TCP Wrappers (также известные как tcp_wrappers ) - это сетевая система ACL на основе хоста , используемая для фильтрации сетевого доступа к серверам Интернет-протокола в ( Unix-подобных ) операционных системах, таких как Linux или BSD . Он позволяет использовать IP-адреса хоста или подсети , имена и / или ответы на запросы идентификатора в качестве маркеров для фильтрации в целях контроля доступа .
Разработчики) | Wietse Venema |
---|---|
Стабильный выпуск | 7.6 (8 апреля 1997 г.) |
Операционная система | Unix-подобный |
Тип | Безопасность |
Лицензия | Лицензия BSD |
Веб-сайт | porcupine.org |
Исходный код был написан Витсе Венема в 1990 году для отслеживания действий взломщика на рабочих станциях Unix на факультете математики и информатики Технологического университета Эйндховена . [1] Он поддерживал его до 1995 года, а 1 июня 2001 года выпустил его под собственной лицензией в стиле BSD .
Тарбол включает в себя библиотеку имени libwrap , которая реализует фактическую функциональность. Изначально только сервисы, которые были созданы для каждого соединения с суперсервера (например, inetd ), были упакованы с помощью программы tcpd . Однако наиболее распространенные в настоящее время демоны сетевых служб могут быть напрямую связаны с libwrap. Это используется демонами, которые работают без порождения суперсервера, или когда один процесс обрабатывает несколько подключений. В противном случае только первая попытка подключения будет проверяться на соответствие его спискам ACL.
По сравнению с директивами управления доступом к хосту, которые часто встречаются в файлах конфигурации демонов, TCP Wrappers имеют преимущество реконфигурации ACL во время выполнения (т. Е. Не нужно перезагружать или перезапускать службы) и общего подхода к администрированию сети.
Это упрощает использование сценариев защиты от червей , таких как DenyHosts или Fail2ban , для добавления и истечения срока действия правил блокировки клиентов, когда обнаруживаются чрезмерные соединения и / или много неудачных попыток входа в систему.
Хотя изначально он был написан для защиты служб, принимающих TCP и UDP , существуют также примеры использования для фильтрации определенных пакетов ICMP , таких как pingd - ответчик на ping- запрос в пользовательском пространстве . [2]
1999 Троян
В январе 1999 года дистрибутив в Технологическом университете Эйндховена (который до того времени был основным дистрибутивом) был заменен модифицированной версией. Замена содержала троянскую версию программного обеспечения, которое позволяло злоумышленнику получить доступ к любому серверу, на котором оно было установлено. Автор заметил это в течение нескольких часов, после чего переместил основной дистрибутив на свой личный сайт. [3] [4] [5] [6]
Смотрите также
- Черный список на основе DNS
- Обратный DNS с прямым подтверждением
- Брандмауэр
- Блокировка IP
- Nullroute
Рекомендации
- ^ TCP WRAPPER - Сетевой мониторинг, контроль доступа и ловушки. Витсе Венема (Симпозиум III по безопасности USENIX UNIX, 1992 г.)
- ^ GNU / Linux Ping Daemon по маршруту | daemon9 - Журнал Phrack, том 8, выпуск 52, 26 января 1998 г., статья 07
- ^ "CERT Advisory CA-1999-01 Версия троянского коня TCP Wrappers" (PDF) . Институт программной инженерии Университета Карнеги-Меллона . Архивировано 17 июля 2001 года . Проверено 15 сентября 2019 .
- ^ "CERT Advisory CA-1999-02 Троянские кони" (PDF) . Институт программной инженерии Университета Карнеги-Меллона . Архивировано 17 июля 2001 года . Проверено 15 сентября 2019 .
- ^ исходный код оболочки tcp с бэкдором , автор Wietse Venema , на Bugtraq , 21 января 1999 г.
- ↑ Объявление: FTP-сайт Витсе перемещен Витсе Венема на Bugtraq , 21 января 1999 г.
Внешние ссылки
- Исходный код TCP Wrappers
- Информация о TCP-оболочках Softpanorama