Jump to content

Протокол туннелирования

В компьютерных сетях протокол туннелирования — это протокол связи , который позволяет перемещать данные из одной сети в другую. Например, он может разрешить частной сети передачу данных через общедоступную сеть (например, Интернет ) или передачу одного сетевого протокола через несовместимую сеть посредством процесса, называемого инкапсуляцией .

Поскольку туннелирование предполагает переупаковку данных трафика в другую форму, возможно, со стандартным шифрованием , оно может скрыть природу трафика, проходящего через туннель.

Протокол туннелирования работает, используя часть данных пакета ( полезную нагрузку ) для передачи пакетов, которые фактически предоставляют услугу. Туннелирование использует многоуровневую модель протокола, такую ​​как модели набора протоколов OSI или TCP/IP , но обычно нарушает многоуровневое распределение при использовании полезной нагрузки для передачи услуги, которая обычно не предоставляется сетью. Обычно протокол доставки работает на том же или более высоком уровне в многоуровневой модели, чем протокол полезной нагрузки.

Использует [ править ]

Протокол туннелирования может, например, позволять внешнему протоколу работать в сети, которая не поддерживает этот конкретный протокол, например, запуск IPv6 поверх IPv4 .

Другим важным применением является предоставление услуг, которые нецелесообразно или небезопасно предлагать с использованием только базовых сетевых служб, например предоставление адреса корпоративной сети удаленному пользователю, физический сетевой адрес которого не является частью корпоративной сети.

Обход политики брандмауэра [ править ]

Пользователи также могут использовать туннелирование, чтобы «пробраться» через брандмауэр, используя протокол, который брандмауэр обычно блокирует, но «завернутый» в протокол, который брандмауэр не блокирует, например HTTP . Если политика брандмауэра специально не исключает такого рода «обертывание», этот трюк может помочь обойти намеченную политику брандмауэра (или любой набор взаимосвязанных политик брандмауэра).

Другой метод туннелирования на основе HTTP использует метод/команду HTTP CONNECT . Клиент отправляет команду HTTP CONNECT HTTP-прокси. Затем прокси-сервер устанавливает TCP-соединение с определенным сервером:портом и передает данные между этим сервером:портом и клиентским соединением. [1] Поскольку это создает дыру в безопасности, HTTP-прокси с поддержкой CONNECT обычно ограничивают доступ к методу CONNECT. Прокси-сервер разрешает подключения только к определенным портам, например 443 для HTTPS. [2]

Другие методы туннелирования, позволяющие обходить сетевые брандмауэры, используют различные протоколы, такие как DNS , [3] МКТТ , [4] SMS . [5]

Технический обзор [ править ]

В качестве примера сетевого уровня над сетевым уровнем можно привести Generic Routing Encapsulation (GRE), протокол, работающий поверх IP ( IP-протокол номер 47), который часто служит для передачи IP-пакетов с частными адресами RFC 1918 через Интернет с использованием пакетов доставки с общедоступными IP-адреса. В этом случае протоколы доставки и полезной нагрузки совпадают, но адреса полезной нагрузки несовместимы с адресами сети доставки.

Также возможно установить соединение, используя уровень канала передачи данных. Протокол туннелирования уровня 2 (L2TP) позволяет передавать кадры между двумя узлами. По умолчанию туннель не шифруется: выбранный протокол TCP/IP определяет уровень безопасности.

SSH использует порт 22 для шифрования данных полезных данных, передаваемых через соединение общедоступной сети (например, Интернет), тем самым обеспечивая VPN функциональность . IPsec имеет сквозной транспортный режим, но также может работать в режиме туннелирования через доверенный шлюз безопасности.

Чтобы понять конкретный стек протоколов, создаваемый туннелированием, сетевые инженеры должны понимать наборы протоколов как полезной нагрузки, так и доставки.

Общие протоколы туннелирования [ править ]

  • IP в IP (протокол IP 4): IP в IPv4/IPv6
  • SIT/IPv6 (IP-протокол 41): IPv6 в IPv4/IPv6
  • GRE (IP-протокол 47): универсальная инкапсуляция маршрутизации
  • OpenVPN (UDP-порт 1194)
  • SSTP (порт TCP 443): протокол туннелирования защищенных сокетов
  • IPSec (IP-протоколы 50 и 51): безопасность интернет-протокола.
  • L2TP (порт UDP 1701): протокол туннелирования уровня 2
  • L2TPv3 (протокол IP 115): протокол туннелирования уровня 2, версия 3
  • VXLAN (UDP-порт 4789): виртуальная расширяемая локальная сеть.
  • PPTP (порт TCP 1723 для управления, GRE для данных): протокол туннелирования «точка-точка».
  • PPPoE (EtherType 0x8863 для управления, 0x8864 для данных): протокол «точка-точка» через Ethernet.
  • ЖЕНЕВА
  • WireGuard (динамический порт UDP)

Туннелирование Secure Shell [ править ]

Туннель Secure Shell (SSH) состоит из зашифрованного туннеля, созданного через соединение по протоколу SSH . Пользователи могут настроить SSH-туннели для передачи незашифрованного трафика по сети через зашифрованный канал. Это программный подход к сетевой безопасности, результатом которого является прозрачное шифрование. [6]

Например, компьютеры с Microsoft Windows могут обмениваться файлами с помощью протокола Server Message Block (SMB), незашифрованного протокола. Если бы кто-то удаленно смонтировал файловую систему Microsoft Windows через Интернет, кто-то, прослушивающий соединение, мог бы увидеть переданные файлы. Чтобы безопасно смонтировать файловую систему Windows, можно создать туннель SSH, который направляет весь трафик SMB на удаленный файловый сервер через зашифрованный канал. Несмотря на то, что сам протокол SMB не содержит шифрования, зашифрованный канал SSH, по которому он проходит, обеспечивает безопасность.

Переадресация локальных и удаленных портов с помощью ssh, выполненная на синем компьютере.

Как только соединение SSH установлено, туннель начинается с прослушивания SSH порта на   удаленный или локальный хост. Любые подключения к нему перенаправляются на указанный   адрес и порт, исходящие от   противоположный (удаленный или локальный, как ранее) хост.

Туннелирование полезной нагрузки, инкапсулирующей TCP (например, PPP ), через соединение на основе TCP (например, перенаправление портов SSH) известно как «TCP-over-TCP», и это может привести к резкому снижению производительности передачи (известная проблема). как «обвал TCP»), [7] [8] поэтому программное обеспечение виртуальной частной сети может вместо этого использовать протокол, более простой, чем TCP, для туннельного соединения. Однако это часто не является проблемой при использовании переадресации портов OpenSSH, поскольку во многих случаях использования не требуется туннелирование TCP-over-TCP; сбоя можно избежать, поскольку клиент OpenSSH обрабатывает локальное TCP-соединение на стороне клиента, чтобы получить фактически отправляемые полезные данные, а затем отправляет эти полезные данные непосредственно через собственное TCP-соединение туннеля на сторону сервера, где OpenSSH сервер аналогичным образом «разворачивает» полезную нагрузку, чтобы снова «обернуть» ее для маршрутизации к конечному пункту назначения. [9] Естественно, такое свертывание и развертывание также происходит в направлении, обратном двунаправленному туннелю.

SSH-туннели предоставляют возможность обойти брандмауэры , запрещающие определенные интернет-сервисы, при условии, что сайт разрешает исходящие соединения. Например, организация может запретить пользователю доступ к веб-страницам Интернета (порт 80) напрямую, минуя прокси-фильтр организации (который предоставляет организации средства мониторинга и контроля того, что пользователь видит через Интернет). Но пользователи могут не захотеть, чтобы их веб-трафик контролировался или блокировался прокси-фильтром организации. Если пользователи могут подключиться к внешнему SSH- серверу , они могут создать SSH-туннель для перенаправления заданного порта на своем локальном компьютере на порт 80 на удаленном веб-сервере. Чтобы получить доступ к удаленному веб-серверу, пользователи должны указать в своем браузере локальный порт по адресу http://localhost/.

Некоторые клиенты SSH поддерживают динамическую переадресацию портов , что позволяет пользователю создавать прокси-сервер SOCKS 4/5. В этом случае пользователи могут настроить свои приложения на использование локального прокси-сервера SOCKS. Это дает больше гибкости, чем создание SSH-туннеля к одному порту, как описано ранее. SOCKS может освободить пользователя от ограничений подключения только к заранее определенному удаленному порту и серверу. Если приложение не поддерживает SOCKS, можно использовать проксификатор для перенаправления приложения на локальный прокси-сервер SOCKS. Некоторые проксификаторы, такие как Proxycap, поддерживают SSH напрямую, что позволяет избежать необходимости в SSH-клиенте.

В последних версиях OpenSSH даже разрешено создавать туннели уровня 2 или 3, если на обоих концах включены такие возможности туннелирования. Это создает tun (слой 3, по умолчанию) или tap (уровень 2) виртуальные интерфейсы на обоих концах соединения. Это позволяет использовать обычное управление сетью и маршрутизацию, а при использовании на маршрутизаторах можно туннелировать трафик для всей подсети. Пара tap виртуальные интерфейсы действуют как кабель Ethernet, соединяющий оба конца соединения, и могут присоединяться к мостам ядра.

Кибератаки на основе туннелирования [ править ]

На протяжении многих лет туннелирование и инкапсуляция данных в целом часто применялись по злонамеренным причинам, чтобы злонамеренно обмениваться данными за пределами защищенной сети.

В этом контексте известные туннели используют такие протоколы, как HTTP , [10] СШ , [11] ДНС , [12] [13] МКТТ . [14]

См. также [ править ]

Ссылки [ править ]

  1. ^ «Обновление до TLS в HTTP/1.1» . РФК 2817 . 2000 . Проверено 20 марта 2013 г.
  2. ^ «Примечание об уязвимости VU#150227: конфигурации HTTP-прокси по умолчанию допускают произвольные TCP-соединения» . США-СЕРТ . 17 мая 2002 г. Проверено 10 мая 2007 г.
  3. ^ Раман, Д., Саттер, Б.Д., Коппенс, Б., Волкарт, С., Босшер, К.Д., Данье, П., и Буггенхаут, Э.В. (2012, ноябрь). DNS-туннелирование для проникновения в сеть. На Международной конференции по информационной безопасности и криптологии (стр. 65-77). Шпрингер, Берлин, Гейдельберг.
  4. ^ Ваккари И., Нартени С., Айелло М., Монджелли М. и Камбьязо Э. (2021). Использование протоколов Интернета вещей для вредоносной деятельности по краже данных. Доступ IEEE, 9, 104261-104280.
  5. ^ Нартени С., Ваккари И., Монджелли М., Айелло М. и Камбьязо Э. (2021). Оценка возможности совершения туннельных атак с использованием службы коротких сообщений. Журнал Интернет-услуг и информационной безопасности, 11, 30–46.
  6. ^ Барретт, Дэниел Дж.; Барретт, Дэниел Дж.; Сильверман, Ричард Э.; Сильверман, Ричард (2001). SSH, Secure Shell: Полное руководство . «О'Рейли Медиа, Инк.». ISBN  978-0-596-00011-0 .
  7. ^ Титц, Олаф (23 апреля 2001 г.). «Почему TCP поверх TCP — плохая идея» . Архивировано из оригинала 3 января 2022 г. Проверено 3 января 2023 г.
  8. ^ Хонда, Осаму; Осаки, Хироюки; Имасе, Макото; Исидзука, Мика; Мураяма, Дзюнъити (октябрь 2005 г.). «Понимание TCP поверх TCP: влияние туннелирования TCP на сквозную пропускную способность и задержку». В Атикуззамане, Мохаммед; Баландин, Сергей I (ред.). Производительность, качество обслуживания и управление коммуникационными и сенсорными сетями следующего поколения III . Том. 6011. Бибкод : 2005SPIE.6011..138H . CiteSeerX   10.1.1.78.5815 . дои : 10.1117/12.630496 . S2CID   8945952 .
  9. ^ Каминский, Дэн (13 июня 2003 г.). "Re: Расширения для длинных толстых сетей?" . [электронная почта защищена] (список рассылки). код пересылки TCP также довольно быстр. Чтобы предварительно ответить на вопрос, ssh декапсулирует и повторно инкапсулирует TCP, поэтому у вас не возникнет классических проблем TCP-over-TCP.
  10. ^ Пак, DJ, Стрейлейн, В., Вебстер, С., и Каннингем, Р. (2002). Обнаружение активности HTTP-туннелирования. МАССАЧУСЕТССКИЙ ИНСТРУМЕНТ ТЕХНИЧЕСКОЙ ЛАБОРАТОРИИ ЛЕКСИНГТОНА ЛИНКОЛЬНА.
  11. ^ Данг, Ф., Ли, З., Лю, Ю., Чжай, Э., Чен, QA, Сюй, Т., ... и Ян, Дж. (2019, июнь). Понимание бесфайловых атак на устройства IOT на базе Linux с помощью Honeycloud. В материалах 17-й ежегодной международной конференции по мобильным системам, приложениям и услугам (стр. 482–493).
  12. ^ Раман, Д., Саттер, Б.Д., Коппенс, Б., Волкарт, С., Босшер, К.Д., Данье, П., и Буггенхаут, Э.В. (2012, ноябрь). DNS-туннелирование для проникновения в сеть. На Международной конференции по информационной безопасности и криптологии (стр. 65-77). Шпрингер, Берлин, Гейдельберг.
  13. ^ Айелло М., Монджелли М., Камбьязо Э. и Папалео Г. (2016). Профилирование туннельных атак DNS с помощью PCA и взаимной информации. Логический журнал IGPL, 24 (6), 957–970.
  14. ^ Ваккари И., Нартени С., Айелло М., Монджелли М. и Камбьязо Э. (2021). Использование протоколов Интернета вещей для вредоносной деятельности по краже данных. Доступ IEEE, 9, 104261-104280.

Внешние ссылки [ править ]

Arc.Ask3.Ru: конец переведенного документа.
Arc.Ask3.Ru
Номер скриншота №: ecc39e06916e90f23be8dbe3e1da33f8__1718453220
URL1:https://arc.ask3.ru/arc/aa/ec/f8/ecc39e06916e90f23be8dbe3e1da33f8.html
Заголовок, (Title) документа по адресу, URL1:
Tunneling protocol - Wikipedia
Данный printscreen веб страницы (снимок веб страницы, скриншот веб страницы), визуально-программная копия документа расположенного по адресу URL1 и сохраненная в файл, имеет: квалифицированную, усовершенствованную (подтверждены: метки времени, валидность сертификата), открепленную ЭЦП (приложена к данному файлу), что может быть использовано для подтверждения содержания и факта существования документа в этот момент времени. Права на данный скриншот принадлежат администрации Ask3.ru, использование в качестве доказательства только с письменного разрешения правообладателя скриншота. Администрация Ask3.ru не несет ответственности за информацию размещенную на данном скриншоте. Права на прочие зарегистрированные элементы любого права, изображенные на снимках принадлежат их владельцам. Качество перевода предоставляется как есть. Любые претензии, иски не могут быть предъявлены. Если вы не согласны с любым пунктом перечисленным выше, вы не можете использовать данный сайт и информация размещенную на нем (сайте/странице), немедленно покиньте данный сайт. В случае нарушения любого пункта перечисленного выше, штраф 55! (Пятьдесят пять факториал, Денежную единицу (имеющую самостоятельную стоимость) можете выбрать самостоятельно, выплаичвается товарами в течение 7 дней с момента нарушения.)