Hostitelský model - Host model

v počítačové sítě, a hostitelský model je možnost navrhování TCP / IP hromada sítě operační systém jako Microsoft Windows nebo Linux. Když unicast balíček dorazí do a hostitel, IP musí určit, zda je paket lokálně určen (jeho cíl odpovídá adrese, která je přiřazena rozhraní hostitele). Pokud IP stack je implementován se slabým hostitelským modelem, přijímá jakýkoli lokálně určený paket bez ohledu na síťové rozhraní, na kterém byl paket přijat. Pokud je zásobník IP implementován se silným hostitelským modelem, přijímá lokálně určené pakety pouze v případě, že cílová adresa IP v paketu odpovídá adrese IP přiřazené síťovému rozhraní, na kterém byl paket přijat.

Slabý model hostitele poskytuje lepší síťové připojení (například pomocí běžných nástrojů lze snadno najít jakýkoli paket přicházející na hostitele), ale také umožňuje hostitelům více domů - síťové útoky. Například v některých konfiguracích, když je systém se slabým hostitelským modelem připojen k síti VPN, mohou jiné systémy ve stejné podsíti ohrozit zabezpečení připojení VPN. Systémy se silným hostitelským modelem nejsou vůči tomuto typu útoku náchylné.^[1]

The IPv4 implementace v Microsoft Windows verze před Windows Vista používá model slabého hostitele. The Windows Vista a Windows Server 2008 TCP / IP stack podporuje silný hostitelský model pro IPv4 i IPv6 a je nakonfigurován pro použití ve výchozím nastavení. Lze jej však také nakonfigurovat tak, aby používal slabý model hostitele.^[2]

The IPv4 implementace v Linux výchozí model slabého hostitele. Ověření zdroje obrácenou cestou, jak je uvedeno v RFC 1812 lze povolit (možnost rp_filter) a některé distribuce tak činí ve výchozím nastavení. To není úplně stejné jako silný model hostitele, ale brání se proti stejné třídě útoků pro typické hostitele s více domovy. Arp_ignore a arp_announce lze také použít k vylepšení tohoto chování.

Moderní BSD (FreeBSD, NetBSD, OpenBSD, a DragonflyBSD ) všechny výchozí pro slabý model hostitele. OpenBSD od verze 6.6 podporuje ve výchozím nastavení silný model hostitele „pokud je zakázáno pouze přesměrování IP“,^[3] se zapnutým přesměrováním IP (a pro starší verze) podporuje ověření zdroje obrácené cesty prostřednictvím jeho pf firewall, využívající možnost urpf-failed, zatímco Free-, Net- a DragonflyBSD poskytují globální sysctl možnosti.

Viz také

uRPF

Reference

^ Tolley, William J. (04.12.2019). „[CVE-2019-14899] Odvození a únos připojení VPN tunelového propojení TCP“. Open Source Security Mailing List. Citováno 2020-02-20.
^ Davies, Joseph (07.09.2016). „Kabelový chlap silné a slabé hostitelské modely“. Microsoft Technet. Citováno 2020-02-20.
^ Nedvedický, Alexandr (08.12.2019). "pozor prosím: chování IP zásobníku hostitele se mírně změnilo". openbsd-tech mailing list. Citováno 2020-02-20.

externí odkazy

RFC 1122 - Požadavky na hostitele internetu - komunikační vrstvy
„vlan (4), native vlan / vlan1, OpenBSD v.s. NetBSD behavior“. 2005-12-14.

Tento síť -příbuzný software článek je a pahýl. Wikipedii můžete pomoci pomocí rozšiřovat to.

[1] Tolley, William J. (04.12.2019). „[CVE-2019-14899] Odvození a únos připojení VPN tunelového propojení TCP“. Open Source Security Mailing List. Citováno 2020-02-20.

[2] Davies, Joseph (07.09.2016). „Kabelový chlap silné a slabé hostitelské modely“. Microsoft Technet. Citováno 2020-02-20.

[3] Nedvedický, Alexandr (08.12.2019). "pozor prosím: chování IP zásobníku hostitele se mírně změnilo". openbsd-tech mailing list. Citováno 2020-02-20.

[1]

[2]

[3]