الرئيسيةعريقبحث

بروتوكول نفقي


☰ جدول المحتويات


في شبكات الحاسوب، يسمح البروتوكول النفقي[1] أو بروتوكول الاتصال النفقي[2] أو بروتوكول الإنفاق[3] أو بروتوكول النقل النفقي (Tunneling Protocol)‏ للمُستخدم بأن يصل إلى أو يقدّم خدمة ما غير مدعُومة بشكلٍ مباشر في الشبكة، ويشمل ذلك إمكانيّة استخدام بروتوكول ما غير مدعوم في الشبكة. على سبيل المثال، تشغيل الإصدار السادس من بروتوكول الإنترنت (IPv6)[4] في شبكة تدّعم الإصدار الرابع (IPv4)[5] منه فقط. أحد الاستخدامات الهامة الأخرى هي تأمين خدمة غير مُتاحة أو غير آمنة في الشبكة الأساسيّة، مثل تزويد أحد المُضيفين البعيدين (Remote Host) بعنوان شبكة على الرغم من تواجده في شبكة بعيدة ذات معيار فيزيائي مختلف. يشمل استخدام البروتوكول النفقي إعادة بناء الرزمة (repackaging)، مما يسمح بوجود تطبيقات له في مجال التشفير، وتحديداً في إخفاء طبيعة المُعطيات التي تعبر النفق.

إنّ عملية بناء النفق تعتمد على نموذج طبقي مُشابه لنموذج الاتصال المعياري (OSI) أو لنموذج الإنترنت (TCP/IP)، بشكلٍ عام، تعتمد آليّة عمل البروتوكول النفقي على استخدام قسم المُعطيات في الرزمة الأصليّة لحمل رزمة أخرى تُقدّم الخدمة الفعليّة. يعمل البروتوكول النفقي في نفس الطبقة أو في طبقة أعلى من النموذج مُقارنة بالبروتوكول الذي يقدّم خدمة النقل عبر الشبكة.

نظرة عامة

لفهم النموذج الخاص ببناء النفق، يجب على مُهندسي الشبكات فهم كل من مجموعة البروتوكولات المُستخدمة لتوليد الحِمل وتلك المُستخدمة لتوصيله عبر الشبكة.

كمثال عن البروتوكولات النفقية، بروتوكول التوجيه والتغليف العام (Generic Routing Encapsulation GRE)،[6] وهو بروتوكول يعمل على مستوى طبقة الشبكة، ويقوم بتغليف رزمة داخل رزم بروتوكول آخر يعمل ضمن نفس الطبقة هو بروتوكول الإنترنت (IP)، يسمح ذلك بنقل رزم البروتوكول التي تحمل عناوين خاصة (Private Address)، لا يُسمح باستخدامها في شبكة الإنترنت، ضمن رزم بروتوكول الإنترنت التي تحمل عناوين عامة مقبولة في هذه الشبكة.

بشكلٍ عام، لا تكون الأنفاق مُشفّرة، وهي تعتمد على الخدمات الأمنيّة التي تُقدمّها بروتوكولات النموذج، ويشمل ذلك الاعتماد على بروتوكول النقل الأمن (Secure Shell)،[7] الذي يعمل على المنفذ (22)، لتشفير مُعطيات الحمل، بالإضافة لإمكانية دعم حزمة بروتوكول الإنترنت الأمنية (IPSec).[8]

بناء الأنفاق باستخدام بروتوكول الاتصال الآمن (SSH)

كيفية إنشاء نفق (SSH) مع مخدم بعيد

يتكوّن نفق بروتوكول الاتصال الآمن (SSH) من نفق مُشفّر تمّ إنشاؤه ضمن اتصال خاص ببروتوكول الاتصال الآمن. يستطيع أن يقوموا ببناء هذا النوع من الأنفاق لنقل مُعطيات غير مُشفّرة عبر قناة مُشفّرة ضمن الشبكة. على سبيل المثال، يُمكن للأجهزة التي تُشغّل نظام التشغيل ويندوز أن تتشارك الملفات باستخدام بروتوكول خاص، لا يُشفّر، يُسمى بروتوكول مجموعة رسائل المُخدّم (Server Messages Block SMB)، ويتوجب حينها على أن يُنشئ نفقاً أمناً مع المُخدّم (Server) أولاً باستعمال بروتوكول الاتصال الآمن (SSH)، وبعدها يُمكن أن يتمّ تبادل مُعطيات بروتوكول مجموعة رسائل المُخدّم (SMB) بشكل آمن عبر هذه القناة المُشفّرة.

لإنشاء نفقٍ أمن، يجب تهيئة عميل بروتوكول الاتصال الآمن (SSH Client) ليقوم بنقل المُعطيات التي يُراد تشفيرها إلى منفذ ما (ممثلاً بالدائرة الخضراء في الشكل) ثم توجيهها نحو منفذ أخر (ممثلاً بالدائرة الأرجوانية في الشكل) في مُضيف بعيد. بعد أن يتم إنشاء النفق، يمكن أن يحصل على اتصال آمن عبر المنفذ المحلي (ذو اللون الأخضر) للحصول على إحدى خدمات الشبكة مثلاً. لا يُشترط أن يكون للمنفذان المحلي والبعيد نفس القيمة العدديّة.

تسمح أنفاق الاتصال الآمن بتجاوز الجدران النارية التي قد تمنع الوصول إلى خدمات مُحددة، على افتراض أنّ الموقع الذي يتمّ إنشاء النفق فيه يسمح بإنشاء الاتصالات نحو خارج الشبكة. على سبيل المثال، قد تمنع مُؤسسة ما الشبكة فيها من النفاذ إلى صفحات الويب (رقم المنفذ هو (80)) بشكلٍ مُباشر بدون المرور عبر وكيل (Proxy)، ولذلك للتحكم بما يمكن تصفحه. ويُمكن في هذه الحالة تجاوز هذه الرقابة وانشاء نفق آمن باستخدام بروتوكول الاتصال الآمن (SSH) مع مُخدّم ويب (Web Server) بعيد، وعندها يجب أن يقوم بتعريف المُتصفح الذي يستعملُونه على المنفذ المحليّ الذي تمّ إنشاؤه لهذا الغرض.

تسمح الإصدارات الحاليّة من تطبيق (OpenSSH) بإنشاء أنفاق على مستوى الطبقتين الثانية أو الثالثة فقط، وذلك في حال كان كلا الطرفين يدعم هذه الميّزة. ويسمح ذلك، بنشاط بروتوكولات إدارة الشبكة التقليدية، أما عند استخدامِه في المُوجّهات (Router) فإنّه يسمح لكامل مُعطيات شبكة فرعية ما (Sub-network) موجودة على طرفي مُوجّه أو أكثر، بالحركة ضمن الأنفاق بشكل مشابه للحالة التي لا يوجد فيها أي مُوجّه، أو حدود على مستوى طبقة الشبكة.

التحايّل على سياسة جدران الحماية

يُمكن -أيضاً- استخدام الأنفاق للتسلل عبر جدران الحمايّة، وفي هذه الحالة يتم الاعتماد على برتوكول يُسمح لرزمه بعبور جدار الحماية، لنقل رزم بروتوكول آخر، يمنع جدار الحمايّة حركة رزمه. وهنا يتمّ تغليف (Encapsulate) رزمة البروتوكول الممنوع داخل رزمة البروتوكول المسمُوح، ويُمكن أن يتمّ تجاوز جدار الحمايّة الذي لا يتحقق من عملية التغليف باستعمال هذه الطريقة.

يُمكن أيضاً الاعتماد على بروتوكول نقل النص التشعبي (HTTP)[9] لإنشاء نفق يتجاوز جدار الحمايّة. في هذه الحالة، يتم الاتصال مع مُخدّم ويب بعيد باستخدام أمر الاتصال (CONNECT) الخاص بهذا البروتوكول، ثم وبشكلٍ مُشابه لأي اتصال ويب تقليدي يتمّ تبادل المُعطيات بين والمُخدّم عبر جدار الحماية. بعد ذلك، يقوّم مُخدّم الويب بإنشاء اتصال نحو الهدف الحقيقي، ويلعب دور الوكيل بين والوجهة الحقيقية، حيث يُرسِل المُعطيات نحو مُغلّفة ضمن رزم البروتوكول وكأنّها مُعطيات مخصصة لتصفّح الويب، ولهذا تعمد مُعظم الجدران الحمايّة إلى إغلاق هذه الثغرة من خلال تقييد استخدام أمر الاتصال الخاص ببروتوكول نقل النص التشعبي (HTTP).

المراجع

  1. "معنى كلمة tunneling في قاموس ومعجم المعاني الجامِع". موقع المعاني. مؤرشف من الأصل في 13 ديسمبر 20198 يوليو/تموز 2017.
  2. "قاموس المُصطلحات العلميَّة والتقنيَّة الجديد". مكتبة لُبنان ناشِرون8 يوليو/تموز 2017.
  3. "قاموس الكيلاني لمُصطلحات الحاسوب والإنترنت". مكتبة لُبنان ناشِرون8 يوليو/تموز 2017.
  4. Deering, S.; Hinden, R. (ديسمبر 1998). "Network Working Group: version 6 of the Internet Protocol (IPv6)". The Internet Society (باللغة الإنجليزية). مؤرشف من الأصل في 18 سبتمبر 20198 يوليو/تموز 2017.
  5. Postel, J. (سبتمبر 1981). "Internet Protocol, DARPA Internet Program Protocol Specification". The Internet Society (باللغة الإنجليزية). مؤرشف من الأصل في 28 سبتمبر 20198 يوليو/تموز 2017.
  6. Hanks, S.; Farinacci, D.; Traina, P.; Li, T. (أكتوبر 1994). "Generic Routing Encapsulation (GRE)". The Internet Society (باللغة الإنجليزية). مؤرشف من الأصل في 28 أغسطس 20198 يوليو 2017.
  7. Ylonen, T.; Lonvick, Ed., C. (يناير 2006). "The Secure Shell (SSH) Protocol Architecture". The Internet Society (باللغة الإنجليزية). مؤرشف من الأصل في 28 يوليو 20198 يوليو 2017.
  8. Kent, S.; Seo, K. (ديسمبر 2005). "Security Architecture for the Internet Protocol". The Internet Society (باللغة الإنجليزية). مؤرشف من الأصل في 6 يونيو 20198 يوليو 2017.
  9. Fielding, R.; Gettys, J.; Mogul, J.; Frystyk, H.; Masinter, L.; Leach, P.; Berners-Lee, T. (يونيو 1999). "Hypertext Transfer Protocol -- HTTP/1.1". The Internet Society (باللغة الإنجليزية). مؤرشف من الأصل في 4 سبتمبر 20198 يوليو 2017.

وصلات خارجية

  • PortFusion، توزيعة مخصصة لوكيل توجيه محلي بهدف إيجاد حلول باستهدام الأنفاق لكل برونكول نموذج الإنترنت (TCP/IP)
  • Free BSD، تعليمات لإنشاء نفق اتصال آمن باستخدام الشبكات الافتراضية الخاصة (SSH VPN) انظر قسم (SSH-based virtual private network).
  • مشروع (BarbaTunnel) تطبيق مفتوح المصدر لنفق باستخدام بروتوكول (HTTP) ولنفق باستخدام بروتوكول (UDP) في نظام تشغيل ويندوز.

موسوعات ذات صلة :