Ident server - popis a vyuzitie.

Definicia

Ident server vzdialene identifikuje pouzivatela, ktory sa z jedneho systemu (nazvime ho klientom) pripaja na druhy system (nazvime ho serverom). Server, ak na klientovom pocitaci bezi ident server, to moze vyuzit a zistit, ktory z pouzivatelov na klientovi vyvolal ktore-to spojenie. Iny mod vyuzitia ident servera spociva v tom, ze ten vrati zakodovany retazec, ktory je mozne dodatocne rozkodovat spravcom servera z ktoreho sa pouzivatel pripajal, a zistit o ktoreho pouzivatela islo (zo zakodovaneho retazca to nemusi byt jasne). Takymto modom prace ident servera sa v tomto dokumente nebudeme zaoberat, nakolko jeho vyuzitie v nasom pripade nema de facto zmysel.

Vyuzitie

Ident servery vznikli a casto byvaju pouzivane na systemoch typu UNIX, kde byva(lo) bezne ze jeden pocitac vyuziva naraz niekolko pouzivatelov, ale v sucasnosti byvaju ident servery vyuzivane aj na branach, za ktorymi sa nachadza viac pouzivatelov, pricom vsetci pristupuju do internetu s rovnakou adresou - adresou brany. Taktiez je mozne ident server vyuzit na pocitacoch ktore vyuziva striedavo viac ludi na ich okamzitu identifikaciu.

Moznosti

Ident server umoznuje identifikovat iba vlastnikov existujucich spojeni a to len medzi systemami medzi ktorymi tieto spojenia neexistuju. Ak sa klient pripoji na server, iba ten server si moze toho klienta overit, a moze tak urobit len pocas trvania dotycneho spojenia. Netreba sa preto obavat ohrozenia sukromia pouzivatelov v suvislosti so sluzbou ident.

Doveryhodnost

Ident NIE JE plnohodnotna autentizacia pouzivatela a nesmie byt za nu pokladany. Jeho vyuzitie je len informacne, v prospech servera (pre ucel rozlisenia pouzivatelov ako na IRC, logovanie za ucelom trasovania problemov) alebo klienta (rozlisenie pouzivatelov v pripade nekalych aktivit). Napriek tomu sa vsak zvykne v znacnej miere pouzivat

Vyuzitie na IRC

Na IRC je ident server vyuzivany pre zistenie pouzivatelskeho mena pouzivatela ktory sa na IRC server pripoji. Takto je mozne jednoznacne identifikovat kazdeho pouzivatela automaticky pri pripojeni sa, a na zaklade tejto identifikacie je mozne regulovat ich pristup.

Vyhody

Vzhladom na to ze IRC z bezpecnostnych dovodov obmedzuje jednotlivym pouzivatelom pocet pristupov na IRC, je ident vitana sluzba pre vsetky systemy alebo brany ktore zvykne vyuzivat viac ludi - je mozne ochranovat IRC pred pokusmi o pretazenie a zneuzivanie vytvorenim velkeho poctu spojeni bez toho, aby bolo jednotlivym pouzivatelom branene v pripajani sa. Dalej, pretoze je mozne pouzivatelov identifikovat, je mozne pristupovat k nim oddelene a v pripade problemov je mozne odobrat jednotlivym pouzivatelom moznost pripojit sa na IRC alebo IRC kanaly bez toho aby boli ovplyvneni ostatni pouzivatelia systemu.

Typy

Ident server vracia na poziadanie meno pouzivatela ktory ma otvorene spojenie a ohlasi sa tiez typom operacneho systemu na ktorom bezi. Typy systemov, s ktorymi IRC servery pracuju, su UNIX a OTHER. Podla toho, aky typ systemu je vrateny (a ci je vrateny) IRC server postupuje pri identifikacii pouzivatela na IRC.

Prejav

Ident demon sa na IRC prejavi tym, aky znak ma pouzivatel pred informaciami o sebe (userhost). Pouzivatel sa na IRC prihlasuje tym, ze uvedie svoje pouzivatelske meno, pocitac z ktoreho je pripojeny, server na ktory je pripojeny a svoje plne meno:
USER niekto pocitac.sk irc.server.sk :Ja som niekto!
IRC server si vsetky tieto informacie overi. Co sa tyka pouzivatelskeho mena (v tomto pripade "niekto", IRC server postupuje nasledovne: Pred pouzivatelske meno byva este na IRC pridany jednoznakovy prefix, vdaka ktoremu je mozne zistit, ci je pouzivatelske meno vratene ident serverom alebo zadane pouzivatelom, a teda, do akej miery je spolahlive pri urcovani totoznosti pouzivatela. Popis pouzivatelskych prefixov
. Meno pouzivatela vratene IDENT serverom typu OTHER je mozne si zistit prikazom /stats l pouzivatel. Server, na ktory je tento pouzivatel pripojeny, vrati v odpovedi (okrem ineho) aj pouzivatelske meno vratene ident serverom.

Servery

Pre operacne systemy typu UNIX existuje niekolko ident serverov z roznymi schopnostami. Vacsina z nich umoznuje fungovat v popisanom rezime. Niektore dokazu kodovat alebo falsovat vratene pouzivatelske mena co nie je dobry napad. Pre UNIXove systemy pripajajuce sa priamo na server (nie cez firewall alebo proxy) existuje ident server pidentd.
Existuju tiez autorovi stranky 2 zname ident servery, ktore dokazu identifikovat pouzivatelov pripajajucich sa cez gatewaye (nie cez proxy servery!):
midentd ktory vsak nie je mozne v sucasnosti nakonfigurovat tak, aby splnal poziadavky kladene IRC servermi a teda jeho pouzivanie je neodporucane
a oidentd. Tento treba pre spravne pouzitie nakonfigurovat do maskaradoveho rezimu, aby vracal pouzivatelske "meno" podla toho, z ktoreho pocitaca prichadza spojenie ktore si chce server overit. V takomto pripade bude kazdy pocitac vystupovat ako jeden pouzivatel co je ziadane vyuzitie ident servera. Bohuzial pracuje len na OS linux, FreeBSD a OpenBSD. Ostatne operacne systemy zatial podporovane nie su.
Existuju aj ident servery pre operacne systemy Windows NT a Windows 95/98.

Obmedzenia

Maxmialna dlzka ident odpovede smie byt 9 znakov. Dlhsie nebudu akceptovane, mozu sposobovat problemy a budu eliminovane.
v identifikacnom retazci sa smu vyskytovat pismena ASCII tabulky, cislice a niektore specialne znaky (. - _), specialne znaky sa nesmu vyskytovat bezprostredne za sebou.

Varovanie!

V pripade ze ident demon bude vracat nepravdive informacie: bude pristup z dotycnej adresy ZAKAZANY a je len mala sanca ze bude znovu povoleny! IRC siet sa musi branit falosnej identifikacii - tato je brana ako ziadna pripadne este horsie. Preto konfigurujte identd opatrne.
V pripade ak budu mat pouzivatelia moznost zakazat si identifikovanie, riskuju zakaz pristupu na vsetkych pouzivatelov bez identifikacie.