Die Oktane war sehr erfolgreich! Die Oktane war sehr erfolgreich! Sehen Sie sich unsere On-Demand-Sessions an. →
+49 (892) 620-3329 Suche

Generischer Routing Encapsulation (GRE) Tunnel definiert

Aktualisiert: 29. August 2024 Lesezeit: ~

Topics

General Web, IT Management

Inhalt

 

Dieser Artikel wurde maschinell übersetzt.

 

Was ist ein GRE-Tunnel? Beginnen wir mit einer technischen Definition. Generic Routing Encapsulation (oder GRE) ist ein Kommunikationsprotokoll. Sie können die IT-Abteilung verwenden, um Daten direkt über Netzwerkknoten und nicht über das öffentliche Netzwerk freizugeben. Diese Kommunikation erfolgt über einen GRE-Tunnel.

Sie verwenden möglicherweise einen GRE-Tunnel, um mit einem Gerät (z. B. einem Router) zu kommunizieren, das nicht mit Ihrem Computer kompatibel ist. Oder Sie verwenden einen GRE-Tunnel, um sicherzustellen, dass eine Nachricht trotz einer möglicherweise bestehenden Protokoll-Sicherheitsabfrage beim Empfänger ankommt, auch wenn Sie sich nicht sicher sind. 

Hacker können GRE-Tunnel aber auch für ausgeklügelte Angriffe nutzen, die kritische Systeme tagelang lahmlegen. Wenn Sie sich für die Verwendung oder Akzeptanz von Tunneln entscheiden, sollten Sie die Risiken kennen.

GRE erklärt 

Um aufzuschlüsseln, was ein GRE-Tunnel ist und wie die IT funktioniert, müssen wir einige kritische Begriffe definieren. 

Jedes GRE-Protokoll umfasst:

  • Knoten: Ein Gerät, das Informationen empfangen oder senden kann (wie Computer, Router, Drucker und Switches), ist ein Knoten. 
  • Pakete: Von einem Gerät an ein anderes gesendete Informationen werden in Pakete aufgeteilt. 
  • Überschrift: Jedes Paket enthält eine Überschrift mit Informationen über den Absender, den Empfänger und die Reihenfolge der Nachricht. 
  • Payload: Der Payload beinhaltet wichtige Inhalte der Nachricht. 

Während GRE wird ein Datenpaket im Wesentlichen in ein neues Paket verpackt. Die Nutzlast ändert sich nie, aber der Prozess fügt zwei Überschriften hinzu.

  • Identifikation: Diese Überschrift weist den Empfänger darauf hin, dass es sich um ein GRE-Paket handelt. 
  • Hinweise: Die zweite Überschrift enthält Angaben zu Quelle und Empfänger.

Wenn die Kapselung abgeschlossen ist, kann mit dem GRE-Tunneling begonnen werden. Stellen Sie sich dies als eine Form der direkten, geschützten Kommunikation zwischen zwei Knoten vor. Selbst wenn das Paket an anderen Knoten vorbeirauschen muss, wird es auf dem Weg nie überprüft oder aufgehalten. Die IT bewegt sich schnell zum Ziel. 

GRE-Tunnel-Setup erklärt 

In den meisten Fällen richten Sie einen GRE-Tunnel ein, indem Sie auf Ihr Router-Setup zugreifen. Sie benötigen jedoch zwei Informationen, um loszulegen. 

GRE-Tunnel basieren auf:

  • Ihre IP-Adresse. Das ist nicht dasselbe wie eine menschenfreundliche webbasierte Adresse (wie www.okta.com). Eine IP-Adresse setzt sich aus Zahlen und Dezimalstellen zusammen. 
  • Die IP-Adresse Ihres Empfängers. Sie benötigen dieselben Daten für den Knoten, mit dem Sie eine Verbindung herstellen möchten. 

Der GRE-Standard wurde bereits im Jahr 2000 von der Netzwerkarbeitsgruppe ins Leben gerufen. Entwickler können sich dieses sehr technische Dokument ansehen und verstehen, wie man eine neue Überschrift einrichtet und Nachrichten so konfiguriert, dass sie ohne Unterbrechung weitergeleitet werden. 

GRE-Protokolle bei der Arbeit: ein Beispiel 

Viele von uns beschäftigen sich mit inkompatiblen Geräten. Wenn Google Nest Benutzer beispielsweise mit schwachen Akkus oder Stromproblemen zu kämpfen hat, kann es sich um ein Inkompatibilitätsproblem handeln. In der Regel bedeutet die Lösung dieses Problems den Kauf neuer Geräte. Aber was wäre, wenn es einen anderen Weg gäbe?

Wenn Sie die IP-Adresse Ihres Zielservers kennen, können Sie Ihren Router neu konfigurieren und Ihre Nachrichten weiterleiten, auch wenn Sie nie etwas Neues kaufen, um den Vorgang zu vereinfachen. 

Im Wesentlichen werden Sie Ihr inkompatibles Gerät dazu bringen, zu glauben, dass es gut miteinander auskommt und wie alte Freunde kommuniziert. Sie verpacken Ihre Nachrichten mit dem richtigen Code und es kommt zu keinen Verzögerungen. 

Lassen Sie uns ein vereinfachtes Beispiel geben, um zu beschreiben, wie dies funktioniert. Sie haben ein Paket an die Rückseite Ihres Fahrrads gebunden, das Sie zur Post auf der anderen Seite des Flusses bringen müssen. Leider gibt es keine Brücke, und Ihr Fahrrad kann nicht über das Wasser fahren. Sie können Ihr Fahrrad aber auch auf eine Fähre setzen. Das bedeutet nicht, dass du dein Paket oder dein Fahrrad wechseln musst. Sie verpacken Ihr Paket einfach in ein anderes System für die Reise.

GRE-Protokolle in der Computertechnik funktionieren auf ähnliche Weise (natürlich mit viel mehr Codierung). 

GRE und andere Netzwerksysteme 

Paketregeln gibt es in Hülle und Fülle. Manchmal bedeutet die Implementierung eines GRE-Tunnels, dass einige dieser Protokolle in Konflikt geraten. 

Zum Beispiel wird eine Maximum Transmission Unit (MTU) auf Geräteebene festgelegt, und die IT gibt vor, wie groß ein Paket sein darf. Eine maximale Segmentgröße (MSS) misst die Größe der Nutzlast. 

Durchlaufen Sie den GRE-Kapselungsprozess, und Sie werden die Größe Ihrer Nutzlast nicht ändern. Sie werden jedoch zwei Überschriften hinzufügen, und das könnte bedeuten, dass Sie gegen die MTU-Regeln verstoßen. Ihre sauberen, neu verpackten Pakete könnten auseinandergesprengt werden, bevor sie zugestellt werden. 

GRE-Encapsulation-Angriffe: Definition und Abwehr 

Das GRE-Protokoll ermöglicht es einem Gerät, mit einem anderen zu kommunizieren und dabei offene Filtersysteme zu umgehen. Hacker lieben solche Setups. Mit ein wenig Herumprobieren können sie einen Distributed-Denial-of-Service-Angriff (DDoS-Angriff) einrichten, der Ihre Server zum Absturz bringt und Sie offline nimmt. 

Im Jahr 2016 nutzten Hacker beispielsweise GRE , um die Website für die Olympischen Spiele in Rio anzugreifen. Sie hofften, den Server zum Absturz zu bringen und die Leute daran zu hindern, die Spiele auf ihrem Gerät anzusehen. Brasilien und das Internationale Olympische Komitee (IOC) waren in der Lage, die Systeme am Laufen zu halten, obwohl der Datenverkehr von Hackern auf dem Höhepunkt des Angriffs 540 GB pro Sekunde erreichte. 

Für GRE-Tunnel sind keine Maskierungstechniken verfügbar. Hacker müssen ihre ursprünglichen IP-Adressen offenlegen. Jeder Sicherheitstechniker würde, wenn er feststellt, dass so viel Datenverkehr von einer Quelle kommt, diese Adresse einfach blockieren und keine weiteren Daten mehr senden. 

Hacker umgehen dieses Problem, indem sie Botnet einsetzen. Hunderttausende von infizierten Geräten, die in der Regel über einen im Internet getätigten Kauf verbunden sind, richten ihre Pakete auf ein Ziel. Ein Angriff wie dieser ist massiv und es ist sehr schwierig, ihn zu stoppen. 

Ihre Verteidigungsansätze für einen DDoS-Angriff, der auf GRE zurückzuführen ist, sind die gleichen, die Sie für jeden anderen Botnet-Angriff verwenden würden. Im Wesentlichen besteht Ihre Aufgabe darin, entweder Ihre Kapazität zu erhöhen, um den zusätzlichen Datenverkehr zu bewältigen, oder Ihren Zugriff zu reduzieren, um die Pakete zu reduzieren, die in Ihre Richtung kommen können.

Wir haben ein Playbook für Entwickler geschrieben, das mit Ideen gefüllt ist, wie man DDoS-Angriffe bekämpfen kann. Wenn Sie Hilfe suchen, beginnen Sie hier.

Referenzen

Generische Routing-Kapselung. (März 2000). Network Working Gruppe. 

WLAN-Router, die nicht mit Nest-Produkten kompatibel sind. Google Nest-Hilfe. 

Wie ein massiver DDoS-Angriff mit 540 Gb/s die Olympischen Spiele in Rio nicht verderben konnte. (September 2016). Der Zustand der Sicherheit.

Setzen Sie Ihre Identity Journey fort

Testen Sie Okta jetzt kostenlos – oder vereinbaren Sie einen Termin mit unserem Team, um über Ihre konkreten Anforderungen zu sprechen.

Erste Schritte
Kontakt