Cómo autentica CRNP los clientes y el servidor

El servidor autentica un cliente con una forma de envoltorio de TCP. La dirección IP de origen del mensaje de registro (que se usa también como dirección IP de rellamada a la que se deben enviar los eventos) debe estar en la lista de clientes admitidos en el servidor. La dirección IP de origen y el mensaje de registro no pueden estar en la lista de clientes rechazados. Si la dirección IP de origen y el registro no están en la lista, el servidor rechaza la solicitud y emite una respuesta de error para el cliente.

Cuando el servidor recibe un mensaje SC_CALLBACK_REG ADD_CLIENT, los mensajes SC_CALLBACK_REG posteriores para ese cliente deben contener una dirección IP de origen que es la misma dirección IP de origen del primer mensaje. Si el servidor CRNP recibe un mensaje SC_CALLBACK_REG que no cumple este requisito, el servidor:

• Ignora la solicitud y envía una respuesta de error al cliente o

• Asume que la solicitud proviene de un cliente nuevo (según el contenido del mensaje SC_CALLBACK_REG)

Este mecanismo de seguridad ayuda a evitar ataques de denegación de servicio, en los que alguien intenta anular el registro de un cliente legítimo.

Los clientes deberían autenticar del mismo modo al servidor. Los clientes sólo deben aceptar los envíos de un servidor cuya dirección IP de origen y número de puerto coincidan con la dirección IP y número de puerto de registro empleados por el cliente.

Dado que se espera que los clientes del servicio CRNP se encuentren dentro de un cortafuegos que proteja el clúster, CRNP no incluye otros mecanismos de seguridad adicional.