UDP hole punching


UDP-Lochschlagen

Unter UDP hole punching versteht man ein Verfahren mit dem P2P-Programme trotz Firewall eine Kommunikation aufbauen können. Normalerweise können zwei Rechner, die sich beide hinter einer Firewall befinden, keine direkte Kommunikation aufbauen. Rechner hinter einer Firewall sind durch die Network Address Translation aus dem Internet nicht direkt adressierbar. Selbst wenn man die übersetzte IP-Adresse eines solchen Rechners herausbekommt und versucht, über diese zu kommunizieren wird der Firewall der Gegenseite die Kommunikation aber jeweils unterbinden, weil sie nicht vom seinem Netz aus aufgebaut wurde (Stateful Packet Inspection).

Beim UDP hole punching wird mit Hilfe eines externen Vermittlungsservers trotzdem eine Kommunikation ermöglicht. Clients, die kommunikationsbereit sind, melden sich bei diesem externen Server an. Dadurch ist dem Firewall bekannt, dass er auch Pakete von diesem externen Server als Antwort durchlassen muss. Die Kommunikation der beiden Clients untereinander läuft dann jeweils über den Server, der die Pakete mit seiner Adresse als Absender weiterleitet.

Prinzipiell funktioniert dies auch mit TCP. Die Verbindungen durch den Firewall können sogar per SSL verschlüsselt werden, wenn der Vermittlungsserver als "Man in the Middle" SSL-Verbindungen mit den Clients hält. Das Verfahren wird aber trotzdem als UDP hole punching bezeichnet, weil es sich mit UDP besonders einfach umsetzen lässt, da beim verbindungslosen UDP ein Firewall nur die Quell- und Zieladresse zur Statusüberwachung heranziehen kann. Der Vermittlungsserver muss sich dadurch nicht kompliziert Verbindungsstati merken, wie dies bei TCP der Fall ist.

UDP hole punching wird zum Beipiel vom VoIP-Dienst Skype und von verschiedenen VPN-Diensten eingesetzt. Hacker können damit aber auch Rechner, die sie per Trojaner übernommen haben, trotz Firewall fernsteuern, weil die übernommenen Rechner von innen "ein Loch in die Brandmauer schlagen".

UDP hole punching hat es als STUN-Protokoll mit dem RFC 3489 sogar zu einem Quasistandard gebracht.

0-9|A|B|C|D|E|F|G|H|I|J|K|L|M|N|O|P|Q|R|S|T|U|V|W|X|Y|Z|alle

Suche im Lexikon nach im

 

Fachartikel

IT-Sicherheit an der Rennstrecke [23.05.2018]

Die Sicherheit der Fahrer steht bei der Formel 1 an erster Stelle. Doch wie sieht es mit der IT-Sicherheit aus? Gerade bei internationalen Events wie der Formel 1 gilt es, sich auf die jeweiligen Rahmenbedingungen einzustellen. Ein umfassender Schutz der IT-Systeme ist unerlässlich. Der Veranstalter setzt hierzu auf einen Managed Security Service Provider. Wie die Auslagerung der IT-Überwachung in der Praxis funktioniert und wie dabei Hard- und Software zusammenspielen, zeigt dieser Anwenderbericht. [mehr]

Grundlagen

Distributed File System Replication [1.12.2017]

Die Distributed File System Replication ist seit vielen Server-Versionen ein probates Mittel, um freigegebene Dateibestände hochverfügbar zu machen oder bandbreitenschonend zwischen Standorten zu replizieren. Die Distributed File System Replication ist seit vielen Server-Versionen ein probates Mittel, um freigegebene Dateibestände hochverfügbar zu machen oder bandbreitenschonend zwischen Standorten zu replizieren. Doch ganz ohne Hürden kommt die Technologie nicht daher. [mehr]