Host Identiteit

Share

|

Host identiteit is nauw gebonden aan netwerken. Een host niet aangesloten op een netwerk kan een eigen naam hebben, omdat de naam wordt alleen lokaal gebruikt. Een host aangesloten op een netwerk kan vele namen of een naam, afhankelijk van hoe de interface op het netwerk is opgebouwd en de context waarin de naam wordt gebruikt.

De ISO / OSI-model geeft een kader voor de kwestie van naamgeving. Bedenk dat het ISO / OSI-model bestaat uit een reeks van lagen. Elke host, conceptueel, heeft een van de belangrijkste bij elke laag die communiceert met een peer op andere hosts. Deze opdrachtgevers communiceren met opdrachtgevers in dezelfde laag op andere hosts. Elke opdrachtgever op een individuele host kan verschillende namen hebben (ook wel "adressen") op elke laag. Alle namen identificeren dezelfde host, maar elk een verwijst naar een bepaalde context waarin de host functies.

Voorbeeld: Een computer heeft een Ethernet (media access control laag of MAC) adres van 00:05:02:6 B: A8: 21, een IP-adres 192.168.35.89, en een host-naam van cherry.orchard.net. Op de datalink niveau, is het systeem bekend door zijn Ethernet-adres. Op het netwerk, is bekend door zijn IP-adres. Op het applicatie-niveau, is het bekend onder de hostnaam. Het systeem is ook op een AppleTalk-netwerk, met een AppleTalk-adres van de netwerk-51, knooppunt 235. Andere systemen op het AppleTalk-netwerk te identificeren de host met die naam.

Shoch suggereert dat een "naam" wordt een opdrachtgever en een "adres" wordt aangegeven waar die opdrachtgever is gevestigd. In het kader van gastheer identificatie, de "adres" geeft aan waar op een netwerk (en soms ook het specifieke netwerk) de host is gevestigd. Een "naam" geeft aan in welk domein de gastheer woont, en komt overeen met een bepaald adres. Hoewel de terminologie Shoch is leerzaam in vele contexten, in deze context een locatie wordt een opdrachtgever net zo goed als een naam. Wij maken geen onderscheid tussen de twee in het kader van de identificatie.

Als een aanvaller in staat is om de identiteit van een andere host spoof, alle protocollen die afhankelijk zijn van dat de identiteit van zijn beroep op een onjuiste premisse en zijn daarom wordt vervalst. Als een host een opeenvolging van namen, die elk een beroep op de vorige naam, toen een aanvaller spoofing de eerste identiteit kan compromis alle andere identiteiten. Bijvoorbeeld, de host identiteit op basis van het IP-identiteit. Ook wordt het IP-identiteit op basis van de Ethernet-identiteit. Als een aanvaller items kan veranderen in databases met het in kaart brengen van een lager niveau identiteit naar een hoger niveau identiteit, kan de aanvaller een spoof van ontvangst door het verkeer routeren naar de andere.

Statische en dynamische Identifiers

Een identificatienummer kan zowel statisch of dynamisch. Een statische id verandert niet in de tijd; een dynamische identifier veranderingen hetzij als gevolg van een gebeurtenis (zoals een aansluiting op een netwerk) of in de tijd.

Databases bevatten mappings tussen de verschillende namen. De bekendste daarvan is de Domain Name Service (DNS), dat de vennoten hostnamen en IP-adressen. Bij gebreke van cryptografische authenticatie van gastheren, is de consistentie van de DNS gebruikt om zwakke authenticatie.

VOORBEELD: De DNS bevat toekomstgerichte gegevens, die host-namen in IP-adressen, kaarten en reverse records, die IP-adressen naar namen kaart. Een reverse lookup domein doet zich voor wanneer een proces-extracten het IP-adres van de externe peer, bepaalt de bijbehorende hostnaam (misschien met behulp van de DNS), en vervolgens krijgt de set van IP-adressen die bij die host-naam (weer, eventueel met behulp van de DNS) . Als het IP adres verkregen uit de peer overeenkomt met een van de IP-adressen die bij die host-naam, dan is de host-naam wordt aanvaard als een verkregen in de eerste lookup. Anders is de host-naam wordt afgewezen als niet-vertrouwde.

Het geloof in de betrouwbaarheid van de host-naam in dit geval gebaseerd op de integriteit van de DNS-database

Drijvende identificatiemiddelen worden toegewezen aan opdrachtgevers voor een beperkte tijd. Typisch, een server onderhoudt een pool van identificatiemiddelen. Een cliënt contact met de server met behulp van een identificatiecode overeengekomen tussen de twee (de lokale identifier). De server stuurt een identificatienummer dat de klant kan gebruiken in andere contexten (de globale identifier) en meldt alle intermediaire gastheer (zoals gateways) van de associatie tussen de lokale en globale kenmerken.

VOORBEELD: De vruchteloos Universiteit biedt een netwerk waarop studenten kunnen hook up laptops. In plaats van elke student laptop een IP-adres toewijzen, heeft de universiteit creëerde een DHCP-server voor dit netwerk. Wanneer een student haar laptop verbinding maakt met het netwerk, de laptop verzendt haar MAC (Media Access Control) adres naar de server. De server reageert met een ongebruikt IP-adres behorende tot het netwerk. De laptop erkent dat IP-adres en gebruikt het om te communiceren op het internet.

Een gateway kan vertalen tussen een lokaal adres en een wereldwijd adres.

VOORBEELD: De Zerbche bedrijf heeft 500 computers in een lokaal netwerk, maar slechts 256 internet-adressen. Het interne netwerk kent als (vaste) lokale adressen de IP-adressen 10.1.xy, waarbij x en y weerspiegelen interne configuratie gegevens niet relevant. Een gateway verbindt het interne netwerk met het internet. Wanneer een gebruiker op (zeg) host 10.1.3.241 wil tot het internet, het stuurt haar pakketten toegang tot de gateway. De gateway kent een legitieme IP-adres van de interne, lokale adres; zeggen dat IP-adres is 101.43.21.241. De gateway herschrijft vervolgens de bron-adres van elk pakket, veranderende 10.1.3.241 naar 101.43.21.241 en zet de pakketjes op het internet. Wanneer de gateway ontvangt pakketjes bestemd voor host 101.43.21.241, controleert het haar interne tafel, herschrijft deze adressen als 10.1.3.241, en stuurt hen aan het interne netwerk, en de pakketten naar hun bestemming. Deze vertaling wordt onzichtbaar voor beide uiteinden van de communicatie, en maakt tot enkele aantal hosts op het interne netwerk om te communiceren met hosts op het internet. De Network Address protocol (NAT) wordt gebruikt op het internet voor het uitvoeren van deze functie.

Bij afwezigheid van cryptografie, authenticatie met behulp van dynamische naamgeving verschilt van authenticatie met behulp van statische naamgeving. Het voornaamste probleem is dat de associatie van de identiteit met een opdrachtgever varieert in de tijd, dus elke authenticatie op basis van de naam moet ook rekening voor de tijd. Bijvoorbeeld, als de DNS-record vermeldingen bij de dynamische naam worden niet bijgewerkt wanneer de naam is toegewezen, de reverse lookup domein methode van authenticatie mislukt.

Deze mislukking betekent niet noodzakelijkerwijs dat de DNS-gevaar is gebracht. Sommige systemen slaan de forward en reverse lookup informatie in aparte bestanden. Het bijwerken van de forward lookup bestand informatie verandert niets aan de reverse lookup informatie bestand. Tenzij de laatste ook is bijgewerkt, het vastgestelde probleem optreedt.

De reverse lookup domein techniek van authenticatie komt overeen met het controleren van een eigenschap van een opdrachtgever (wat het is) met statische naamgeving, omdat de naam permanent is gebonden aan de opdrachtgever. Maar die techniek komt overeen met de controle op het bezit van een opdrachtgever (wat het is) met dynamische naamgeving, omdat de opdrachtgever die naam af te zien op een bepaald punt.

Security Problemen met de Domain Name Service

Inzicht in de centrale positie van vertrouwen in de databases die record verenigingen van identiteit met opdrachtgevers kritiek is voor het begrip van de juistheid van de identiteit. De DNS geeft een voorbeeld van. Het geloof in de betrouwbaarheid van de host-naam in dit geval gebaseerd op de integriteit van de DNS-database. Als de associatie tussen een hostnaam en een IP-adres kan worden beschadigd, zal de identifier in kwestie worden geassocieerd met de verkeerde gastheer.

Er zijn verschillende aanvallen op de DNS. Het doel van deze aanvallen is om een slachtoffer te associëren onrechte veroorzaken een bepaald IP-adres met een host-naam. Ze nemen de aanvaller in staat is om de antwoorden controle van een gezaghebbende domeinnaam server. "Control" betekent dat de aanvaller controle heeft over de naam-server of kunnen onderscheppen zoekopdrachten naar die server en terug haar eigen antwoorden.

De aanvaller kan de records associëren het IP-adres van de host-naam, zodat een zoekopdracht voor een geeft een onjuist antwoord voor de ander. Een tweede techniek, bekend als "cache poisoning ', gebaseerd op het vermogen van een server om extra DNS-records toe te voegen aan het antwoord op een query. In dit geval is de extra records toegevoegd vereniging geven onjuiste informatie. Schuba gebruikt dit om aan te tonen hoe de reverse lookup naam kunnen worden aangetast. De aanvaller maakt verbinding met het slachtoffer. Het slachtoffer van de DNS-query's voor de hostnaam in verband met het IP-adres. De aanvaller zorgt ervoor dat twee records worden geretourneerd: een record met de pseudo-host-naam in verband met het IP-adres, en het omgekeerde record. Het DNS-protocol laat dit meeliften om de klant cache records. De cache wordt gecontroleerd voordat er gegevens worden opgevraagd van de server, zodat deze een netwerk verzoek kan redden. De derde techniek ( "Ask Me") is vergelijkbaar: de aanvaller bereidt een verzoek dat het slachtoffer moet oplossen door bevragen van de aanvaller. Toen het slachtoffer de aanvaller vragen, de aanvaller geeft het antwoord, samen met twee records voor het in kaart brengen, dat hij probeert te spoofen (een voor de mapping naar voren, een voor de reverse).

Verstandig gebruik van cryptografisch gebaseerde technieken in combinatie met een zorgvuldige beheer van de DNS-servers effectief kan beperken het vermogen van de aanvallers om deze aanvallen te gebruiken. Ondersteunende infrastructuur is in ontwerp en ontwikkeling.

---