La técnica de “tunneling” consiste en encapsular un
mensaje de un protocolo dentro de sí mismo aprovechando ciertas propiedades del
paquete externo con el objetivo de que el mensaje sea tratado de forma
diferente a como habría sido tratado el mensaje encapsulado. De esta forma un
paquete puede “saltar” la topología de una red. Por ejemplo, un túnel puede ser
usado para evitar un firewall (con los peligros consecuentes de esta decisión).
Esta es una consideración a tener en cuenta al
configurar un túnel.
El túnel es un método por el cual se hace uso de
una red intermedia para transferir datos de un extremo a otro. Los paquetes que
se transmiten se encapsulan sobre otro encabezado correspondiente al protocolo de
túnel, este nuevo encabezado contiene la información necesaria para que el
paquete atravesando la red intermedia llegue al destino correspondiente, una
vez llegados a destino son desencapsulados y dirigidos al destino final. Un
túnel es un canal virtual, configurado entre dos sistemas remotos que se
encuentran en diferentes redes, sobre una conexión real que involucra más de un
nodo intermedio. El túnel es simplemente la ruta que toman los paquetes
encapsulados (y encriptados), dentro de un paquete del mismo protocolo, entre
las dos redes. En el sistema de destino, el mensaje encapsulado es extraído del
paquete recibido, desencriptado, y reinyectado en la red a la que pertenece el
receptor (en el caso de un gateway).
Túnel SSH
El protocolo SSH (secure shell) se utiliza con frecuencia
para tunelizar tráfico confidencial sobre Internet de una manera segura. Por ejemplo, un servidor de
ficheros puede compartir archivos usando el protocolo SMB (Server Message Block), cuyos datos no viajan
cifrados. Esto permitiría que una tercera parte, que tuviera acceso a la
conexión (algo posible si las comunicaciones se realizan en Internet) pudiera
examinar a conciencia el contenido de cada fichero trasmitido.
Para poder montar el sistema de archivo de forma segura,
se establece una conexión mediante un túnel SSH que encamina todo el tráfico
SMB al servidor de archivos dentro de una conexión cifrada SSH. Aunque el
protocolo SMB sigue siendo inseguro, al viajar dentro de una conexión cifrada
se impide el acceso al mismo.
Por ejemplo, para conectar con un servidor web de forma segura, utilizando SSH, haríamos que el cliente web, en vez de conectarse al
servidor directamente, se conecte a un cliente SSH. El cliente SSH se
conectaría con el servidor tunelizado, el cual a su vez se conectaría con el
servidor web final. Lo atractivo de este sistema es que hemos añadido una capa
de cifrado sin necesidad de alterar ni el cliente ni el servidor web.
Tunelizar para evitar corta fuegos
La técnica de tunelizar puede ser usada también para
evitar o circunvalar un cortafuegos . Para ello, se encapsula el protocolo
bloqueado en el cortafuegos dentro de otro permitido, habitualmente HTTP.
No hay comentarios:
Publicar un comentario