Fondamenti Di Sicurezza Del Internet

Dutch French Spanish Portuguese Italian German Japanese Chinese Korean Russian Arabic Bookmark and Share this Article Original English article
  

Ci sono due temi di ricorso nella sicurezza del Internet:

- fiducia

- autenticazione

La fiducia è il rapporto fra le macchine che sono autorizzate per collegare ad una un altro. L'autenticazione è il processo uso di quelle macchine identificarsi.

La fiducia e l'autenticazione hanno generalmente un rapporto inverso. Quindi, se un livello elevato di fiducia esiste fra le macchine, l'autenticazione rigorosa non è richiesta per fare un collegamento. D'altra parte, se poca o nessuna fiducia esiste fra le macchine, l'autenticazione più rigorosa è richiesta.

Se pensate a questo proposito, gli esseri umani esercitano le regole simili. Per esempio, se il vostro amico migliore venisse al vostro portello anteriore, lo lascereste a destra dentro. Perchè non? Se lo fidate di. Tuttavia, se uno sconosciuto totale venisse battendo, richiedereste che si identifica.

Metodi di autenticazione

Anche se non potreste realizzarli, state autenticandi costantemente. Per esempio, potreste dovere fornire un username e una parola d'accesso per usare c'è ne di seguenti servizi:

- il vostro collegamento del Internet

- luoghi del ftp

- servizi del telnet e clienti delle coperture

Infatti, oggi, la maggior parte dei luoghi abbonamento-basati di fotoricettore richiedono un username e una parola d'accesso. Siete sottoposti ai livelli elevati dell'autenticazione ogni giorno. Conoscete che cosa quel mezzi? Il Internet non se li fida semplicemente!

Autenticare gli esseri umani, quindi, coinvolge uno schema di parola d'accesso. (alcuni modelli impiegano uno schema semplice di username/password, mentre altri possono essere più complessi, quali i sistemi di sfid-risposta basati sulle parole d'accesso di una volta. Il risultato finale è lo stesso, l'utente di though.the o ha la parola d'accesso corretta o non.)

Le macchine possono essere autenticate in altri sensi, secondo il loro rapporto di fiducia. Per esempio, una macchina può essere autenticata dal relativo nome ospite o da un indirizzo di fonte del IP. Usando le entrate di RHOSTS è una procedura comune per la messa in opera del questo.

RHOSTS

Il sistema di RHOSTS può essere usato per stabilire un rapporto di fiducia fra le macchine. È descritto nella pagina manuale di Solaris:

/ ecc/ospiti. le lime dei rhosts ed equivalenti forniscono "la base di dati di autenticazione a distanza" per rlogin(1), rsh(1), rcp(1) e rcmd(3N). Le lime specificano gli elaboratori remoti e gli utenti che sono considerati "fidati di." Agli utenti di fiducia sono permessi accedere al sistema locale senza fornire una parola d'accesso.

le lime di hosts.equiv sono essenzialmente lime di configurazione dei rhosts per l'intero sistema. Questi sono regolati dalla radice ed applicano il hostwide. In opposizione, le lime dei rhosts utente-sono basate e si applicano soltanto agli utenti ed agli indici particolari. (ecco perchè gli utenti dovrebbero essere limitati dal fare le loro proprie lime dei rhosts. Questi più piccoli fori aperti dappertutto il sistema.)

Questa lima specifica che le quattro macchine chiamate (ed il hickory degli utenti, dickory, documento e mouse) ora si fidano di. Questi possono accedere alla macchina locale con i servizi della r senza essere sottoposto all'autenticazione di parola d'accesso.

Per realizzare il processo (e generare un rapporto bidirezionale di fiducia), tutti e quattro le delle macchine devono anche effettuare le entrate del rhost.

I servizi della r consistono di seguenti applicazioni:

inizio attività di rlogin.Remote. Ciò funziona di modo molto simile al telnet ed offre una sessione di remote login.

coperture di rsh.Remote. Ciò permette agli utenti di fare funzionare gli ordini delle coperture sulla scatola a distanza.

copia di lima di rcp.Remote. Ciò permette agli utenti di copiare le lime da locale alle macchine a distanza e viceversa.

ordine di rcmd.Remote. Ciò permette agli utenti privilegiati di eseguire gli ordini sugli elaboratori remoti.

Tutti e quattro i servizi della r usano/ecc/ospiti. equivalente o. i rhosts permettono/negano lo schema per gli scopi di fiducia. Nessuna fiducia esiste se queste lime sono vuote o non esistono e quindi un attacco spoofing (di questa varietà) non può accadere.

L'autenticazione che allora si presenta a durata del collegamento, è basata solamente sull'indirizzo di fonte del IP. Ciò è conosciuta per essere un modello difettoso, poichè Steve M. Bellovin spiega nei suoi problemi di carta di sicurezza nel suite di protocollo di TCP/IP:

Se disponibile, il meccanismo più facile da abusare è percorso di fonte del IP. Supponga che l'ospite dell'obiettivo usa l'inverso dell'itinerario di fonte fornito in una richiesta aperta di TCP per traffico di ritorno. Tale comportamento è assolutamente ragionevole; se il creatore del collegamento desidera specificare un percorso particolare per qualche reason.say, perché l'itinerario automatico è dead.replies non può raggiungere il creatore se un percorso differente è seguito.

Il attacker può allora selezionare tutto l'indirizzo di fonte del IP voluto, compreso quello di una macchina di fiducia sulla rete locale dell'obiettivo. Tutte le facilità disponibili a tali macchine diventano disponibili al attacker.

I seguenti punti sono stati stabiliti per ora:

1. La fiducia e l'autenticazione hanno un rapporto inverso; più risultati di fiducia nella meno autenticazione rigorosa.

2. L'autenticazione iniziale è basata sull'indirizzo di fonte nei rapporti di fiducia.

3. L'autenticazione di indirizzo di fonte del IP è non fidata perché gli indirizzi del IP (e la maggior parte dei campi di un'intestazione del IP) possono essere forgiati.

4. Un rapporto di fiducia di un certo genere deve esistere affinchè un attacco spoofing funzioni.

Da questa, potete congetturare una delle ragioni per le quali il IP che spoofing ha realizzato la condizione di cult nella Comunità del cracker. La maggior parte dei attacchi spezzantesi hanno contato storicamente sugli schemi di parola d'accesso; i cracker ruberebbero/lima passwd/ecc e lo spezzerebbero. Farebbero il loro lavoro sporco dopo che ottiene la parola d'accesso della radice (ed almeno un utente login/password). Nello spoofing, tuttavia, nè un username nè una parola d'accesso è passato durante l'attacco. La frattura di sicurezza si presenta ad un livello molto discreto.

Un altro IP di motivo che spoofing ha guadagnato molto notoriety è che può essere usato come elemento chiave in altre forme dell'attacco. Un esempio di questo è conosciuto come "sessione che dirotta," che è descritta nella sezione seguente.

ciò è un articolo aggiunto da Edith Ledwin


Diniego: Il nostro Web site non è responsabile delle informazioni contenute da questo articolo. Questo articolo in nessun modo riflette le viste, le opinioni, i pensieri o la credenza del personale dell'indice degli articoli.

Avviso di traduzione: L'articolo "fondamenti di sicurezza del Internet" è stato tradotto usando un servizio di traduzione automatizzato. Chiediamo scusa francamente per tutti gli errori di traduzione che hanno accaduto. Grazie per capire.


Online: 1258 users browsing the articles directory