Protokol totožnosti - Ident protocol

Sada internetového protokolu
Aplikační vrstva
Transportní vrstva
Internetová vrstva
Propojit vrstvu

The Ident Protocol (Identifikační protokol, Ident), uvedeno v RFC 1413, je Internet protokol který pomáhá identifikovat uživatele konkrétního TCP spojení. Jeden populární program démona pro poskytování služby ident je identd.

Funkce

Protokol Ident je navržen tak, aby fungoval jako server démon, na uživatel počítač, kde přijímá požadavky na zadaný TCP port, obecně 113. V dotazu klient specifikuje dvojici TCP porty (místní a vzdálený port), kódováno jako ASCII desetinná místa a oddělená čárkou (,). Server poté odešle odpověď, která identifikuje uživatelské jméno uživatele, který spouští program, který používá zadanou dvojici portů TCP, nebo určuje chybu.

Předpokládejme, že hostitel A chce znát uživatelské jméno uživatele, který se připojuje ke svému portu TCP 23 (Telnet ) z klientova (hostitele B) portu 6191. Hostitel A by pak otevřel připojení ke službě ident na hostiteli B a vydal následující dotaz:

6191, 23

Protože připojení TCP obvykle používá jeden jedinečný místní port (v tomto případě 6191), může hostitel B jednoznačně identifikovat program, který zahájil zadané připojení k portu 23 hostitele A, pokud existuje. Hostitel B by poté vydal odpověď a identifikoval uživatele (v tomto příkladu „stjohns“), který vlastní program, který zahájil toto připojení, a jméno jeho místního operační systém:

6193, 23: USERID: UNIX: stjohns

Pokud by se však ukázalo, že na hostiteli B takové připojení neexistuje, místo toho by vydalo chybovou odpověď:

6195, 23: ERROR: NO-USER

Všechny identifikační zprávy by měly být odděleny znakem konec čáry sekvence skládající se ze znaků konce řádku a znaků posuvu řádku (CR + LF).[1]

Užitečnost ident

Hostitelé telefonického připojení nebo servery sdíleného prostředí často poskytují ident umožňující sledování zneužití ke konkrétním uživatelům. V případě, že je na tomto hostiteli řešeno zneužití, obavy z důvěryhodnosti démona identity jsou většinou irelevantní. Předstírání falešnosti služby a ochrany osobních údajů lze zabránit poskytováním různých variant kryptograficky silný tokeny místo skutečných uživatelských jmen.

Pokud mají zneužití řešit administrátoři služby, ke které se uživatelé připojují pomocí hostitele poskytujícího identitu, musí služba identit poskytovat informace identifikující každého uživatele. Správci vzdálené služby obvykle nemohou vědět, zda se konkrétní uživatelé připojují prostřednictvím důvěryhodného serveru nebo z počítače, který sami ovládají. V druhém případě služba ident neposkytuje žádné spolehlivé informace.

Užitečnost Identu pro prokázání známé identity vzdálenému hostiteli je omezena na okolnosti, kdy:

  • Uživatel, který se připojuje, není správcem zařízení. To je pravděpodobné pouze u poskytovatelů hostingu Unix shell přístup, sdílené servery používající a suEXEC - jako konstrukce a podobně.
  • Jeden důvěřuje správcům zařízení a zná jejich zásady pro uživatele. To je nejpravděpodobnější pro hostitele ve společné doméně zabezpečení, například v rámci jedné organizace.
  • Jeden věří, že stroj je stroj, za který se vydává, a ten stroj zná. Toto je snadno uspořádáno pouze pro hostitele v místní síti nebo virtuální síti, kde jsou všichni hostitelé v síti důvěryhodní a noví hostitelé nemohou být snadno přidáni kvůli fyzické ochraně. Ve vzdálených a normálních místních sítích lze odpovědi na falešné identy provést ip spoofingem a, pokud se používá DNS, všemi druhy triků DNS. Démon ident může poskytnout kryptograficky podepsané odpovědi, které, pokud je lze potvrdit, řeší tyto poslední, nikoli však první obavy.
  • Při připojování k identd, jako je firewall, NAT nebo proxy, neexistují žádné přechodné překážky (například pokud používáte ident s Apache httpd). Jedná se o běžné výskyty při přechodu mezi zabezpečenými doménami (jako u veřejných serverů HTTP nebo FTP).

Bezpečnostní

Protokol ident je považován za nebezpečný, protože umožňuje sušenky získat seznam uživatelská jména na počítačový systém které lze později použít k útokům. Obecně přijímaným řešením je nastavit obecný / generovaný identifikátor, který se vrátí uzel informace nebo dokonce hatmatilka (z pohledu žadatele) spíše než uživatelská jména. Toto blábolení může správce identit změnit na skutečná uživatelská jména, když je kontaktován ohledně možného zneužití, což znamená, že je zachována užitečnost pro sledování zneužití.

Použití

Ident je důležitý na IRC protože velký počet lidí se připojuje k IRC ze serveru sdíleného více uživateli, často pomocí a vyhazovač. Bez Identu by neexistoval způsob, jak zakázat jednoho uživatele bez zákazu celého hostitele. Správce serveru může také tyto informace použít k identifikaci zneužívajícího uživatele.

Ve většině sítí IRC, když se serveru nepodaří získat odpověď Ident, spadne zpět na uživatelské jméno dané klientem, ale označí jej jako „neověřeno“, obvykle předponou vlnovkou; např. ~ josh. Některé servery IRC dokonce blokují klienty bez odpovědi ident,[2] hlavním důvodem je to, že je mnohem obtížnější se připojit pomocí „otevřít proxy "nebo systém, kde jste prolomili jediný účet nějaké formy, ale nemáte vykořenit (v systémech podobných systému Unix může síťový připojení na portech pod 1024 naslouchat pouze root).

Ident však neposkytuje žádné další ověřování, když se uživatel připojuje přímo ze svého osobního počítače, ke kterému má dostatečná oprávnění k ovládání démona Ident.[1]

Software

Viz také

Reference

  1. ^ A b Johns, Michael (únor 1993). Identifikační protokol. IETF. doi:10.17487 / RFC1413. RFC 1413. Citováno 1. dubna 2013.
  2. ^ „News für IRCNet-Nutzer bei T-Online“. němečtí uživatelé IRCnet. Citováno 2011-12-26.

Další čtení