Changer l'apparence
Documentation : IMAP / POP / VNC / ICECAST over Stunnel
Date de publication : 16.7.2004
Date de modification : 17.2.2005
|
|
Contributeur : Eric Romang
IMAP / POP / VNC / ICECAST over Stunnel.
Consulter vos email d'une façon sécurisée avec Stunnel :
Lorsque vous vous connectez en POP ou en IMAP sur votre serveur de mail pour récupérer vos email, votre login et mot de passe transite en clair.
Si votre serveur ne dispose pas de pop3s sur le port 995 par défault, ou de imap4-ssl sur le port 585 ou encore imaps sur le port 993, vous pouvez d'une façon simple vous configurez un accès sécurisé sur votre serveur avec stunnel.
Pour cela, nous partons du principe que vous avez un accès shell au serveur qui supporte vos email et que vous avez installé stunnel sur votre machine cliente linux ou windows.
Consultation POP
Sur le serveur email, nous allons considéré que toutes les requêtes en direction du port 5500 seront redirigées sur le port 110 (pop3) ou 109 (pop2).
shell> stunnel -P/tmp/ -p /chemindaccesaucertificat/stunnel.pem -d 5500 -r 110 (ou 109).
Sur le poste client, nous allons décider que toutes les connexions en localhost (127.0.0.1) sur le port 5550 seront redirigées vers le serveur de mail port 5500.
C:\stunnel -o C:\logs.txt -c -d 5550 -r serveurvnc:5500 (Pour windows)
shell> stunnel -P/tmp/ -c -d 5550 -r serveurmail:5500 (Pour linux)
Maintenant, il en vous reste plus qu'à configurer votre logiciel client email (mozilla, kmail, outlook ...)
pour que les comptes appellent le serveur 127.0.0.1 sur le port 5550 pour que cela fonctionne.
Si cela ne fonctionne pas, lancer les deux commandes stunnel avec l'option -f pour voir ou se situe le programme.
Consultation IMAP
Procéder de la même façon, mais avec une redirection vers le port 143.
Prise de control à distance sécurisée (VNC over SSL)
VNC (Virtual Network Computing), de AT&T, disponible pour différentes OS (Linux,Solaris,Windows,Macintosh, Windows CE 2.0), permet d'afficher le bureau d'un ordinateur distant sur votre ordinateur local. Ce logiciel permet aussi de par la même occasion prendre control de cet ordinateur, de lancer des programmes, de la rebooter, etc. Si vous devez passer au travers d'Internet pour prendre control à distance de l'ordinateur, n'oubliez pas que toutes les actions que vous allez effectuée transiteront dans le réseau Internet en clair. Pour contrer cela, l'arme ultime est le cryptage de toutes les communications entre votre ordinateur local et l'ordinateur distant, au travers de Stunnel.
Sur l'ordinateur distant et sur l'ordinateur client, il vous suffit bien sûr d'installer VNC, d'appliquer un mot de passe sûr.
Vous pouvez aussi, si vous désirez augmenter la sécurité de la transaction, lancer une connexion Stunnel basé sur la reconnaissance d'une clé publique comme pour le dossier IRC SSL. Ici nous allons faire sans, mais nous vous conseillons de faire avec :)
Redirigeons sur l'ordinateur distant toutes les connexions en direction ou en provenance du port 8850 vers le port 5901.
C:\> stunnel -o C:\logs.txt -p C:\chemindaccesaucertificat\stunnel.pem -d 8850 -r 5901 (Pour windows)
shell > stunnel -P/tmp/ -p /chemindaccesaucertificat/stunnel.pem -d 8850 -r 5901 (Pour Linux)
Démarrer ensuite le serveur VNC (WinVNC App Mode pour Windows, ou vncserver pour Linux) ou sur la machine dont vous voulez prendre le contrôle. Pour Windows, utiliser le "display number 0", pour linux choisissez un TTY disponible. N'oubliez pas de donner un mot de passe pour autoriser la connexion VNC.
Sur la partie cliente, il ne vous reste plus qu'à rediriger les connexions VNC à destination du serveur sur le bon port
C:\stunnel -o C:\logs.txt -c -d 5901 -r serveurvnc:8850 (Pour windows)
shell> stunnel -P/tmp/ -c -d 5901 -r serveurmail:8850 (Pour linux)
Lancer maintenant le client VNC (vncviewer) avec comme adresse de destination localhost ou encore 127.0.0.1
ICECAST over SSL, just for fun :)
Si vous désirez écouter et partager vos morceaux de musique libre de droits entre amis, et que vous ne savez plus quoi crypter, tellement vous crypté ;) Il vous reste la possibilité de crypter aussi votre flux radio icecast. Pour cela c'est assez simple, il vous suffit d'installer icecast et shout et de lancer votre flux sur le port 7000 par exemple. Bien sûr, vous bloquer ce port au niveau du firewall et en ouvrez un autre, genre le 8100, pour effectuer le tunneling ssl. Il ne vous reste plus qu'à lancer un stunnel au niveau server (stunnel -P/tmp/ -c -d 8100 -r 7000) et de lancer un autre stunnel du côté client (stunnel -P/tmp/ -c -d 8000-r serveur_icecast:8100) pour pouvoir écouter un flux musical crypter :) On s'ennui des fois :)