Sicherer Zugriff auf unsichere Dienste: So nutzt man Stunnel

Auch wenn das https:// am Anfang der URL im Browser immer eine Sicherheit suggeriert, muss man einige Dinge beachten, wenn man wirklich sicher gehen will:

• Es ist zwingend erforderlich, dass der Rechner, auf dem Stunnel läuft, im Intranet steht. Nicht sicher ist beispielsweise die Installation auf einem gehosteten Server im Internet. In diesem Fall gehen alle Daten vom Server zum Endgerät unverschlüsselt durch das Internet.
• Man-in-the-Middle-Angriffe können mit selbst signierten Zertifikaten nicht verhindert werden. Illoyale Mitarbeiter von Providern und Carriern können so einen Angriff, anders als ein einfaches Abhören des Datenverkehrs, zwar nicht unbemerkt durchführen, staatlich angeordnete Abhörmaßnahmen sind jedoch möglich.
• Geräte, etwa VoIP-Adapter, DSL-Router und digitale Videorekorder, müssen natürlich trotzdem abgesichert werden. So lautet das Default-Root-Passwort für alle Dreamboxen immer "dreambox". Speedport-Router von T-Home besitzen als Default-Passwort "0000", was überflüssigerweise auf deren Homepage angezeigt wird. Diese Sicherheitsrisiken verschwinden nicht wie von Geisterhand durch Stunnel.

Fazit

Der Browser-Zugriff auf Geräte der Unterhaltungselektronik und Telekommunikation ist eine praktische Sache. Viele Geräte besitzen jedoch keine Möglichkeit, eine verschlüsselte HTTPS-Verbindung aufzubauen, was die Nutzung über das Internet zum Sicherheitsrisiko macht.

Helfen kann hier das Programm Stunnel. Anders als bei einem Zugriff per VPN ist kein Client oder eine Tunnel-Einwahl erforderlich. So kann man ohne weitere Voraussetzungen von außen eine HTTPS-Verbindung aufbauen. Damit kann man diese Geräte vom Arbeitsplatz, vom Smartphone oder aus dem Internet-Café steuern. Das Programmieren des digitalen Videorekorders ist dabei genauso praktisch wie das Abrufen der Anrufe in Abwesenheit auf einem VoIP-Adapter.

Nachteil ist allerdings, dass immer ein Rechner mit Stunnel betriebsbereit sein muss. Wer einen Linux-Digitalreceiver oder eine Fritzbox besitzt, kann Stunnel auch dort installieren und spart die Notwendigkeit eines ständig eingeschalteten PCs.

Nicht nur HTTP-Verbindungen können mit Stunnel durch SSL/TLS-Tunneling in sichere Verbindungen umgewandelt werden. Genauso lassen sich TELNET, FTP und weitere Dienste absichern.

Als praktisches Problem erweist sich jedoch die Verfügbarkeit eines Clients. Während jeder Browser HTTPS beherrscht, beherrscht nicht jeder Client TELNETS oder FTPS. In diesem Fall kann eine VPN-Lösung einfacher sein, da sie den Zugriff auf das ganze Intranet ermöglicht und nicht jeder einzelne Dienst konfiguriert werden muss.