Identità Ospite

Share

|

L'identità ospite è limitata intimamente a rete. Un ospite non collegato a tutta la rete può avere qualunque nome, perché il nome è usato soltanto localmente. Un ospite collegato ad una rete può avere molti nomi o un nome, secondo come l'interfaccia alla rete è strutturata ed il contesto in cui il nome è usato.

Il modello di ISO/OSI fornisce un contesto per l'emissione di chiamare. Ricordi che il modello di ISO/OSI si compone di serie di strati. Ogni ospite, ha concettualmente un principale ad ogni strato che comunica con un pari su altri ospiti. Questi principali comunicano con i principali allo stesso strato su altri ospiti. Ciascuno principale su un ospite specifico può avere nomi differenti (anche chiamati "indirizzi") ad ogni strato. Tutti i nomi identificano lo stesso ospite, ma ogni si riferisce ad un contesto particolare in cui l'ospite funziona.

ESEMPIO: Un calcolatore ha un indirizzo di Ethernet (strato di Media Access Control, o MAC) di 00:05:02:6B:A8:21, un IP address di 192.168.35.89 e un nome ospite di cherry.orchard.net. Al livello di programmazione dei dati, il sistema è conosciuto dal relativo indirizzo di Ethernet. Al livello di rete, è conosciuto dal relativo IP address. Al livello di applicazione, è conosciuto dal relativo nome ospite. Il sistema è inoltre su una rete del Appletalk, con un indirizzo del Appletalk della rete 51, il nodo 235. Altri sistemi sulla rete del Appletalk identificano l'ospite per quel nome.

Shoch suggerisce che "un nome" identifica un principale e "un indirizzo" identifica dove quel principale è individuato. Nel contesto dell'identificazione ospite, "l'indirizzo" indica dove su una rete (e, a volte, sulla rete specifica) l'ospite è situato. "un nome" indica in che dominio l'ospite risiede e corrisponde ad un indirizzo particolare. Anche se la terminologia dello Shoch è istruttiva in molti contesti, in questo contesto una posizione identifica un principale appena così come un nome. Non ci distinguiamo fra i due nel contesto di identificazione.

Se un attacker può a spoof l'identità di un altro ospite, tutti i protocolli che contano su quell'identità stanno contando sui locali difettosi e quindi stanno essendo spoofed. Quando un ospite ha una sequenza dei nomi, ciascuno che conta sul nome preceding, allora un attacker che spoofing la prima identità può compromettere tutte le altre identità. Per esempio, l'identità ospite è basata sull'identità del IP. Similmente, l'identità del IP è basata sull'identità di Ethernet. Se un attacker può alterare le entrate nelle basi di dati che contengono il tracciato di un'identità a livello più basso ad un'identità di più alto livello, l'ospite dello spoof uno della latta del attacker da traffico dirigente ad un altro.

Contrassegni statici e dinamici

Un contrassegno può essere statico o dinamico. Un contrassegno statico non cambia col tempo; un contrassegno dinamico cambia come conseguenza di un evento (quale un collegamento ad una rete) o di col tempo.

Le basi di dati contengono i rilievi fra i nomi differenti. Conosciuto il più bene di questi è il servizio di Domain Name (DNS), che associa i nomi ospite e gli indirizzi del IP. In assenza dell'autenticazione crittografica degli ospiti, la consistenza del DNS è usata per fornire l'autenticazione debole.

ESEMPIO: Il DNS contiene le annotazioni di andata, che i nomi ospite del programma nel IP richiama e l'inverso registra, che tracciano gli indirizzi del IP nei nomi. Un'occhiata d'inversione di dominio accade quando un processo estrae il IP address del relativo pari a distanza, determina il nome collegato ospite (forse usando il DNS) ed allora ottiene l'insieme degli indirizzi del IP connessi con quel nome ospite (ancora, possibilmente usando il DNS). Se il IP address ottenuto dal pari abbina c'è ne degli indirizzi del IP connessi con quel nome ospite, quindi il nome ospite è accettato come quello ottenuto in prima occhiata. Altrimenti, il nome ospite è rifiutato come untrusted.

La credenza nel trustworthiness del nome ospite in questo caso conta sull'integrità della base di dati di DNS

I contrassegni di galleggiante sono assegnati ai principali per un tempo limitato. Tipicamente, un assistente effettua uno stagno dei contrassegni. Un cliente si mette in contatto con l'assistente usando un contrassegno accosentito sopra fra i due (il contrassegno locale). L'assistente trasmette un contrassegno che il cliente può usare in altri contesti (il contrassegno globale) ed informa tutti gli ospiti intermedi (quali i Gateway) dell'associazione fra i contrassegni locali e globali.

ESEMPIO: L'università di Bootless fornisce una rete a cui gli allievi possono collegare i laptops. Piuttosto che assegni ad ogni laptop dell'allievo un IP address, l'università ha generato un assistente di DHCP per questa rete. Quando un allievo collega il suo laptop alla rete, il laptop trasmette il relativo indirizzo del MAC (Media Access Control) all'assistente. L'assistente risponde con un IP address inutilizzato che appartiene alla rete. Il laptop accetta quel IP address e lo usa per comunicare sul Internet.

Un Gateway può tradurre fra un indirizzo locale e un indirizzo globale.

ESEMPIO: L'azienda di Zerbche ha 500 calcolatori su una rete locale, ma soltanto 256 indirizzi del Internet. La rete interna assegna come indirizzi (fissi) del local gli indirizzi 10.1.x.y del IP, dove la x e y riflettono i particolari interni di configurazione non relativi qui. Un Gateway collega la rete interna al Internet. Quando un utente all'ospite 10.1.3.241 (di opinione) desidera accedere al Internet, spedisce i relativi pacchetti al Gateway. Il Gateway assegna un IP address legittimo all'indirizzo interno e locale; dica che il IP address è 101.43.21.241. Il Gateway allora riscrive l'indirizzo di fonte di ogni pacchetto, cambiando 10.1.3.241 - 101.43.21.241 e mette i pacchetti fuori sul Internet. Quando il Gateway riceve i pacchetti destinati all'ospite 101.43.21.241, controlla la relativa tabella interna, riscrive quegli indirizzi come 10.1.3.241 e le spedisce alla rete interna ed i pacchetti vanno alla loro destinazione. Questa traduzione è invisibile a la una o la altra conclusione della comunicazione e permette fino ad un certo numero di ospiti sulla rete interna di comunicare con gli ospiti sul Internet. Il protocollo di indirizzo di rete (NAZIONALE) è usato sul Internet per effettuare questa funzione.

In assenza del cryptography, l'autenticazione che usando chiamare dinamico è differente dall'autenticazione usando chiamare statico. Il problema primario è che l'associazione dell'identità con un principale varia col tempo, in modo da tutta l'autenticazione basata sul nome deve anche rappresentare il tempo. Per esempio, se le immissioni di record di DNS che corrispondono al nome dinamico non sono aggiornate ogni volta che il nome è riassegnato, il metodo d'inversione di occhiata di dominio di autenticazione viene a mancare.

Questo guasto necessariamente non significa che il DNS si è compromesso. Alcuni sistemi memorizzano le informazioni di andata e d'inversione di occhiata in lime separate. L'aggiornamento dell'archivio d'informazioni di andata di occhiata non cambia l'archivio d'informazioni d'inversione di occhiata. A meno che il posteriore sia aggiornato inoltre, il problema dichiarato accade.

La tecnica d'inversione di occhiata di dominio dell'autenticazione corrisponde a controllare una proprietà di un principale (che cosa è) con chiamare statico, perché il nome sarà limitato permanente al principale. Ma quella tecnica corrisponde a controllare un possesso di un principale (che cosa ha) con chiamare dinamico, perché il principale cederà quel nome ad un certo punto.

Problemi di sicurezza con il servizio di Domain Name

Capendo il centrality di fiducia nelle basi di dati che le associazioni record dell'identità con i principali è critiche a capire l'esattezza dell'identità. Il DNS fornisce un esempio di questo. La credenza nel trustworthiness del nome ospite in questo caso conta sull'integrità della base di dati di DNS. Se l'associazione fra un nome ospite e un IP address può essere corrotta, il contrassegno in questione sarà associato con l'ospite errato.

Ci sono parecchi attacchi al DNS. L'obiettivo di questi attacchi è di indurre una vittima ad associare in modo errato un IP address particolare con un nome ospite. Presuppongono che il attacker può controllare le risposte da un domain name server autorevole. "il controllo" significa che il attacker ha controllo sopra l'assistente di nome o può intercettare le domande a quell'assistente e restituire le relative proprie risposte.

Il attacker può cambiare le annotazioni che associa il IP address con il nome ospite, di modo che una domanda per una restituisce una risposta errata per l'altra. Una seconda tecnica, conosciuta come "l'avvelenamento del nascondiglio," conta sulla capacità di un assistente di aggiungere le annotazioni supplementari di DNS alla risposta ad una domanda. In questo caso, le annotazioni supplementari hanno aggiunto forniscono le informazioni errate di associazione. Schuba usa questo per dimostrare come l'occhiata noma d'inversione può compromettersi. Il attacker collega alla vittima. La vittima interroga il DNS per il nome ospite connesso con il IP address. Il attacker si accerta che due annotazioni siano restituite: un'annotazione con il nome bogus ospite si è associata con il IP address e l'annotazione d'inversione. Il protocollo di DNS permette questo che piggybacking per permettere al cliente di nascondere le annotazioni. Il nascondiglio è controllato prima che tutte le annotazioni siano chieste dall'assistente, in modo da questa può conservare una richiesta della rete. La terza tecnica ("chiedami") è simile: il attacker prepara una richiesta che la vittima deve risolvere interrogando il attacker. Quando la vittima interroga il attacker, il attacker restituisce la risposta, con due annotazioni per il tracciato quel lui sta provando a spoof (uno per il tracciato di andata, uno per l'inverso).

L'uso giudizioso delle tecniche cryptographically basate accoppiate con la gestione attenta degli assistenti di DNS può limitare efficacemente la capacità dei attackers di usare questi attacchi. L'infrastruttura di sostegno è in fase di il disegno e sviluppo.