TCP Wrappers (también conocido como tcp_wrappers ) es un sistema ACL de red basado en host , que se utiliza para filtrar el acceso a la red a los servidores de protocolo de Internet en sistemas operativos ( similares a Unix ) como Linux o BSD . Permite que las direcciones IP del host o la subred , los nombres y / o las respuestas a las consultas de identificación se utilicen como tokens sobre los que filtrar con fines de control de acceso .
Desarrollador (es) | Wietse Venema |
---|---|
Lanzamiento estable | 7.6 (8 de abril de 1997) |
Sistema operativo | Tipo Unix |
Tipo | Seguridad |
Licencia | Licencia BSD |
Sitio web | porcupine.org |
El código original fue escrito por Wietse Venema en 1990 para monitorear las actividades de un cracker en las estaciones de trabajo Unix en el Departamento de Matemáticas e Informática de la Universidad Tecnológica de Eindhoven . [1] Lo mantuvo hasta 1995, y el 1 de junio de 2001, lo lanzó bajo su propia licencia estilo BSD .
El tarball incluye una biblioteca llamada libwrap que implementa la funcionalidad real. Inicialmente, solo los servicios que se generaron para cada conexión desde un super-servidor (como inetd ) se envolvieron , utilizando el programa tcpd . Sin embargo, la mayoría de los demonios de servicios de red actuales se pueden vincular directamente con libwrap. Esto lo usan los demonios que operan sin ser generados por un super-servidor, o cuando un solo proceso maneja múltiples conexiones. De lo contrario, solo el primer intento de conexión se compararía con sus ACL.
En comparación con las directivas de control de acceso al host que a menudo se encuentran en los archivos de configuración de los demonios, los encapsuladores TCP tienen el beneficio de la reconfiguración de ACL en tiempo de ejecución (es decir, no es necesario recargar o reiniciar los servicios) y un enfoque genérico para la administración de la red.
Esto hace que sea fácil de usar para scripts anti- gusanos , como DenyHosts o Fail2ban , para agregar y caducar reglas de bloqueo de clientes, cuando se encuentran conexiones excesivas y / o muchos intentos fallidos de inicio de sesión.
Aunque originalmente se escribió para proteger los servicios de aceptación de TCP y UDP , también existen ejemplos de uso para filtrar ciertos paquetes ICMP , como 'pingd', el respondedor de solicitudes de ping del espacio de usuario . [2]
Troyano de 1999
En enero de 1999, el paquete de distribución en la Universidad Tecnológica de Eindhoven (el sitio de distribución principal hasta ese día) fue reemplazado por una versión modificada. El reemplazo contenía una versión troyana del software que permitiría al intruso acceder a cualquier servidor en el que estuviera instalado. El autor se dio cuenta de esto en cuestión de horas, tras lo cual trasladó la distribución principal a su sitio personal. [3] [4] [5] [6]
Ver también
- Lista de agujeros negros basada en DNS
- DNS inverso confirmado hacia adelante
- Cortafuegos
- Bloqueo de IP
- Nullroute
Referencias
- ^ TCP WRAPPER - Monitoreo de red, control de acceso y trampas explosivas. por Wietse Venema (USENIX UNIX Security Symposium III, 1992)
- ^ GNU / Linux Ping Daemon por ruta | daemon9 - Phrack Magazine Volume 8, Issue 52 26 de enero de 1998, artículo 07
- ^ "CERT Advisory CA-1999-01 versión de caballo de Troya de TCP Wrappers" (PDF) . Instituto de Ingeniería de Software de la Universidad Carnegie Mellon . Archivado desde el original el 17 de julio de 2001 . Consultado el 15 de septiembre de 2019 .
- ^ "Caballos de Troya CA-1999-02 Asesor del CERT" (PDF) . Instituto de Ingeniería de Software de la Universidad Carnegie Mellon . Archivado desde el original el 17 de julio de 2001 . Consultado el 15 de septiembre de 2019 .
- ^ Código fuente del contenedor tcp con puerta trasera , por Wietse Venema , en Bugtraq , 21 de enero de 1999
- ^ Anuncio: El sitio FTP de Wietse se ha movido , por Wietse Venema , en Bugtraq , 21 de enero de 1999
enlaces externos
- Código fuente de TCP Wrappers
- Información de envoltorios TCP de Softpanorama