hace unos meses escribí un artículo sobre cómo montar un servidor telnet sobre un sistema Windows. Hoy, en este artículo, se verá cómo es posible cifrar conexiones mediante la herramienta ‘stunnel’, aplicándolo durante este articulo para cifrar nuestro servidor telnet mediante SSL.

Como bien sabéis, el principal fallo de seguridad de una conexión mediante telnet es que el tráfico no se cifra, por lo que mediante un análisis de tráfico de red podrían visualizar nuestras credenciales y monitorizar nuestra actividad.

Veamos un gráfico donde se ve como se realiza una conexión sin cifrar desde un equipo remoto a un servidor telnet.

 

clip_image002

 

Como se ve, la conexión entre el cliente y el servidor está sin cifrar, y seria trivial el robo de credenciales (Ver captura wireshark):

 

clip_image004

 

La idea de Stunnel, es utilizar esta aplicación como conexión intermedia, es decir, como un ‘bouncer’ que redirija el tráfico de un equipo a otro a través de una capa SSL.

Para ello, Stunnel debería estar ejecutándose tanto en el servidor como en el cliente, de tal forma que el cliente telnet se conecte al servidor Stunnel (Escuchando en la misma máquina que el cliente) con una conexión sin cifrar. Una vez conectado a Stunnel, éste realizará una conexión a través de SSL contra el servidor Stunnel que corre en el servidor, el cual redirigirá el trafico sin cifrar contra el servidor telnet.

En la siguiente imagen se observa cómo se realiza la conexión a través de Stunnel.

 

clip_image006

 

El primer paso para configurar la redirección de conexiones con Stunnel es la descarga del software, podemos realizarlo desde ftp://stunnel.mirt.net/stunnel/stunnel-4.31-installer.exe

Empezaremos con la configuración del cliente, por lo que editaremos el fichero de configuración (C:\Archivos de programa\stunnel\stunnel.conf) y añadiremos las siguientes líneas:

- Accept = [puerto de escucha local]

- Connect = [dirección y puerto al cual se redigirá el trafico con SSL]

- Client = yes

La línea “cert = stunnel.pem” indica que certificado se utilizará para el tráfico SSL. Usaré el certificado que trae la aplicación por defecto (stunnel.pem) a modo de ejemplo. Si se pretende montar un entorno seguro, se recomienda no utilizar este certificado sino generar uno nuevo.

 

clip_image008

 

Una vez configurado en el lado del cliente, podremos iniciarlo como aplicación o como servicio.

 

clip_image010

 

Ahora pasaremos a la parte del servidor, son los mismos pasos, editaremos el fichero de configuración con las siguientes líneas y arrancaremos la aplicación:

 

clip_image012

 

Ya tenemos la pasarela montada, únicamente nos queda realizar la conexión y comprobar que todo funciona correctamente bajo la capa SSL. Desde el cliente nos conectaremos a nuestro servidor Stunnel el cual se encargará de redirigir nuestro tráfico:

 

clip_image014

 

Volveremos a abrir un analizador de tráfico para comprobar si realmente los paquetes se están cifrando:

 

clip_image016

 

Efectivamente el tráfico se está enviando cifrado. Éste mismo sistema puede aplicarse no solo a una conexión telnet, sino a servicios FTP, SMB, LDAP, conexiones contra bases de datos, etc.

¡Hasta otra!

 

Fuente:windows tecnico


Visitanos en Google+