식별 프로토콜

RFC 1413에 지정된 식별 프로토콜(Identification Protocol, Identification)은 특정 TCP 연결의 사용자를 식별하는 데 도움이 되는 인터넷 프로토콜이다.식별 서비스를 제공하기 위한 인기 있는 데몬 프로그램은 식별된다.

함수

Identification Protocol은 사용자의 컴퓨터에서 서버 데몬으로 작동하도록 설계되었으며, 여기서 지정된 TCP 포트에 대한 요청을 수신한다(일반적으로 113).쿼리에서 클라이언트는 한 쌍의 TCP 포트(로컬 및 원격 포트)를 지정하여 ASCII 소수점(,)으로 인코딩하고 쉼표(,)로 구분한다.그런 다음 서버는 지정된 TCP 포트 쌍을 사용하는 프로그램을 실행하는 사용자의 사용자 이름을 식별하는 응답을 보내거나 오류를 지정한다.

호스트 A가 클라이언트(호스트 B) 포트 6191에서 TCP 포트 23(텔넷)에 연결하는 사용자의 이름을 알고 싶어한다고 가정합시다.그런 다음 호스트 A는 호스트 B의 식별 서비스에 대한 연결을 열고 다음 쿼리를 실행한다.

6191, 23

TCP 연결은 일반적으로 하나의 고유한 로컬 포트(이 경우 6191)를 사용하기 때문에 호스트 B는 존재하는 경우 호스트 A의 포트 23에 대한 특정 연결을 시작한 프로그램을 명확하게 식별할 수 있다.그런 다음 호스트 B는 이 연결을 시작한 프로그램과 로컬 운영 체제의 이름을 소유한 사용자를 식별하는 응답을 발행한다.

6193, 23 : USERID : UNIX : stjohns

그러나 호스트 B에 이러한 연결이 존재하지 않는 것으로 판명될 경우, 대신 다음과 같은 오류 응답을 발생시킨다.

6195, 23 : 오류 : 사용자 없음

모든 식별 메시지는 캐리지 리턴과 라인피드 문자(CR+LF)로 구성된 줄의 끝 순서로 구분해야 한다.^[1]

식별의 유용성

전화 접속 호스트나 공유 셸 서버는 종종 특정 사용자에게 오용을 추적할 수 있도록 식별 정보를 제공한다.이 호스트에서 남용이 처리되는 경우, 식별 데몬 신뢰에 대한 우려는 대부분 관련이 없다.실제 사용자 이름 대신 암호화된 방식으로 강력한 토큰을 제공함으로써 서비스 스푸핑과 개인정보 보호에 대한 우려를 피할 수 있다.

만약 사용자가 제공하는 식별 호스트를 사용하여 연결하는 서비스의 관리자에 의해 오용을 처리하려면, 식별 서비스는 각 사용자를 식별하는 정보를 제공해야 한다.일반적으로 원격 서비스의 관리자는 특정 사용자가 신뢰할 수 있는 서버를 통해 연결하는지 또는 자신이 제어하는 컴퓨터에서 연결하는지 알 수 없다.후자의 경우 식별 서비스는 신뢰할 수 있는 정보를 제공하지 않는다.

원격 호스트에 대해 알려진 ID를 증명하기 위한 Identification의 유용성은 다음과 같은 경우에 한정된다.

사용자가 연결하는 것은 컴퓨터의 관리자가 아니다.이는 Unix 셸 액세스를 제공하는 호스트, suEXEC와 유사한 구조를 사용하는 공유 서버 등에만 해당된다.
한 사람은 기계의 관리자를 신뢰하고 그들의 사용자 정책을 안다.이는 단일 조직 내에서와 같이 공통 보안 영역의 호스트에 대해 가장 가능성이 높다.
사람들은 기계가 자신이 주장하는 기계라고 믿고 그 기계를 안다.이는 네트워크의 모든 호스트를 신뢰하고 물리적 보호로 인해 새 호스트를 쉽게 추가할 수 없는 로컬 영역 네트워크 또는 가상 네트워크의 호스트에 대해서만 쉽게 배열된다.원격 및 일반 로컬 네트워크에서는 IP 스푸핑을 통해 거짓 식별 응답을 할 수 있으며, DNS를 사용하는 경우 모든 종류의 DNS 속임수를 사용하여 거짓 식별 응답을 수행할 수 있다.식별 데몬은 암호화된 서명으로 서명된 응답을 제공할 수 있으며, 이러한 응답을 확인할 수 있다면 이러한 응답을 처음이 아닌 마지막 문제를 해결할 수 있다.
방화벽, NAT 또는 프록시(예: Apache httpd와 함께 ID를 사용하는 경우)와 같은 ID에 연결하는 데 중간 장애물이 없다.이러한 상황은 보안 도메인 간(공용 HTTP 또는 FTP 서버와 동일)에서 흔히 발생한다.

보안

식별 프로토콜은 크래커가 나중에 공격에 사용될 수 있는 컴퓨터 시스템의 사용자 이름 목록을 얻을 수 있기 때문에 위험하다고 간주된다.이에 대한 일반적으로 받아들여지는 해결책은 사용자 이름보다는 일반/생성 식별자를 설정하거나 노드 정보를 반환하거나 심지어 (요청자의 관점에서) 횡설수설하는 것이다.이러한 횡설수설은 식별관리자가 남용 가능성에 대해 연락을 받았을 때 실제 사용자 이름으로 바뀔 수 있으며, 이는 악용 추적을 위한 유용성이 보존된다는 것을 의미한다.

사용하다

IRC에서는 다수의 사용자가 공유하는 서버에서 다수의 사람들이 IRC에 접속하기 때문에 IRC에서는 식별이 중요하다.Identification이 없다면 전체 호스트를 금지하지 않고 단일 사용자를 금지하는 방법은 없을 것이다.서버 관리자는 또한 이 정보를 사용하여 학대하는 사용자를 식별할 수 있다.

대부분의 IRC 네트워크에서 서버가 ID 응답을 받지 못하면 서버가 클라이언트가 제공한 사용자 이름으로 되돌아오지만 일반적으로 tild와 접두사를 붙여 "검증되지 않음"으로 표시한다.~josh. 일부 IRC 서버는 식별 응답 없이 클라이언트를 차단하기까지 하는데,^[2] 주된 이유는 "오픈 프록시"나 어떤 형식의 단일 계정을 손상시켰지만 루트가 없는 시스템을 통해 연결하는 것을 훨씬 더 어렵게 만들기 때문이다(유닉스 유사 시스템에서는 루트만 1024 이하의 포트에서 네트워크 연결을 청취할 수 있다).

그러나 ID는 사용자가 자신의 개인 컴퓨터에서 직접 연결할 때 추가 인증을 제공하지 않으며, 이 경우 ID 대몬도 제어할 수 있는 충분한 권한이 있다.^[1]

소프트웨어

oidentd(유닉스 유사 시스템용)
Replaneta Scan Identd(Windows의 경우, Unix Identd와 유사한 방식으로 여러 사용자를 지원)
Windows ID 서버.

참고 항목

IRC
FTP
SMTP
NNTP
SSH
SOCKS 프록시(SOCK)

참조

^ ^a ^b Johns, Michael (February 1993). Identification Protocol. IETF. doi:10.17487/RFC1413. RFC 1413. Retrieved 1 April 2013.
^ "News für IRCNet-Nutzer bei T-Online". german IRCnet opers. Retrieved 2011-12-26.

추가 읽기

RFC 912 – 인증 서비스
RFC 931 – Authentication Server
대니얼 J. 번스타인:TAP 인터넷 드래프트, 1992년 6월
대니얼 J. 번스타인:왜 TAP인가? 백서, 1992-08-20
RFC 1413 – 식별 프로토콜
RFC 1414 – 식별 MIB
피터 에릭슨: TAPvsIDENT, 1993-11-03
데미안 돌리지스:ID/TAP 응답을 암호화하는 이유, 1994-02-22

[rfc-1] Johns, Michael (February 1993). Identification Protocol. IETF. doi:10.17487/RFC1413. RFC 1413. Retrieved 1 April 2013.

[2] "News für IRCNet-Nutzer bei T-Online". german IRCnet opers. Retrieved 2011-12-26.

[1]

[2]

Search