Protocolo de identificación

Protocolo de Internet que ayuda a identificar al usuario de una conexión TCP particular

El Protocolo de identificación ( Protocolo de identificación , Ident ), especificado en RFC 1413, es un protocolo de Internet que ayuda a identificar al usuario de una conexión TCP particular . Un programa demonio popular para proporcionar el servicio de identificación es identd .

Función

El protocolo Ident está diseñado para funcionar como un demonio servidor , en la computadora de un usuario , donde recibe solicitudes a un puerto TCP específico , generalmente 113. En la consulta, un cliente especifica un par de puertos TCP (uno local y uno remoto). puerto), codificados como decimales ASCII y separados por una coma (,). Luego, el servidor envía una respuesta que identifica el nombre de usuario del usuario que ejecuta el programa que utiliza el par de puertos TCP especificado, o especifica un error.

Supongamos que el host A quiere saber el nombre del usuario que se está conectando a su puerto TCP 23 ( Telnet ) desde el puerto 6191 del cliente (host B). Luego, el host A abriría una conexión al servicio de identificación en el host B y emitiría el siguiente consulta:

6191, 23

Como las conexiones TCP generalmente usan un puerto local único (6191 en este caso), el host B puede identificar sin ambigüedades el programa que ha iniciado la conexión especificada al puerto 23 del host A, en caso de que exista. Luego, el host B emitiría una respuesta, identificando al usuario ("stjohns" en este ejemplo) propietario del programa que inició esta conexión y el nombre de su sistema operativo local :

6193, 23: ID DE USUARIO: UNIX: stjohns

Pero si resulta que no existe tal conexión en el host B, en su lugar emitirá una respuesta de error:

6195, 23: ERROR: SIN USUARIO

Todos los mensajes de identificación deben estar delimitados por una secuencia de final de línea que consta de caracteres de retorno de carro y avance de línea (CR+LF). ^[1]

Utilidad de la identificación

Los hosts de acceso telefónico o los servidores shell compartidos a menudo proporcionan una identificación para permitir que el abuso se rastree hasta usuarios específicos. En el caso de que se maneje el abuso en este host, la preocupación sobre confiar en el demonio de identificación es prácticamente irrelevante. La suplantación del servicio y los problemas de privacidad se pueden evitar proporcionando distintos tokens criptográficamente fuertes en lugar de nombres de usuario reales.

Si el abuso debe ser manejado por los administradores del servicio al que se conectan los usuarios utilizando el host que proporciona la identificación, entonces el servicio de identificación debe proporcionar información que identifique a cada usuario. Por lo general, a los administradores del servicio remoto les resulta imposible saber si usuarios específicos se conectan a través de un servidor confiable o desde una computadora que ellos mismos controlan. En este último caso, el servicio de identificación no proporciona información fiable.

La utilidad de Ident para demostrar una identidad conocida a un host remoto se limita a circunstancias en las que:

• El usuario que se conecta no es el administrador de la máquina. Esto solo es probable para hosts que brindan acceso al shell Unix , servidores compartidos que utilizan una construcción similar a suEXEC y similares.
• Se confía en los administradores de la máquina y se conoce su política de usuario. Esto es más probable para hosts en un dominio de seguridad común, como dentro de una sola organización.
• Uno confía en que la máquina es la máquina que dice ser y la conoce. Esto sólo se puede organizar fácilmente para hosts en una red de área local o red virtual donde todos los hosts de la red son confiables y no se pueden agregar nuevos hosts fácilmente debido a la protección física. En redes locales remotas y normales, se pueden lograr respuestas de identidad falsas mediante suplantación de IP y, si se utiliza DNS, mediante todo tipo de engaños de DNS. El demonio ident puede proporcionar respuestas firmadas criptográficamente que, si se pueden confirmar, resuelven estas últimas, pero no las primeras, preocupaciones.
• No existen obstáculos intermedios para conectarse a identd, como firewall, NAT o proxy (como si estuviera usando ident con Apache httpd). Estos son sucesos comunes cuando se pasa entre dominios de seguridad (como ocurre con los servidores HTTP o FTP públicos ).

Seguridad

El protocolo ident se considera peligroso porque permite a los piratas informáticos obtener una lista de nombres de usuario en un sistema informático que luego pueden utilizar para ataques. Una solución generalmente aceptada para esto es configurar un identificador genérico/generado, devolviendo información del nodo o incluso galimatías (desde el punto de vista de los solicitantes) en lugar de nombres de usuario. El administrador de identidad puede convertir este galimatías en nombres de usuario reales cuando se le contacta sobre un posible abuso, lo que significa que se preserva la utilidad para rastrear el abuso.

Usos

La identidad es importante en IRC ya que una gran cantidad de personas se conectan a IRC desde un servidor compartido por varios usuarios, a menudo utilizando un portero . Sin Ident no habría manera de prohibir a un solo usuario sin prohibir todo el host. El administrador del servidor también puede utilizar esta información para identificar al usuario abusivo.

En la mayoría de las redes IRC, cuando el servidor no obtiene una respuesta de Ident, recurre al nombre de usuario proporcionado por el cliente, pero lo marca como "no verificado", generalmente anteponiendo una tilde; por ejemplo, ~josh . Algunos servidores IRC incluso llegan a bloquear clientes sin una respuesta de identificación, ^[2] la razón principal es que hace mucho más difícil conectarse a través de un " proxy abierto " o un sistema en el que se ha comprometido una sola cuenta de alguna forma, pero no tener root (en sistemas tipo Unix, solo root puede escuchar conexiones de red en puertos inferiores a 1024).

Sin embargo, Ident no proporciona autenticación adicional cuando el usuario se conecta directamente desde su computadora personal, en la que también tiene privilegios suficientes para controlar el demonio Ident. ^[1]

Ver también

• oidentd (para sistemas tipo Unix)
• SMTP
• NNTP
• SSH
• calcetines apoderados

Referencias

1. Johns, Michael (febrero de 1993). Protocolo de Identificación. IETF . doi : 10.17487/RFC1413 . RFC 1413 . Consultado el 1 de abril de 2013 .
2. "Noticias para IRCNet-Nutzer bei T-Online". operadores alemanes de IRCnet . Consultado el 26 de diciembre de 2011 .

Otras lecturas

• RFC 912 – Servicio de autenticación
• RFC 931 – Servidor de autenticación
• Daniel J. Bernstein : Borrador de TAP Internet, junio de 1992
• Daniel J. Bernstein : ¿Por qué TAP? Un libro blanco, 1992-08-20
• RFC 1413 – Protocolo de identificación
• RFC 1414 – MIB de identificación
• Peter Eriksson: TAPvsIDENT, 1993-11-03
• Damien Doligez : ¿Por qué cifrar las respuestas de ident/TAP?, 1994-02-22