Das DMDK-GIIS-System (State Information Identification System der staatlichen Mitten- und Kordonkontrolle) ist ein wichtiges Instrument für eine wirksame Kontrolle des Warenumsatzes und der Grenzsicherheit. Es bietet die Möglichkeit, alle Prozesse im Zusammenhang mit Zoll- und Grenzschutzaktivitäten automatisiert zu verwalten und zu überwachen.
SSL/TLS wird verwendet, um die sichere Kommunikation zwischen entfernten Hosts und dem zentralen DMDC-GIS-Server zu gewährleisten. Es ermöglicht die Verschlüsselung und Authentifizierung von Daten, wodurch die Möglichkeit eines unbefugten Zugangs und der Ersetzung von Informationen während der Übertragung ausgeschlossen wird.
Um dieses Protokoll zu implementieren und die sichere Kommunikation zwischen den Knoten und dem zentralen DMDK-GIIS-Server zu konfigurieren, ist es bequem, das Programm stunnel zu verwenden. Der Stunnel ist ein universeller SSL-Server, mit dem Sie einen sicheren Tunnel für die Datenübertragung über unverschlüsselte Protokolle wie HTTP, FTP oder SMTP erstellen können.
Stunnel installieren
Führen Sie die folgenden Schritte aus, um stunnel auf Ihrem Server zu installieren:
- Öffnen Sie ein Terminal oder eine Eingabeaufforderung.
- Installieren Sie das Stunnel-Paket mithilfe des Paketmanagers Ihres Betriebssystems. Für Ubuntu kann dies beispielsweise mit folgendem Befehl ausgeführt werden:
sudo apt-get install stunnelstunnel -versionHerzlichen Glückwunsch, stunnel wurde erfolgreich auf Ihrem Server installiert! Jetzt können Sie damit beginnen, es für die Arbeit mit DMDK-GIIS einzurichten.
Erstellen von Zertifikaten für Stunnel
Bevor Sie mit der Konfiguration von stunnel für DMDCS beginnen, müssen Sie Zertifikate erstellen, um eine sichere Kommunikation zwischen dem Client und dem Server zu gewährleisten.
Führen Sie dazu die folgenden Schritte aus:
| Schritt | Die Beschreibung |
|---|---|
| 1 | Privaten Schlüssel erstellen: |
| openssl genrsa -out private.key 2048 | |
| 2 | Zertifikatanforderung (CSR) erstellen: |
| openssl req -new -key private.key -out certificate.csr | |
| 3 | Senden Sie die CSR zur Signatur an die Organisation, die SSL-Zertifikate ausstellt. |
| 4 | Erhalten Sie ein signiertes Zertifikat von Ihrer Organisation. |
| 5 | Das resultierende Zertifikat in das pem-Format konvertieren: |
| openssl x509 -in certificate.crt -out certificate.pem -outform PEM | |
| 6 | Privaten Schlüssel und Zertifikat in einer Datei zusammenführen: |
| cat private.key certificate.pem > stunnel.pem | |
| 7 | Korrekte Dateiberechtigungen festlegen: |
| chmod 600 stunnel.pem |
Nach Abschluss dieser Schritte wird eine Stunnel-Datei erstellt.ein pem, das einen privaten Schlüssel und ein signiertes SSL-Zertifikat enthält. Diese Datei wird zum Konfigurieren des Stunnels verwendet.
Stunnel-Konfiguration auf dem Server
Um den Stunnel auf dem Server zu konfigurieren, müssen Sie eine Konfigurationsdatei mit der Erweiterung erstellen.conf. In dieser Datei werden die Optionen zum Herstellen der Verbindung und zum Konfigurieren der Verschlüsselung angegeben.
Beispiel für eine Stunnel-Konfigurationsdatei.conf:
[giis_dmdk]
accept = 8443 (portnummer)
connect = 127.0.0.1:9000 (adresse und Portnummer des internen GIIS DMDC-Servers)
cert = /etc/stunnel/stunnel.pem (pfad zum Zertifikat zum Verschlüsseln der Verbindung)
In diesem Beispiel wird ein Kommunikationskanal an Port 8443 erstellt und eine Verbindung zu einem DMDC-GIS-Server hergestellt, der an der internen Adresse 127.0.0.1 und an Port 9000 ausgeführt wird. Das Zertifikat zum Verschlüsseln der Verbindung wird im Parameter cert angegeben.
Nachdem Sie die Konfigurationsdatei erstellt haben, müssen Sie stunnel ausführen, um diese Datei als Befehlsargument anzugeben:
Der Server ist jetzt bereit, eine sichere Verbindung am angegebenen Port zu akzeptieren. Clients müssen eine Verbindung zum Serverport 8443 einrichten, um eine sichere Datenübertragung mit DMDC-GIIS zu ermöglichen.
Wichtig: Bevor Sie Stunnel auf dem Server konfigurieren, stellen Sie sicher, dass Sie alle erforderlichen Komponenten installiert haben, einschließlich des Zertifikats zum Verschlüsseln und Konfigurieren des Portzugriffs.
Konfigurieren des abgehörten Ports
Um einen abgehörten Port in einem Stunnel einzurichten, müssen Sie die folgenden Schritte ausführen:
- Öffnen Sie die Stunnel-Konfigurationsdatei. Es befindet sich normalerweise im Pfad /etc/stunnel/stunnel.conf.
- Suchen Sie den Abschnitt [service]. Dieser Abschnitt definiert die Parameter für die Verbindung mit dem Server.
- Suchen Sie den Parameter accept, und geben Sie den Port an, an dem der Stunnel Verbindungen abhören soll. Zum Beispiel accept = 8443.
- Speichern Sie die Konfigurationsdatei, und starten Sie den Stunnel-Dienst neu, damit die Änderungen wirksam werden.
Nachdem Sie diese Schritte ausgeführt haben, überwacht Stunnel den angegebenen Port und leitet alle eingehenden Verbindungen an den angegebenen Server weiter.
Stunnel-Konfiguration auf dem Client
Führen Sie die folgenden Schritte aus, um Stunnel auf einem Clientcomputer zu konfigurieren:
Schritt 1: Installieren Sie das Stunnel-Paket auf dem Clientcomputer, falls es noch nicht installiert ist. Dies kann mit dem Paketmanager Ihres Betriebssystems erfolgen.
Schritt 2: Erstellen Sie eine Stunnel-Konfigurationsdatei.conf im richtigen Verzeichnis auf der Client-Maschine. Der Dateipfad kann beliebig sein. Hier ist ein Beispiel für den Inhalt dieser Datei:
client = yes[гиис-дмдк]accept = 127.0.0.1:8888connect = ip-адрес-сервера:8888cert = путь-к-файлу-сертификатаErläuterung: Hier giis-dmdk - ein beliebiger Name, der verwendet wird, um die Verbindung zu identifizieren. server-IP-Adresse - Die IP-Adresse des Servers, auf dem die DMDC-HYIS ausgeführt wird. pfad zur Zertifikatdatei - der Pfad zur Zertifikatdatei, die zum Verschlüsseln der Verbindung verwendet werden soll.
Schritt 3: Starten Sie den stunnel mit dem Befehl:
stunnel путь-к-конфигурационному-файлуSchritt 4: Nachdem Sie stunnel gestartet haben, können Sie über eine verschlüsselte Verbindung mit der in der Konfigurationsdatei angegebenen Adresse und dem Port auf die DMDC-GIS zugreifen. Stellen Sie sicher, dass in den Client-Software-Einstellungen die richtige Adresse und der richtige Port angegeben sind.
Anmerkung: Sie können bei Bedarf zusätzliche Stunnel-Einstellungen konfigurieren, z. B. die Verwendung eines Proxyservers oder die Autorisierung. Weitere Informationen finden Sie in der Stunnel-Dokumentation.
Angeben der Serveradresse und des Ports
Um stunnel erfolgreich zu konfigurieren, müssen Sie die Adresse und den Port des Servers angeben, zu dem die Verbindung hergestellt werden soll. Diese Adresse und dieser Port hängen von den spezifischen Anforderungen und Einstellungen der DMDC-HYIS ab.
Verwenden Sie den Parameter "remote", der in der Stunnel-Konfigurationsdatei angegeben werden soll, um die Serveradresse anzugeben. Zum Beispiel:
In diesem Beispiel hat der Server die Adresse 192.168.0.1 und den Port 1234.
Wenn der Server auf einem lokalen Computer ausgeführt wird, können Sie die Adresse "localhost" oder "127.0.0.1" verwenden. Zum Beispiel:
Der Serverport muss auch in der Stunnel-Konfigurationsdatei angegeben werden. Dies geschieht mit dem Parameter "port". Zum Beispiel:
In diesem Beispiel wird der Server auf Port 1234 ausgeführt.
Es ist wichtig, die richtige Adresse und den richtigen Port des Servers anzugeben, damit stunnel eine erfolgreiche Verbindung herstellen und einen sicheren Datenaustausch mit der DMDC-GIS ermöglichen kann.
Testen der Verbindung zum Server über einen Stunnel
Nachdem Sie den Stunnel für die DMDC-HYIS konfiguriert haben, müssen Sie die Verbindung zum Server testen. Führen Sie dazu die folgenden Schritte aus:
- Starten Sie stunnel, stellen Sie sicher, dass der Dienst erfolgreich gestartet wurde.
- Öffnen Sie ein Terminal (Eingabeaufforderung) und geben Sie den Befehl ein telnet localhost port, wobei der Port der Port ist, der in Ihrer Stunnel-Konfiguration angegeben ist.
- Wenn die Verbindung erfolgreich war, werden Sie aufgefordert, Serverbefehle einzugeben. Dies bedeutet, dass stunnel eine sichere Verbindung zum DMDC-GIIS-Server erfolgreich hergestellt hat.
- Sie können einen Befehl eingeben, um zu überprüfen, ob der Server funktioniert ping und geben Sie die Test-IP-Adresse oder den Domain-Namen des DMDC-GIIS-Servers an.
- Wenn der Server erfolgreich auf den Ping reagiert, funktioniert die Verbindung zum Server über den Stunnel ordnungsgemäß.
Wenn beim Testen Fehler oder Verbindungsprobleme auftreten, überprüfen Sie die Stunnel-Konfiguration und stellen Sie sicher, dass alle Einstellungen korrekt sind, einschließlich Port, IP-Adresse oder Domänenname des Servers.
Beachten Sie, dass das Testen der Verbindung auf einem lokalen Computer (localhost) durchgeführt wird, sodass es bei der Verbindung mit einem Remote-Server zu geringfügigen Unterschieden kommen kann.
Arbeiten mit der Protokollierung im Stunnel
In der Standardkonfiguration protokolliert Stunnel seine Arbeit nicht, Sie müssen jedoch möglicherweise die Protokollierung aktivieren, um Probleme zu debuggen und zu analysieren.
Um die Protokollierung zu aktivieren, müssen Sie die Stunnel-Konfigurationsdatei verwenden.conf Geben Sie den Parameter "output" an, in dem der Pfad zu der Datei angegeben wird, in die die Protokolle geschrieben werden sollen. Zum Beispiel:
output = /var/log/stunnel.log
Neben der einfachen Protokollierung in eine Datei kann stunnel auch Protokolle über das Syslog-Protokoll an einen Remote-Server senden. Dazu müssen Sie den Parameter "syslog" verwenden, um die Adresse und den Port des Remote-Syslog-Servers anzugeben. Zum Beispiel:
syslog = remote_syslog.example.com:514
Sie können die Option "debug" angeben, die zusätzliche Debug-Meldungen aktiviert, damit die Logging-Ebene für die Diagnose von Problemen ausführlich genug ist. Zum Beispiel:
debug = 7
Nachdem Sie die Stunnel-Konfigurationsdatei geändert haben.conf muss den Stunnel-Dienst neu starten, um die Änderungen anzuwenden:
sudo systemctl restart stunnel
Die Stunnel-Protokolle werden je nach Konfiguration in die angegebene Datei geschrieben oder an einen entfernten Syslog-Server gesendet. Beachten Sie bei der Analyse der Protokolle die Meldungen "CRIT", "WARN" und "ERR", die auf mögliche Probleme hinweisen.
Verbindung zum DMDK-GIIS über einen Stunnel
Zuerst müssen Sie stunnel auf Ihrem Server installieren. Führen Sie dazu den folgenden Befehl aus:
apt-get install stunnel
Nach der Installation müssen Sie die Stunnel-Konfigurationsdatei konfigurieren. Öffnen Sie die Datei /etc/stunnel/stunnel.conf verwenden Sie einen Texteditor und fügen Sie die folgenden Zeilen hinzu:
client=yes
[dmdk]
accept=127.0.0.1:8888
connect=Adresse:443
Hier ist die Adresse des DMDC–Servers, mit dem Sie eine Verbindung herstellen möchten.
Speichern Sie die Änderungen, und schließen Sie die Datei.
Jetzt müssen Sie den Stunnel starten. Führen Sie dazu den folgenden Befehl aus:
service stunnel4 start
Nachdem Sie stunnel gestartet haben, können Sie über localhost und Port 8888 eine Verbindung mit der DMDC-GIIS herstellen. Zum Beispiel können Sie einen Browser verwenden und zu einer Adresse navigieren http://localhost:8888 .
Der gesamte Datenverkehr zwischen Ihrem Server und dem DMDK-GIIS-Server wird nun verschlüsselt und kann nicht von Dritten abgehört werden.
