RFC: 3027
Оригинал: Protocol Complications with the IP Network Address Translator
Категория: Информационный
Дата публикации:
Авторы: ,
Перевод: Мельников Дмитрий Анатольевич

Если канал передачи команди «DISPLAY variable» не защищен с помощью шифрования данных, то тогда NAT-модуль может «обратиться за помощью» к ALG-субмодулю, чтобы последний установил необходимый номер ТСР-порта (в разрешенном диапазоне, «6000» или больше), и в дальнейшем NAT-модуль может выступать в роли шлюза. В противном случае, NAT-модуль может быть настроен для контроля (мониторинга) всех входящих соединений для обеспечения доступа к Х-серверу(ам), без обращения к ALG-субмодулю. Но, такой вариант использования NAT-модуля снижает уровень сетевой безопасности вследствие появления доступа к Х-серверу, хотя в противном случае, такой доступ был бы не возможен. Вследствие того, что ALG-субмодуль «вмешивается» в процесс трансляции IP-адресов, то невозможно провести надежные процедуры авторизации (аутентификации) Х-серверов и Х-клиентов, за исключением способа «MIT-MAGIC-COOKIE-1». Способ авторизации «MIT-MAGIC-COOKIE-1» является единственным из всех известных специфицированных (стандартизированных) способов авторизации для UNIX-подобных операционных систем.

При использовании TLS-протокола обеспечения безопасности (Transport Level Security — обеспечение безопасности на транспортном (четвертом) уровне Internet-архитектуры), также могут возникнуть проблемы с подтверждением электронных сертификатов, так как NAT-модуль может изменить информацию, содержащуюся в сертификате.

3.5. Интерпритатор удаленных команд RSH и протокол удаленного доступа «rlogin»

Интерпритатор удаленных команд (прикладной интерфейс для UNIX-подобных операционных систем) RSH[?] (Remote Shell) использует несколько сеансов связи для обслуживания раздельных потоков данных «stdout» и «stderr». Клиент передает на сервер случайный номер порта, который в дальнейшем используется для потока данных «stderr». Этот поток данных «stderr» представляет собой обратное соединение от сервера к клиенту. В отличие от FTP-протокола, функционирование RSH не предусматривает «пассивного режима» или ему подобного. При использовании классического NAT-модуля может возникнуть проблема функционирования RSH, так как NAT-модуль может запрепить проведение входящих сеансов связи.

Протокол удаленного доступа «rlogin» не предусматривает проведения нескольких одновременных сеансов связи. Но, в настоящее время в сетях активно используются программные версии RSH и «rlogin», которые защищены с помощью Kerberos-протокола. Эти версии также не могут функционировать совместно с NAT-модулем, так как возникают проблемы с Kerberos-билетами и использованием нескольких одновременных сеансов связи.

2007 - 2017 © Русские переводы RFC, IETF, ISOC.