UDP hole punching


UDP-Lochschlagen

Unter UDP hole punching versteht man ein Verfahren mit dem P2P-Programme trotz Firewall eine Kommunikation aufbauen können. Normalerweise können zwei Rechner, die sich beide hinter einer Firewall befinden, keine direkte Kommunikation aufbauen. Rechner hinter einer Firewall sind durch die Network Address Translation aus dem Internet nicht direkt adressierbar. Selbst wenn man die übersetzte IP-Adresse eines solchen Rechners herausbekommt und versucht, über diese zu kommunizieren wird der Firewall der Gegenseite die Kommunikation aber jeweils unterbinden, weil sie nicht vom seinem Netz aus aufgebaut wurde (Stateful Packet Inspection).

Beim UDP hole punching wird mit Hilfe eines externen Vermittlungsservers trotzdem eine Kommunikation ermöglicht. Clients, die kommunikationsbereit sind, melden sich bei diesem externen Server an. Dadurch ist dem Firewall bekannt, dass er auch Pakete von diesem externen Server als Antwort durchlassen muss. Die Kommunikation der beiden Clients untereinander läuft dann jeweils über den Server, der die Pakete mit seiner Adresse als Absender weiterleitet.

Prinzipiell funktioniert dies auch mit TCP. Die Verbindungen durch den Firewall können sogar per SSL verschlüsselt werden, wenn der Vermittlungsserver als "Man in the Middle" SSL-Verbindungen mit den Clients hält. Das Verfahren wird aber trotzdem als UDP hole punching bezeichnet, weil es sich mit UDP besonders einfach umsetzen lässt, da beim verbindungslosen UDP ein Firewall nur die Quell- und Zieladresse zur Statusüberwachung heranziehen kann. Der Vermittlungsserver muss sich dadurch nicht kompliziert Verbindungsstati merken, wie dies bei TCP der Fall ist.

UDP hole punching wird zum Beipiel vom VoIP-Dienst Skype und von verschiedenen VPN-Diensten eingesetzt. Hacker können damit aber auch Rechner, die sie per Trojaner übernommen haben, trotz Firewall fernsteuern, weil die übernommenen Rechner von innen "ein Loch in die Brandmauer schlagen".

UDP hole punching hat es als STUN-Protokoll mit dem RFC 3489 sogar zu einem Quasistandard gebracht.

0-9|A|B|C|D|E|F|G|H|I|J|K|L|M|N|O|P|Q|R|S|T|U|V|W|X|Y|Z|alle

Suche im Lexikon nach im

 

Fachartikel

Anwenderbericht: Clientmanagement beim Drohnendistributor [12.08.2020]

Ob für das Düngen von Feldern in der Landwirtschaft oder zur Koordination von Rettungseinsätzen – Drohnen lassen sich in vielen Bereichen einsetzen. Es ist ein Markt mit enormem Wachstumspotenzial, und davon profitieren auch Großhändler wie Solectric, die nach einer globalen Steuerung ihres wachsenden Rechnerparks suchten. Von einer Stelle aus sollte sichergestellt werden, dass alle Virenupdates installiert und Windows, Office, Adobe sowie diverse Runtimes überall auf dem gleichen Stand sind. Ein ideales Einsatzgebiet für effizientes Clientmanagement. [mehr]

Grundlagen

Pass-the-Hash-Angriffe [23.06.2020]

Mit einer erfolgreichen Pass-the-Hash-Attacke wird ein Angreifer leicht Administrator der Windows-Domäne. Doch weil es technisch sehr schwierig ist, Inhalte des Arbeitsspeichers zu verteidigen, gibt es für die seit mehr als zwei Jahrzehnten bekannte Sicherheitslücke keinen Patch, sondern nur Empfehlungen für eine bessere Organisation der IT. Der ursprünglich sehr aufwendige Pass-the-Hash-Attacke ist heute nur noch eine Sache weniger Klicks. Wir beleuchten die Grundlagen dieses Angriffsvektors. [mehr]