www.wikidata.de-de.nina.az

Tunnel Rechnernetz Ein Tunnel in einem Rechnernetz ist ein virtueller übertragungsweg der durch Kapselung eines Netzwerk

Tunnel (Rechnernetz)

Ein Tunnel in einem Rechnernetz ist ein virtueller Übertragungsweg, der durch Kapselung eines Netzwerkprotokolls in ein anderes erfolgt. Bei einem Tunnel folgt die Kapselung allerdings nicht der Schichtenarchitektur des Protokollstapel, sondern es werden zwei Protokolle derselben Schicht miteinander verkapselt, oder ein Protokoll einer niedrigeren Schicht in einem Datenpaket einer höheren Schicht transportiert.

IP-in-IP-Kapselung ist ein simples Tunnelverfahren

Vor und hinter dem Tunnel erfolgt die Kommunikation über das ursprüngliche Netzwerkprotokoll, während für die Übertragung zwischen den beiden Tunnelendpunkten ein anderes Protokoll verwendet wird, das als Tunnelprotokoll bezeichnet wird. Die Übersetzung und Übertragung eines Datenpakets in einem Tunnel wird als Tunneln oder aus dem Englischen entlehnt als Tunneling bezeichnet. Für den Aufbau des Tunnels, die Einbettung und das Weiterreichen der Datenpakete wird eine Software auf beiden Seiten des Tunnels benötigt.

Tunneling wird zum Aufbau eines Virtual Private Network über öffentliche Datennetze wie das Internet verwendet. Auf diese Weise lassen sich unsichere Netzwerkprotokolle eingebettet in einem abhör- und manipulationssicheren Verschlüsselungsprotokoll transportieren. Ein anderer Zweck ist der Aufbau eines Overlay-Netzes, um mithilfe eines Tunnels Netzwerkprotokolle zu transportieren, die von der Netzinfrastruktur nicht unterstützt werden. Ferner eignen sich Tunnel dafür, das Regelwerk einer Firewall und andere Sicherheitsmaßnahmen zu umgehen.

Fünf parallel aufgebaute SSH-Tunnel eines Clients (komplette linke Seite) über eine Firewall hinweg (Firewall1) durch ein benachbartes Netz hindurch (hier das Internet) zu seinem SSH-Tunnelpartner auf oder hinter Firewall2 (liegt er dahinter, reicht die Firewall die Port-22-Anfrage dorthin durch). Der Tunnelpartner nimmt die Anfragen entgegen und leitet sie an die Server seines privaten (in sich geschlossenen) Netzes weiter, für die die Anfragen bestimmt sind (rechte Seite); zur Nutzung verschiedener Dienste der Server (hier VNC, Druck, SSH-Shell, RDP und Telnet), wobei die Daten zwischen dem Client und seinem SSH-Tunnelpartner dank des verwendeten Tunnelprotokolls (SSH) verschlüsselt und damit abhör- und manipulationssicher übertragen werden.

Tunnelprotokoll

Prinzipiell lassen sich alle Netzwerkprotokolle für einen Tunnel gebrauchen. Sie müssen nur die Möglichkeit bieten, die zu transportierenden Daten einzubetten. So lassen sich zum Beispiel bei einem ICMP-Tunnel ICMP-Echo-Pakete (Ping) für ein Tunneling von Nutzdaten zweckentfremden. Es sind auch asymmetrische Tunnel möglich, in dem zwei unterschiedliche Protokolle für den Hin- und Rückweg eingesetzt werden.

Es gibt Protokolle, die explizit für das Tunneling von Daten entworfen wurden. Zu den Tunnelprotokollen gehören beispielsweise L2TP, IP-in-IP-Kapselung, GRE und SSH.

Umgehung einer Firewall

Tunnel können dazu verwendet werden, die Sicherheitspolice einer Firewall zu umgehen. Man nennt solche Tunnel verdeckte Kanäle (englisch network covert channels). Das folgende Beispiel illustriert ein solches Vorgehen.

Portsperre

Ein Netzwerkdienst arbeitet auf einem festgelegten Port. Werden Ports mit Hilfe eines Paketfilters gesperrt, will man damit erreichen, dass bestimmte Dienste nicht genutzt werden können. Ist zum Beispiel Port 80 (HTTP) erlaubt und Port 21 (FTP) gesperrt, so kann der Anwender Internetseiten aufrufen, aber keine Dateien per FTP mit einem Internetserver austauschen.

Man könnte nun den Port im FTP-Client und FTP-Server anpassen, sodass sie ebenfalls über Port 80 kommunizieren und so die Filterregel der Firewall umgehen.

Hole Punching ist eine Technik, um eine Kommunikation zwischen zwei Teilnehmern zu ermöglichen, die sich beide hinter einem Paketfilter befinden.

Tunneling in Nutzdaten

Ein Application Layer Gateway oder eine Firewall mit Deep Packet Inspection kann die Anwendungsdaten eines Pakets analysieren und alle Pakete blockieren, die nicht dem Protokoll des freigegebenen Dienstes entsprechen. Hier würde die Portänderung also nicht mehr funktionieren.

Um auch eine solche Maßnahme zu umgehen, können die zu tunnelnden Daten in die Nutzdaten des Tunnelprotokolls eingebettet werden. HTTP erlaubt die Übermittlung beliebiger Nutzdaten im Nachrichtenrumpf einer HTTP-Anfrage oder -Antwort. Die Daten müssen also so konvertiert werden, dass sie dem HTTP-Protokollstandard entsprechen. Eine Tunnelsoftware kann eine solche Konvertierung vornehmen: sie nimmt die Daten in einem Format entgegen und kapselt sie zum Versand in einem anderen Netzwerkprotokoll. Eine Software beim Kommunikationspartner nimmt das Tunnelprotokoll entgegen und wandelt die Daten in das ursprüngliche Format zurück.

Erlaubt die Firewall verschlüsselte Verbindungen, wie zum Beispiel zu HTTPS-Servern, lassen sich die Daten an der Firewall nicht mehr mitlesen. Somit ist eine Inhaltsprüfung nicht möglich. Diese Verbindungen eignen sich besonders gut für Tunnel. Hier eignet sich die Software OpenVPN mit dem Protokoll TCP sehr gut, da der Aufbau der Verbindung nahezu identisch mit dem einer Webseite (HTTPS) ist.

Virtual Private Network

Tunnel werden dazu verwendet, um abhörsichere Verbindungen über ungesicherte Computernetzwerke hinweg aufzubauen. Dabei sorgt die Tunnelsoftware dafür, dass die Netzwerkpakete in einem Verschlüsselungsprotokoll eingebettet werden, um sie auf der Gegenseite wieder zu entschlüsseln und auszupacken. Dadurch wird eine verschlüsselte Datenübertragung auch für Dienste realisiert, die normalerweise über keine eigene Verschlüsselung verfügen. Auch ganze Netzwerke können so abhörsicher miteinander verbunden werden.

Beispiele für VPN-Protokolle sind IPsec, OpenVPN und WireGuard.

Tunnelsoftware

Eine Tunnelsoftware kann einen lokalen Port als Tunneleingang öffnen. Dieser kann beispielsweise an die Loopback-Adresse (127.0.0.1 bei IPv4 oder ::1 bei IPv6) gebunden werden, damit der Tunnel lediglich auf dem Hostrechner des Tunnels zur Verfügung steht. Der Port kann aber auch an die Netzwerkadresse gebunden werden, um beispielsweise im lokalen Netzwerk zur Verfügung zu stehen. Das Client-Progrmam wird dahingehend konfiguriert, dass es keine Verbindung zum Zielserver aufbaut, sondern zum Tunneleingang. Die Tunnelsoftware übernimmt den Verbindungsaufbau und die Kommunikation zum Tunnelserver. Auf diese Weise können auch mehrere lokale Ports verwendet werden, die man einzeln konfigurieren und mit unterschiedlichen Zielen verbinden kann.

Auf dem Tunnelserver wird eine Tunnelsoftware ausgeführt, die das Tunnelprotokoll entgegen nimmt, die Nutzdaten auspackt und im ursprünglichen Format zum Ziel weiterleitet.

Alternativ zu einer dedizierten Tunnelsoftware gibt es auch Anwendungsprogramme, bei denen die Tunnelfunktionalität bereits integriert ist. Der Tunnel kann ohne eine separate Tunnelsoftware genutzt werden.

Beispiele für eine Tunnelsoftware

  • GNU httptunnel HTTP-Tunnelinglösung.
  • HTTPTunnel – eine plattformunabhängige (Perl/PHP) HTTP tunneling software
  • OpenSSHSSH bietet die Möglichkeit verschlüsselte TCP-Tunnel aufzubauen
  • OpenVPN – VPN-Lösung für Unix, Windows, Android und iOS, verwendet wahlweise UDP oder TCP (ab Version 2.0)
  • corkscrew – ein SSH-HTTP(s) Tunnel-Programm
  • PuTTY ist ein freies SSH- und Telnet-Client-Programm
  • FreeS/WAN
  • OpenS/WAN
  • iPig Hotspot VPN – TCP/UDP-Tunnel-Software und Service (Eine eingeschränkte Version ist kostenlos nutzbar.)
  • VTun
  • PingFu ist ein Game Tunnel Service
  • LogMeIn Hamachi – ein kostenloser VPN-Tunnel Service
  • Your Freedom ist ein teilweise kostenloser HTTP Tunnel Service
  • Crypto IP Encapsulation (CIPE)
  • Tunnel – TCP-Tunnel-Software (eingeschränkt kostenlos nutzbar, Windows + Linux)
  • Token2Shell - Universal Windows-App
  • XLink Kai - kommerzieller Tunneldienst für z. B. den Nintendo GameCube oder der XBox 360

Sicherheit

Getunnelte Verbindungen gelten nur so lange als sicher, wie die dabei verwendeten Verschlüsselungsverfahren als ausreichend stark angesehen werden.

Auch muss man sich bewusst werden, dass Daten, die über einen öffentlichen Anbieter geleitet werden, von diesem und auch dessen dahinterliegenden Knotenpunkten (z. B. dem Provider) lesbar sind, sofern nicht höherliegende Protokolle wie TLS im HTTPS-Protokoll die Verschlüsselung zum Ziel sicherstellen. Daher ist man auf der sicheren Seite, wenn man vertrauenswürdigere Anbieter wie z. B. den eigenen Server, einen Zugangspunkt der Arbeitsstelle oder eines Freundes nutzt.

Die Software, die man nutzt, kann Lücken und Einfallstore enthalten, die ein Angreifer ausnutzen kann. Daher sollte man stets auf die Aktualität der Endpunkte (Server ↔ Client) achten.

Der verwendete Schlüssel des Tunnels kann in falsche Hände fallen. Daher sollte auch hier sichergestellt werden, dass dieser nicht kompromittiert ist.

Zusammenfassend gilt es folgende Aspekte zu beachten:

Einzelnachweise

  1. Tunneling. In: IT-Wissen.info. DATACOM Buchverlag GmbH, abgerufen am 29. Juli 2023.
  2. Larry L. Peterson, Bruce S. Davie: Computer Networks: A Systems Approach. Morgan Kaufman, Burlington, MA, USA 2012, ISBN 978-0-12-385059-1, S. 833 (englisch, ucsd.edu [PDF]).
  3. Tunneling, das. In: Duden. Abgerufen am 29. Juli 2023.
  4. Paul Ferguson, Geoff Huston: „What is a VPN?“ (PDF; 652 kB) potaroo.net, April 1998.
  5. How to hide OpenVPN traffic. Blogbeitrag zu OpenVPN über Port 443 tcp (englisch)
wikipedia, wiki, deutsches, deutschland, buch, bücher, bibliothek artikel lesen, herunterladen kostenlos kostenloser herunterladen, MP3, Video, MP4, 3GP, JPG, JPEG, GIF, PNG, Bild, Musik, Lied, Film, Buch, Spiel, Spiele
Veröffentlichungsdatum:
Ein Tunnel in einem Rechnernetz ist ein virtueller Ubertragungsweg der durch Kapselung eines Netzwerkprotokolls in ein anderes erfolgt Bei einem Tunnel folgt die Kapselung allerdings nicht der Schichtenarchitektur des Protokollstapel sondern es werden zwei Protokolle derselben Schicht miteinander verkapselt 1 2 oder ein Protokoll einer niedrigeren Schicht in einem Datenpaket einer hoheren Schicht transportiert IP in IP Kapselung ist ein simples TunnelverfahrenVor und hinter dem Tunnel erfolgt die Kommunikation uber das ursprungliche Netzwerkprotokoll wahrend fur die Ubertragung zwischen den beiden Tunnelendpunkten ein anderes Protokoll verwendet wird das als Tunnelprotokoll bezeichnet wird Die Ubersetzung und Ubertragung eines Datenpakets in einem Tunnel wird als Tunneln oder aus dem Englischen entlehnt als Tunneling 3 bezeichnet Fur den Aufbau des Tunnels die Einbettung und das Weiterreichen der Datenpakete wird eine Software auf beiden Seiten des Tunnels benotigt Tunneling wird zum Aufbau eines Virtual Private Network uber offentliche Datennetze wie das Internet verwendet 4 Auf diese Weise lassen sich unsichere Netzwerkprotokolle eingebettet in einem abhor und manipulationssicheren Verschlusselungsprotokoll transportieren Ein anderer Zweck ist der Aufbau eines Overlay Netzes um mithilfe eines Tunnels Netzwerkprotokolle zu transportieren die von der Netzinfrastruktur nicht unterstutzt werden Ferner eignen sich Tunnel dafur das Regelwerk einer Firewall und andere Sicherheitsmassnahmen zu umgehen Funf parallel aufgebaute SSH Tunnel eines Clients komplette linke Seite uber eine Firewall hinweg Firewall1 durch ein benachbartes Netz hindurch hier das Internet zu seinem SSH Tunnelpartner auf oder hinter Firewall2 liegt er dahinter reicht die Firewall die Port 22 Anfrage dorthin durch Der Tunnelpartner nimmt die Anfragen entgegen und leitet sie an die Server seines privaten in sich geschlossenen Netzes weiter fur die die Anfragen bestimmt sind rechte Seite zur Nutzung verschiedener Dienste der Server hier VNC Druck SSH Shell RDP und Telnet wobei die Daten zwischen dem Client und seinem SSH Tunnelpartner dank des verwendeten Tunnelprotokolls SSH verschlusselt und damit abhor und manipulationssicher ubertragen werden Inhaltsverzeichnis 1 Tunnelprotokoll 2 Umgehung einer Firewall 2 1 Portsperre 2 2 Tunneling in Nutzdaten 3 Virtual Private Network 4 Tunnelsoftware 4 1 Beispiele fur eine Tunnelsoftware 5 Sicherheit 6 EinzelnachweiseTunnelprotokoll BearbeitenPrinzipiell lassen sich alle Netzwerkprotokolle fur einen Tunnel gebrauchen Sie mussen nur die Moglichkeit bieten die zu transportierenden Daten einzubetten So lassen sich zum Beispiel bei einem ICMP Tunnel ICMP Echo Pakete Ping fur ein Tunneling von Nutzdaten zweckentfremden Es sind auch asymmetrische Tunnel moglich in dem zwei unterschiedliche Protokolle fur den Hin und Ruckweg eingesetzt werden Es gibt Protokolle die explizit fur das Tunneling von Daten entworfen wurden Zu den Tunnelprotokollen gehoren beispielsweise L2TP IP in IP Kapselung GRE und SSH Umgehung einer Firewall BearbeitenTunnel konnen dazu verwendet werden die Sicherheitspolice einer Firewall zu umgehen Man nennt solche Tunnel verdeckte Kanale englisch network covert channels Das folgende Beispiel illustriert ein solches Vorgehen Portsperre Bearbeiten Ein Netzwerkdienst arbeitet auf einem festgelegten Port Werden Ports mit Hilfe eines Paketfilters gesperrt will man damit erreichen dass bestimmte Dienste nicht genutzt werden konnen Ist zum Beispiel Port 80 HTTP erlaubt und Port 21 FTP gesperrt so kann der Anwender Internetseiten aufrufen aber keine Dateien per FTP mit einem Internetserver austauschen Man konnte nun den Port im FTP Client und FTP Server anpassen sodass sie ebenfalls uber Port 80 kommunizieren und so die Filterregel der Firewall umgehen Hole Punching ist eine Technik um eine Kommunikation zwischen zwei Teilnehmern zu ermoglichen die sich beide hinter einem Paketfilter befinden Tunneling in Nutzdaten Bearbeiten Ein Application Layer Gateway oder eine Firewall mit Deep Packet Inspection kann die Anwendungsdaten eines Pakets analysieren und alle Pakete blockieren die nicht dem Protokoll des freigegebenen Dienstes entsprechen Hier wurde die Portanderung also nicht mehr funktionieren Um auch eine solche Massnahme zu umgehen konnen die zu tunnelnden Daten in die Nutzdaten des Tunnelprotokolls eingebettet werden HTTP erlaubt die Ubermittlung beliebiger Nutzdaten im Nachrichtenrumpf einer HTTP Anfrage oder Antwort Die Daten mussen also so konvertiert werden dass sie dem HTTP Protokollstandard entsprechen Eine Tunnelsoftware kann eine solche Konvertierung vornehmen sie nimmt die Daten in einem Format entgegen und kapselt sie zum Versand in einem anderen Netzwerkprotokoll Eine Software beim Kommunikationspartner nimmt das Tunnelprotokoll entgegen und wandelt die Daten in das ursprungliche Format zuruck Erlaubt die Firewall verschlusselte Verbindungen wie zum Beispiel zu HTTPS Servern lassen sich die Daten an der Firewall nicht mehr mitlesen Somit ist eine Inhaltsprufung nicht moglich Diese Verbindungen eignen sich besonders gut fur Tunnel Hier eignet sich die Software OpenVPN mit dem Protokoll TCP sehr gut da der Aufbau der Verbindung nahezu identisch mit dem einer Webseite HTTPS ist 5 Virtual Private Network Bearbeiten Hauptartikel Virtual Private Network Tunnel werden dazu verwendet um abhorsichere Verbindungen uber ungesicherte Computernetzwerke hinweg aufzubauen Dabei sorgt die Tunnelsoftware dafur dass die Netzwerkpakete in einem Verschlusselungsprotokoll eingebettet werden um sie auf der Gegenseite wieder zu entschlusseln und auszupacken Dadurch wird eine verschlusselte Datenubertragung auch fur Dienste realisiert die normalerweise uber keine eigene Verschlusselung verfugen Auch ganze Netzwerke konnen so abhorsicher miteinander verbunden werden Beispiele fur VPN Protokolle sind IPsec OpenVPN und WireGuard Tunnelsoftware BearbeitenEine Tunnelsoftware kann einen lokalen Port als Tunneleingang offnen Dieser kann beispielsweise an die Loopback Adresse 127 0 0 1 bei IPv4 oder 1 bei IPv6 gebunden werden damit der Tunnel lediglich auf dem Hostrechner des Tunnels zur Verfugung steht Der Port kann aber auch an die Netzwerkadresse gebunden werden um beispielsweise im lokalen Netzwerk zur Verfugung zu stehen Das Client Progrmam wird dahingehend konfiguriert dass es keine Verbindung zum Zielserver aufbaut sondern zum Tunneleingang Die Tunnelsoftware ubernimmt den Verbindungsaufbau und die Kommunikation zum Tunnelserver Auf diese Weise konnen auch mehrere lokale Ports verwendet werden die man einzeln konfigurieren und mit unterschiedlichen Zielen verbinden kann Auf dem Tunnelserver wird eine Tunnelsoftware ausgefuhrt die das Tunnelprotokoll entgegen nimmt die Nutzdaten auspackt und im ursprunglichen Format zum Ziel weiterleitet Alternativ zu einer dedizierten Tunnelsoftware gibt es auch Anwendungsprogramme bei denen die Tunnelfunktionalitat bereits integriert ist Der Tunnel kann ohne eine separate Tunnelsoftware genutzt werden Beispiele fur eine Tunnelsoftware Bearbeiten GNU httptunnel HTTP Tunnelinglosung HTTPTunnel eine plattformunabhangige Perl PHP HTTP tunneling software OpenSSH SSH bietet die Moglichkeit verschlusselte TCP Tunnel aufzubauen OpenVPN VPN Losung fur Unix Windows Android und iOS verwendet wahlweise UDP oder TCP ab Version 2 0 corkscrew ein SSH HTTP s Tunnel Programm PuTTY ist ein freies SSH und Telnet Client Programm FreeS WAN OpenS WAN iPig Hotspot VPN TCP UDP Tunnel Software und Service Eine eingeschrankte Version ist kostenlos nutzbar VTun PingFu ist ein Game Tunnel Service LogMeIn Hamachi ein kostenloser VPN Tunnel Service Your Freedom ist ein teilweise kostenloser HTTP Tunnel Service Crypto IP Encapsulation CIPE Tunnel TCP Tunnel Software eingeschrankt kostenlos nutzbar Windows Linux Token2Shell Universal Windows App XLink Kai kommerzieller Tunneldienst fur z B den Nintendo GameCube oder der XBox 360Sicherheit BearbeitenGetunnelte Verbindungen gelten nur so lange als sicher wie die dabei verwendeten Verschlusselungsverfahren als ausreichend stark angesehen werden Auch muss man sich bewusst werden dass Daten die uber einen offentlichen Anbieter geleitet werden von diesem und auch dessen dahinterliegenden Knotenpunkten z B dem Provider lesbar sind sofern nicht hoherliegende Protokolle wie TLS im HTTPS Protokoll die Verschlusselung zum Ziel sicherstellen Daher ist man auf der sicheren Seite wenn man vertrauenswurdigere Anbieter wie z B den eigenen Server einen Zugangspunkt der Arbeitsstelle oder eines Freundes nutzt Die Software die man nutzt kann Lucken und Einfallstore enthalten die ein Angreifer ausnutzen kann Daher sollte man stets auf die Aktualitat der Endpunkte Server Client achten Der verwendete Schlussel des Tunnels kann in falsche Hande fallen Daher sollte auch hier sichergestellt werden dass dieser nicht kompromittiert ist Zusammenfassend gilt es folgende Aspekte zu beachten Die verwendeten Verschlusselungsverfahren des Tunnels Asymmetrie Art des Schlusselaustauschs Die Aktualitat der verwendeten Software Die Vertrauenswurdigkeit des Anbieters Die Integritat des SchlusselsEinzelnachweise Bearbeiten Tunneling In IT Wissen info DATACOM Buchverlag GmbH abgerufen am 29 Juli 2023 Larry L Peterson Bruce S Davie Computer Networks A Systems Approach Morgan Kaufman Burlington MA USA 2012 ISBN 978 0 12 385059 1 S 833 englisch ucsd edu PDF Tunneling das In Duden Abgerufen am 29 Juli 2023 Paul Ferguson Geoff Huston What is a VPN PDF 652 kB potaroo net April 1998 How to hide OpenVPN traffic Blogbeitrag zu OpenVPN uber Port 443 tcp englisch Abgerufen von https de wikipedia org w index php title Tunnel Rechnernetz amp oldid 236480078