Protocolo de identificación

Protocolo de Internet que ayuda a identificar al usuario de una conexión TCP particular

El protocolo Ident ( Identification Protocol , Ident ), especificado en RFC 1413, es un protocolo de Internet que ayuda a identificar al usuario de una conexión TCP en particular. Un programa demonio popular para proporcionar el servicio ident es identd .

Función

El protocolo Ident está diseñado para funcionar como un demonio servidor en la computadora de un usuario , donde recibe solicitudes a un puerto TCP especificado , generalmente el 113. En la consulta, un cliente especifica un par de puertos TCP (un puerto local y uno remoto), codificados como decimales ASCII y separados por una coma (,). Luego, el servidor envía una respuesta que identifica el nombre de usuario del usuario que ejecuta el programa que usa el par de puertos TCP especificado, o especifica un error.

Supongamos que el host A desea saber el nombre del usuario que se conecta a su puerto TCP 23 ( Telnet ) desde el puerto 6191 del cliente (host B). El host A abriría entonces una conexión al servicio de identificación en el host B y emitiría la siguiente consulta:

6191, 23

Como las conexiones TCP generalmente utilizan un único puerto local (6191 en este caso), el host B puede identificar de forma inequívoca el programa que ha iniciado la conexión especificada con el puerto 23 del host A, en caso de que exista. El host B emitiría entonces una respuesta, identificando al usuario ("stjohns" en este ejemplo) propietario del programa que inició esta conexión y el nombre de su sistema operativo local :

6193, 23 : ID DE USUARIO : UNIX : stjohns

Pero si resultara que no existe tal conexión en el host B, emitiría una respuesta de error:

6195, 23 : ERROR : NO USUARIO

Todos los mensajes de identificación deben estar delimitados por una secuencia de fin de línea que consiste en los caracteres de retorno de carro y avance de línea (CR+LF). ^[1]

Utilidad de la identificación

Los hosts de acceso telefónico o los servidores de shell compartidos suelen proporcionar una identificación para permitir que el abuso se rastree hasta usuarios específicos. En el caso de que el abuso se maneje en este host, la preocupación por confiar en el demonio de identificación es en su mayoría irrelevante. La suplantación del servicio y las preocupaciones por la privacidad se pueden evitar proporcionando tokens criptográficamente fuertes en lugar de nombres de usuario reales.

Si los administradores del servicio al que se conectan los usuarios mediante el host que proporciona la identificación deben gestionar el abuso, el servicio de identificación debe proporcionar información que identifique a cada usuario. Por lo general, a los administradores del servicio remoto les resulta imposible saber si los usuarios específicos se están conectando a través de un servidor confiable o desde una computadora que ellos mismos controlan. En este último caso, el servicio de identificación no proporciona información confiable.

La utilidad de Ident para demostrar una identidad conocida a un host remoto se limita a circunstancias en las que:

• El usuario que se conecta no es el administrador de la máquina. Esto solo es posible en el caso de hosts que proporcionan acceso a shell de Unix , servidores compartidos que utilizan una construcción similar a suEXEC y similares.
• Se confía en los administradores de la máquina y se conoce su política de usuarios. Esto es más probable en el caso de los hosts que se encuentran en un dominio de seguridad común, como por ejemplo dentro de una misma organización.
• Uno confía en que la máquina es la máquina que dice ser y conoce esa máquina. Esto sólo se puede organizar fácilmente para los hosts en una red de área local o red virtual donde todos los hosts en la red son confiables y no se pueden agregar nuevos hosts fácilmente debido a la protección física. En redes locales normales y remotas, las respuestas de identidad falsas se pueden lograr mediante suplantación de IP y, si se utiliza DNS, mediante todo tipo de trucos de DNS. El demonio de identidad puede proporcionar respuestas firmadas criptográficamente que, si se pueden confirmar, resuelven estos últimos problemas, pero no los primeros.
• No existen obstáculos intermedios para conectarse a identd, como firewall, NAT o proxy (como si estuviera usando ident con Apache httpd). Estos son casos comunes cuando se pasa de un dominio de seguridad a otro (como con servidores HTTP o FTP públicos).

Seguridad

El protocolo ident se considera peligroso porque permite a los piratas informáticos obtener una lista de nombres de usuario en un sistema informático que luego puede usarse para realizar ataques. Una solución generalmente aceptada para esto es configurar un identificador genérico/generado, que devuelva información del nodo o incluso un galimatías (desde el punto de vista de los solicitantes) en lugar de nombres de usuario. El administrador de ident puede convertir este galimatías en nombres de usuario reales cuando se le contacte sobre un posible abuso, lo que significa que se conserva la utilidad para rastrear el abuso.

Usos

La identidad es importante en IRC, ya que una gran cantidad de personas se conectan a IRC desde un servidor compartido por varios usuarios, a menudo mediante un rebotador . Sin la identidad, no habría forma de banear a un solo usuario sin banear a todo el servidor. El administrador del servidor también puede usar esta información para identificar al usuario abusivo.

En la mayoría de las redes IRC, cuando el servidor no obtiene una respuesta de identificación, recurre al nombre de usuario proporcionado por el cliente, pero lo marca como "no verificado", generalmente anteponiéndolo con una tilde; por ejemplo, ~josh . Algunos servidores IRC incluso llegan a bloquear a los clientes sin una respuesta de identificación, ^[2] la razón principal es que hace que sea mucho más difícil conectarse a través de un " proxy abierto " o un sistema en el que se ha comprometido una sola cuenta de algún tipo pero no se tiene root (en sistemas tipo Unix, solo el root puede escuchar conexiones de red en puertos inferiores a 1024).

Sin embargo, Ident no proporciona ninguna autenticación adicional cuando el usuario se conecta directamente desde su computadora personal, en la que tiene suficientes privilegios para controlar también el demonio Ident. ^[1]

Véase también

• oidentd (para sistemas tipo Unix)
• SMTP
• Programa Nacional de Pruebas Nucleares (NNTP)
• SSH
• Proxies SOCKS

Referencias

1. Johns, Michael (febrero de 1993). Protocolo de identificación. IETF . doi : 10.17487/RFC1413 . RFC 1413 . Consultado el 1 de abril de 2013 .
2. "Noticias para IRCNet-Nutzer bei T-Online". operadores alemanes de IRCnet . Consultado el 26 de diciembre de 2011 .

Lectura adicional

• RFC 912 – Servicio de autenticación
• RFC 931 – Servidor de autenticación
• Daniel J. Bernstein : Borrador de Internet del TAP, junio de 1992
• Daniel J. Bernstein : ¿Por qué TAP? Libro blanco, 20 de agosto de 1992
• RFC 1413 – Protocolo de identificación
• RFC 1414 – Identificación MIB
• Peter Eriksson: TAPvsIDENT, 1993-11-03
• Damien Doligez : ¿Por qué cifrar las respuestas ident/TAP?, 22 de febrero de 1994