Tunneln mit der Secure-Shell

Aufbau eines Tunnels zum Abrufen und Versand von E-Mail mit IMAP, POP und SMTP

Mit Hilfe einer Secure-Shell lassen sich sogenannte Tunnel aufbauen. Tunnel bedeutet dabei, das sich unsichere Kommunikations-Protokolle (die sicherheitskritische Daten wie z.B. Passworte im Klartext übertragen und damit Unbefugten das Abhören ermöglichen) in einen verschlüsselten Kommunikationskanal einbetten lassen.

Abb. 1: Prinzipieller Aufbau verschlüsselten Kommunikationstunnels in das gesicherte Campusdatennetz der TU Bergakademie Freiberg unter Nutzung des Gateway-Rechners sshproxy.tu-freiberg.de am Beispiel der Kommunikation zwischen E-Mail-Client und E-Mail-Server mit den Protokollen POP bzw. IMAP zum E-Mail-Abruf und SMTP (E-Mail-Versand).

Zum Aufbau eines solchen Tunnels sind folgende Schritte vorzunehmen:

  1. Voraussetzung: Installierter SSH-Client (im Beispiel Secure Shell der Secure Communications Corp.)
  2. Aufbau einer ssh-Verbindung zu sshproxy.tu-freiberg.de
  3. Konfiguration der entsprechenden ausgehenden Tunnel (pop/imap und smtp)
  4. (Um-)Konfiguration des lokalen E-Mail-Clienten zum Zugriff auf localhost

Konfiguration der entsprechenden ausgehenden Tunnel (pop/imap und smtp)

Nach dem Aufbau einer SSH-Verbindung zum Rechner sshproxy.tu-freiberg.de kann die bestehenden Konfiguration um einen oder mehrere Tunnel erweitert werden. Dazu wird zunächst das Einstellungs- (Settings-) Menü der Secure Shell aufgerufen:

Abb. 2: Aufruf der Einstellungen (Settings) in der Secure-Shell

In den Einstellungsmöglichkeiten für das aktuelle Profil (für die Verbindung mit sshproxy) lokalisieren Sie bitte zunächst den Punkt "Tunneling". Nach Anklicken dieses Schlüsselwortes erscheint auf der rechten Seite das Tunnel-Konfigurationsmenü (s. Abb. 2). Achten Sie bitte darauf das der Reiter "Outgoing" im Vordergrund steht.

Abb. 3: Aufsuchen der Tunnel-Einstellungen
Über die Schaltfläche "Add" können Sie jetzt nach einander die einzelnen Tunnel konfigurieren. Es erscheint zunächst eine folgende Konfigurationsmaske (Abb. 3), die hier bereits mit den entsprechenden Angaben für die Tunnelung des IMAP-Protokolls (Port 143) ausgefüllt ist. Bitte übernehmen Sie die Angaben wie dargestellt, wenn für Sie als Mitarbeiter ihre Mailbox auf mailtuba.tu-freiberg.de (= Mailserver orion) eingerichtet ist. Ansonsten ersetzten Sie bitte jeweils den "Destination Host" durch den entsprechenden vollständigen Hostnamen ihres Mailservers (Studenten: mailstud.tu-freiberg.de)
Abb. 4: Konfiguration des Tunnels für das IMAP-Protokoll

Nachdem Sie die OK-Schaltfläche angeklickt haben, können sie im Tunnel-Menü mit Hilfe der "Add-Schaltfläche" weitere Tunnel konfigurieren.

Entsprechend Abb. 5 können sie den Tunnel für das SMTP-Protokoll (Port 25) für den Versand von E-Mails über den Mailserver der TU Bergakademie Freiberg konfigurieren und bei Bedarf auch das POP3-Protokoll (Port 110) für den Abruf von E-Mail (funktioniert ähnlich wie IMAP, nicht ganz so komfortabel, aber notwendig für E-Mail-Clienten die das IMAP-Protokoll noch nicht beherrschen) einstellen.

 Abb. 5: Konfiguration des Tunnels für das SMTP-Protokoll

 Abb. 6: Konfiguration des Tunnels für das POP3-Protokoll

Nachdem Sie die Tunnelkonfiguration abgeschlossen haben, beenden Sie das Settings-Menü mit einem Klick auf die Schaltfläche "OK" (s. Abb. 7).
Abb. 7: Kontrolle und Beenden des Settings-Menues

Anschließend wechseln Sie (mit Mausklick) in das Terminalfenster der Secure-Shell und Beenden die Verbindung kurzzeitig durch Drücken der Tastenkombination <Strg><d> oder durch Anklicken der "Disconnect"-Schaltfläche: Disconnect-Icon im Menü der Secure-Shell. Durch Drücken der <Enter>- oder <Leer>-Taste fordern Sie die Verbindung wieder an. Nach Eingabe ihres Passwortes im erscheinenden Fenster wird diese Verbindung, inklusive der angeforderten Tunnel wieder hergestellt.

Die Tunnel bleiben allerdings nur solange bestehen wie die Secure-Shell-Verbindung zu sshproxy.tu-freiberg.de aufrecht erhalten wird. Mit einem erneuten Beenden der Verbindung sind auch die Tunnel nicht mehr verfügbar, können aber jederzeit durch Wiederherstellen der Verbindung wieder nutzbar gemacht werden.

Die spezifische Tunnel-Konfiguration kann für den nächsten System- (bzw. Secure Shell-) Neustart als Profile gespeichert werden. Klicken Sie dazu mit der Maus auf die Schaltfläche "Profiles" im Menü der Secure-Shell (Abb. 8)
Abb. 8: Hinzufügen eines neuen Profiles

Nach Anklicken des Menü-Punktes "Add Profile..." (Abb. 9) erscheint ein Dialog-Fenster (Abb. 10) in dem Sie eine entsprechende Bezeichnung für das konfigurierte Profil vergeben können (z.B. sshproxy+tunnel oder E-Mail-Tunnel).


Abb. 9: Menüpunkt "Profil Hinzufügen"

Abb. 10: Benennen des neuen Profils

Ein Klick auf die Schaltfläche "Add the current Connections to Profiles" speichert das Profil. Über die Schaltfläche "Profiles" kann nach dem nächsten Start der Secure Shell das Profil wieder geladen werden und die Verbindungsaufnahme inklusive der Tunnelbereitstellung veranlasst werden (Abb. 11).

 Abb. 10: Aufrufen des gespeicherten Profils beim Neustart der Secure-Shell

Achten Sie bitte darauf, dass die Secure Shell mit diesem spezifischen Profil (d.h. mit den Tunneln zu den lokalen Ports: 143, 25, 110) nur einmal gestartet wird. Es kann jeweils nur ein Tunnel zu einem lokalen Port vergeben werden.

Um diese Tunnel auch für ihr E-Mail-Programm (E-Mail-Client) nutzbar zu machen, müssen in der Konfiguration des E-Mail-Clienten lediglich die E-Mail-Server für ein- und ausgehende E-Mail durch "localhost" ersetzt werden.