مدل میزبان

در شبکه‌های کامپیوتری، مدل میزبان گزینه ای برای طراحی پشته TCP/IP یک سیستم عامل شبکه‌ای مانند مایکروسافت ویندوز یا لینوکس است. هنگامی که یک بسته unicast به یک میزبان می‌رسد، IP باید تعیین کند که آیا بسته به صورت محلی انتخاب شده است (مقصد آن با یکی از آدرس‌های میزبان مطابقت دارد). اگر پشته IP با یک مدل میزبان ضعیف پیاده‌سازی شود، هر بسته با مقصد محلی را بدون در نظر گرفتن رابط شبکه ای که بسته در آن دریافت شده است، می‌پذیرد. اگر پشته IP با یک مدل میزبان قوی پیاده‌سازی شود، تنها در صورتی بسته‌های مقصد محلی را می‌پذیرد که آدرس IP مقصد در بسته با آدرس IP اختصاص داده شده به رابط شبکه ای، که بسته در آن دریافت شده است مطابقت داشته باشد.

مدل میزبان ضعیف اتصال شبکه بهتری را فراهم می‌کند (به عنوان مثال، می‌توان به راحتی هر بسته‌ای را که با استفاده از ابزارهای معمولی به میزبان می‌رسد پیدا کرد)، اما همچنین میزبان‌ها را مستعد حملات شبکه مبتنی بر چند خانه می‌کند. به عنوان مثال، در برخی از پیکربندی‌ها هنگامی که سیستمی که یک مدل میزبان ضعیف را اجرا می‌کند به یک VPN متصل می‌شود، سیستم‌های دیگر در همان زیرشبکه می‌توانند امنیت اتصال VPN را به خطر بیندازند. سیستم‌هایی که مدل میزبان قوی را اجرا می‌کنند، مستعد این نوع حمله نیستند.^[۱]

پیاده‌سازی IPv4 در نسخه‌های ویندوز مایکروسافت قبل از ویندوز ویستا از مدل میزبان ضعیف استفاده می‌کند. پشته TCP/IP Windows Vista و Windows Server 2008 از مدل میزبان قوی برای IPv4 و IPv6 پشتیبانی می‌کند و برای استفاده از آن به‌طور پیش فرض پیکربندی شده است. با این حال، می‌توان آن را برای استفاده از یک مدل میزبان ضعیف نیز پیکربندی کرد.^[۲]

پیاده‌سازی IPv4 در لینوکس به‌طور پیش فرض بر روی مدل میزبان ضعیف است. اعتبار سنجی منبع توسط مسیر معکوس، همان‌طور که در RFC 1812 مشخص شده است، می‌تواند فعال شود (گزینه rp_filter)، و برخی از توزیع‌ها به‌طور پیش فرض این کار را انجام می‌دهند. این کاملاً مشابه مدل میزبان قوی نیست، اما در برابر همان دسته از حملات برای میزبان‌های معمولی چند خانه ای دفاع می‌کند. از arp_ignore و arp_announce نیز می‌توان برای اصلاح این رفتار استفاده کرد.

BSDهای مدرن (FreeBSD، NetBSD، OpenBSD، و DragonflyBSD) همگی به‌طور پیش فرضشان مدل میزبان ضعیف است. OpenBSD از 6.6-current به‌طور پیش‌فرض از مدل میزبان قوی پشتیبانی می‌کند «اگر و فقط انتقال IP غیرفعال باشد»،^[۳] با ارسال IP فعال (و برای نسخه‌های قدیمی‌تر) از اعتبارسنجی منبع مسیر معکوس از طریق فایروال pf خود با استفاده از urpf-failed پشتیبانی می‌کند. گزینه، در حالی که Free-, Net-، و DragonflyBSD گزینه‌های sysctl جهانی را ارائه می‌دهند.

جستارهای وابسته

uRPF

منابع

↑ Tolley, William J. (2019-12-04). "[CVE-2019-14899] Inferring and hijacking VPN-tunneled TCP connections". Open Source Security Mailing List. Retrieved 2020-02-20.
↑ Davies, Joseph (2016-09-07). "The Cable Guy Strong and Weak Host Models". Microsoft Technet. Retrieved 2020-02-20.
↑ Nedvedicky, Alexandr (2019-12-08). "attention please: host's IP stack behavior got changed slightly". openbsd-tech mailing list. Retrieved 2020-02-20.

پیوند به بیرون

RFC 1122 - Requirements for Internet Hosts -- Communication Layers
"vlan(4), native vlan/vlan1, OpenBSD v.s. NetBSD behavior". 2005-12-14.

[1] Tolley, William J. (2019-12-04). "[CVE-2019-14899] Inferring and hijacking VPN-tunneled TCP connections". Open Source Security Mailing List. Retrieved 2020-02-20.

[2] Davies, Joseph (2016-09-07). "The Cable Guy Strong and Weak Host Models". Microsoft Technet. Retrieved 2020-02-20.

[3] Nedvedicky, Alexandr (2019-12-08). "attention please: host's IP stack behavior got changed slightly". openbsd-tech mailing list. Retrieved 2020-02-20.

[۱]

[۲]

[۳]