728x90
반응형
TCP Wrapper 개요
- xinetd 기반의 네트워크 서비스에 대해 IP 기반의 접근 통제
- 네트워크 서비스들은 TCP Wrapper와 연동하여 접근통제 수행
- 단순 Source IP로 접근통제를 수행하기 때문에 IP Spoofing의 공격에 취약함
TCP Wrapper 설정 파일
- /etc/hosts.allow
접근을 허용할 Source IP 설정 - /etc/hosts.deny
접근을 제한할 Source IP 설정 - 둘다 설정되어 있을 경우 allow가 우선순위 높음
- White List : 모두 제한 + 허용 host 등록
- Black List : 모두 허용 + 제한 host 등록
TCP Wrapper 접근제어 가능 서비스
- FTP
- Telnet
- SSH
- TFTP
- finger
- systat
- rlogin
- rsh
- talk
- exec
TCP Wrapper 형식
[ service list ] : [ client list ] : [ shell command ]
설명
- service list : 네트워크 서비스, 예약어
- client list : IP 주소, 호스트, 도메인, 예약어
- shell command : 쉘 명령 수행
관련 예약어
- ALL : 모든
- A EXCEPT B : A에서 B를 제외
- LOCAL : 같은 네트워크에 존재하는 호스트
shell command
- twist : 명령 결과를 클라이언트에 전송
- spawn : 명령 결과를 클라이언트에 전송하지 않음
shell command 특수문자
- %a : client IP
- %A : server IP
- %c : client 정보 (호스츠 명, IP , User@address, User@host)
- %s : server 정보
- %d : service 명 (in.telnetd, ftp, sshd)
- %h : client host 명 or IP
- %n : client host 명
- %p : service process
- %u : client 사용자 명
- %% : 하나의 %문자
TCP Wrapper 예시
/etc/hosts.allow
- 모든 host 허용
ALL : ALL - 모든 서비스에 대해 같은 네트워크 대역만 허용
ALL : LOCAL - 192.168.0.10 host에게 모든 서비스 허용
ALL : 192.168.0.10 - 192.168.0.20 host에게 Telnet 서비스만 허용
in.telnetd : 192.168.0.20 - 192.168.1.0/24 대역에 모든 서비스 허용
ALL : 192.168.1.
ALL : 192.168.1.0/255.255.255.0 - 192.168.0.0/24 대역에서 192.168.0.20만 제외하고 sshd 서비스 허용
sshd : 192.168.0. EXCEPT 192.168.0.20
/etc/hosts.deny
- 모든 host 거부
ALL : ALL - 모든 호스트에 대해 SSH 서비스를 제외한 모든 서비스 거부
ALL EXCEPT sshd : ALL - 192.168.0.10 host에게 모든 서비스 거부
ALL : 192.168.0.10 - 192.168.0.10 host에게 Telnet 서비스 거부하고 거부 메시지 전송
in.telnetd : 192.168.0.10 : twist /bin/echo "no access" - 192.168.0.10 host에게 Telnet 서비스 거부하고 로그 기록
in.telnetd : 192.168.0.10 : twist (echo "%s(%p) deny %h" >> /log/tcpd_log)
728x90
'*Security > [ SO ] 보안 솔루션' 카테고리의 다른 글
| [SO - 05] iptables 개요 (0) | 2022.01.12 |
|---|---|
| [SO - 04] TCP Wrapper 실습 (0) | 2022.01.10 |
| [SO - 02] Router ACL 실습 (Cisco) (0) | 2021.12.29 |
| [SO - 01] Router ACL 개요(Cisco) (0) | 2021.12.28 |