Authentisierung von Clients und Server durch das CRNP

Der Server authentifiziert einen Client mit einer Form von TCP-Wrappern. Die Quell-IP-Adresse der Registrierungsmeldung, die auch als Rückmelde-IP-Adresse dient, an die Ereignisse zugestellt werden, muss sich in der Liste der zulässigen Clients für den Server befinden. Die Quell-IP-Adresse und Registrierungsmeldung darf sich nicht in der Liste der abgewiesenen Clients befinden. Wenn sich die Quell-IP-Adresse und Registrierung nicht in der Liste befinden, weist der Server die Anforderung zurück und gibt eine Fehlerantwort an den Client aus.

Wenn der Server eine SC_CALLBACK_REG ADD_CLIENT-Meldung erhält, muss die Quell-IP-Adresse der nachfolgenden SC_CALLBACK_REG-Meldungen für diesen Client derjenigen der ersten Meldung entsprechen. Wenn der CRNP-Server eine SC_CALLBACK_REG erhält, die dieser Anforderung nicht entspricht, hat der Server zwei Möglichkeiten:

• Er ignoriert die Anforderung und sendet eine Fehlerantwort an den Client; oder

• Er nimmt an, dass die Anforderung von einem neuen Client stammt (abhängig vom Inhalt der SC_CALLBACK_REG-Meldung).

Dieser Sicherheitsmechanismus trägt dazu bei, Dienstverweigerungsangriffe abzuwehren, bei denen versucht wird, einen berechtigten Client zu deregistrieren.

Clients sollten den Server auf ähnliche Weise authentisieren. Die Clients brauchen nur die Ereigniszustellungen von einem Server zu akzeptieren, dessen Quell-IP-Adresse und Port-Nummer der vom Client für die Registrierung verwendeten IP-Adresse und Port-Nummer entsprechen.

Da davon ausgegangen wird, dass sich die Clients des CRNP-Dienstes hinter einem Firewall befinden, der den Cluster schützt, stellt das CRNP keine weiteren Sicherheitsmechanismen bereit.