Хост-модель

В компьютерных сетях модель хоста представляет собой вариант проектирования стека TCP/IP сетевой операционной системы, такой как Microsoft Windows или Linux . Когда одноадресный пакет прибывает на хост , IP должен определить, предназначен ли пакет локально (его пункт назначения соответствует адресу, назначенному интерфейсу хоста). Если стек IP реализован со слабой моделью хоста, он принимает любой пакет, предназначенный локально, независимо от сетевого интерфейса, на котором пакет был получен. Если стек IP реализован с использованием строгой модели хоста, он принимает пакеты, предназначенные локально, только в том случае, если IP-адрес назначения в пакете соответствует IP-адресу, назначенному сетевому интерфейсу, на котором был получен пакет.

Модель слабого хоста обеспечивает лучшее сетевое соединение (например, можно легко найти любой пакет, поступающий на хост, с помощью обычных инструментов), но она также делает хосты уязвимыми для нескольких домов сетевых атак на основе . Например, в некоторых конфигурациях, когда система со слабым хостом подключена к VPN, другие системы в той же подсети могут поставить под угрозу безопасность VPN-соединения. Системы, использующие модель сильного хоста, не подвержены атакам этого типа. ^{[ 1 ]}

в Реализация IPv4 версиях Microsoft Windows , предшествующих Windows Vista, использует модель слабого хоста. Windows Vista и Windows Server 2008 Стек TCP/IP поддерживает модель сильного хоста как для IPv4, так и для IPv6 и настроен на ее использование по умолчанию. Однако его также можно настроить на использование модели слабого хоста. ^{[ 2 ]}

в Реализация IPv4 Linux по умолчанию использует модель слабого хоста. Проверка источника по обратному пути, как указано в RFC 1812, может быть включена (опция rp_filter), и некоторые дистрибутивы делают это по умолчанию. Это не совсем то же самое, что модель сильного хоста, но она защищает от атак того же класса, что и типичные многодомные хосты. arp_ignore и arp_announce также можно использовать для настройки этого поведения.

Современные BSD ( FreeBSD , NetBSD , OpenBSD и DragonflyBSD ) по умолчанию используют модель слабого хоста. OpenBSD, начиная с версии 6.6, по умолчанию поддерживает надежную модель хоста, «если и только переадресация IP отключена», ^{[ 3 ]} при включенной переадресации IP (и для более старых версий) он поддерживает проверку источника обратного пути через свой брандмауэр pf , используя опцию urpf-failed, в то время как Free-, Net- и DragonflyBSD предоставляют глобальные параметры sysctl .

См. также

uRPF

Ссылки

^ Толли, Уильям Дж. (04 декабря 2019 г.). «[CVE-2019-14899] Обнаружение и перехват TCP-соединений, туннелированных через VPN» . Список рассылки по безопасности с открытым исходным кодом . Проверено 20 февраля 2020 г.
^ Дэвис, Джозеф (07 сентября 2016 г.). «Модели сильного и слабого хозяина кабельщика» . Майкрософт Технет . Проверено 20 февраля 2020 г.
^ Недведицкий, Александр (08.12.2019). «внимание: поведение IP-стека хоста немного изменилось» . Список рассылки openbsd-tech . Проверено 20 февраля 2020 г.

Внешние ссылки

RFC 1122 — Требования к интернет-хостам — коммуникационные уровни
«vlan(4), собственный vlan/vlan1, поведение OpenBSD и NetBSD» . 14 декабря 2005 г.

Эта сетью , связанном с о программном обеспечении статья , незавершена . Вы можете помочь Википедии, расширив ее .

[1] Толли, Уильям Дж. (04 декабря 2019 г.). «[CVE-2019-14899] Обнаружение и перехват TCP-соединений, туннелированных через VPN» . Список рассылки по безопасности с открытым исходным кодом . Проверено 20 февраля 2020 г.

[2] Дэвис, Джозеф (07 сентября 2016 г.). «Модели сильного и слабого хозяина кабельщика» . Майкрософт Технет . Проверено 20 февраля 2020 г.

[3] Недведицкий, Александр (08.12.2019). «внимание: поведение IP-стека хоста немного изменилось» . Список рассылки openbsd-tech . Проверено 20 февраля 2020 г.

[ 1 ]

[ 2 ]

[ 3 ]