Re: ssl firewall i imap cz. 1 i 2
Marek Wysmulek napisal:
> 1. jakie wybrac rozwiazanie:
> a) stunnel -d imaps -l /usr/sbin/impad imapd
> ktore na serwerze pozwoli wylaczyc z xinetd imapd
> czy
> b) stunnel -d imaps -r imapd
> co zmusza do otwierania (wewnetrznie ale jadnak) port 143 ?
Osobiscie korzystam z drugiego. Otwarcie portu nie jest dla Ciebie
niebezpieczne, bo nie korzystasz z uwierzytelniania SSL. Nawet jezeli ktos
dostanie sie do Twojego imapd bez SSLa, to i tak co najwyzej dostanie to, co
i tak juz ma przy pomocy "stunnel -c twoje_ip:imaps".
Pierwsze rozwiazanie ma jakkolwiek swoje zalety. Mozesz na przyklad uzyc -T
i Twoj imapd bedzie widzial rzeczywiste IP logujacego sie klienta.
> w Outlook Expresie po polaczeniu z serwerem zglasza blad:
>
> "Serwer z ktorym masz polaczenie uzywa certyfikatu bezpieczenstwa nie
pasujacego do jego
> adresu internetowego. Czy chcesz dalej uzywac tego serwera ?"
Trzeba zaimportowac certyfikat klienta do MSIE - wtedy Outlook go zobaczy.
> Znalazlem fajny programik pod winde ktory nasluchuje na 143 zadan
> wysylanych do localhost jako serwer imap i wysyla je do wskazanego
> "prawdziwego" serwera imap na 933.
>
> http://security.fi.infn.it/tools/stunnel/index-en.html
>
> Nie wiem tylko jak jest z bezpieczenstwem takiego rozwiazania.
Calkiem niezle, jezeli sie wie, co sie robi. 8-) Polecam lekture:
http://stunnel.mirt.net/ (skromna strona mojego autorstwa)
http://www.stunnel.org/ (bardzo ladna strona jednego z fanow programu)
> Nic to mi nie mowi. Blagam o wskazowke na DOBRA I
> SZCEGOLOWA !!! polska dokumentacje zasad certyfikacji i generowania
> certyfikatow.
Dosyc ciekawy na poczatek jest dokument Adama Hernika umieszczony w katalogu
doc/polish zrodel stunnela. Niedlugo zamierzam sam wyskrobac cos nieco
bardziej obszernie opisujacego zagadnienie.
Pozdrawiam,
Michal Trojnara
Reply to: