Раздел: Документация

0 ... 70 71 72 73 74 75 76 ... 125

-J J О

Применение TCP Wrappers

Введение в TCP Wrappers

Основные протоколы TCP/IP были разработаны много лет назад и предназначались для объединения большого числа разнообразных сетей. Большинство систем, в которых впервые применялись эти протоколы, принадлежали академическим или правительственным организациям, и тогда требования сообщества пользователей к защите информации были несравнимы с сегодняшними. В самом деле, при разработке ни одного из протоколов TCP, IP и UDP безопасности не придавалось важного значения. Тот же недостаток имеют и последовавшие за протоколами утилиты, такие как Telnet и FTP. В последних, например, вся защита сводится к проверке системой имени пользователя и пароля. Слабость такого механизма защиты очевидна: имя пользователя и пароль передаются по сети в незашифрованном виде и их способен перехватить любой, хотя бы немного грамотный злоумышленник.

Когда в начале 80-х персональные компьютеры начали свое нашествие в бизнес, производители создали множество различных сетевых протоколов, пытаясь заработать на новом рынке. Одной из первых появилась сеть Novell Netware, которая быстро завоевала популярность. Но по мере распространения операционной системы UNIX все большее значение стали приобретать протоколы TCP/IP. Когда начался бум Internet, для многих практических применений набор протоколов TCP/IP сделался основным и был выбран большинством производителей программного и аппаратного обеспечения для сетей.

Существует множество различных продуктов, которые подходят для усиления защиты вашей сети - например межсетевые экраны, которым посвящена настоящая книга. Межсетевой экран состоит из нескольких компонентов, и одним из них может быть пакет TCP Wrappers. Хотя пакетный фильтр и служит неплохим

---

началом для создания межсетевого экрана, он не способен перехватить все возможные угрозы.

ПО TCP Wrappers было разработано Вейтцем Венема для защиты от атак компьютеров университета Eindhoven University of Technology. TCP Wrappers ограничивает доступ к сетевым службам, разрешая его только определенным узлам. Можно настроить TCP Wrappers так, чтобы этот пакет обслуживал большую часть основных сетевых сервисов системы UNIX, таких как:

О Telnet; О Finger; О FTP; О Exec; О RSH; О Rlogin; О TFTP.

Основное общее свойство этих служб - каждой из них соответствует программа с тем же именем, которая и выполняет сервисные функции.

Как работает TCP Wrappers

Получив сетевой запрос, демон inetd определяет на основе номера порта, какую службу следует запустить. В файле /etc/services номерам портов сопоставляются имена служб. После того, как inetd определит запускаемую службу, он считывает свой файл настроек inetd. conf и находит в нем, какую программу он должен запустить для обслуживания сетевого запроса.

(------ ч

; Более подробную информацию о том, как используются порты протоколами TCP и UDP, вы найдете в главе 2. Список стандартных портов TCP и UDP приведен в приложении I.

Для передачи функций управления доступом и аудита демону TCP Wrappers (tcpd) нужно отредактировать файл inetd.conf так, чтобы демон tcpd вызывался вместо программы, которая обычно запускается для обслуживания запроса. Демон tcpd выполнит свою работу, и если узлу разрешено использовать данную службу, запустит соответствующий исполняемый файл. Таким образом, TCP Wrappers располагается между демоном inetd и сетевой службой.

«г г

Аудит с помощью syslog

TCP Wrappers не только контролирует доступ к определенным сетевым службам, но и предоставляет возможность аудита их использования. Эта информация посылается демону syslogd, который также обеспечивает аудит множества

---

компонентов операционной системы UNIX. По умолчанию TCP Wrappers сохраняет информацию аудита там же, где демон sendmail записывает log-файлы транзакций. В общем случае syslogd способен записывать информацию в один или несколько файлов, выводить их на системную консоль и консоль пользователя либо отправлять пользователю сообщение по электронной почте. Выполнение демоном syslogd своих функций управляется записями в его файле настроек, который обычно называется /etc/syslog.conf.

За дополнительной информацией о syslogd и его файле настроек syslogd. conf обратитесь к главе 8.

Получение TCP Wrappers

Возможно, у вас уже есть TCP Wrappers. Этот набор программ настолько популярен, что входит в состав пакета установки многих версий UNIX и Linux. Если в вашей системе он отсутствует, вы можете найти его на многих сайтах Internet. Для загрузки по FTP TCP Wrappers и других полезных инструментов, разработанных Вейтцем Венема, например утилиты SATAN, воспользуйтесь следующим URL: ftp://ftp.porcupine.org/pub/security/.

Где найти TCP Wrappers?

Многие учебные руководства и другие документы Web содержат ссылки на сайты, с которых загружается TCP Wrappers. Но следует заметить, что на большинстве из них уже нет исходного текста данного пакета. Приведенный в этом разделе адрес porcupine.org сейчас является официальным местоположением утилит Вейтца Венема.

Настройка TCP Wrappers

Для использования TCP Wrappers в своей системе UNIX сначала скомпилируйте исходный текст (в соответствии с описанием в документации к вашей версии UNIX). После получения исполняемого файла демона tcpd вы можете отредактировать следующие файлы настроек, управляющие его работой:

О inetd. conf. В этом файле нужно подставить ссылки на демон tcpd вместо названий исполняемых файлов служб, доступ к которым демон будет контролировать;

О hosts.allow. Правила в данном файле указывают, кому разрешен доступ

к каждой из служб, запускаемых демоном tcpd; О hosts. deny. Содержит правила, определяющие, кому явно запрещен доступ

к каждой из служб, запускаемых демоном tcpd, и считывается последним,

0 ... 70 71 72 73 74 75 76 ... 125