UDP hole punching

Das ist der Eintrag dazu aus unserem IT-Kommunikationslexikon:


UDP-Lochschlagen

Unter UDP hole punching versteht man ein Verfahren mit dem P2P-Programme trotz Firewall eine Kommunikation aufbauen können. Normalerweise können zwei Rechner, die sich beide hinter einer Firewall befinden, keine direkte Kommunikation aufbauen. Rechner hinter einer Firewall sind durch die Network Address Translation aus dem Internet nicht direkt adressierbar. Selbst wenn man die übersetzte IP-Adresse eines solchen Rechners herausbekommt und versucht, über diese zu kommunizieren wird der Firewall der Gegenseite die Kommunikation aber jeweils unterbinden, weil sie nicht vom seinem Netz aus aufgebaut wurde (Stateful Packet Inspection).

Beim UDP hole punching wird mit Hilfe eines externen Vermittlungsservers trotzdem eine Kommunikation ermöglicht. Clients, die kommunikationsbereit sind, melden sich bei diesem externen Server an. Dadurch ist dem Firewall bekannt, dass er auch Pakete von diesem externen Server als Antwort durchlassen muss. Die Kommunikation der beiden Clients untereinander läuft dann jeweils über den Server, der die Pakete mit seiner Adresse als Absender weiterleitet.

Prinzipiell funktioniert dies auch mit TCP. Die Verbindungen durch den Firewall können sogar per SSL verschlüsselt werden, wenn der Vermittlungsserver als "Man in the Middle" SSL-Verbindungen mit den Clients hält. Das Verfahren wird aber trotzdem als UDP hole punching bezeichnet, weil es sich mit UDP besonders einfach umsetzen lässt, da beim verbindungslosen UDP ein Firewall nur die Quell- und Zieladresse zur Statusüberwachung heranziehen kann. Der Vermittlungsserver muss sich dadurch nicht kompliziert Verbindungsstati merken, wie dies bei TCP der Fall ist.

UDP hole punching wird zum Beipiel vom VoIP-Dienst Skype und von verschiedenen VPN-Diensten eingesetzt. Hacker können damit aber auch Rechner, die sie per Trojaner übernommen haben, trotz Firewall fernsteuern, weil die übernommenen Rechner von innen "ein Loch in die Brandmauer schlagen".

UDP hole punching hat es als STUN-Protokoll mit dem RFC 3489 sogar zu einem Quasistandard gebracht.

Aktuelle Beiträge

Goldenes Ausweissymbol isoliert auf dunkelblauem Hintergrund mit dem Azure Symbol

Gastkonten im Azure AD verwalten

Vor 2 Monaten von Redaktion IT-A…
Gastkonten im Azure AD ließen sich bisher nur recht grob und entweder manuell oder mit Skript­arbeit verwalten. Mit "Cross-tenant access settings" stehen dem Admin nun granularere Möglichkeiten zur Verfügung – über die Graph-API auch automatisiert. Wer das Aufräumen der Gastkonten zudem mithilfe von Access Reviews an die Anwender selbst delegiert, kann weitere wertvolle Zeit sparen.
Firewalls haben auch in Zeiten flexibler Workloads nicht ausgedient, müssen jedoch technologisch schritthalten.

Zero Trust über Workloads hinweg

Vor 2 Monaten von Redaktion IT-A…
Ein Zero-Trust-Ansatz ist am effektivsten, wenn er sich über alle Standorte und Umgebungen erstreckt, in denen Workloads auf verschiedene Anwendungen und Daten zurückgreifen. Aus diesem Grund unterstützt eine zeitgemäße Firewall-Plattform eine Zero-Trust-Architektur erheblich, indem sie die Netzwerksicherheit so nah wie möglich an die Workloads heranbringt. Wie dies gelingt und worauf es ankommt, erklärt Palo Alto Networks.
Chaotische Baustelle mit vielen Arbeitern und Maschinen als Metapher für unkoordinierte Toollandschaften. (Quelle: antoinepham2903 – 123RF)

Maßnahmen gegen Tool-Sprawl und Schatten-IT

Vor 4 Monaten von Redaktion IT-A…
In vielen IT-Abteilungen wächst mit jeder neuen Aufgabe auch die Zahl der Tools – bis irgendwann der Überblick verloren geht. Was zunächst als Hilfe gedacht war, wird dann zum Hindernis. Doppelte Arbeit, Sicherheitsrisiken und Missverständnisse sind die Folge. Der Artikel veranschaulicht, wie dieser Toolwildwuchs entsteht, warum er Teams ausbremst und wie ein gemeinsamer, vereinfachter Ansatz die Kontrolle zurückbringt.

Copyright © 2023, Heinemann Verlag