UDP hole punching

Das ist der Eintrag dazu aus unserem IT-Kommunikationslexikon:

UDP-Lochschlagen

Unter UDP hole punching versteht man ein Verfahren mit dem P2P-Programme trotz Firewall eine Kommunikation aufbauen können. Normalerweise können zwei Rechner, die sich beide hinter einer Firewall befinden, keine direkte Kommunikation aufbauen. Rechner hinter einer Firewall sind durch die Network Address Translation aus dem Internet nicht direkt adressierbar. Selbst wenn man die übersetzte IP-Adresse eines solchen Rechners herausbekommt und versucht, über diese zu kommunizieren wird der Firewall der Gegenseite die Kommunikation aber jeweils unterbinden, weil sie nicht vom seinem Netz aus aufgebaut wurde (Stateful Packet Inspection).

Beim UDP hole punching wird mit Hilfe eines externen Vermittlungsservers trotzdem eine Kommunikation ermöglicht. Clients, die kommunikationsbereit sind, melden sich bei diesem externen Server an. Dadurch ist dem Firewall bekannt, dass er auch Pakete von diesem externen Server als Antwort durchlassen muss. Die Kommunikation der beiden Clients untereinander läuft dann jeweils über den Server, der die Pakete mit seiner Adresse als Absender weiterleitet.

Prinzipiell funktioniert dies auch mit TCP. Die Verbindungen durch den Firewall können sogar per SSL verschlüsselt werden, wenn der Vermittlungsserver als "Man in the Middle" SSL-Verbindungen mit den Clients hält. Das Verfahren wird aber trotzdem als UDP hole punching bezeichnet, weil es sich mit UDP besonders einfach umsetzen lässt, da beim verbindungslosen UDP ein Firewall nur die Quell- und Zieladresse zur Statusüberwachung heranziehen kann. Der Vermittlungsserver muss sich dadurch nicht kompliziert Verbindungsstati merken, wie dies bei TCP der Fall ist.

UDP hole punching wird zum Beipiel vom VoIP-Dienst Skype und von verschiedenen VPN-Diensten eingesetzt. Hacker können damit aber auch Rechner, die sie per Trojaner übernommen haben, trotz Firewall fernsteuern, weil die übernommenen Rechner von innen "ein Loch in die Brandmauer schlagen".

UDP hole punching hat es als STUN-Protokoll mit dem RFC 3489 sogar zu einem Quasistandard gebracht.

Aktuelle Beiträge

Datensouveränität lässt sich oft schon durch ein gezieltes Auslagern selektiver Daten mihilfe eines Hybrid-Cloud-Modells erreichen. (Quelle: asagraphia – 123RF)

Sovereign Cloud oder hybrides Modell?

Vor 1 Tag von Redaktion IT-A…
Die Vorteile einer Sovereign Cloud klingen verlockend. Denn mit einem Plus an Datensouveränität haben Unternehmen auch ein Mehr an Kontrolle. Allerdings darf das nicht darüber hinwegtäuschen, dass die Rechnung anderswo beglichen wird, nämlich bei der Flexibilität, Leistung und Effizienz. Organisationen, die für bestimmte Anwendungsfälle und Anforderungen dennoch eine höhere Souveränität benötigen, sollten sich für ein hybrides Cloudmodell entscheiden.
O2 Telefónica nutzt für sein 5G-Kernnetz nun eine Cloud als Grundlage, um flexibler auf Anforderungen zu reagieren. (Quelle: inkdrop - 123RF)

5G-Netz in der Cloud

Vor 1 Tag von Daniel Richey
Der Telekommunikationsanbieter O2 Telefónica nimmt den 5G Cloud Core in Betrieb, ein neues 5G-Kernnetz für die mobile Datennutzung, das vollständig in der Cloud realisiert wird. Das Unternehmen nutzt hierfür Technologien des europäischen Netzausrüsters Nokia sowie Amazon Web Services.

Copyright © 2023, Heinemann Verlag