Протокол идентификации

Протокол Ident ( Identification Protocol , Ident ), указанный в RFC 1413, является интернет -протоколом , который помогает идентифицировать пользователя конкретного TCP- соединения. Одной из популярных демонических программ для предоставления службы ident является identd .

Функция

Протокол Ident предназначен для работы в качестве серверного демона на компьютере пользователя , где он получает запросы на указанный порт TCP , обычно 113. В запросе клиент указывает пару портов TCP (локальный и удаленный), закодированных как десятичные числа ASCII и разделенных запятой (,). Затем сервер отправляет ответ, который идентифицирует имя пользователя, который запускает программу, использующую указанную пару портов TCP, или указывает на ошибку.

Предположим, что хост A хочет узнать имя пользователя, который подключается к его TCP-порту 23 ( Telnet ) с порта 6191 клиента (хоста B). Затем хост A откроет соединение со службой идентификации на хосте B и выдаст следующий запрос:

6191, 23

Поскольку TCP-соединения обычно используют один уникальный локальный порт (в данном случае 6191), хост B может однозначно идентифицировать программу, которая инициировала указанное соединение с портом 23 хоста A, если таковая существует. Затем хост B выдаст ответ, идентифицирующий пользователя (в данном примере «stjohns»), которому принадлежит программа, инициировавшая это соединение, и имя его локальной операционной системы :

6193, 23 : ИД ПОЛЬЗОВАТЕЛЯ : UNIX : stjohns

Но если окажется, что на хосте B такого соединения не существует, вместо этого будет выдан ответ об ошибке:

6195, 23: ОШИБКА: НЕТ ПОЛЬЗОВАТЕЛЯ

Все идентификационные сообщения должны быть разделены последовательностью символов конца строки, состоящей из символов возврата каретки и перевода строки (CR+LF). ^[1]

Полезность идентификатора

Хосты Dialup или серверы общих оболочек часто предоставляют идентификатор, позволяющий отслеживать злоупотребления до конкретных пользователей. В случае, если злоупотребления обрабатываются на этом хосте, беспокойство о доверии демону идентификатора в основном не имеет значения. Подделки сервиса и проблем с конфиденциальностью можно избежать, предоставляя различные криптографически стойкие токены вместо реальных имен пользователей.

Если злоупотребление должно быть обработано администраторами сервиса, к которому пользователи подключаются с помощью хоста, предоставляющего идентификатор, то сервис идентификатора должен предоставить информацию, идентифицирующую каждого пользователя. Обычно администраторы удаленного сервиса не могут узнать, подключаются ли конкретные пользователи через надежный сервер или с компьютера, который они сами контролируют. В последнем случае сервис идентификатора не предоставляет надежной информации.

Полезность Ident для подтверждения подлинности личности удаленному хосту ограничивается обстоятельствами, когда:

Пользователь, подключающийся к машине, не является ее администратором. Это вероятно только для хостов, предоставляющих доступ к оболочке Unix , общих серверов, использующих конструкцию типа suEXEC и т.п.
Один доверяет администраторам машины и знает их политику пользователя. Это наиболее вероятно для хостов в общем домене безопасности, например, в пределах одной организации.
Человек доверяет тому, что машина является той машиной, за которую она себя выдает, и знает эту машину. Это легко организовать только для хостов в локальной сети или виртуальной сети, где все хосты в сети являются доверенными, и новые хосты не могут быть легко добавлены из-за физической защиты. В удаленных и обычных локальных сетях ложные ответы ident могут быть получены путем подмены IP и, если используется DNS, путем всех видов обмана DNS. Демон ident может предоставлять криптографически подписанные ответы, которые, если их можно подтвердить, решают эти последние, но не первые, проблемы.
Не существует никаких промежуточных препятствий для подключения к identd, таких как брандмауэр, NAT или прокси (например, если бы вы использовали ident с Apache httpd). Это обычные случаи при переходе между доменами безопасности (например, с публичными HTTP или FTP- серверами).

Безопасность

Протокол ident считается опасным, поскольку он позволяет взломщикам получить список имен пользователей в компьютерной системе , который впоследствии может быть использован для атак. Общепринятым решением этой проблемы является настройка общего/сгенерированного идентификатора, возвращающего информацию об узле или даже бессмыслицу (с точки зрения запрашивающей стороны) вместо имен пользователей. Эта бессмыслица может быть превращена в настоящие имена пользователей администратором ident, когда с ним или с ней связываются по поводу возможного злоупотребления, что означает, что полезность для отслеживания злоупотребления сохраняется.

Использует

Ident важен на IRC, поскольку большое количество людей подключается к IRC с сервера, совместно используемого несколькими пользователями, часто используя bouncer . Без Ident не было бы возможности забанить одного пользователя, не забанив весь хост. Администратор сервера также может использовать эту информацию для идентификации злоумышленника.

В большинстве сетей IRC, когда сервер не может получить ответ Ident, он возвращается к имени пользователя, указанному клиентом, но помечает его как «не проверено», обычно с помощью префикса в виде тильды; например, ~josh . Некоторые серверы IRC даже блокируют клиентов без ответа Ident ^[2] , основная причина в том, что это значительно затрудняет подключение через « открытый прокси » или систему, в которой вы скомпрометировали одну учетную запись какой-либо формы, но не имеете прав root (в системах типа Unix только root может прослушивать сетевые соединения на портах ниже 1024).

Однако Ident не обеспечивает дополнительной аутентификации, когда пользователь подключается напрямую со своего персонального компьютера, на котором у него также достаточно привилегий для управления демоном Ident. ^[1]

Смотрите также

oidentd (для Unix-подобных систем)
SMTP
ННТП
SSH
SOCKS- прокси

Ссылки

^ ab Johns, Michael (февраль 1993 г.). Протокол идентификации. IETF . doi : 10.17487/RFC1413 . RFC 1413 . Получено 1 апреля 2013 г. .
^ "Новости IRCNet-Nutzer в T-Online" . немецкие операторы IRCnet . Проверено 26 декабря 2011 г.

Дальнейшее чтение

RFC 912 – Служба аутентификации
RFC 931 – Сервер аутентификации
Дэниел Дж. Бернстайн : Проект TAP Internet, июнь 1992 г.
Дэниел Дж. Бернстайн : Почему TAP? Белая книга, 1992-08-20
RFC 1413 – Протокол идентификации
RFC 1414 – Идентификационная база данных MIB
Питер Эрикссон: TAPvsIDENT, 3 ноября 1993 г.
Дэмиен Долигез : Зачем шифровать ответы ident/TAP?, 1994-02-22