Wirt Identität

Share

|

Wirt Identität wird vertraut zum Netzwerkanschluß gesprungen. Ein Wirt, der nicht an jedes mögliches Netz angeschlossen wird, kann irgendeinen Namen haben, weil der Name nur am Ort verwendet wird. Ein Wirt schloß an ein Netz kann haben viele Namen oder einen Namen, abhängig von an, wie die Schnittstelle zum Netz und der Kontext strukturiert wird, in dem der Name verwendet wird.

Das ISO/OSI Modell stellt einen Kontext für die Ausgabe des Namengebens zur Verfügung. Rufen Sie zurück, daß das ISO/OSI Modell aus einer Reihe Schichten besteht. Jeder Wirt hat begrifflich eine Direktion an jeder Schicht, die einen Gleichen auf anderen Wirten ist. Diese Direktion verständigt mit Direktion an der gleichen Schicht auf anderen Wirten. Jedes, das auf einem einzelnen Wirt hauptsächlich ist, kann die unterschiedlichen Namen (auch genannt "Adressen") an jeder Schicht haben. Alle Namen kennzeichnen den gleichen Wirt, aber jeder bezieht sich einen auf bestimmten Kontext, in dem der Wirt arbeitet.

BEISPIEL: Ein Computer hat eine Adresse des Ethernets (Media Access Controlschicht oder MAC) von 00:05:02:6B:A8:21, ein IP address von 192.168.35.89 und einen Wirt Namen von cherry.orchard.net. Auf dem Datenübermittlungsabschnittniveau bekannt das System durch seine Ethernet-Adresse. Auf der Netzebene bekannt es durch sein IP address. Auf dem Anwendung Niveau bekannt es durch seinen Wirt Namen. Das System ist auch in einem Appletalk Netz, mit einer Appletalk Adresse von Netz 51, Nullpunkt 235. Andere Systeme im Appletalk Netz kennzeichnen den Wirt durch diesen Namen.

Shoch schlägt vor, daß ein "Name" eine Direktion kennzeichnet und eine "Adresse" kennzeichnet, wo diese Direktion lokalisiert wird. Im Kontext der Wirt Kennzeichnung, zeigt die "Adresse" an, wo auf einem Netz (und manchmal dem spezifischen Netz) der Wirt ist. Ein "Name" zeigt in welchem Gebiet der Wirt liegt, an und entspricht einer bestimmten Adresse. Obgleich Terminologie Shochs in vielen Kontexten lehrreich ist, in diesem Kontext kennzeichnet eine Position eine Direktion ebensogut als Name. Wir unterscheiden nicht zwischen den zwei im Kontext der Kennzeichnung.

Wenn ein Angreifer zum spoof die Identität eines anderen Wirtes in der LageIST, beruhen alle Protokolle, die auf dieser Identität beruhen, auf einer fehlerhaften Voraussetzung und sind folglich spoofed. Wenn ein Wirt eine Reihenfolge von Namen hat, kann jeder, der auf dem vorhergehenden Namen, dann ein Angreifer spoofing ist die erste Identität beruht, alle anderen Identitäten sich vergleichen. Z.B. basiert die Wirt Identität auf der IP Identität. Ähnlich basiert die IP Identität auf der Ethernet-Identität. Wenn ein Angreifer Eintragungen in den Datenbanken ändern kann, die das Diagramm einer auf der unteren Ebeneidentität zu einer hochgradigen Identität enthalten, der Angreiferdose spoof eins Wirt durch verlegenverkehr zu anderen.

Statische und dynamische Bezeichner

Ein Bezeichner kann entweder statisch oder dynamisch sein. Ein statischer Bezeichner ändert nicht Überzeit; ein dynamischer Bezeichner ändert entweder resultierend aus einem Fall (wie einem Anschluß zu einem Netz) oder Überschußzeit.

Datenbanken enthalten Kartenaufnahmen zwischen unterschiedlichen Namen. Gut bekannt von diesen ist der Domain- Nameservice (DNS), der Wirt Namen und IP Adressen verbindet. In Ermangelung der Verschlüsselungsauthentisierung der Wirte, wird die Übereinstimmung der DNS verwendet, um schwache Authentisierung zur Verfügung zu stellen.

BEISPIEL: Die DNS enthält Vorwärtsaufzeichnungen, die Diagrammwirt Namen in IP adressiert, und Rückseite notiert, die IP Adressen in Namen abbilden. Ein Rückgebiet Nachschlagen tritt auf, wenn ein Prozeß das IP address seines Remotegleichen extrahiert, stellt den verbundenen Wirt Namen (möglicherweise mit der DNS) fest und erhält dann den Satz der IP Adressen, die mit diesem Wirt Namen verbunden sind (wieder, vielleicht mit der DNS). Wenn das IP address, das vom Gleichen erreicht wird, irgendwelche der IP Adressen zusammenbringt, die mit diesem Wirt Namen verbunden sind, dann wird der Wirt Name als der angenommen, der im ersten Nachschlagen erreicht wird. Andernfalls wird der Wirt Name wie untrusted zurückgewiesen.

Der Glaube an das trustworthiness des Wirt Namens beruht in diesem Fall auf der Vollständigkeit der DNS Datenbank

Sich hin- und herbewegende Bezeichner werden Direktion während einer begrenzten Zeit zugewiesen. Gewöhnlich behält ein Bediener eine Lache der Bezeichner bei. Ein Klient tritt mit dem Bediener mit einem Bezeichner in Verbindung, der an zwischen den zwei vereinbart wird (der lokale Bezeichner). Der Bediener überträgt einen Bezeichner, den der Klient in anderen Kontexten (der globale Bezeichner) benutzen kann und teilt alle Zwischenwirte (wie Einfahrten) der Verbindung zwischen den lokalen und globalen Bezeichnern mit.

BEISPIEL: Die Bootless Universität liefert ein Netz, zu dem Kursteilnehmer herauf Laptope anspannen können. Anstatt weisen Sie jedem Kursteilnehmerlaptop ein IP address, die Universität hat hergestellt einen DHCP Bediener für dieses Netz zu. Wenn ein Kursteilnehmer ihren Laptop an das Netz anschließt, mittelt der Laptop seine Adresse des MAC (Media Access Control) dem Bediener über. Der Bediener reagiert mit einem unbenutzten IP address, das dem Netz gehört. Der Laptop nimmt dieses IP address an und verwendet es, um auf dem Internet in Verbindung zu stehen.

Eine Einfahrt kann zwischen einer lokalen Adresse und einer Generaladresse übersetzen.

BEISPIEL: Die Zerbche Firma hat 500 Computer in einem lokalen Netzwerk, aber nur 256 Internet-Adressen. Das interne Netz weist als (örtlich festgelegte) Einheimischadressen die IP Adressen 10.1.x.y zu, in denen x und y die internen Konfiguration Details reflektieren, die hier nicht relevant sind. Eine Einfahrt schließt das interne Netz an das Internet an. Wenn ein Benutzer an (Sagen) Wirt 10.1.3.241 das Internet zugänglich machen möchte, schickt es seine Pakete zur Einfahrt nach. Die Einfahrt weist ein gesetzmaßiges IP address der internen, lokalen Adresse zu; sagen Sie, daß IP address 101.43.21.241 ist. Die Einfahrt schreibt dann die Quelladresse jedes Pakets neu und ändert 10.1.3.241 bis 101.43.21.241, und setzt die Pakete heraus auf das Internet. Wenn die Einfahrt die Pakete empfängt, die für Wirt 101.43.21.241 bestimmt sind, überprüft sie seine interne Tabelle, schreibt jene Adressen als 10.1.3.241 neu und schickt sie zum internen Netz nach, und die Pakete gehen zu ihrem Bestimmungsort. Diese Übersetzung ist zu jedem Ende der Kommunikation unsichtbar und ermöglicht bis zu irgendeiner Zahl der Wirte im internen Netz, mit Wirten auf dem Internet zu verständigen. Das Endsystemadresseprotokoll (NATIONAL) wird auf dem Internet verwendet, um diese Funktion durchzuführen.

In Ermangelung von Cryptography, ist die Authentisierung, die das dynamische Namengeben verwendet, zu Authentisierung unterschiedlich, das statische Namengeben verwendend. Das Primärproblem ist, daß die Verbindung der Identität mit einer Direktion Überzeit verändert, also muß jede mögliche Authentisierung, die auf dem Namen basiert, die Zeit auch erklären. Z.B. wenn die DNS Rekordeintragungen, die dem dynamischen Namen entsprechen, nicht aktualisiert sind, wann immer der Name zurückübertragen wird, fällt die Rückgebiet Nachschlagenmethode der Authentisierung aus.

Dieser Ausfall nicht notwendigerweise bedeutet, daß die DNS verglichen worden ist. Einige Systeme speichern die Vorwärts- und Rücknachschlageninformationen in den unterschiedlichen Akten. Die Aktualisierung der Vorwärtsnachschlageninformationen Akte ändert nicht die Rücknachschlageninformationen Akte. Es sei denn das letzte auch aktualisiert wird, das angegebene Problem tritt auf.

Die Rückgebiet Nachschlagentechnik der Authentisierung entspricht der Überprüfung einer Eigenschaft einer Direktion (was sie ist), mit dem statischen Namengeben, weil der Name dauerhaft zur Direktion gesprungen wird. Aber diese Technik entspricht der Überprüfung eines Besitzes einer Direktion (was sie hat), mit dem dynamischen Namengeben, weil die Direktion diesen Namen an etwas Punkt abtritt.

Wertpapieremissionen mit dem Domain- Nameservice

Die zentrale Lage des Vertrauens in den Datenbanken verstehen, die Rekordverbindungen der Identität mit Direktion zum Verstehen der Genauigkeit der Identität kritisch ist. Die DNS liefert ein Beispiel von diesem. Der Glaube an das trustworthiness des Wirt Namens beruht in diesem Fall auf der Vollständigkeit der DNS Datenbank. Wenn die Verbindung zwischen einem Wirt Namen und einem IP address verdorben werden kann,IST der Bezeichner in der Frage mit dem falschen Wirt verbunden.

Es gibt einige Angriffe auf der DNS. Das Ziel dieser Angriffe ist, ein Opfer zu veranlassen, ein bestimmtes IP address mit einem Wirt Namen falsch zu verbinden. Sie nehmen an, daß der Angreifer in der LageIST, die Antworten von einem maßgebenden domain name server zu steuern. "Steuerung" bedeutet, daß der Angreifer Steuerung über dem Namensbediener hat oder Fragen zu diesem Bediener abfangen und seine eigenen Antworten zurückbringen kann.

Der Angreifer kann die Aufzeichnungen ändern das IP address mit dem Wirt Namen verbinden, damit eine Frage für eine eine falsche Antwort für die andere zurückbringt. Eine zweite Technik, bekannt als "Pufferspeichervergiftung," beruht auf der Fähigkeit eines Bedieners, Extra-DNS Aufzeichnungen der Antwort einer Frage hinzuzufügen. In diesem Fall fügten die Extraaufzeichnungen geben falsche Verbindung Informationen hinzu. Schuba verwendet dieses, um zu zeigen, wie das Rücknamensnachschlagen verglichen werden kann. Der Angreifer schließt an das Opfer an. Das Opfer fragt die DNS für den Wirt Namen, der mit dem IP address verbunden ist. Der Angreifer stellt sicher, daß zwei Aufzeichnungen zurückgebracht sind: eine Aufzeichnung mit dem gefälschten Wirt Namen verband mit dem IP address und der Rückaufzeichnung. Das DNS Protokoll erlaubt dieses, das huckepack trägt, um dem Klienten zu ermöglichen, Aufzeichnungen zu cachieren. Der Pufferspeicher wird überprüft, bevor alle mögliche Aufzeichnungen vom Bediener verlangt werden, also kann diese einen Netzantrag speichern. Die dritte Technik ("fragen Sie mich"), ist ähnlich: der Angreifer bereitet einen Antrag vor, den das Opfer beheben muß, indem er den Angreifer fragt. Wenn das Opfer den Angreifer fragt, bringt der Angreifer die Antwort zurück, zusammen mit zwei Aufzeichnungen für das dieses Diagramm er versucht zum spoof (eins für das Vorwärtsdiagramm, eins für die Rückseite).

Vernünftiger Gebrauch von den cryptographically gegründeten Techniken, die mit vorsichtiger Leitung der DNS Bediener verbunden werden, kann die Fähigkeit der Angreifer effektiv begrenzen, diese Angriffe zu verwenden. Stützende Infrastruktur ist unter Design und Entwicklung.