Tunelowanie - cóż to jest?

Użytkownicy sieci komputerowych spotykają się coraz częściej z terminem ''tunelowanie'' (ang. tunelling). Co to właściwie jest? Otóż w miarę rozwoju sieci komputerowych najpierw lokalnych, a następnie rozległych, powstało zapotrzebowanie na łączenie ze sobą różnych sieci lokalnych za pośrednictwem publicznych sieci rozległych.

Użytkownicy sieci komputerowych spotykają się coraz częściej z terminem ''tunelowanie'' (ang. tunelling). Co to właściwie jest? Otóż w miarę rozwoju sieci komputerowych najpierw lokalnych, a następnie rozległych, powstało zapotrzebowanie na łączenie ze sobą różnych sieci lokalnych za pośrednictwem publicznych sieci rozległych.

BEZPIECZNA TRANSMISJA DANYCH

Już niedługo, aby zapewnić bezpieczeństwo transmisji danych w ogólnie dostępnych sieciach rozległych tj. Internecie, każdy z nas będzie musiał korzystać z technologii tunelowania. Microsoft pomyślał o wyposażeniu Windows 98 w technologię Point to Point Tunneling Protocol (PPTP), umożliwiającą tworzenie tzw. wirtualnych sieci prywatnych.

Sieci lokalne korzystają jednak z innych protokołów sieciowych niż sieci rozległe. Na przykład popularne sieci lokalne firmy Novell pracują w protokole IPX, sieci rozległe wykorzystują natomiast protokoły Frame-Relay, ATM, X.25, a na nich często IP (np. Internet). Łączenie sieci wykorzystujących inny protokół niż sieć rozległą, za pomocą której łączymy sieci rozległe w sieć wirtualną, nie jest jedynym przesłaniem wykorzystywania tunelowania. Drugim i często istotniejszym jest bezpieczeństwo. Szczególnie ostatnio tunelowanie bywa często łączone z wykorzystaniem metod kryptograficznych.

Wyobraźmy sobie taką sytuację:

- Firma KRZAK Inc. ma dwa odziały - w Nowym Jorku i Warszawie. W obu oddziałach zainstalowane są sieci lokalne Novell, pracujące na protokole IPX.

- Oba odziały firmy mają również łącza stałe do sieci Internet, pracującej z wykorzystaniem protokołu IP.

- Czy zatem nic nie stoi na przeszkodzie, aby połączyć obie sieci lokalne w jedną? Ale jak to zrobić? I jak to zrobić bezpiecznie? Przecież poufne dane tworzone przez firmę będą po drodze przechodziły przez wiele węzłów Internetu, gdzie mogą zostać z łatwością "odczytywane" przez osoby nie upoważnione, a ponadto firma korzysta z dwóch odmiennych protokołów - IP i IPX!

Okazuje się, że problem nie musi być aż tak trudny do rozwiązania. Wystarczy zastosować routery z opcją szyfrowania danych i możliwością obsługi protokołów IP i IPX. Pakiety IPX z sieci A będą szyfrowane i wysyłane jako datagramy IP do Internetu, za pośrednictwem którego dotrą do sieci B (również mającej stałe połączenie z Internetem). Pakiety wysyłane z sieci B do sieci A także będą przesyłane za pośrednictwem kanału logicznego tworzonego w Internecie przez routery, znajdujące się na obu końcach połączenia. Ten nasz "kanał logiczny" to właśnie tzw. tunel. W efekcie użytkownicy obu sieci lokalnych mają wrażenie, że pracują w jednej sieci lokalnej i mogą się ze sobą swobodnie komunikować, ich zdaniem "nie korzystając" wcale z pośrednictwa Internetu, który w tym przypadku jest dla nich niewidoczny.

PO CO NAM TUNELOWANIE

Możemy jednak śmiało "zejść na ziemię". Metoda zwana tunelowaniem nie musi być wykorzystywana jedynie przez firmy, mające oddziały rozsiane po kraju lub świecie. Często zwykli użytkownicy Internetu stosują tę technikę do własnych potrzeb. Przykładem jest korzystanie z dostępnego w Internecie oprogramowania szyfrującego o nazwie SSH. Oprogramowanie to, oprócz bezpiecznej pracy zdalnej, umożliwia tworzenie dodatkowego kanału szyfrowanego, przez który użytkownik może "tunelować" dowolną inną - potencjalnie narażoną na niebezpieczeństwo podsłuchu - usługę TCP/IP (np. FTP, telnet, IRC). Warunkiem jest jedynie zainstalowane SSH na obu końcach połączenia. Więcej o SSH w artykule "Kryptografia a bezpieczeństwo danych". W dokumentacji od pakietu SSH zawarto dokładny opis tunelowania innych usług internetowych.

Tunelowanie może być też wykorzystywane przez pracowników instytucji do omijania zabezpieczeń typu firewall, "utrudniających" życie użytkownikom w firmie. Działalność tego typu jest naganna - całe szczęście, że realizacja takiego pomysłu nie jest prosta, wymaga sporej wiedzy i stosunkowo łatwo może być wychwycona przez administratora sieci.

Na czym polega omijanie zabezpieczeń? Większość systemów firewall jest tak skonfigurowana, aby przepuszczały pocztę internetową i WWW. Sprytny użytkownik może przy użyciu odpowiedniego oprogramowania próbować tunelować inną usługę (np. FTP) przez port właściwy dla WWW lub poczty. Nie będę jednak pisał, jak tego dokonać. Na szczęście większość współczesnych systemów firewall automatycznie udaremni tego typu próby.

Generalnie można stwierdzić, iż tunelowanie umożliwia przesyłanie pewnych usług sieciowych za pośrednictwem innych, często odmiennych usług sieci, pracujących w różnych standardach. Możliwość taka jest najczęściej wykorzystywana do budowy wirtualnych sieci prywatnych (ang. VPN).


Zobacz również