پروتکل تونل‌زنی

قرارداد تونل‌زنی (به انگلیسی: Tunneling protocol) در شبکه‌های رایانه‌ای به کاربر اجازه می‌دهد تا به سرویس‌هایی که در شبکه‌اش ارائه نمی‌شوند، دسترسی پیدا کند. یکی از استفاده‌های مهم پروتکل‌های تونل‌زنی اجرای یک پروتکل خارجی بر روی شبکه‌ایست که آن پروتکل را پشتیبانی نمی‌کند؛ برای مثال استفاده از IPv6 بر روی شبکه مبتنی بر IPv4. استفادهٔ دیگر این نوع پروتکل‌ها فراهم کردن سرویس‌هایی است که ارائه کردن آن‌ها توسط شبکه غیرممکن یا ناامن است. برای مثال فراهم کردن دسترسی یک کاربر خارجی به شبکهٔ داخلی یک شرکت. از آنجایی که پروتکل‌های تونل‌زنی داده‌های ارسالی را مجدداً به‌شیوه‌ای جدید بسته‌بندی کرده و احتمالاً براساس استاندارد بر روی آن‌ها رمزگذاری اعمال می‌کنند، مخفی کردن محتویاتِ تونل نیز می‌تواند از استفاده‌های این نوع پروتکل‌ها باشد.

پورتکل‌های تونل‌زنی با استفاده از قرار دادن بستهٔ درخواستِ سرویس در درون قسمت دادهٔ یک پروتکل دیگر عمل می‌کنند. تونل‌زنی نیز مانند TCP/IP از مدل لایه‌ای استفاده می‌کند اما معمولاً لایه‌های با حمل بستهٔ سرویس در درون بدنهٔ یک بستهٔ دیگر، لایه‌بندی شبکهٔ حمل‌کننده را به‌هم می‌زند. عموماً پروتکل مقصد در لایه‌هایی بالاتر از پروتکل حمل‌کننده قرار می‌گیرند.

مرورفنی

ویرایش

برای فهمیدن پشتهٔ پروتکل خاص که با پشتهٔ پروتکل اعمال شده، مهندسان شبکه باید هر دو قابلیت حمل و تحویل دستگاه پروتکل رادرک کنند. برای مثال شبکه‌ای لایه‌ای بر روی شبکهٔ لایه‌ای،(GRE) محفظهٔ مسیریابی کلی، یک پروتکل اجرایی بر روی IP (پروتکلIPشماره ی۴۷)، معمولاً خدمت‌ها را با بسته‌ای کوچک IPانتقال می‌دهد، با آدرس خصوصی RFC1918، پیش از استفاده از اینترنت بسته‌ها با آدرس‌های IPعمومیت تحویل داده می‌شدند؛ بنابراین قابلیت حمل و تحویل پروتکل‌ها یکسان هستند اما آدرس‌ها (قابلیت حمل با شبکهٔ دریافت آنها) ناسازگار هستند.
آن همچنین ممکن است که لایهٔ پیوندی بر روی شبکهٔ لایه‌ای استفاده شود.(L2TP)به بسته‌های لایهٔ پیوندی اجازه می‌دهد که داده را درون UDPانتقال دهد؛ بنابراین L2TP پیش از انتقال لایه‌ها کار می‌کند.TP در انتقال پروتکل می‌تواند پیش از پروتکل پیوند داده ازIEEE802.2 بر روی IEEE802.3 (یعنی استاندارد مبتنی اترنت) به پروتکل نقطه به نقطه (PPP) بر روی پیوند مدرن شماره‌گیری کار می‌کند.

پروتکل‌های تونل سازی امکان دارد از داده‌های پنهان برای انتقال دادن قابلیت حمل ناامن بر روی شبکه عمومی (مانند اینترنت)استفاده کند، به این وسیله عاملیت VPN راعرضه می‌کند. IPsec به‌طور پیوسته روش‌ها را انتقال می‌دهد، اما همچنین می‌تواند روش‌های تونل زنی مدرن را در میان گذرگاه امنیتی امن اتصال دهد.

تونل‌زنی به‌وسیله پوستهٔ ایمن

ویرایش

یک کانال برنامهٔ امن شامل کانال متن رمزشده میان اتصال پروتکل SSH ساخته شده‌است. کاربران ممکن است کانال SSHرا برای انتقال متن رمز نشده بر روی شبکه در میان کانال رمز شده تنظیم کند. برای مثال ماشین‌های مایکروسافت ویندوز می‌توانند فایل‌ها را استفاده از پروتکل (SMB)، یک پروتکل رمز نشده، به اشتراک بگذارند. اگر شخصی بخواهد سیستم پروندهٔ از راه دور مایکروسافت رابر روی اینترنت وصل کند، شخص جاسوس در یک ارتباط می‌تواند فایل‌ها ی انتقال داده شده را ببیند. برای نصب سیستم پرونده‌های امن ویندوز، یک شخص می‌تواند یک تونل SSH که مسیر تمام ترافیک‌های SMB را برای ارتباط از راه دور فایل سرورها میان یک کانال متن رمزشده یا مجزا برقرار کند؛ بنابراین پروتکل SMB برای خودش شامل پنهان کردن نیست، متن رمزشدهٔ میان کانال SSH که آن راه‌ها امنیت را پیشنهاد می‌کند.

برای تنظیم کردن یک کانال SSH، یک ایجاد پیکربندی یک مشتری SSH برای فرستادن یک دریچهٔ محلی برای حمل کردن ماشین‌های از راه دور تعیین شده‌است. کانال SSH فقط یکبار ساخته می‌شود، کاربر می‌تواند بایک دریچهٔ محلی خاص برای دستیابی به خدمت‌ها شبکه وصل شود. یک دریچهٔ محلی شبیه یک دریچهٔ کنترل از راه دور نیست.
کانال‌های SSH یک مفهوم برای مسیرجانبی دیوار آتش فراهم می‌کند که از خدمت‌ها خاص اینترنت جلوگیری می‌کند-به شرطی که یک موقعیت به ارتباطات خارجی اجاز دهد. برای مثال یک سازمان ممکن است از کاربر برای دستیابی به صفحهٔ وب اینترنت به‌طور مستقیم بدون انتقال دادن میان یک سازمان proxy filterجلوگیری کند (که سازمان به وسیلهٔ بازبینی وکنترل کاربرانی که درمیان وب می‌بیند را فراهم می‌کند). اما ممکن است کاربران نخواهند که صفحه نمایش یا بلوک انتقال وب آن‌ها سازمان proxy filter داشته باشد. اگر کاربران بتوانند به یک خدمتگذار SSH خارجی وصل شوند، آنهامی توانند یک تونل SS برای ارسال کردن یک دریچهٔ دریافتی برای ماشین دریافتی آن‌ها بادریچهٔ ۸۰ با خدمت‌ها وب از راه دور بسازند. برای دستیابی به خدمت‌ها وب از راه دور کاربران می‌توانند مرورگرشان را با دریچهٔ محلی در http://localhost/ هدف گذاری کنند.
بعضی از مشتریانSSHاز ارسال دریچهٔ پویا که به کاربران اجازهٔ ساخت یکproxy SOCKS 4.5را می‌دهد حمایت می‌کنند؛ بنابراین کاربران می‌توانند برنامه هایشان را برای استفادهٔ خدمت‌ها socksمحلیشان پیکربندی کنند. برای دادن قابلیت انعطاف بیشتر از ساخت یک دریچهٔ SSH برای یک دریچهٔ تکی قبلاً توضیح دادیم. socks می‌تواند کاربران را از محدودیت اتصال فقط برای درچهٔ ارتباط از راه دوراز پیش تعریف شده و شبکه آزادمی‌کنند. اگر یک برنامه socks را پشتیبانی نکند یک proxifilter می‌تواند از تعیین جهت برنامه برای خدمت‌ها proxy socks محلی استفاده کند. بعضی از proxifilterها مثل proxycap ،SSH را به‌طور مستقیم پشتیبانی می‌کنند، بنابراین نیاز به مشتری SSH را متوقف می‌کند.

دور زدن سیاست دیوارآتش

ویرایش

کاربران همچنین می‌توانند از تونل برای برای یک "snake through" یک دیوارآتش استفاده کنند و استفاده کنند واستفاده کردن از پروتکل که دیوارآتش می‌تواند به‌طور معمولی مانع شود، امادرون پروتکلی که دیواراتش مانع، مانند HTTP پیچیده شده. اگر یک دیوارآتش policy به صورت خاص نتواند مانع نوعی "wrapped" شد، این خطوط می‌توانند کار پیرامون دیوار آتش تعیین شده به دست آورند.
یکی دیگر از روش‌های کانال مبتنی HTTP از فرمان اتصال HTTP استفاده می‌کنند. یک مشتری فرمان اتصال TCP رابه HTTP می‌فرستد. proxy سپس اتصال TCP را برای یک شبکهٔ خاص می‌سازد. دریچه و ذخیره‌سازی داده بین شبکه، دریچه و ارتباط مشتری. زیرا آن امنیت میزبان، قابلیت اتصال HTTP Proxies وبه‌طور عادی دستیابی محدود برای روش اتصال را می‌سازد.

تانل IPIP

ویرایش

این پروتکل open standaard است، به این معنی که در تمام سیستم عامل ها مورد استفاده قرار می گیرد و نوع سیستم عامل در سیستم مقابل مهم نیست. این پروتکل بیشتر در محیط اینترنت کاربرد دارد.

همچنین برای ارتباط روترها با یکدیگر استفاده می شود و در شرایطی خاص در اینترنت نیز پیاده سازی می شود. عملکرد این پروتکل به این صورت است که بسته های ip را درون بسته های ip دیگر قرار می دهد و منتقل می کند.

با استفاده از پروتکل IPIP، دو شبکه که از لحاظ جغرافیایی دور هستند را یکپارچه می کنیم.

بطور کلی برای پیاده سازی این پروتکل ابتدا به سمت روتر مقابل یک Route فراهم می کنیم یعنی Route می نویسیم و سپس روی هر روتر یک کارت شبکه مجازی از نوع IPIP تعریف می شود و نهایتا به این کارت شبکه مجازی یک IP اختصاص داده می شود. به این ترتیب روترهای هر شبکه با استفاده از یک کابل مجازی به یکدیگر متصل می شوند.

منابع

ویرایش