Was ist Reverse Tunneling?

2025-05-12Zuletzt aktualisiert

Reverse Tunneling ist eine Methode zur sicheren Kommunikationn zwischen Clients und Servern, die sich hinter einer Firewall befinden. Diese Technik erhöht die Sicherheit und vereinfacht das Firewall-Management. Wenn ein Reverse Tunnel verwendet wird, initiiert der Server eine Verbindung mit dem Client. Diese Tunnelverbindung wird durch eine zuvor geteilte Schlüsseldatei gesichert, die ein Identitätszertifikat enthält. Der Reverse Tunnel ermöglicht bidirektionale Kommunikation ohne Öffnung von eingehenden Firewall-Ports.

Kontext

In Security Center SaaS wird Reverse Tunneling typischerweise verwendet, um ein oder mehrere Remote-Security Center-Systeme mit dem Federation™-Host in der Cloud zu verbinden. Die Verwendung eines Reverse Tunnels vereinfacht die Firewall-Verwaltung und -Konfiguration von Security Center Federation. Standardmäßig verwendet der Tunnel ausgehendes TCP 5500, um den Remote-Standort mit dem Federation-Host zu verbinden.

BEMERKUNG:
Bei Bedarf können Sie Security Center SaaS mit einem externen Federation-Host verbinden, z. B. einem lokalen System oder einer Security Center SaaS Edition (Classic). Dieses Setup verwendet kein Reverse Tunneling. Kontaktieren Sie das Genetec™ Technical Assistance Center (GTAC), um weitere Informationen zu erhalten oder mit dieser Konfiguration fortzufahren.

Das folgende Diagramm zeigt den Kommunikationsfluss einer regulären Federation (blau dargestellt) und einer Federation über Reverse Tunnel (lila dargestellt).

In einer regulären Federation ist der Federation-Host der Client, der eine Verbindung mit dem gebündelten Standort herstellt, der als Server fungiert. Dieser Ablauf wird in einer Federation über einen Reverse Tunnel umgekehrt.

Ein Architekturdiagramm eines Federation™-Hosts und eines gebündelten Standorts, das zeigt, wie sie sich über Reverse Tunneling verbinden.
Um Reverse Tunneling zu verwenden, müssen Sie eine Reverse Tunnel Server-Rolle auf dem Federation-Host und eine Reverse Tunnel-Rolle am Remote-Standort erstellen. Reverse Tunneling funktioniert wie folgt:
  1. Die Reverse-Tunnel-Server-Rolle generiert eine Keyfile, die ein Identitätszertifikat, Netzwerkverbindungsinformationen und ein Token zur einmaligen Verwendung enthält.
  2. Die Reverse-Tunnel-Rolle akzeptiert die Keyfile, um den Reverse Tunnel zu öffnen.
  3. Die Security Center Federation™-Rolle stellt über den Reverse Tunnel eine Verbindung mit dem gebündelten Standort her.

Einschränkungen und Anforderungen

Reverse Tunneling unterstützt nur das Transmission Control Protocol (TCP)
Das Netzwerksegment, das für das Tunneling zwischen dem Remote-Standortund dem Federation™-Host verwendet wird, muss Unicast TCP unterstützen. Nachdem das Video die Cloud erreicht hat, kann das beste verfügbare Transportprotokoll verwendet werden.
Videostreams müssen vor und nach dem Tunnel einen Redirector durchlaufen.
Der Tunneling-Mechanismus wird nur auf der Ebene der Video-Redirectoren implementiert und ist für die Client-Anwendung transparent.