Основы безопасности Интернета

Есть два повторяющихся тем в Интернете безопасности:

- Целевой

- подлинности

Целевой является взаимосвязь между машин, которым разрешено подключаться к друг другу. Подлинности - это процесс использования этих машин для определения друг друга.

Доверие и аутентификации обычно обратная связь. Таким образом, в случае высокого уровня доверия между машинами, жесткие аутентификация не требуется, чтобы соединение. С другой стороны, если практически не существует доверия между машинами, более жесткой аутентификации не требуется.

Если вы думаете о нем, человеку осуществлять аналогичные правила. Например, если ваш лучший друг пришел к вашей передней двери, нужно позволить ему право дюйма Почему? Вы ему доверие. Однако, если в общей сложности Странник пришел стучится, нужно требовать, чтобы он назвал себя.

Методы проверки подлинности

Хотя вы, возможно, не осознают, вы постоянно идентифицируется. Например, вы можете представить имя пользователя и пароль, чтобы использовать любой из следующих услуг:

- Ваш Интернет

- FTP сайтов

- Telnet услуг и корпуса счетов

По сути, сегодня, большинство - на основе подписки сайты требуют имя пользователя и пароль. Вы подвергается высоким уровнем аутентификации каждый день. Знаете ли вы, что это значит? Интернет просто не целевого Вас!

Идентификация людей, следовательно, предполагает пароль схемы. (Некоторые модели используют простое имя пользователя и пароль системы, в то время как другие могут быть более сложные, такие, как вызов - реакция системы на основе одноразовых паролей. Конечный результат такой же, хотя - пользователь либо имеет правильный пароль, или она делает нет.)

Машины могут быть удостоверена другими способами, в зависимости от их целевого отношения. Например, машина может быть удостоверена его имя хоста или адрес источника ИС. Использование RHOSTS позиций является общей процедурой для установления этой меры.

RHOSTS

В RHOSTS системы может быть использован, чтобы установить отношения доверия между машинами. Это говорится в Solaris Руководство Страница:

В / и т.д. / хостов. и эквивал. rhosts файлов обеспечивают "аутентификацию удаленных" данных для rlogin (1), rsh (1), rcp (1) и rcmd (3N). Файлы указать удаленных хостов и пользователей, которые считаются "доверять." Доверенным пользователям доступ к локальной системы без предоставления пароля.

hosts.equiv файлов по существу. rhosts файлов конфигурации для всей системы. Они устанавливаются корни и применять hostwide. В отличие. Rhosts файлов пользователей на основе и распространяется только на определенных пользователей и каталогов. (Именно поэтому пользователи должны быть ограничены от их собственных. rhosts файлов. Эти открытые мелких отверстий по всей системе.)

Этот файл определяет, что четыре машины с именем (и пользователи hickory, dickory, документ, и мышь) в настоящее время доверять. Они могут получать доступ к локальной машине через р услугам, не подвергаясь при этом пароль аутентификации.

Для завершения процесса (и создать двусторонний отношений доверия), все четыре машины должны также поддерживать rhost записей.

В р услуг состоит из следующих приложений:

rlogin - Удаленный вход. Это работает в очень аналогии с Telnet и обеспечивает удаленный вход сессии.

rsh - Удаленная корпуса. Это позволяет пользователям запускать команды оболочки на удаленном компьютере.

rcp - Удаленный файл скопировать. Это позволяет пользователям копировать файлы из местных дистанционного машины, и наоборот.

rcmd - Удаленная команда. Это позволяет привилегированных пользователей для выполнения команд на удаленных хостов.

Все четыре услуг р использовать / и т.д. / хостов. или эквивал. rhosts позволяет / отрицать схему целевого целей. Нет доверия существует, если эти файлы, пустые или нет, и, следовательно спуфинг атаки (от этой разновидности), не может произойти.

В подлинности, что происходит в связи времени, а затем, основывается исключительно на IP- адрес источника. Это, как известно, ошибочной модели, как Стив Белловин М. объясняет в своем документе Проблемы безопасности в TCP / IP Suite:

Если возможно, простейший механизм злоупотребления ИС маршрутизации источника. Предположим, что целевой хост использует обратной источник маршрута представлена в открытых TCP просьба о возвращении движения. Такое поведение является абсолютно разумным; Если составитель связи хотел бы указать путь частности, по какой-то причине, скажем, из-за автоматического маршрут погибших - ответы могут не достичь составителя, если иной путь подражания.

Нападавший может выбрать любой ИС адрес желаемого, в том числе доверенной машины на целевой локальной сети. Любые услуги такие машины становятся доступными для злоумышленника.

Следующие моменты были созданы сейчас:

1. Целевой и удостоверения имеют обратная связь; Больше доверия приводит к менее жесткие подлинности.

2. Первоначальная аутентификация на основе адреса источника в целевой отношений.

3. ИС адрес источника аутентификации является ненадежным, поскольку адреса (и наиболее областях ИС заголовок), можно подделать.

4. А доверие отношения рода должны существовать для спуфинга нападение на работу.

Исходя из этого, можно surmise одна из причин, IP- адресов добилась культовой статус в крекинг сообщества. Большинство трещин нападения исторически опирался на пароль схем; Крекеры бы кражи / и т.д. / passwd файл и крэк она. Они будут делать грязную работу после получения пароля (и по крайней мере одного пользователя логин / пароль). В спуфинг, однако, ни имя пользователя, ни пароль передается во время нападения. В нарушение безопасности происходит на очень дискретных уровне.

Другая причина IP- адресов приобрел известность многое, что она может быть использована в качестве ключевого элемента в рамках других форм нападения. Одним из примеров этого является известный как "сессия угон", которая описана в следующем разделе.