호스트 정체성

Share

|

호스트 정체성이 intimately 수밖에 네트워킹을합니다. 모든 네트워크에 연결된 호스트가없습니다 모든 이름이있을 수 있기 때문에 그 이름은 로컬에만 사용됩니다. 호스트가 네트워크에 연결되어있을 수있습니다 많은 이름이나 하나의 이름을 따라가 인터페이스를 네트워크는 구조화하는 방법과 상황에 맞는가있는 이름이 사용됩니다.

가 iso / osi 모델을 제공하는 문맥의 문제는 명명합니다. 회수가 iso / osi 모델은 일련의 계층으로 이루어져있습니다. 각 호스트를 개념적으로에는 교장에서 각 계층이 피어에서 다른 호스트와 통신합니다. 이러한 교장 통신할 교장은 동일한 계층에 대한 다른 호스트입니다. 각 교장에 대한 개별 호스트 수가 서로 다른 이름 (라고도 "주소")에서 각 계층입니다. 모든 이름을 식별이 동일한 호스트하지만, 각 사람을 참조하는 특정 문맥의 서비스는 호스트 기능입니다.

예 : 컴퓨터는 이더넷 (미디어 액세스 제어 계층, 또는 mac) 주소는 00:05:02:6 b : 대답 8 : 21, 주소는 192.168.35.89, 그리고 호스트 이름의 cherry.orchard . 그물. 은 데이터 링크 수준,이 시스템은 알려진으로 이더넷 주소입니다. 언제가 네트워크 수준, 그것은 그 주소에 의해 알려져있습니다. 응용 프로그램 수준에서, 그것은 그 호스트 이름으로 알려져있습니다. 이 시스템은 또한에있는 appletalk 네트워크, 진 appletalk 주소의 네트워크 51, 노드 235. 다른 시스템에서 appletalk 네트워크를 식별하는 호스트에 의해 그 이름입니다.

shoch가 제안하는 "이름"을 식별 a 교장과 "주소"를 식별하는 교장이 위치한 장소입니다. 의 맥락에서 호스트를 식별, "주소"를 나타냅니다 어디에있는 네트워크 (하고, 때로는 특정 네트워크)는 호스트가 위치한. "이름"을 나타냅니다는 어떤 도메인의 호스트가 상주, 그리고 특정 주소에 해당합니다. 맺었지만 shoch의 용어는 대부분의 문맥,이 문맥의 위치를 식별 a 교장 단지는 물론 이름입니다. 우리는 구분하지 않습니다의 맥락에서이 두 식별합니다.

공격자가 할 수 있으면 스푸핑의 정체성은 또 다른 호스트, 모든 프로토콜에 의존하는 것을 정체성은 의지에 결함이있는 전제하고 따라서 스푸핑되고있습니다. 때 호스트는 시퀀스의 이름, 각 의존 앞의 이름, 그런 다음 공격자 스푸핑의 첫 번째 정체성이 손상될 수있습니다 다른 모든 정체성입니다. 예를 들어,이 호스트 정체성은 ip 정체성을 기반으로합니다. 이와 유사하게, ip 정체성에 기반의 이더넷 정체성입니다. 공격자의 항목이 데이터베이스를 포함하는 경우의 매핑을 변경할 수있습니다가 낮은 - 수준 정체성을 높게 - 레벨 정체성, 공격자 수 스푸핑 하나의 호스트로 라우팅 트래픽을 다른합니다.

정적 및 동적 식별자

식별자가 될 수있습니다 정적 또는 동적입니다. 시간이 지남에 정적 식별자은 변경되지 않습니다; 동적 식별자를 변경 사항 중 하나의 결과로하는 이벤트 (예에 연결하려면 네트워크) 이상의 시간이있습니다.

데이터베이스를 다른 이름 사이의 매핑을 포함합니다. 가 장 좋은 알려진 이들은 도메인 이름 서비스 (dns), 어떤 연관 호스트 이름과 주소입니다. 의 부재의 암호화 인증의 호스트, 다음 오류가 일관성 약한 인증을 제공하는 데 사용됩니다.

예 : dns가 포함되어 포워드를 기록하고있는지도 호스트 이름을 주소로, 리버스를 기록하고있는지도 주소로 이름입니다. 역방향 도메인을 조회가 발생하는 프로세스를 추출 주소는 원격 피어를 결정합니다 연관된 호스트 이름 (아마도을 사용하여 dns)을 입력한 다음를 얻습와 연관된 일련의 주소를 해당 호스트 이름 (다시, 아마도을 사용하여 dns) . 주소를 얻은 경우에 피어 일치하지의 주소에 연결된 호스트 이름, 그 다음으로 하나의 호스트 이름이 받아들여 입수한의 첫 번째 조회합니다. 그렇지 않은 경우 호스트 이름은 신뢰할 수없는 거부로합니다.

신앙의 신뢰성은 호스트 이름이 경우 다음 오류 데이터의 무결성에 의존

떠다니는 식별자가 제한된 기간 동안 교장에게 할당합니다. 일반적으로 서버를 유지합니다 수영장의 식별자입니다. 연락처는 서버가 클라이언트 사이에 합의를 사용하는 식별자의 두 (이 로컬 식별자)입니다. 식별자는 클라이언트가 서버로 전송 다른 컨텍스트에서 사용할 수있습니다 (이 세계 식별자)를 알립니다 모든 중간 호스트 (예 : 게이트웨이)는 협회 사이의 로컬 및 글로벌 식별자입니다.

예 : bootless 대학을 제공하는 네트워크가 어떤 학생 수 후크 최대 노트북입니다. 각 학생의 노트북 주소를 할당하는 대신, 대학이 만들어 dhcp 서버에 대해이 네트워크입니다. 한 학생의 노트북을 네트워크에 연결하면 자신의 노트북을 전송했다 mac (미디어 액세스 제어) 주소를 서버로합니다. 서버가 응답을 사용하지 않는 주소를 소유를 네트워크입니다. 노트북을 수용하는 주소와 사용하기 위해 인터넷에서 의사 소통합니다.

사이의 게이트웨이로 번역할 수있는 로컬 주소와 글로벌 주소입니다.

예 : zerbche 회사는 500 컴퓨터에있는 로컬 영역 네트워크하지만 불과 256 인터넷 주소입니다. 내부 네트워크에 할당으로 (고정)를 로컬 주소의 주소 10.1.x.y, 여기서 x와 y를 반영 관련성이없는 내부 구성 세부 사항 여기에있습니다. 게이트웨이로 내부 네트워크를 인터넷에 연결합니다. 사용자가 언제 (말씀) 호스트 10.1.3.241 님이 인터넷에 액세스 그 패킷을 게이트웨이로 전달합니다. 게이트웨이 할당하는 합법적인 주소를 내부, 로컬 주소; 라고 주소는 101.43.21.241입니다. 게이트웨이 다음을 재작성가 원본 주소의 각 패킷, 변화하는 10.1.3.241를 101.43.21.241, 그리고 패킷 명이 인터넷에 넣습니다. 게이트웨이 접수되면 패킷 운명에 대한 호스트 101.43.21.241, 그것을 검사 내부 테이블, 재작성 해당 주소로 10.1.3.241을 전달하여 내부 네트워크, 그리고 패킷을 이동하여 자신의 목적입니다. 이 번역은 보이지 않는를 끝 부분에 통신을 사용하면 최대 일부 수의 호스트에 내부 네트워크를 인터넷에있는 호스트와 통신합니다. 네트워크 주소 프로토콜 (nat)은 인터넷에서 사용이 기능을 수행할 수있습니다.

의 부재는 암호화, 인증을 사용하여 동적 명명는 다릅니다 인증을 사용하여 정적 명명합니다. 이 기본 문제는 협회의 정체성을 교장 차이가 넘는 시간, 그래서 아무도 계정에 대한 인증을 기반으로 이름이 있어야합니다 시간입니다. 예를 들어, 오류 때문에 항목에 해당하는 경우에 동적 이름이 업데이 트되지 않습니다 때마다 이름이 다시 할당을 리버스 도메인 조회 방법은 인증에 실패합니다.

이 실패를 의미하는 것은 아닙니다 dns가 발생한 것으로합니다. 일부 시스템 저장소의 정방향 및 역방향 조회 정보는 별도의 파일이있습니다. 업데이 트의 정방향 조회 정보 파일은 변경되지 않습니다 역방향 조회 정보 파일입니다. 후자가 업데이 트되지 않으면 또한,이 언급한 문제가 발생합니다.

리버스 도메인을 조회 기법의 인증에 해당하는 검사를하는 속성의 교장 (어떤 것이)와 함께 정적 명명, 그 이름은 바운드를 영구적으로하기 때문에 교장. 하지만이 기법에 해당하는 검사 a 보유의 교장 (무엇이)와 함께 동적 명명, 때문에 교장은 그램, 그 이름은 일부 지점입니다.

보안 문제가 도메인 이름 서비스

이해 중심의 신뢰의 데이터베이스에있는 레코드 협회의 정체성과 교장은 비판의 정확성의 정체성을 이해합니다. 가 dns 제공의 예는이있습니다. 신앙의 신뢰성은 호스트 이름이 경우 다음 오류 데이터의 무결성에 의존합니다. 경우에 협회 사이의 호스트 이름과 주소를하실 수있습니다 손상을 식별자가 잘못된 호스트와 연관된에 해당됩니다.

여러가 지가 테러 공격에 dns. 의 목표는 이러한 공격은 잘못으로 인해 피해를 연결 특정 주소로 호스트 이름입니다. 그들을 제어할 수있게 정합니다 공격자가 정식 도메인 이름 서버로부터 응답합니다. "조정"을 의미합니다 공격자는 통제력의 이름 서버 또는 수 요격 검색어를하는 서버 및 돌아 자신의 반응입니다.

공격자가 레코드를 변경할 수있습니다 연결 주소와 함께 호스트 이름, 그래서 검색어에 대한 하나의 반환에 대한 잘못된 답변이 다른합니다. 두 번째 기법으로 알려져 "캐시 중독,"의존하는 기능을하는 서버를 추가 여분의 레코드가에 대한 답변을하는 쿼리입니다. 이 경우에는 여분의 기록들 줄 잘못 협회 정보가있습니다. schuba는이을 시연하는 방법을 역방향 이름 조회하실 수있습니다 손상됩니다. 공격자에 연결하여 피해자가됩니다. dns에 대해 피해자를 쿼리합니다 주소와 연관된 호스트 이름입니다. 공격자를 보장하는 두 개의 레코드가 반환 : bogus 호스트 이름과 관련된 기록과 함께 주소, 그리고 리버스 기록합니다. 가 dns 프로토콜을 사용하면이 piggybacking을 활성화하여 클라이언트를 캐시를 기록합니다. 이 캐시는 선택하기 전에 레코드는 서버에서 요청한 때문에, 저장하는 네트워크를 요청할 수있습니다. 세 번째 방법 ( "묻지")이 유사 :는 공격자 준비가 요청을 쿼리하여 공격자는 피해자가 해결해야합니다. 경우에 피해자가 쿼리는 공격자가 공격을 반환에 대한 답변과 함께 두 개의 레코드에 매핑 그가가 시도하는 스푸핑 (하나의 포워드 맵핑, 하나는 역방향).

암호 기반 기술의 사용을 적절히 맞물려 신중 행정부의 서버를 효과적으로 제한할 수있는 기능의 공격수를 사용하려면 이러한 공격합니다. 디자인과 개발을 지원하는 인프라는 아래에있습니다.