設(shè)備管理系統(tǒng)維護(hù)技巧：在SSL內(nèi)加密任意TCP連接

大多數(shù)有網(wǎng)絡(luò)意識的程序都應(yīng)該使用密碼術(shù)保護(hù)數(shù)據(jù)，以免數(shù)據(jù)被偷窺，但許多程序都沒有這樣做，可能是因為程序本身是舊應(yīng)用程序，或者因為安全套接字層（Secure Sockets Layer，SSL）很難加入到應(yīng)用程序中。Stunnel 是一種程序，使程序員和系統(tǒng)管理員可以很輕松地對任意 TCP 會話加密。您可以很輕松地在客戶機(jī)和服務(wù)器上啟用 SSL — 而且這樣做不會影響程序源代碼。
SSL 挑戰(zhàn)
在大多數(shù)開發(fā)環(huán)境中，并不是在產(chǎn)品的整個生命周期中都考慮安全性而是在出現(xiàn)安全性問題后才采取補救措施。從傳統(tǒng)的觀點來看，這是壞事 — 事后亡羊補牢很困難，就象向一個寫得馬馬虎虎的軟件添加一個可靠性模塊來除去錯誤一樣困難。
象這些亡羊補牢技術(shù)從安全性立場來看好像是可行的，但實際上不太可靠。例如，您可以寫一段代碼，建立網(wǎng)絡(luò)連接，然后連接到一個庫 — 該庫用執(zhí)行加密和認(rèn)證的版本代替所有的傳統(tǒng)網(wǎng)絡(luò)調(diào)用。
實際上，這種集成的容易性是安全套接字層，或稱為 SSL（用于 secure HTTP 連接的協(xié)議）的最初目的之一。SSL 的幾種實現(xiàn)已經(jīng)在試圖順便替代標(biāo)準(zhǔn) Berkeley UNIX socket API，或者帶有盡可能相似接口的庫。
OpenSSL 庫（請參閱參考資料）是嘗試后一種方法的一個很好的示例。在 OpenSSL 庫中，相似的 API 模仿傳統(tǒng)的套接字調(diào)用，使用 SSL 上下文對象代替文件描述符。例如，傳統(tǒng)的寫入套接字的調(diào)用具有以下特征：
/* Returns the number of characters successfully written */
size_t write(int file_descriptor, void *buf, size_t len)
OpenSSL 更改每個參數(shù)的類型，但每個參數(shù)的語義不變：
/* Returns the number of characters successfully written */
int SSL_write(SSL *socket_info, char *buf, int len)
實際上，除 SSL 對象之外，其它所有的類型與初始調(diào)用都是兼容的。理想情況下，開發(fā)者能夠?qū)Τ绦蜻M(jìn)行較小的修改，只需添加一些代碼從文件描述符初始化 SSL 上下文即可。
而事實上，SSL 庫都不容易使用。例如，開發(fā)者要寫許多附加代碼才能使 OpenSSL 在多線程環(huán)境下工作。實際上，為將這個庫集成到代碼中去，大多數(shù)開發(fā)組織花費的精力都比他們預(yù)計的要多的多，而結(jié)果還常常是一片混亂。
Stunnel
幸運的是，有一種方法可以將加密功能無縫添加到網(wǎng)絡(luò)連接中，而不會將您原來的代碼段基址搞亂。Stunnel 是一個程序，可以使用 OpenSSL 庫對任意 TCP 會話進(jìn)行加密。它作為服務(wù)器運行在程序外部。Stunnel 服務(wù)器主要執(zhí)行兩個功能：一，首先，接收未加密的數(shù)據(jù)流，進(jìn)行 SSL 加密，然后將其通過網(wǎng)絡(luò)發(fā)送；二，對已進(jìn)行 SSL 加密的數(shù)據(jù)流進(jìn)行解密，并將其通過網(wǎng)絡(luò)發(fā)送給另一個程序（該程序通常駐留在同一機(jī)器上，以避免本地網(wǎng)絡(luò)上的窺探攻擊）。
這樣，在必要時，您就可以很容易地運行未加密的程序，當(dāng)您想要“嗅探”網(wǎng)絡(luò)，看看到底有什么東西正在通過網(wǎng)絡(luò)時，這一點很有用。
即使您是一個系統(tǒng)管理員，而不是一個開發(fā)者，Stunnel 對您來說也是一個強大的武器，因為它可以向不啟用 SSL 的服務(wù)器端軟件添加 SSL。例如，我已經(jīng)使用 Stunnel 來保護(hù) POP、SMTP 和 IMAP 服務(wù)器。唯一不太盡人意的地方是要使用這些服務(wù)器的安全版本，客戶機(jī)必須是可識別 SSL 的。
Stunnel 要求已經(jīng)安裝了 OpenSSL。它已被移植到了 Windows，以及大多數(shù) UNIX 平臺。
一旦安裝了 Stunnel，用它來保護(hù)服務(wù)器就很輕松。例如，您可以通過將常規(guī)服務(wù)綁定到本地主機(jī)使 IMAP 服務(wù)器啟用 SSL，然后在外部 IP 地址（假設(shè) IMAP 服務(wù)器已經(jīng)在運行，且外部地址為 192.168.100.1）運行 Stunnel：
stunnel -d 192.168.100.1:imap2 -r 127.0.0.1:imap2
-d 標(biāo)志指定我們希望用來運行自己的安全服務(wù)的端口。imap2 字符串指定使用標(biāo)準(zhǔn) IMAP 端口；我們也可以將其設(shè)為 143。Stunnel 檢查 "/etc/services" 文件以便將符號名映射到端口號。并非所有的機(jī)器都擁有這個文件（有些機(jī)器并不列出所有的標(biāo)準(zhǔn)服務(wù)），所以使用數(shù)字比使用服務(wù)名更方便。
-r 標(biāo)志指定未加密的 IMAP 服務(wù)器運行所在的端口。
這個解決方案要求您的 IMAP 服務(wù)器只在回送（loopback）接口上偵聽。如果 IMAP 服務(wù)器綁定到 IP 地址“0.0.0.0”，那么它將偵聽機(jī)器上每個 IP 地址上的信息，包括 192.168.100.1；這會導(dǎo)致出現(xiàn)一條出錯消息，指出我們的安全服務(wù)端口已在使用中。大多數(shù)服務(wù)都可以配置為只綁定到一個接口。不然的話，可能要更改一行代碼。
另外，您可以將一個未加密的服務(wù)器設(shè)在一個非標(biāo)準(zhǔn)端口上。例如，您可以在端口 1143 上運行 IMAP，然后將安全的 IMAP 數(shù)據(jù)流轉(zhuǎn)發(fā)到該端口。一般情況下，您不希望其它機(jī)器上的用戶訪問您未加密的服務(wù)。運行服務(wù)的機(jī)器上的個人防火墻可以加強這種策略。
使用 Stunnel 來保護(hù)如 IMAP 等服務(wù)面臨的一個問題是服務(wù)器只接收來自我們提供的 Stunnel 服務(wù)器的連接。因此，所有的連接都看起來好象是來自本地機(jī)器。在 Linux 上，可以通過傳遞 -T 標(biāo)志避開這個問題，傳遞 -T 標(biāo)志可以使 Stunnel 服務(wù)器透明地代理信息包，這樣真正的服務(wù)器就可以得到接收到的所有信息包中的正確的源地址。
用于客戶機(jī)的 Stunnel
還可以使用客戶機(jī)的 Stunnel 與服務(wù)器連接，不過要多做一些工作。首先，必須生成 Stunnel 作為外部進(jìn)程。在基于 UNIX 的系統(tǒng)上，執(zhí)行這個操作的最好方法是 fork() 客戶機(jī)，并讓子進(jìn)程 execv() stunnel。父進(jìn)程必須準(zhǔn)備兩套文件描述符用來與子進(jìn)程通信 — 一對用于從 Stunnel 進(jìn)程讀取數(shù)據(jù)，另一對用于通過網(wǎng)絡(luò)發(fā)送數(shù)據(jù)。這個工作量不小。實現(xiàn)這項功能的示例代碼，提供一個簡單的函數(shù)調(diào)用 run_cmd，掩蓋潛在的復(fù)雜性；run_cmd 使用一個字符串指出要運行的命令，并返回一個 PIPE 對象，該對象有一個文件描述符，套接字使用該文件描述符進(jìn)行讀寫操作：
pipe.h:
#ifndef POPEN_H__
#define POPEN_H__
#include
#include
#define EX設(shè)備管理系統(tǒng)VAL 127
typedef struct pipe_st {
FILE *read_ptr;
FILE *write_ptr;
pid_t pid;
} PIPE;
PIPE *run_cmd(char *cmd);
int pipe_close(PIPE *p);
#endif POPEN_H__
pipe.c:
#include
#include
#include
#include
#include
#include
#include "pipe.h"
/* We allow double quotes and to escape spaces.
* All backslashes are "processed", despite the value
* of the next character. (Though -> ).
* We don't care if there's a missing trailing quote,
* even if it should really be a syntax error.
*/
static char **
to_words(char *arg) {
char **arr;
char *p = arg;
int nw = 1;
int slc = 0;
int slm = 0;
char c;
short quote = 0;
char *cur;
/* Build a rough approximation of the number of words,
* simply so we don't malloc too low.
*/
while((c = *p++)) {
if(c == '"' || c == ' ') {
nw++;
if(slm < slc) slm = slc;
slc = 0;
}
}
arr = (char **)malloc(sizeof(char *)*(nw+1));
quote = nw = slc = 0;
p = arg;
cur = (char *)malloc(sizeof(char)*(slm+1));
arr[nw++] = cur;
while((c = *p++)) {
switch(c) {
case '"':
quote = !quote;
continue;
case ' ':
if(quote) {
*cur++ = c;
slc++;
continue;
} else {
if(!slc) continue;
*cur = 0;
cur = (char *)malloc(sizeof(char)*(slm+1));
arr[nw++] = cur;
slc = 0;
continue;
}
case '':
if(*p) {
*cur++ = *p++;
slc++;
continue;
}
default:
*cur++ = c;
slc++;
continue;
}
}
*cur = 0;
arr[nw] = 0;
return arr;
}
PIPE *
run_cmd(char *cmd) {
int prpd[2];
int pwpd[2];
pid_t pid;
char **args;
PIPE *ret;
args = to_words(cmd);
if(pipe(prpd) < 0 || pipe(pwpd) < 0) {
return 0; /* Pipe failed. */
}
pid = fork();
switch(pid) {
case -1:
close(prpd[STDIN_FILENO]);
close(prpd[STDOUT_FILENO]);
close(pwpd[STDIN_FILENO]);
close(pwpd[STDOUT_FILENO]);
return 0; /* Fork failed. */
/* Here we can only exit on error. */
case 0:
/* Child... */
if(dup2(pwpd[STDIN_FILENO], STDIN_FILENO) < 0) {
exit(EX設(shè)備管理系統(tǒng)VAL);
}
if(dup2(prpd[STDOUT_FILENO], STDOUT_FILENO) < 0) {
exit(EX設(shè)備管理系統(tǒng)VAL);
}
close(pwpd[STDIN_FILENO]);
close(pwpd[STDOUT_FILENO]);
close(prpd[STDIN_FILENO]);
close(prpd[STDOUT_FILENO]);
execv(args[0], args);
exit(EX設(shè)備管理系統(tǒng)VAL);
default:
ret = (PIPE *)malloc(sizeof(PIPE));
ret->read_ptr = ret->write_ptr = 0;
ret->pid = pid;
close(pwpd[0]);
fcntl(pwpd[1], F_SETFD, FD_CLOEXEC);
ret->write_ptr = fdopen(pwpd[1], "wb");
if(!ret->write_ptr) {
int old = errno;
kill(pid, SIGKILL);
close(pwpd[1]);
waitpid(pid, 0, 0);
errno = old;
free(ret);
return 0;
}
close(prpd[1]);
fcntl(prpd[0], F_SETFD, FD_CLOEXEC);
ret->read_ptr = fdopen(prpd[0], "rb");
if(!ret->read_ptr) {
int old = errno;
kill(pid, SIGKILL);
close(prpd[0]);
waitpid(pid, 0, 0);
errno = old;
free(ret);
return 0;
}
return ret;
}
}
int
pipe_close(PIPE *p) {
int status;
if(!(p->read_ptr || p->write_ptr)) {
return -1;
}
if(p->read_ptr && fclose(p->read_ptr)) {
return -1;
}
if(p->write_ptr && fclose(p->write_ptr)) {
return -1;
}
if(waitpid(p->pid, &status, 0) != p->pid) {
return -1;
}
p->read_ptr = p->write_ptr = 0;
return status;
}
例如，要使用此函數(shù)建立一個連接到上面啟用 SSL 的 IMAP 服務(wù)器的客戶機(jī)，我們可以編寫如下代碼：
PIPE *p;
p = run_cmd("stunnel -c -r 192.168.100.1:imap2 -A /etc/ca_certs -v 3");
在上面的代碼中，我們這樣調(diào)用 Stunnel：
stunnel -c -r 192.168.100.1:imap2 -A /etc/ca_certs -v 3
最后兩個選項并非必需；客戶機(jī)可以不考慮這兩個選項進(jìn)行連接。但是，如果我們省去了這兩個選項，客戶機(jī)將無法對服務(wù)器證書進(jìn)行充分的驗證，會使客戶機(jī)隨時可能遭到 man-in-the-middle 攻擊。在這種攻擊中，有人創(chuàng)建了一個虛假服務(wù)器，使客戶機(jī)把它當(dāng)作真正的服務(wù)器，而與之進(jìn)行通信。虛假服務(wù)器代理到真正的服務(wù)器的連接，讀取所有的數(shù)據(jù)。使用現(xiàn)成的工具如 Dsniff（請參閱參考資料）很容易發(fā)動這種攻擊。
v 參數(shù)指定驗證級別。缺省值為 0，適用于使用其它方法驗證客戶機(jī)的服務(wù)器，也是如此。但級別 1 和級別 2 更好一些。級別 1 檢查（非強制地）服務(wù)器證書是否有效，但可與無證書的服務(wù)器連接。級別 2 要求有效的服務(wù)器證書，但并不檢查證書是否由權(quán)威認(rèn)證中心如 VeriSign 簽署。
A 參數(shù)指定一個必須包含可信證書列表的文件。一個服務(wù)器證書要被接受，它必須是在 A 參數(shù)指定的文件內(nèi)，或者是一個用于簽署推薦證書（通常是來自權(quán)威認(rèn)證中心，或稱 CA，如 VeriSign 的證書）的證書，該證書必須在指定的文件內(nèi)。在參考資料部分，您會找到幾個主要認(rèn)證中心的當(dāng)前有效證書的鏈接，您可以將它作為必需內(nèi)容放在這個文件中。
在使用大型 CA 時，甚至這種方法也會出現(xiàn)問題。例如，確保某個特定的證書是由 VeriSign 簽署的是不錯的。但您如何確保證書是來自您想要連接的站點呢？
不幸的是，在寫這篇文章的時候，Stunnel 還不能使調(diào)用程序訪問驗證過的證書的信息。因此，您無法確定服務(wù)器正在使用的是誰的證書。例如，您可能如愿以償被連接到 Amazon，或者可能被連接到一個服務(wù)器，該服務(wù)器使用的是偷來的（但有效的）Microsoft 證書。
由于這種局限性，您只能局限于下面四個選擇：
希望沒有人發(fā)動 man-in-the-middle 攻擊（不正確的想法）。
在客戶機(jī)端對每個可能的服務(wù)器證書進(jìn)行硬編碼（Hardcode）。
運行自己的認(rèn)證中心，這樣可以動態(tài)地添加可信的服務(wù)器。
在應(yīng)用程序中使用 SSL 代替外部的通道，這樣可以通過編程檢查。
即使這些解決方案都可使用，也沒有一個理想的。
結(jié)論
安全性問題要比我們想象的困難的多。理想情況是，我們單擊一下按鈕就可保證自己的應(yīng)用程序安全。在對網(wǎng)絡(luò)連接加密時，值得稱贊的是 Stunnel 接近了“單擊 — 安全”的理想境界，允許我們向在其它方面已經(jīng)完整的應(yīng)用程序添加安全性。
不幸的是，Stunnel 有一些局限性。在服務(wù)器端，它當(dāng)前只能夠透明地代理 Linux 客戶機(jī)。在客戶機(jī)端，不容易執(zhí)行充分的證書驗證。
盡管如此，Stunnel 仍是實用價值很高的實用程序，應(yīng)該成為程序員，同樣也是系統(tǒng)管理員的看家法寶。如果您正在開發(fā)自己的軟件，應(yīng)該能夠很容易地將 Stunnel 集成到程序中。服務(wù)器代碼不需修改，使用本文中提供的框架通常可以很容易地對客戶機(jī)代碼進(jìn)行改寫。
參考資料
OpenSSL Project 依靠大家的共同努力旨在開發(fā)一個健壯的、商務(wù)級的、全功能的開放源代碼工具箱，用來實現(xiàn)安全套接字層（SSL v2/v3）和傳輸層安全（TLS v1）協(xié)議以及功能強大的通用加密庫。
可從 http://www.stunnel.org/ 獲取 Stunnel。
要獲取 CA 證書列表，請訪問 http://www.columbia.edu/~ariel/good-certs/ns45/。
這里有用來導(dǎo)出 Netscape 的 CA 證書的 Perl 腳本。
您可以在 monkey.org 找到 Dug Song 的 dsniff 2.3 發(fā)行版。
Larry Loeb 的關(guān)于 dsniff 的 developerWorks 系列（分兩部分）向您展示了最近的更新是怎樣增加 man-in-the-middle 攻擊風(fēng)險的。第 1 部分介紹了這個網(wǎng)絡(luò)探測工具的原理，以及如何識別是否有人在“嗅探”您。第 2 部分提供對抗嗅探器的工具和策略。
參閱 IBM's Managed Security Services 可以幫助您識別和解決使用證實過的連續(xù)管理進(jìn)程帶來的實時安全性風(fēng)險。
查找最新的 IBM security news。
Intel Common Data Security Architecture 可通過減少上市時間和提供測試過性能的互操作性提高您的提供加強安全性解決方案的能力。