TCP Wrappers (también conocido como tcp_wrappers ) es un sistema ACL de red basado en host , que se utiliza para filtrar el acceso a la red a los servidores de protocolo de Internet en sistemas operativos ( similares a Unix ) como Linux o BSD . Permite que las direcciones IP del host o de la subred , los nombres y / o las respuestas a las consultas de identificación se utilicen como tokens para filtrar con fines de control de acceso .
El código original fue escrito por Wietse Venema en 1990 para monitorear las actividades de un cracker en las estaciones de trabajo Unix en el Departamento de Matemáticas e Informática de la Universidad Tecnológica de Eindhoven . [1] Lo mantuvo hasta 1995, y el 1 de junio de 2001, lo lanzó bajo su propia licencia estilo BSD .
El tarball incluye una biblioteca llamada libwrap que implementa la funcionalidad real. Inicialmente, solo los servicios que se generaron para cada conexión desde un super-servidor (como inetd ) se envolvieron , utilizando el programa tcpd . Sin embargo, la mayoría de los demonios de servicios de red habituales se pueden vincular directamente con libwrap. Esto es usado por demonios que operan sin ser generados por un super-servidor, o cuando un solo proceso maneja múltiples conexiones. De lo contrario, solo el primer intento de conexión se compararía con sus ACL.
En comparación con las directivas de control de acceso al host que se encuentran a menudo en los archivos de configuración de los demonios, los encapsuladores TCP tienen el beneficio de la reconfiguración de ACL en tiempo de ejecución (es decir, los servicios no tienen que recargarse ni reiniciarse) y un enfoque genérico para la administración de la red.
Esto hace que sea fácil de usar para scripts anti- gusanos , como DenyHosts o Fail2ban , para agregar y caducar reglas de bloqueo de clientes, cuando se encuentran conexiones excesivas y / o muchos intentos fallidos de inicio de sesión.
Aunque originalmente se escribió para proteger los servicios de aceptación de TCP y UDP , también existen ejemplos de uso para filtrar ciertos paquetes ICMP , como 'pingd', el respondedor de solicitudes de ping del espacio de usuario . [2]