n  Tru64, он же Digital Unix, он же DEC OSF/1

n  Windows 95/98/ME/NT/2000/XP

Итак, рассмотрим пример превращения небезопасных сервисов pop3, imap, smtp в их безопасные аналоги IMAPS, POP3S, SMTPS. Представим, что у нас есть сервер, функционирующий под управлением FreeBSD 4.10. Он называется freebsd410.unreal.net и доступен нашему клиенту по адресу 10.10.21.134. Кроме всего прочего, на нем работают программы dkimap, postfix, cucipop, которые и реализуют ту самую «святую троицу» протоколов. Все они принимают входящие соединения на любом сетевом интерфейсе. Postfix работает как резидентный демон, а остальные демоны запускаются с помощью inetd, как только кто-нибудь попытается присоединиться к нужным портам. Соответственно, в /etc/inetdd.conf присутствуют следующие строки:

pop3    stream  tcp     nowait  root    /usr/local/libexec/cucipop cucipop -Y

imap    stream  tcp     nowait  root    /usr/local/libexec/dkimap4 dkimap

Таким образом, картина, показываемая командой:

# netstat -na | grep LISTEN

выглядит следующим образом:

tcp4       0      0  *.25                   *.*                    LISTEN

tcp4       0      0  *.143                  *.*                    LISTEN

tcp4       0      0  *.110                  *.*                    LISTEN

Демоны ждут входящих соединений на портах 25, 110, 143. Что означают эти номера, можно узнать, пролистав файл /etc/services. Кстати, стоит убедиться, что в этом же файле есть записи, описывающие наши будущие защищенные сервисы:

imaps      993/tcp             # imap4 protocol over TLS/SSL

imaps      993/udp

pop3s      95/tcp  spop3       # pop3 protocol over TLS/SSL

pop3s      995/udp spop3

smtps      465/tcp             # smtp protocol over TLS/SSL (was ssmtp)

smtps      465/udp   

Объяснить, как все происходит, довольно просто. На схеме изображена типичная картина сетевого взаимодействия клиента и почтового сервера.

При отправке сообщений почтовый клиент, умеющий работать с SSL, шифрует пакеты и передает их демону stunnel. Тот в свою очередь расшифровывает их и отдает демонам imap, pop3, smtp. А почтовые демоны в ответ на запросы отдают данные в открытом виде stunnel, который шифрует их и передает клиенту. При этом ни клиент, ни демоны не догадываются о том, что общаются друг с другом через посредника.

Итак, приступаем к установке stunnel на сервер.

Предварительно в систему должен быть проинсталлирован OpenSSL, так как для правильного функционирования stunnel требуются криптоалгоритмы, реализуемые именно этой библиотекой. Для FreeBSD проводить инсталляцию удобнее всего из портов.

# cd /usr/ports/security/stunnel

# make all install

По окончании сборки будет автоматически создан поль-зователь stunnel, входящий в одноименную группу. Затем произойдет установка, и нам будет доступен stunnel версии 4.04. Сразу же после этого система начнет создавать секретный ключ и сертификат. Вы можете воспользоваться этим способом и начать отвечать на задаваемые вопросы или просто нажимать Enter и впоследствии самостоятельно создать нужные файлы. Я предпочитаю второй способ. Создаем директорию, где у нас будут храниться сертификаты и ключи.