Проверка параметров SSL/TLS-серверов в консоли FreeBSD

Проверка параметров SSL/TLS Если Вы захотите выяснить параметры SSL/TLS некоторого публичного HTTPS-сервера, Вам поможет не нуждающийся в представлении SSL Server Test от Qualys SSL Labs. А что делать, если потребуется проверить аналогичные параметры HTTPS-серверов, доступ к которым ограничен, или серверов FTP, IRC, IMAP, POP3, SMTP, XMPP и PostgreSQL, которые поддерживают SSL/TLS? Не думаю, что Вы сильно удивитесь, если я предложу воспользоваться популярными в мире Linux и Unix инструментами, к числу которых относятся OpenSSL, nmap и SSLScan.

Какие параметры мы будем проверять?

Эта заметка описывает относительно простые в использовании и доступные в большинстве операционных систем семейства Linux / Unix способы проверки таких параметров SSL/TLS-серверов, как свойства и отсутствие ошибок установки их собственных SSL-сертификатов (далее — сертификатов), свойства и корректность работы цепочек сертификатов, в состав которых входят серверные сертификаты, поддержка TLS-расширений Server Name Indication и OCSP stapling, поддержка SSL/TLS-протоколов (далее — протоколов), а также соответствующих им наборов шифров, и, наконец, наличие некоторых опасных уязвимостей. Невзирая на то, что для решения перечисленных задач хватит функциональности OpenSSL, я рекомендую Вам не игнорировать соответствующие возможности nmap и SSLScan, использование которых не требует специальной подготовки, а результаты работы предоставляются в более простой для восприятия форме. Продолжить чтение »

FreeBSD: Настройка OpenVPN с использованием сертификатов X.509

OpenVPN Данная версия статьи полностью переработана (исправлены все найденные ошибки) и дополнена примером организации виртуальной частной сети компании, в которой я работаю в настоящее время. Огромное спасибо всем, кто помог мне решить возникшие проблемы.

Постановка задачи

Необходимо создать виртуальную частную сеть между несколькими офисами компании, подключенными к Интернет. Как известно, существует множество решений данного вопроса, которые многократно сравнивались по соотношениям функциональности / надежности / стоимости. Рекомендую Вам прочитать статью А. Бешкова OpenVPN, или Кроссплатформенная частная сеть. В ней описано очень простое, но достаточно надежное решение на базе бесплатного пакета OpenVPN, использующее статические ключи для шифрования трафика. OpenVPN позволяет разворачивать гораздо более гибкие конфигурации и использовать сертификаты TLS/SSL вместо статических ключей. В данной статье рассмотрена одна из таких конфигураций. Продолжить чтение »

FreeBSD: Почтовая система среднего офиса на базе Postfix

PostfixОписанная в этой статье почтовая система была запущена в эксплуатацию в далеком 2006 году. С течением времени она многократно дорабатывалась с целью расширения функциональности и повышения удобства администрирования. Сегодня почтовая система умеет обслуживать несколько доменов, использует для хранения своей учетной информации базу данных MySQL, для управления которой применяется PostfixAdmin, простейший POP3/POP3S-сервер на базе popa3d и stunnel заменен на POP3/POP3S/IMAP4/IMAP4S-сервер Courier-IMAP, в подсистему защиты от вирусов и СПАМа встроена утилита p0f, предназначенная для определения типа операционных систем почтовых серверов, а также добавлены функции DKIM подписания и DKIM верификации, наконец, в подсистему учета статистики добавлена возможность оценки величины потока сообщений с помощью Mailgraph.

Постановка задачи

Необходимо создать почтовую систему среднего офиса (до 50-100 клиентов) с надежной защитой от вирусов и СПАМа, а также c возможностью безопасного использования из-за пределов корпоративной сети. Самым важным и сложным моментом рассматриваемой задачи (судя по моему скромному опыту) является избавление от СПАМа, объем которого в последнее время достигает катастрофических значений. В Сети есть масса статей, описывающих те или иные этапы борьбы со СПАМом. Я изучал и испытывал многие из найденных конфигураций, но ни одна из них не смогла устроить меня на 100%. В связи с этим пришлось экспериментировать, собирая все по кусочкам. Ниже описана получившаяся в результате почтовая система, которую мы использовали до февраля 2008 года. С тех пор подсистема защиты от вирусов и СПАМа заметно расширилась, но та ее часть, которая описана ниже, прекрасно работает и сейчас. Всех все устраивает. Неожиданные письма появляются крайне редко, хотя менеджеры не перестают публиковать свои адреса на публичных сайтах. Продолжить чтение »