تانل چیست؛ مفهوم تانلینگ + مزایا و معایب

فرآیند تانلینگ چگونه انجام می‌شود؟

فرآیند «تانلینگ» در شبکه‌های کامپیوتری، به‌طور کلی شامل سه مرحله اصلی است که امکان انتقال اطلاعات از یک پروتکل به‌وسیله پروتکلی دیگر را فراهم می‌کند:

۱. «کپسوله‌سازی» (Encapsulation)

در این مرحله، «بسته‌ی اصلی داده از یک پروتکل (مانند پروتکل A) درون بسته‌ای از پروتکل دیگر (مثلاً پروتکل B) قرار می‌گیرد». این بسته‌ی اولیه به‌عنوان «Payload» یا محتوای بسته‌ی جدید در نظر گرفته می‌شود.

۲. «انتقال» (Transmission)

بسته‌ای که اکنون ساختار ظاهری پروتکل B را دارد، اما داده‌های مربوط به پروتکل A را حمل می‌کند، از طریق شبکه و مطابق با قوانین پروتکل B منتقل می‌شود. این روش باعث می‌شود ترافیک اطلاعات «در ظاهر قانونی و معمولی» به‌نظر برسد.

۳. «بازکپسوله‌سازی» (Decapsulation)

در مقصد، بخش بیرونی بسته (یعنی هدر پروتکل B) حذف شده و «بسته‌ی اصلی مربوط به پروتکل A» استخراج و پردازش می‌شود. این مرحله امکان بازگرداندن داده‌ها به قالب اصلی خود را فراهم می‌کند. تانلینگ از طریق این سه گام، امکان «عبور امن، مخفی یا سازگار» اطلاعات از مسیرهایی که به‌صورت عادی از پروتکل اصلی پشتیبانی نمی‌کنند را فراهم می‌سازد.

چرا مهاجمان از تانلینگ استفاده می‌کنند؟

در فضای امنیت سایبری، یکی از تکنیک‌های رایج برای دور زدن کنترل‌های امنیتی، استفاده از «تانلینگ» است. مهاجمان با استفاده از این روش، یک پروتکل شبکه را درون پروتکلی دیگر «کپسوله‌سازی» می‌کنند تا بتوانند «از فایروال‌ها عبور کرده، تشخیص داده نشوند و ارتباط دائمی با سیستم‌های قربانی حفظ کنند». در ادامه، دلایل اصلی استفاده مهاجمان از تانلینگ مرور می‌شود:

• دور زدن محدودیت‌های شبکه
  تانلینگ به مهاجمان این امکان را می‌دهد تا «پروتکل‌های ممنوعه را درون پروتکل‌های مجاز» مانند HTTP یا DNS پنهان کرده و از فیلترها عبور کنند.

• دسترسی به منابع محدود داخلی
  از طریق تانلینگ، مهاجمان می‌توانند به سرویس‌هایی که فقط از داخل شبکه قابل دسترسی هستند، «به‌صورت غیرمجاز» دست پیدا کنند.

• پنهان‌سازی رفتار مخرب
  مهاجمان با قرار دادن ارتباطات مخرب خود درون ترافیک مجاز، می‌توانند از «سیستم‌های تشخیص نفوذ (IDS/IPS)» عبور کنند.

• رمزنگاری و مبهم‌سازی محتوا
  تانلینگ امکان «رمزنگاری داده‌ها» را فراهم می‌کند و بررسی محتوای بسته‌ها توسط ابزارهای امنیتی را دشوار می‌سازد.

• سرقت داده‌ها بدون شناسایی
  اطلاعات حساس می‌توانند از طریق تونل‌ها از شبکه خارج شوند، بدون آنکه هشدار امنیتی‌ای فعال شود.

• برقراری ارتباط مداوم
  تانلینگ، کانالی پایدار برای ارتباط میان سرور مهاجم و سیستم آلوده فراهم می‌کند، حتی در صورت تغییر تنظیمات شبکه.

• پنهان‌سازی مبدأ
  با استفاده از تانلینگ، مهاجمان می‌توانند «آدرس IP واقعی خود را مخفی کرده» یا از میزبان‌های واسط برای پیچیده‌کردن مسیر ترافیک استفاده کنند.

• سوءاستفاده از پروتکل‌های مجاز
  برخی پروتکل‌ها مانند «HTTPS، DNS یا HTTP» به‌طور معمول توسط فایروال‌ها مسدود نمی‌شوند و مهاجمان از این ویژگی برای عبور از فیلترها بهره می‌گیرند.

روش‌های رایج تانلینگ مورد استفاده‌ی مهاجمان

مهاجمان سایبری از انواع مختلفی از تکنیک‌های تانلینگ برای پنهان‌سازی فعالیت‌های خود، دور زدن کنترل‌های امنیتی و حفظ ارتباط مداوم با سیستم‌های آلوده استفاده می‌کنند. در ادامه با متداول‌ترین روش‌های تانلینگ در امنیت سایبری آشنا می‌شویم:

۱. تانلینگ DNS

در این روش، داده‌ها درون بسته‌های «درخواست و پاسخ DNS» جاسازی می‌شوند. از آنجایی که ترافیک DNS برای عملکرد اینترنت حیاتی است»و معمولاً توسط فایروال‌ها کمتر بررسی می‌شود، مهاجمان از آن برای انتقال مخفیانه اطلاعات یا ارسال دستورهای کنترل استفاده می‌کنند. این تکنیک به آن‌ها امکان «سرقت اطلاعات» و «حفظ ارتباط با سیستم‌های آلوده» را می‌دهد.

۲. تانلینگ HTTP/HTTPS

در این تکنیک، «ترافیک مخرب درون درخواست‌ها و پاسخ‌های HTTP یا HTTPS قرار می‌گیرد». به دلیل اینکه ترافیک وب در اکثر شبکه‌ها مجاز است، مهاجمان از آن برای عبور از فایروال‌ها استفاده می‌کنند. استفاده از HTTPS باعث رمزنگاری بسته‌ها می‌شود و در نتیجه ابزارهای امنیتی نمی‌توانند محتوای داخلی آن را تحلیل کنند. این روش باعث می‌شود فعالیت مخرب در میان ترافیک عادی پنهان باقی بماند.

۳. تانلینگ با SSH 

در این نوع تونل، مهاجمان از «پروتکل SSH برای انتقال رمزنگاری‌شده‌ی داده‌ها و دستورها» استفاده می‌کنند. تونل‌های SSH نه‌تنها محتوا را رمزنگاری می‌کنند، بلکه امکان ارتباط ایمن و دائمی بین مهاجم و سیستم آلوده را نیز فراهم می‌سازند. از آن‌جایی که پروتکل SSH به‌طور قانونی برای مدیریت سرورها استفاده می‌شود، اغلب این تونل‌ها «بدون جلب توجه» عمل می‌کنند.

۴. تانلینگ ICMP 

در این روش، داده‌ها درون بسته‌های «پینگ» یا سایر بسته‌های پروتکل ICMP قرار داده می‌شوند. چون ترافیک ICMP برای تست و عیب‌یابی شبکه به‌کار می‌رود، معمولاً در فایروال‌ها باز است و کمتر مورد توجه قرار می‌گیرد. مهاجمان از این فرصت برای انتقال مخفیانه اطلاعات استفاده می‌کنند.

۵. تونل‌های VPN و رمزنگاری‌شده

برخی مهاجمان با راه‌اندازی «تونل‌های VPN یا کانال‌های رمزنگاری‌شده‌ی اختصاصی»، ترافیک خود را از نگاه ابزارهای نظارتی پنهان می‌کنند. این تونل‌ها، با استفاده از استانداردهای رایج یا الگوریتم‌های رمزنگاری خاص، امکان انتقال امن اطلاعات، بدافزار یا دستورهای کنترلی را فراهم می‌سازند. از آن‌جایی که همه چیز رمزنگاری شده است، تحلیل ترافیک برای شناسایی فعالیت‌های مخرب بسیار دشوار خواهد بود.

این تکنیک‌ها به مهاجمان کمک می‌کنند تا در پس ترافیک عادی شبکه، بدون جلب توجه به فعالیت‌های خود ادامه دهند و در عین حال ارتباطی پایدار با زیرساخت‌های آلوده حفظ کنند. شناخت این روش‌ها، گام نخست در جلوگیری از نفوذهای پنهانی است.

مزایای تانلینگ چیست؟

سازگاری با پروتکل‌های مختلف

تانلینگ اجازه می‌دهد شبکه‌هایی که از پروتکل‌های متفاوت استفاده می‌کنند، بتوانند با هم ارتباط برقرار کنند. این روش مخصوصاً زمانی کاربرد دارد که یک پروتکل خاص توسط شبکه مقصد پشتیبانی نمی‌شود، اما همچنان نیاز به انتقال داده وجود دارد.

امنیت در ارتباط

با استفاده از تانلینگ، می‌توان داده‌ها را رمزنگاری کرد و از طریق شبکه‌های ناامن، مانند اینترنت، به‌صورت خصوصی و ایمن منتقل نمود. این ویژگی باعث می‌شود اطلاعات حساس از حملات احتمالی در مسیر محافظت شوند.

انعطاف‌پذیری در مسیردهی

تانلینگ این امکان را می‌دهد که ترافیک شبکه از مسیرهایی عبور کند که به‌طور معمول از پروتکل اصلی پشتیبانی نمی‌کنند. به این ترتیب، می‌توان محدودیت‌های مسیریابی یا فایروال‌ها را دور زد و مسیرهای ارتباطی سفارشی‌سازی‌شده‌ای ایجاد کرد.

معایب تانل چیست؟

افزایش سربار ارتباطی

برای انتقال داده از طریق تونل، اطلاعات ابتدا بسته‌بندی (کپسوله) می‌شوند و در مقصد باز می‌شوند. این فرآیند به پهنای باند بیشتر و پردازش اضافی نیاز دارد و ممکن است باعث کندی ارتباط در برخی سناریوها شود.

پیچیدگی در مدیریت

در شبکه‌های بزرگ، مدیریت تونل‌ها می‌تواند دشوار باشد. هماهنگی بین نقاط انتهایی تونل، پیکربندی امنیت، و نگهداری اتصال پایدار، به تخصص فنی نیاز دارد و ممکن است در بلندمدت بار مدیریتی ایجاد کند.

جایگزین‌های تانل چیست؟

پراکسی سرورها

پراکسی‌ها به‌عنوان واسطه بین کاربران و سرورها عمل می‌کنند. پراکسی مستقیم (Forward Proxy) به کاربران کمک می‌کند ناشناس بمانند یا به محتوای محدود دسترسی پیدا کنند. پراکسی معکوس (Reverse Proxy) ترافیک را به سرورهای داخلی هدایت می‌کند و در افزایش امنیت و تعادل بار مؤثر است.

VPN بدون تانلینگ

برخی از پروتکل‌های VPN مانند OpenVPN ممکن است از تانلینگ استفاده نکنند و مستقیماً اتصال رمزنگاری‌شده بین دو نقطه ایجاد کنند. در این روش، امنیت ارتباط حفظ می‌شود ولی سربار تانلینگ کاهش می‌یابد، به‌خصوص در ارتباطات پایدار یا محیط‌های خاص.

مسیردهی مستقیم

اگر دو دستگاه از یک پروتکل مشابه پشتیبانی کنند، می‌توانند به‌صورت مستقیم و بدون نیاز به تانلینگ با هم ارتباط برقرار کنند. این روش ساده‌تر، سریع‌تر و مناسب برای شبکه‌هایی است که ساختار مشابه دارند یا در یک محیط داخلی قرار گرفته‌اند.

IPsec در حالت Transport

در این حالت، فقط داده‌های داخل بسته رمزنگاری می‌شوند، نه کل بسته. بنابراین، IP Header تغییر نمی‌کند. این روش برای ارتباط امن بین دو میزبان مناسب است و نسبت به حالت تونل سبک‌تر و سریع‌تر عمل می‌کند.

MPLS (سوئیچینگ بر اساس برچسب)

MPLS بسته‌ها را براساس برچسب‌هایی که به آن‌ها اختصاص داده می‌شود، هدایت می‌کند و از آدرس IP برای مسیردهی استفاده نمی‌کند. این روش بیشتر در شبکه‌های مخابراتی بزرگ استفاده می‌شود و جایگزینی مناسب برای تانلینگ در ترافیک سازمانی است.

GRE یا Generic Routing Encapsulation

GRE یک پروتکل سبک برای تانلینگ است که می‌تواند انواع مختلفی از داده‌ها را کپسوله کند. این روش در سناریوهایی کاربرد دارد که سازگاری مهم‌تر از امنیت پیشرفته است. GRE ساده‌تر از روش‌های رمزنگاری‌شده مانند IPsec است، اما امنیت کمتری دارد.

جمع‌بندی