Zebedeeで暗号化トンネル

電子メイルの受信をPOP/IMAPでインタネット越しに行うとパスワードが丸見え
な為、メイルを取りに行くときだけでも暗号化経路が欲しくなりzebedeeを
実装しました。
sshポートフォワードとの違いは

sshポートフォワードは
・先にSSHのセッションを張っておく必要がある。
・SSHでログインしなければならない。(メイル送受信の為だけにシェルを解放
 する必要がある。)

zebedeeは
・リクエストがあったときにzebedeeが暗号化セッションを張りにいく。
 〜これはノートパソコンを外出時に使うときに便利。いちいちSSHでログイン
  しなくても、バックグラウンドでzedebeeデーモン(サービス)を走ら
  せておくだけでよい。モバイルでSSHを使うと
  1・PPP/TCPのリンク確立 2・SSHのセッション確保 3・メールソフトの起動
  と言う段取りが必要となってしまう。 zebedeeなら1・PPP/TCPのリンク確立
  2・メールソフトの起動 だけでよい。(暗号化を意識しなくて済む)
・ログインする必要がないためシェルを解放する必要がない。

【zebedeeサーバ側】
今回はIMAP4/POP3サーバと同じ計算機でzebedeeを動かしましたが、zebedeeサーバと
IMAP4/POP3の間に安全な経路を確保できるのでしたら、リダイレクトする事ができま
す。

http://www.winton.org.uk/zebedee/download.html
から

zebedee-2.4.1.tar.gz (161k)

blowfish-0.9.5a.tar.gz (22k)
zlib-1.1.4.tar.gz (170k)
bzip2-1.0.1.tar.gz (455k, optional, Zebedee can be built without it) 

をgetし /usr/local/srcに置く

cd /usr/local/src

tar zxvf blowfish-0.9.5a.tar.gz
tar zxvf zlib-1.1.4.tar.gz
tar zxvf bzip2-1.0.1.tar.gz
tar zxvf zebedee-2.4.1.tar.gz

cd blowfish-0.9.5a
make
cd ../zlib-1.1.4
make
cd ../bzip2-1.0.1
make
cd ../zebedee-2.4.1
gmake OS=freebsd
gmake install OS=freebsd

で完了。 gmakeじゃないと通りませんでした。なおFreeBSD4.8RELEASEだったらportsが
簡単。(古めのバージョンはportsでのmakeも通らず。。。)

起動スクリプトを作ります。

/usr/local/etc/rc.d/zebedee.sh

#!/bin/sh
#
PATH=/usr/local/bin:/bin:/usr/bin

[ -f /usr/bin/zebedee ] || exit 0

case "$1" in
    start)
        # Start daemons.
        echo "Starting Zebedee-Server. "

        /usr/bin/zebedee -s -r 143,110

        ;;

    stop)
        # Stop daemons.
        echo "Shutting down Zebedee-server."
        PID=`/bin/ps -aux | grep zebedee | awk '{print $2}'`
        if [ ! -z "$PID" ] ;  then
            /bin/kill ${PID} 1> /dev/null 2>&1
        fi
        ;;
    *)
        echo "Usage: zebedee.sh {start|stop}"
        exit 1
esac

exit 0

(★ portsでは /usr/local/bin/zebedeeにインストールされました。)

こんな感じ。デフォルトだと全てのポートをリダイレクトしてしまうので

zebedee -s -r 110.143のように暗号化トンネルが必要なもののみ指定。

デフォルトではzebedeeはTCP/11965を聞いているので

# accept Zebedee port 11965
pass in quick proto tcp from any to any port = 11965 flags S/SA group 100

のようにファイアウォールに穴をあけておくこと。


【Windowsクライアント側】

UNIXと同様
http://www.winton.org.uk/zebedee/download.html
から Windowsバイナリをget。

ダブルクリックでインストール完了。

コマンドラインで

"c:\program files\zebedee\zebedee" 110:dns.itoh.co.jp:110

とやるとフォアグランドで動き出します。

localhostの110番ポートに繋ぐと

1・Winパソコン(localhost)のTCP/110 -->
2・localhostのあいているポート -->
3・zebedee(IMAP4/POP3)サーバのTCP/11965 --> 
4・zebedee(IMAP4/POP3)サーバのTCP/110

と言うような流れで接続リレーを行い、2〜3の間が暗号化されます。

いちいちコマンドラインで動かすのはなんですので、バッチファイルを書いておいて
自動起動させておくのがよろしいかと思います。 起動してしまえばコンソールを閉
じてもサービスは動いているようです。

メールソフトの設定は POP3サーバの指定を localhost にするだけです。

【セキュリティ】
上記のままだと誰でも接続ができてしまいます。

http://sanaki-web.hp.infoseek.co.jp/tools/zebedee.htm

に鍵の提出を義務づけ、鍵を持っている人だけ使えるような設定もあります。



高村のホームに戻る