User:OktayKocabas

Tünel protokolü
Bir ağ protokolü(network protocol) farklı bir görev yükü (payload) protokolü içerdiğinde bilgisayar ağ bağlantısı(Computer network),bir tünel protokolü kullanır.Tünel protokolü kullanılarak,uyumsuz olan bir iletim protokolü üzerinde bir görev yükü taşınabilir yada güvenilmeyen ağlarda güvenli bir yol oluşumu sağlanabilir. Tunel protokolü tipik olarak,OSI yada TCP/IP gibi katmanlı protokol modelleriyle kıyaslandırılır.İletim protokolü(delivery protokol) genelde model içerisinde,yük(payload) protokolünden daha yüksek seviyede yada aynı seviyede çalışır. Belirli protokol yığınını anlamak için,network mühendisleri öncelikle payload ve iletim(delivery protocol) protokol gruplarını her ikisini de anlamak zorundadır. Örnek olarak ağ katman üzerinde ağ katmanına örnek olarak,IP([IP protocol|IP Protocol Number]] 47)'nin üzerinde çalışan bir protokol olan Generic Routing Encapsulation(GRE);genel IP adresler ile teslimat paketlerini kullanan internet üzerinden,RFC 1918 özel adresi ile IP paketlerini taşıma servisi yapar.Bu durumda, teslimat ve yük(payload) protokolleri uyumlu ancak yük adresleri,bu teslimat ağ erişimininkileriyle uyumsuzdur. Bunun tersine,bir IP payload, payload mekanizmasına data link layer'ın bir protokolü olarak görünen Layer 2 Tunneling Protocol(L2TP)'nün içerisinde taşındığında bir veri hattı katmanı teslimatı (data link layer delivery) görüyor sanabilir.Ancak,aslında IP üzerinde User Datagram Protocol(UDP) kullanarak taşıma katmanı üzerinde çalışır. Tunel protokolleri genel ağ erişiminde emniyeti olmayan payload protokollerini taşımak için veri şifrelemesi kullanabilir.dolayısıyla VPN fonksiyonelliği sağlanır.IPsec'te end-to-end taşıma modu vardır.Ancak ayrıca güvenilir güvenlik kapısı boyunca tunel modu içerisinde çalışabilir.

Güvenlik kabuğu tüneli
Bir güvenlik kabuğu(SSH) tuneli ,SSH protocol bağlantısı boyunca oluşturulmuş bir şifrelenmiş tunel içerir.Kullanıcılar SSH tunelleri,şifrelenmiş kanal boyunca ağ erişimi üzerinde şifrelenmemiş trafik transferini sağlamak için kurabilir.Örneğin;Microsoft Windows makineleri, şifrelenmemiş bir protokol olan Server Message Block(SMB) protokolü üzerinden dosyalar paylaşabilir.Eğer biri internet üzerinden Microsoft Windows dosya-sitemini uzaktan kontrol ile erişebilseydi,bağlantıda gezen biri transfer edilen dosyaları görebilirdi.Windows dosya sistemine güvenli şekilde erişim için,tüm SMB trafiğini şifrelenmiş kanal içerisinden  uzaktan-kontrol-dosya sunucusuna yönlendirmek için biri SSH tüneli kurabilir.Yine de SMB protokolü hiçbir şifreleme içermez. SSH tüneli kurmak için,biri belirli bir yerel porttan uzaktan kontrol makinesinin bir portuna doğru ileriye bir SSH client yapılandırması yapar.SSH tünel kurulduğunda, kullanıcı ağ erişim servisine giriş yapmak için belirli bir yerel porta bağlanabilir.Yerel port uzaktan erişim portu gibi aynı port numarasına ihtiyac duymaz. Site dışarıya dönük bağlantılara izin verdiği sürece,SSH tünelleri,belirli internet servislerini yasaklayan güvenlik duvarlarını(firewall) atlatmak için kolaylık sağlar.Örneğin;bir organizasyon bir kullanıcının internet sayfasına(port 80) girişini organizasyonun proxy filter(proxy filtresi) içerisinden geçmeden yasaklamak isteyebilir.Ancak kullanıcılar,organizasyonun proxy filtresi tarafından görüntülenmek veya engellenmek istemeyebilirler.Eğer kullanıcılar harici bir server sunucusuna bağlanabilirlerse ,kendi yerel makineleri ile verilen porta doğru uzaktaki web sunucusunda olan port 80'e geçiş yapabilmeleri için SSH tünel oluşturabilirler.Uzaktan web sunucusuna giriş yapmak için,kullanıcılar kendi tarayıcılarına http://localhost/ üzerinde yerel portu belirtmelidirler. SSH client'ların bazıları,kullanıcıların SOCKS 4/5 proxy oluşturmasına izin veren dinamik port iletimini (dynamic port forwarding) desteklemektedirler.Bu durumda kullanıcılar kendi yerel SOCKS proxy sunucularını kullanarak kendi uygulamalarını yapılandırabilirler.Bu durum tek bir porta,belirtilen SSH tüneli oluşturma durumundan daha çok esneklik sağlar.SOCKS ,kullanıcının önceden oluşturulmuş uzaktaki port ve sunucuya bağlantı limitlerinden kurtulmasını serbest kalmasını sağlar.eğer bir uygulama SOCKS desteklemiyorsa ,yerel SOCKS proxy sunucusuna uygulamanın direkt erişimi için "socksifier" kullanılabilir.Bazı socksifier'ler SSH client ihtiyacını engellemek için SSH'ı direkt olarak destekler.

Güvenlik duvarı önlemine karşı tünelleme
Kullanıcılar tünellemeyi ayrıca güvenlik duvarına sızmak için de kullanabilir.Normalde güvenlik duvarının engel koyacağı protokole,protokol içerisinde "wrapped(paketlenmiş)" kullanımı güvenlik duvarının engellemesinden kurtarır.HTTP gibi.Eğer güvenlik duvarı poliçesi özellikle "wrapping" tarzı şeyleri harici tutmazsa, bu hile,amaçlanan güvenlik duvarı ilkesinin yasal boşluğundan faydalanmak için fonksiyonel işlem gösterir. Bir başka HTTP temelli tünelleme metodu,HTTP connect method/command kullanır.Client,HTTP proxy'ye HTTP connect emri yayınlar.Daha sonra proxy belirli sunucu veya porta TCP bağlantısı kurar ve client bağlantısı ile sunucu,port arasındaki veriyi gecikmeye uğratır. Çünkü bu bir güvenlik çukuru oluşturur.CONNECT-capable HTTP proxyleri CONNECT metoduna giriş için kısıtlama meydana getirir.proxy sadece özel yetkilendirilmiş sunucuların beyaz listesine giriş izni verir.

Benzer Başlıklar

 * HTTP tunnel
 * ICMP tunnel
 * Pseudo-wire
 * Tunnel broker
 * Virtual private network
 * VXLAN
 * NVGRE

Dış Bağlantılar

 * PortFusion tüm TCP protokolleri için tünelleme çözümleri
 * SSH VPN tunnel,SSH-temelli özel sanal ağ bağlantıları
 * BarbaTunnel Project, Windows'ta HTTP-tünel ve UDP-tünel için açık kaynak uygulamaları]

Notlar
 Category:Network protocols Category:Computer security


 * http://en.wikipedia.org/wiki/Tunneling_protocol erişim