Пребывания Identity

Share

|

Пребывания личности неразрывно связаны к сети. Принимающая не подключен к любой сети может иметь любое имя, потому что имя используется только на месте. Принимающая подключен к сети может иметь много имен или одно название, в зависимости от того, интерфейс к сети построена и контекст, в котором это имя используется.

ИСО / OSI модель создает условия для выдачи имен. Напоминают, что ИСО / OSI модель состоит из ряда слоев. Каждый узел, концептуально, имеет главной на каждом слое, что общается с сверстников о других узлов. Эти директоров общаться с директоров на том же слое на других серверах. Каждый основной в индивидуальном хост может иметь разные названия (также называемых "адреса") на каждом слое. Все имена определить же хосте, но каждый из них указывает на конкретный контекст, в котором принимающей функции.

ПРИМЕР: Компьютер имеет Ethernet (СМИ контроля доступа слоя, или MAC) адрес 00:05:02:6 B: A8: 21, IP- адрес: 192.168.35.89, а имя cherry.orchard . нетто. На линии передачи данных, то система известна своей Ethernet адрес. На сетевом уровне, то известно, что его адрес. На уровне приложений, известно его имя хоста. Эта система также на сеть AppleTalk, с AppleTalk адреса сеть 51, узел 235. Другие системы по сети AppleTalk определить пребывания этого имени.

Шоч показывает, что "название" определены основные и "адрес", где определены основные находится. В рамках пребывания идентификации, "адрес" указывает, где в сети (и, иногда, конкретной сети) принимающей находится. А "имя" указывает на то, что домен принимающей проживает, и соответствует определенному адресу. Хотя Шоч терминологию поучителен во многих отношениях, в этом контексте определяет местоположение основного так же, как и имя. Мы не различие между этими двумя в контексте определения.

Если злоумышленник имеет возможность обманывать личности другой хост, все протоколы, которые опираются на личности, что рассчитывают на ошибочные посылки, и поэтому время был фальсифицирован. Когда хост имеет последовательность имен, каждый опираясь на предыдущий имя, тогда злоумышленник спуфинг первой личность может подорвать все другие личности. Например, принимающей личности на основе ИС самобытности. Кроме того, ИС личности на основе Ethernet самобытности. Если злоумышленник может изменить записи в базах данных, содержащая карт более низкого уровня личности более высокого уровня личности, злоумышленник может обманывать одном сервере по маршрутизации трафика на другой.

Статические и динамические идентификаторы

Идентификатор может быть либо статический или динамический. Статическое идентификатор не меняется с течением времени; Динамичного изменения идентификатора либо в результате какого-либо события (например, подключение к сети), либо с течением времени.

Базы данных содержат отображений между различными именами. Самый известный из них - Domain Name Service (DNS), который поддерживает имен хостов и адресов. В отсутствие криптографической аутентификации хостов, согласованность в DNS используется для предоставления слабо подлинности.

ПРИМЕР: В DNS содержит вперед отчетов, которые карте имен хостов в адреса, и обратной записей, которые карте адреса в имена. А реверсные доменные поиска происходит, когда процесс выдержки адрес своей дистанционного сверстников, определяет связанные имя хоста (возможно с использованием DNS), а затем получает набор адресов, связанных с именем хоста (опять же, возможно, с использованием DNS) . Если адрес получить экспертный соответствует любому из адресов, связанных с именем хоста, то хост - как с одной, полученных в первом ожидания. В противном случае хост - отклонить как ненадежные.

Убежденность в надежности имя хоста, в данном случае зависит от целостности этой базы данных DNS

Плавучие идентификаторы возложены на директоров на ограниченный период времени. Как правило, сервер поддерживает пул идентификаторов. Клиент связывается с сервером, используя идентификатор согласовали между двумя (местный идентификатор). Сервер передает идентификатор клиента, что можно использовать в других контекстах (глобальный идентификатор) и уведомляет любые промежуточные хосты (например, шлюзов) из ассоциации между местными и глобальными идентификаторами.

ПРИМЕР: В Bootless университет предоставляет сеть, в которой студенты могут собрать в ноутбуках. Вместо того чтобы присвоить каждому школьнику ноутбук IP- адресом, университет создает сервер DHCP для этой сети. Когда студент связывает свой ноутбук к сети, ноутбук передает ВКП (средства массовой информации контроль доступа) адрес сервера. Сервер реагирует с неиспользованные адреса, принадлежащие к сети. В ноутбук признает, что адреса и использует его для общения в Интернете.

А шлюз может переводить между местными адрес и глобального решения.

ПРИМЕР: В Zerbche компания имеет 500 компьютеров по локальной сети, но только 256 адресам в Интернете. Внутренние сети присваивает как (фиксированная) локальных адресов IP- адреса 10.1.x.y, где х и у отражают внутреннюю конфигурацию детали, не соответствующие здесь. А шлюз соединяет внутренние сети к Интернету. Когда пользователь на (скажем) пребывания 10.1.3.241 хочет получить доступ к Интернету, он передает его пакеты на шлюз. Шлюз присваивает законных адрес внутренние, местные адрес; Сказать, что IP- адрес 101.43.21.241. Шлюз затем переписывает исходный адрес каждого пакета, изменение 10.1.3.241 на 101.43.21.241, и ставит из пакетов по Интернету. Когда шлюз получает пакеты, предназначенные для пребывания 101.43.21.241, проверяет свои внутренние таблицы, переписывает эти адреса как 10.1.3.241, и направляет их к внутренней сети, а также пакеты идти к месту назначения. Этот перевод является невидимым любой конец сообщения, и позволяет до некоторых количества хостов по внутренней сети общаться с хостов в Интернет. Сеть Адрес протокола (NAT) используется в Интернете для выполнения этой функции.

При отсутствии криптографии, аутентификации с использованием динамических имен отличается от аутентификации с использованием статических имен. Основная проблема заключается в том, что объединение личности с основными изменяется с течением времени, поэтому любое аутентификации на основе имени учетной записи необходимо также для того времени. Например, если записи DNS записей, соответствующих динамических имя не обновляется по мере названия переводятся, обратный домен поиска, метод аутентификации не всегда.

Это вовсе не означает, что DNS был скомпрометирован. Некоторые системы хранения вперед и вспять поиска информации в отдельных файлах. Обновление ожидает поиска информации файла не меняется наоборот поиска информации файла. Если последнего обновления кроме того, заявил, проблема возникает.

Обратная области поиска метода аутентификации соответствует проверки имущества главного (что это такое) в статических имен, потому что имя навсегда связано главным. Но это метод соответствует проверки у одного из главных (то, что она) с динамическим именования, поскольку главной уйдет, что название в какой-то момент.

Вопросы безопасности с Domain Name Service

Понимание центральной роли доверия в базах данных, что отчет ассоциации самобытность директоров имеет решающее значение для понимания точности личности. В DNS служит примером этого. Убежденность в надежности имя хоста, в данном случае полагается на целостность в базе данных DNS. Если ассоциация между именем хоста и адреса могут быть испорчены, идентификатор в вопросе будут связаны с неправильным пребывания.

Есть несколько нападений на DNS. Цель этих нападений является причиной жертвой связать неправильно конкретного адреса в имя хоста. Они себя злоумышленник имеет возможность контролировать ответы от авторитетного сервера имен домена. "Контроль" означает, что атакующий контролирует сервер или имя может перехватывать запросы к этому серверу и возвращение его собственных ответов.

Нападавший может изменить записи связать адрес с именем хоста, так что на один запрос возвращает неправильный ответ для других. Второй метод, известный как "отравления кэша", зависит от способности сервера, чтобы добавить дополнительные записи DNS для ответа на запрос. В этом случае, дополнительные отчеты добавлены дать неправильные ассоциации информации. Шуба использует это продемонстрировать, каким образом изменить название поиска могут быть скомпрометированы. Нападавший подключается к жертве. Жертва отправляет запрос DNS на имя хоста, связанное с IP- адресом. Нападавший гарантирует, что две записи возвращается: отчет с фальшивке имя хоста связанное с IP- адресом, и обратный отчет. В протоколе DNS позволяет это piggybacking чтобы клиенту записей кэша. Кэш проверяется до любых записей, предлагается с сервера, так это может спасти сеть просьбу. Третий метод ( "спросить меня") аналогично: нападающий готовит запрос, что потерпевший должен урегулировать запросов злоумышленника. Когда жертва запросы злоумышленника, злоумышленник даст ответ, вместе с двумя отчетами для картирования, что он пытается обманывать (по одному на передней карт - один для обратной).

Рациональное использование cryptographically Методы сочетании с тщательной управления DNS серверы могут эффективно ограничивают возможности злоумышленникам использовать эти нападения. Поддержка инфраструктуры в рамках проектирования и разработки.