Authentisierung von Clients und Server durch das CRNP

Der Server authentifiziert einen Client durch Verwendung einer Form des TCP-Wrappers. Die IP-Quelladresse der Registrierungsmeldung, die auch als Rückruf-IP-Adresse verwendet wird, an die Ereignisse zugestellt werden, muss in der Liste zulässiger Clients auf dem Server enthalten sein. Die Quell-IP-Adresse und Registrierungsmeldung darf sich nicht in der Liste der abgewiesenen Clients befinden. Wenn sich die Quell-IP-Adresse und Registrierung nicht in der Liste befinden, weist der Server die Anforderung zurück und gibt eine Fehlerantwort an den Client aus.

Wenn der Server eine SC_CALLBACK_REG ADD_CLIENT -Meldung erhält, müssen die nachfolgenden SC_CALLBACK_REG-Meldungen für diesen Client eine IP-Quelladresse enthalten, die der IP-Quelladresse in der ersten Meldung entspricht. Wenn der CRNP-Server eine SC_CALLBACK_REG-Meldung erhält, die diese Anforderungen nicht erfüllt, führt der Server eine der folgenden Aktionen durch:

• Er ignoriert die Anforderung und sendet eine Fehlerantwort an den Client

• Er geht davon aus, dass die Anforderung von einem neuen Client stammt, je nach Inhalt der SC_CALLBACK_REG-Meldung

Dieser Sicherheitsmechanismus trägt dazu bei, Dienstverweigerungsangriffe abzuwehren, bei denen versucht wird, einen berechtigten Client zu deregistrieren.

Clients sollten den Server auf ähnliche Weise authentisieren. Die Clients brauchen nur die Ereigniszustellungen von einem Server zu akzeptieren, dessen Quell-IP-Adresse und Port-Nummer der vom Client für die Registrierung verwendeten IP-Adresse und Port-Nummer entsprechen.

Da sich die Clients des CRNP-Dienstes wohl innerhalb einer Firewall befinden, die den Cluster schützt, bietet das CRNP keine zusätzlichen Sicherheitsmechanismen.