10.3.- Controlar el acceso mediante TCP Wrappers

El paquete TCP Wrappers proporciona un programa conocido como tcpd. En lugar de hacer que inetd llame directamente a un servidor, inetd llamará a tcpd para verificar si un cliente está autorizado para acceder al servicio; si el cliente está autorizado, tcpd llama al programa servidor.

TCP Wrappers se configura a través de los ficheros /etc/hosts.allow y /etc/hosts.deny. El primero especifica los ordenadores a los que se les permite el acceso de una manera en particular, por lo que los sistemas no listados no tienen permitido el acceso. El segundo lista los ordenadores que no tienen permitido el acceso, todos los demás podrán acceder. Si un ordenador aparece en ambos ficheros hosts.allow tendrá prioridad. Los dos ficheros tienen el mismo formato y se componen de líneas con la siguiente forma:

inetd_4

lista-demonios es una lista de servidores que utilizan los nombres de /etc/services. Se pueden utilizar comodines además de ALL para denotar todos los servidores.

lista-clientes es una lista de ordenadores a los que se les concede o deniega el acceso a los demonios especificados. Se pueden especificar por nombre, IP y podemos especificar una red utilizando un punto inicial o final al identificar redes por su nombre o su bloque de direcciones IP, por ejemplo, .luna.edu para todos los ordenadores del dominio luna.eduy 192.168.7. para todos los ordenadores de la red 192.168.7.0/24. También podemos utilizar comodines como ALL para todos los ordenadores y EXCEPT, que genera una excepción, por ejemplo, 192.168.7. EXCEPT 192.168.7.105 se refiere a todos los ordenadores de la red 192.168.7.0/24 excepto a 192.168.7.105.

Las páginas MAN de hosts.allow y hosts.deny proporcionan información sobre funcionalidades más avanzadas, deberíamos consultarlas cuando creemos reglas para TCP Wrappers. Debemos recordar que no todos los servidores están protegidos por TCP Wrappers, sino que sólo aquellos servidores que inetd ejecute a través de tcpd estarán protegidos de este modo. Esto suele incluir servidores telnet, ftp, tftp, rlogin, finger, POP e IMAP, aunque existen más. No obstante, hay servidores que pueden analizar independientemente los ficheros de configuración de TCP Wrappers.

 

Anuncios