Ident
Ident protokol (popsaný v RFC 1413) je internetový protokol sloužící k ověření identifikace uživatele pomocí samostatného TCP spojení. Nejznámějším démonem poskytujícím tuto službu je identd.
Jak Ident pracuje
Protokol Ident byl navržen jako serverová aplikace běžící na uživatelově počítači, kde naslouchá na specifickém portu, obvykle portu 113. Server jako odezvu v odpovědi na požadavek odešle uživatelské jméno právě přihlášeného uživatele.
Užitečnost protokolu
Ident je považován za užitečný protokol, protože je schopen zjistit jméno osoby, která vytvořila spojení na určitý server, což může zamezit zneužití služby a/nebo se používá pro účely statistik. Je užitečný také z toho důvodu, že na operačních systémech může být přihlášeno více uživatelů zároveň. Tento protokol je ale neúčinný, pokud je zdrojem zneužití služby administrátor počítače. Pro některé stupně zabezpečení se také ident může rozhodovat podle reverzního DNS záznamu.
Bezpečnost
Filtrování ident portu může při připojování k některým službám nebo serverům způsobit časové prodlevy. Protože ident server odpovídá na jakýkoliv požadavek a v odpovědi posílá uživatelské jméno osoby přihlášené na počítači, je dobré nastavit filtrovací pravidla na firewallu tak, aby neodpovídal na požadavky z počítačů, se kterými není navázáno žádné spojení.
Ident protokol není považován za příliš bezpečný, protože umožňuje hackerům získat seznam uživatelských jmen, který může být později využit pro počítačový útok. Všeobecně uznávané řešení je proto vytvořit všeobecný nebo automaticky generovaný identifikátor, vracející například Kerberos tickety namísto uživatelských jmen.
Na UN*Xových systémech je identd služba obvykle spouštěna pomocí inetd/tcp, xinetd nebo je slinkován s knihovnou libwrap umožňující používat TCP Wrapper a jeho pravidla:
etc/hosts.allow identd, authd: .intranet.lan, mail.isp.tld, ssh.isp.tld, irc.isp.tld, ftp.isp.tld
Využití
Ident je důležitý pro správné fungování služby IRC pro rozlišení jednotlivých uživatelů. Bez ident by nebylo možné blokovat problémové uživatele, jedině blokováním celé IP adresy, čímž by ale mohl být znemožněn přístup ostatním uživatelům používajícím stejný počítač. V případě, že IRC server nedostane na ident požadavek odpověď, použije zpravidla uživatelské jméno poskytnuté IRC klientem. IRC server takového uživatele obvykle označí prefixem „~“ (tilda), čímž indikuje, že jejich přezdívka mohla být zfalšována. Některé ostatní servery uživatele bez ident rovnou zablokují.
Související články
- Internet Relay Chat (IRC)
- File Transfer Protocol (FTP)
- Simple Mail Transfer Protocol (SMTP)
- Network News Transfer Protocol (NNTP)
- Secure Shell (SSH)