina (no vallas a poner tu nombre), esto es
importante ya que si te conectas desde algún cliente de correo, como
outlook y pones un nombre común es este campo, te marcara error.

despues:

root#ln -s stunnel.pem `/usr/local/ssl/bin/openssl x509 -noout -hash <
stunnel.pem`.0

esto te creara un "certificado" que entendera Outlook express, Outlook
2000, por desgracia no se si Outlook 97 soporta la conexión segura, (creo
que no).

Esto es lo basico para que tu sistema sea seguro, para probar todo el
sistema haste un telnet al puerto 993 o 995 no te deve de aparecer nada:
bash$ telnet 
telnet> o 
(to) maquina1.dominio.com 993 
Trying 127.0.0.1... Connected
to maquina1.dominio.com (127.0.0.1). 
Escape character is '^]'.
 
Connection closed by foreign host. 

Despues pruebalo, en algún cliente que soporte conexiones SSL.

Referencias:

OpenSSL
http://www.openssl.org
Stunnel
ftp://opensores.thebunker.net/pub/mirrors/stunnel

http://security.fi.infn.it/tools/stunnel/index-en.html
(NOTA!: Este metodo que describe jamas me funciono a mi)

http://http://www.caspur.it/servizi/posta/outlook-conf.html
(NOTA!: Este sitio te ayudará a fonfigurar Outlook express para que
trabaje con SSL)

Y finalmente.

Este metodo fue probado en:


Linux RedHat 6.2   i386
Linux RedHat 6.0 en una máquina Sparc Station 5
Sun SOlaris 7 en una Ultra 5 (Obviamente con un poco mas de trabajo..pero
funciona)

Nota final: Todo comentario a esta pequeña "experiencia" porfavor mandala
a diablo en biomedicas unam mx

-- 
Para desuscribirse, mande correo a: ayuda-unsubscribe en linux org mx
Para comandos adicionales, envíelo a: ayuda-help en linux org mx

Previo por Fecha: Contraseñas
Siguiente por Fecha: Re: disco
Previo por Hilo: Re: Contraseñas
Siguiente por Hilo: cache automatico con squid...?

[Hilos de Discusión] [Fecha] [Tema] [Autor]