Tcp wrapper

Aus Foxwiki
Version vom 29. Dezember 2023, 10:05 Uhr von Dirkwagner (Diskussion | Beiträge) (Die Seite wurde neu angelegt: „== tcp_wrapper == Mit der tcp_wrapper Programmbibliothek können Sie Ihre Dienste gegen Missbrauch schützen. === Filter-Funktionalität === Sie können tcp_wrapper für folgende Zwecke einsetzen: * Nach Source-Adressen filtern (IPv4 oder IPv6) * Nach Benutzern filtern (benötigt einen aktiven ident Daemon auf der Client-Seite) === Welches Programm benützt tcp_wrapper === Folgende Programme sind bekannt: * Jeder Dienst, der durch den xinetd aufgerufe…“)
(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)

tcp_wrapper

Mit der tcp_wrapper Programmbibliothek können Sie Ihre Dienste gegen Missbrauch schützen.

Filter-Funktionalität

Sie können tcp_wrapper für folgende Zwecke einsetzen:

  • Nach Source-Adressen filtern (IPv4 oder IPv6)
  • Nach Benutzern filtern (benötigt einen aktiven ident Daemon auf der Client-Seite)

Welches Programm benützt tcp_wrapper

Folgende Programme sind bekannt:

  • Jeder Dienst, der durch den xinetd aufgerufen wird (und wenn der xinetd mit der tcp_wrapper Bibliothek kompiliert wurde)
  • sshd (wenn der mit der tcp_wrapper Bibliothek kompiliert wurde)

Anwendung

Der tcp_wrapper wird durch zwei Dateien konfiguriert und kontrolliert: /etc/hosts.allow sowie /etc/hosts.deny. Weitere Informationen finden Sie mit:


Beispiel für /etc/hosts.allow

In dieser Datei wird ein Dienst pro Zeile eingetragen, der positiv gefiltert werden soll (d.h. Verbindungen werden erlaubt).

Achtung: es existieren fehlerhafte Implementierungen, welche folgende fehlerhafte IPv6-Netzwerk-Beschreibung unterstützen: [2001:0db8:100:200::/64]. Hoffentlich werden diese Versionen bald gefixt.

Beispiel für /etc/hosts.deny

In dieser Datei werden alle Einträge negativ gefiltert. Und normalerweise sollen alle Verbindungen unterbunden werden:

Sie können bei Bedarf obige Standardzeile auch durch Folgende ersetzen, jedoch wird dadurch bei zu vielen Verbindungen in kurzer Zeitz eine DoS Angriff möglich (Last des Mailers sowie des Spool-Verzeichnisses). Ein logwatch ist somit wahrscheinlich die bessere Lösung.


Protokollierung

Entsprechend der Syslog Daemon Konfiguration in der Datei /etc/syslog.conf protokolliert der tcp_wrapper normalerweise in die Datei /var/log/secure.

Abgelehnte Verbindung

Das Logging einer abgelehnten IPv4-Verbindung zu einem durch den xinetd überwachten Daytime Dienst sieht wie folgt aus:

Das Logging einer abgelehnten IPv4-Verbindung zu einem durch den xinetd überwachten sshd Daemon (auf IPv4 und IPv6 auf Verbindungen wartend) sieht wie folgt aus:


Akzeptierte Verbindung

Das Logging einer akzeptierten IPv4-Verbindung zu einem durch den xinetd überwachten Daytime Dienst sieht wie folgt aus:

Das Logging einer akzeptierten IPv4-Verbindung zu einem auf zwei Ports hörenden sshd sieht wie folgt aus: