Ident

Ident protokol (popsaný v RFC 1413) jeinternetový protokol sloužící k ověření identifikace uživatele pomocí samostatného TCP spojení. Nejznámějším démonem poskytujícím tuto službu je identd.

Jak Ident pracuje

Protokol Ident byl navrhnut jako serverová aplikace běžící na uživatelově počítači, kde naslouchá na specifickém portu, obvykle portu 113. Server jako odezvu v odpovědi na požadavek odešle uživatelské jméno právě přihlášeného uživatele.

Užitečnost protokolu

Ident je považován za užitečný protokol, protože je schopen zjistit jméno osoby, která vytvořila spojení na určitý server, což může zamezit zneužití služby a/nebo se používá pro účely statistik. Je užitečný také z toho důvodu, že na operačních systémechmůže být přihlášeno více uživatelů zároveň. Tento protokol je ale neúčinný, pokud je zdrojem zneužití služby administrátor počítače. Pro některé stupně zabezpečení se také ident může rozhodovat podle reverzního DNS záznamu.

Bezpečnost

Filtrování ident portu může při připojování k některým službám nebo serverům způsobit časové prodlevy. Protože ident server odpovídá na jakýkoliv požadavek a v odpovědi posílá uživatelské jméno osoby přihlášené na počítači, je dobré nastavit filtrovací pravidla na firewallu tak, aby neodpovídal na požadavky z počítačů, se kterými není navázáno žádné spojení.

Ident protokol není považován za příliš bezpečný, protože umožňuje hackerům získat seznam uživatelských jmen, který může být později využit pro počítačový útok. Všeobecně uznávané řešení je proto vytvořit všeobecný nebo automaticky generovaný identifikátor, vracející napříkladKerberos tickety namísto uživatelských jmen.

Na UN*Xových systémech je identd služba obvykle spouštěna pomocí inetd/tcp, xinetd nebo jeslinkován s knihovnou libwrap umožňující používatTCP Wrapper a jeho pravidla:

etc/hosts.allow

 identd, authd: .intranet.lan, mail.isp.tld, ssh.isp.tld, irc.isp.tld, ftp.isp.tld

Využití

Ident je důležitý pro správné fungování služby IRC pro rozlišení jednotlivých uživatelů. Bez ident by nebylo možné blokovat problémové uživatele, jedině blokováním celé IP adresy, čímž by ale mohl být znemožněn přístup ostatním uživatelům používajícím stejný počítač. V případě, že IRC server nedostane na ident požadavek odpověď, použije zpravidla uživatelské jméno poskytnuté IRC klientem. IRC server takového uživatele obvykle označí prefixem „~“ (tilda), čímž indikuje, že jejich přezdívka mohla být zfalšována. Některé ostatní servery uživatele bez ident rovnou zablokují.