Protocol de tunelare

De la Wikipedia, enciclopedia liberă.
Salt la navigare Salt la căutare
Notă despre dezambiguizare.svg Dezambiguizare - Dacă sunteți în căutarea efectului tunel, consultați Efect tunel .

În contextul rețelelor de calculatoare , un protocol de tunelare este un protocol de comunicație care permite utilizatorului să furnizeze sau să acceseze un serviciu care nu este suportat sau furnizat direct de rețea . O utilizare importantă a tunelurilor este, de exemplu, să permită utilizarea unui protocol străin într-o rețea care în mod natural nu o acceptă; de exemplu, utilizați IPv6 pe o rețea compatibilă numai cu IPv4 . O altă utilizare importantă este de a furniza servicii care sunt de obicei impracticabile sau nesigure atunci când sunt oferite prin rețeaua originală; de exemplu, furnizarea unei adrese de rețea corporativă unui utilizator la distanță a cărui rețea fizică nu face parte din rețeaua corporativă. Deoarece tunelarea implică reîncapsularea traficului de rețea într-o formă diferită, de obicei folosind un standard criptografic , o a treia utilizare este de a ascunde natura datelor care sunt tunelate.

Protocolul de tunelare funcționează utilizând porțiunea de date a unui pachet IP normal numit sarcină utilă , unde sunt stocate pachetele reale furnizate de serviciu. Tunelarea utilizează un model de protocol stratificat, cum ar fi protocoalele OSI sau TCP / IP , dar încalcă frecvent această caracteristică atunci când folosește sarcina utilă pentru a transporta un serviciu care nu este normal așteptat de rețeaua de bază. De obicei, în modelul stratificat, protocolul de recepție funcționează la un nivel egal sau mai mare decât protocolul de trimitere (numit și sarcină utilă).

Caracteristici tehnice

Pentru a înțelege o anumită implementare a unui protocol de tunelare, trebuie mai întâi să înțelegeți cele mai utilizate tehnici de transmisie (sarcină utilă) și de a primi protocoale.

Ca exemplu de tunelare la nivel de rețea avem protocolul Generic Routing Encapsulation (GRE); aceasta folosește IP (protocolul IP numărul 47) pentru a transporta pachete cu adrese private RFC 1918 , de exemplu aparținând unei rețele locale, pe internet către o altă rețea locală. Protocolul GRE utilizează pachete cu anteturi IP; în acest caz protocolul de recepție și protocolul de trimitere sunt aceleași, dar adresele de sarcină utilă sunt incompatibile cu cele ale rețelei de recepție (deoarece sunt adrese publice și în schimb protocolul de recepție așteaptă adrese de la o rețea locală); Când pachetul ajunge, GRE se ocupă de decuparea antetului IP, iar pachetul este compatibil cu protocolul nativ al rețelei LAN de destinație.

Pe scurt, protocolul GRE, prin tunelare, permite mașinilor aparținând rețelelor locale separate să comunice, fără ca acestea să trebuiască să utilizeze alte protocoale decât cele pe care le-au folosit deja local. De fapt, protocoalele de trimitere și primire nu sunt modificate, GRE își modifică de fapt comportamentul pentru a-și extinde funcțiile fără ca protocoalele menționate mai sus să fie rescrise sau modificate.

De asemenea, puteți stabili o conexiune de tunel folosind stratul de legătură L2TP (Layer Two Tunneling Protocol) permite transmiterea cadrelor între două noduri. Tunelul nu este criptat în mod implicit, se bazează pe protocolul TCP / IP pentru a determina nivelul de securitate.

SSH folosește portul 22 pentru a permite criptarea datelor privind sarcina utilă transmise prin conexiuni publice (cum ar fi internetul ), servind astfel și ca VPN .

Standardul IPsec este operat în mod normal în modul end-to-end, dar poate funcționa și în modul tunel prin gateway-uri de securitate de încredere.

Tunelare securizată a shell-ului

Un tunel Secure Shell constă dintr-un tunel criptat creat printr-un protocol de conexiune SSH . Utilizatorul poate configura un tunel SSH pentru a transfera traficul în aer liber către rețea printr-un canal criptat. De exemplu, computerele Microsoft Windows pot partaja fișiere folosind protocolul necriptat Server Message Block (SMB). Dacă ați monta un sistem de fișiere Microsoft Windows de la distanță pe Internet, cineva care adulmecă conexiunea ar putea vedea fișierele transferate. Pentru a monta în siguranță sistemul de fișiere, se poate stabili un tunel SSH care direcționează tot traficul SMB către serverul de fișiere la distanță într-un canal criptat.

Expediere port locală cu SSH prin PuTTY .

Pentru a configura local un tunel SSH, un client SSH trebuie să fie configurat pentru a redirecționa un anumit port local (verde în imagine) către un port al mașinii la distanță (violet în imagine). Acest proces este cunoscut sub numele de port forwarding . Odată ce tunelul SSH a fost stabilit, utilizatorul se poate conecta la portul local specific (verde în imagine) pentru a accesa serviciul ales. Nu este obligatoriu ca portul local să fie același cu portul la distanță.

Tunelarea SSH vă permite să ocoliți firewall-urile care interzic anumite servicii de internet, atât timp cât sunt permise conexiunile de ieșire. De exemplu, o organizație ar putea dori să interzică utilizatorilor accesul direct la paginile web de pe internet (portul 80), făcând efectiv obligatorie utilizarea serverului proxy al organizației (care permite organizației să monitorizeze sau să blocheze acest lucru pe care utilizatorul îl vede prin intermediul web). Cu toate acestea, este posibil ca utilizatorii să nu dorească ca traficul lor web să fie controlat sau blocat de proxy-ul organizației. Dacă utilizatorii se pot conecta la un server SSH extern, atunci pot crea un tunel SSH pentru a redirecționa un port dat de pe mașina lor locală către portul 80 al serverului web la distanță. Odată ce tunelul SSH este configurat, utilizatorii pot accesa în mod liber serverul web la distanță, pur și simplu îndreptându-și browserul către portul local la alegere, tastând adresa http: // localhost / <port>.

Tunelare cu SOCKS

Unii clienți SSH acceptă redirecționarea dinamică a porturilor , acest lucru permite utilizatorilor să creeze un proxy SOCKS 4/5. În acest caz, utilizatorii își pot configura aplicațiile pentru a utiliza serverul proxy SOCKS local. Aceasta oferă mai multă flexibilitate decât crearea unui tunel SSH pe un singur port (așa cum se vede mai sus). SOCKS poate elibera utilizatorul de limitarea nevoii de a se conecta la servere și porturi la distanță predefinite. În cazul în care o aplicație nu acceptă SOCKS, se poate utiliza un proxifier pentru a redirecționa aplicațiile către serverul proxy SOCKS local. Un exemplu de rețea informatică gratuită și anonimă care acceptă SOCKS este Tor , de fapt este posibil să configurați o aplicație pentru a utiliza proxy-ul SOCKS local (pe portul 9050) pus la dispoziție de aplicația Tor [1] .

Ignorați restricțiile firewall

Utilizatorii pot utiliza, de asemenea, tunelurile pentru a ocoli restricțiile impuse de un firewall , de fapt este posibil să se utilizeze un protocol blocat prin încapsularea pachetelor sale într-un alt protocol care nu este blocat de firewall, în general se utilizează HTTP . Dacă politica dvs. de firewall nu exclude în mod specific acest tip de încapsulare, atunci acest truc poate funcționa pentru a ocoli paravanul de protecție.

Alte utilizări

Tunelarea este o tehnologie utilizată pe scară largă în rețelele de calculatoare, alte exemple de utilizare pot fi:

  • VPN-uri , unde IP este încapsulat în IP, TCP sau UDP , prin inserarea unui strat de criptare . În aceste tehnici, două rețele IP sau două părți ale aceleiași rețele IP, ambele conectate la Internet , sunt interconectate prin trecerea traficului printr-o conexiune care este transmisă prin Internet.
  • Utilizarea protocoalelor de strat de rețea pentru a transporta IP, care în sine este un protocol de strat de rețea, este ea însăși o formă de tunelare. Exemplul tipic este conectarea a două rețele IP printr-un tunel ATM : în acest caz, pachetul IP este inserat (și fragmentat corespunzător) în câmpul de date al celulei ATM, transmis prin rețea și apoi despachetat și recompus la Ajung. În acest fel, comutatoarele ATM nu vor realiza ce transmit, deoarece câmpul de date este transmis așa cum este, fără a fi nevoie să fie interpretat. La capetele tunelului este necesar să introduceți routere multiprotocol, care sunt capabile să efectueze operațiunile de ambalare a datelor.

Notă

  1. ^ The Tor Project, Inc., Tor Project: FAQ , la www.torproject.org . Adus pe 9 decembrie 2017 .

linkuri externe

Elemente conexe