Tunneling protocol

jaringan komputer menggunakan protokol tunneling ketika salah satu protokol jaringan (protokol pengiriman) merangkum muatan protokol yang berbeda. By using tunneling one can (for example) carry a payload over an incompatible delivery-network, or provide a secure path through an untrusted network. Dengan menggunakan tunneling seseorang dapat (misalnya) membawa muatan di atas jaringan-pengiriman yang tidak kompatibel, atau menyediakan jalan yang aman melalui jaringan terpercaya.

Tunneling typically contrasts with a layered protocol model such as those of OSI or TCP/IP . Tunneling biasanya kontras dengan model protokol berlapis seperti dari OSI atau TCP / IP . The delivery protocol usually (but not always) operates at a higher level in the model than does the payload protocol, or at the same level. Protokol pengiriman biasanya (tetapi tidak selalu) beroperasi pada tingkat yang lebih tinggi dalam model daripada protokol muatan, atau pada tingkat yang sama. Protocol encapsulation carried out by conventional layered protocols, in accordance with the OSI model or TCP/IP model (for example: HTTP over TCP over IP over PPP over a V.92 modem) is not considered tunneling. Protokol enkapsulasi dilakukan oleh protokol lapisan konvensional, sesuai dengan model OSI atau TCP / IP model (misalnya: HTTP melalui TCP over IP melalui PPP over modem V.92) tidak dianggap tunneling.

To understand a particular protocol stack, network engineers must understand both the payload and delivery protocol sets. Untuk memahami protokol tertentu stack, network engineer harus mengerti baik muatan dan set protokol pengiriman.

As an example of network layer over network layer, Generic Routing Encapsulation (GRE), a protocol running over IP ( IP Protocol Number 47), often serves to carry IP packets, with RFC 1918 private addresses, over the Internet using delivery packets with public IP addresses. Sebagai contoh lapisan jaringan melalui lapisan jaringan, Generic Routing Encapsulation (GRE), sebuah protokol yang berjalan di atas IP ( IP Protokol Nomor 47), sering berfungsi untuk membawa paket IP, dengan RFC 1918 alamat pribadi, melalui Internet menggunakan paket pengiriman dengan publik alamat IP. In this case, the delivery and payload protocols are compatible, but the payload addresses are incompatible with those of the delivery network. Dalam hal ini, protokol pengiriman dan payload yang kompatibel, tetapi alamat muatan tidak sesuai dengan orang-orang dari jaringan pengiriman.

In contrast, an IP payload might believe it sees a data link layer delivery when it is carried inside the Layer 2 Tunneling Protocol (L2TP), which appears to the payload mechanism as a protocol of the data link layer . Sebaliknya, sebuah muatan IP mungkin percaya melihat pengiriman data link layer ketika dilakukan di dalam Layer 2 Tunneling Protocol (L2TP), yang tampaknya mekanisme payload sebagai protokol layer data link . L2TP, however, actually runs over the transport layer using User Datagram Protocol (UDP) over IP. L2TP, bagaimanapun, sebenarnya berjalan di atas lapisan transport menggunakan User Datagram Protocol (UDP) over IP. The IP in the delivery protocol could run over any data-link protocol from IEEE 802.2 over IEEE 802.3 (ie, standards-based Ethernet ) to the Point-to-Point Protocol (PPP) over a dialup modem link. IP dalam protokol pengiriman dapat berjalan atas setiap-link protokol data dari IEEE 802.2 atas IEEE 802.3 (misalnya, standar berbasis Ethernet ) ke -Point to-Point Protocol PPP) melalui link modem dialup (.

Tunneling protocols may use data encryption to transport insecure payload protocols over a public network (such as the Internet), thereby providing VPN functionality. IPsec has an end-to-end Transport Mode, but can also operate in a tunneling mode through a trusted security gateway. protokol Tunneling dapat menggunakan data enkripsi untuk mengangkut muatan protokol tidak aman melalui jaringan publik (seperti Internet), sehingga memberikan VPN fungsi. IPsec memiliki end-to-end Transport Mode, tetapi juga dapat beroperasi dalam mode tunneling melalui keamanan terpercaya gateway.

Secure Shell tunneling
A Secure Shell (SSH) terowongan terdiri dari sebuah terowongan dienkripsi diciptakan melalui protokol SSH koneksi. Users may set up SSH tunnels to transfer unencrypted traffic over a network through an encrypted channel. Pengguna dapat mengatur terowongan SSH untuk mentransfer tidak terenkripsi melalui jaringan lalu lintas melalui terenkripsi saluran. For example, Windows machines can share files using the Server Message Block (SMB) protocol, a non-encrypted protocol. Sebagai contoh, mesin Windows dapat berbagi file dengan menggunakan Server Message Block (SMB) protocol, sebuah protokol non-terenkripsi. If one were to mount a Microsoft Windows file-system remotely through the Internet, someone snooping on the connection could see transferred files. Kalau orang untuk me-mount Microsoft Windows file sistem dari jarak jauh melalui Internet, seseorang mengintai pada koneksi bisa melihat file yang ditransfer. To mount the Windows file-system securely, one can establish an SSH tunnel that routes all SMB traffic to the remote fileserver through an encrypted channel. Untuk me-mount file sistem Windows-aman, seseorang dapat membangun sebuah terowongan SSH yang rute semua lalu lintas SMB ke fileserver remote melalui saluran terenkripsi. Even though the SMB protocol itself contains no encryption, the encrypted SSH channel through which it travels offers security. Meskipun protokol SMB sendiri tidak mengandung enkripsi, saluran SSH dienkripsi melalui perjalanan yang menawarkan keamanan.

To set up an SSH tunnel, one configures an SSH client to forward a specified local port to a port on the remote machine. Untuk mengatur sebuah terowongan SSH, salah mengkonfigurasi klien SSH untuk meneruskan port lokal tertentu ke port pada mesin remote. Once the SSH tunnel has been established, the user can connect to the specified local port to access the network service. Setelah terowongan SSH telah ditetapkan, pengguna dapat terhubung ke port lokal tertentu untuk mengakses layanan jaringan. The local port need not have the same port number as the remote port. Port lokal tidak perlu memiliki nomor port yang sama seperti port remote.

SSH tunnels provide a means to bypass firewalls that prohibit certain Internet services — so long as a site allows outgoing connections. terowongan SSH menyediakan sarana untuk bypass firewall yang melarang layanan Internet tertentu - asalkan situs memungkinkan koneksi keluar. For example, an organization may prohibit a user from accessing Internet web pages (port 80) directly without passing through the organization's proxy filter (which provides the organization with a means of monitoring and controlling what the user sees through the web). Sebagai contoh, sebuah organisasi dapat melarang pengguna dari web mengakses halaman internet (port 80) secara langsung tanpa melalui organisasi proxy filter (yang menyediakan organisasi dengan cara pengawasan dan pengendalian apa yang user melihat melalui web). But users may not wish to have their web traffic monitored or blocked by the organization's proxy filter. Tapi pengguna tidak boleh ingin memiliki lalu lintas web mereka dimonitor atau diblokir oleh proxy filter organisasi. If users can connect to an external SSH server , they can create an SSH tunnel to forward a given port on their local machine to port 80 on a remote web server. Jika pengguna dapat terhubung ke SSH eksternal server , mereka dapat membuat terowongan SSH untuk mem-forward sebuah port yang diberikan pada mesin lokal ke port 80 di web server remote. To access the remote web server users would point their browser to http://localhost/. Untuk mengakses pengguna web server jauh akan menunjukkan mereka browser ke http://localhost/.

Some SSH clients support dynamic port forwarding that allows the user to create a SOCKS 4/5 proxy. Beberapa klien SSH dukungan port forwarding dinamis yang memungkinkan pengguna untuk membuat SOCKS / 5 proxy 4. In this case users can configure their applications to use their local SOCKS proxy server. Dalam hal ini pengguna dapat mengkonfigurasi aplikasi mereka untuk menggunakan server lokal mereka SOCKS proxy. This gives more flexibility than creating an SSH tunnel to a single port as previously described. Ini memberikan fleksibilitas lebih dari menciptakan terowongan SSH ke port tunggal seperti telah dijelaskan sebelumnya. SOCKS can free the user from the limitations of connecting only to a predefined remote port and server. SOCKS dapat membebaskan pengguna dari keterbatasan menghubungkan hanya untuk port remote standar dan server.

Tunneling untuk menghindari kebijakan firewall
Pengguna juga dapat menggunakan tunneling untuk "menyelinap melalui" firewall, menggunakan protokol yang firewall biasanya akan memblokir, tapi "dibungkus" dalam sebuah protokol yang firewall tidak menghalangi, seperti HTTP . If the firewall policy does not specifically exclude this kind of "wrapping", this trick can function to get around the intended firewall policy. Jika kebijakan firewall tidak secara khusus mengecualikan ini semacam "pembungkus", trik ini dapat berfungsi untuk berkeliling kebijakan firewall dimaksudkan.

Another HTTP-based tunneling method uses the HTTP CONNECT method/command. Lain berdasarkan metode tunneling-HTTP menggunakan HTTP metode CONNECT / perintah. A client issues the HTTP CONNECT command to a HTTP proxy. Seorang klien mengeluarkan perintah HTTP CONNECT ke proxy HTTP. The proxy then makes a TCP connection to a particular server:port, and relays data between that server:port and the client connection. proxy kemudian membuat sebuah koneksi TCP ke server tertentu: port, dan relay data antara server: port dan koneksi klien. Because this creates a security hole, CONNECT-capable HTTP proxies commonly restrict access to the CONNECT method. Karena ini menciptakan lubang keamanan, CONNECT-HTTP proxy umumnya mampu membatasi akses ke metode CONNECT. The proxy allows access only to a whitelist of specific authorized servers. proxy ini memungkinkan akses hanya untuk daftar putih dari server resmi tertentu.




diterjemahkan dari wikipedia