BACKRUSH 유닉스명령 다음 자료실 Ascii Table 원격접속 달력,시간 프로세스 쉘

지하철노선 RFC문서 SUN FAQ SUN FAQ1 C메뉴얼 PHP메뉴얼 너구리 아스키월드 아이피서치

글쓴이: wrapper

Tcp_Wrapper 활용

TCP_wrapper

Network service(finger, frp, telnet, rlogin, rsh, exec, tftp, talk 등)에 대한 요구를모니터링 및 필터링하여 log file(service를 요청한 client name과 service name을 기록)을 만들며 몇가지 부가적인 보안 체크를 하는 보안 강화 도구이다. Tcpwrapper는 크기도 작을 뿐더러 system에 존재하는 software나 configuration file를바꿀 필요가 없으며 client와 server application 사이의 실질적인 communication에 대해 부하를 주지 않는다. TCP_wrapper는 네트웍 패킷으로부터 얻어지는 소스 어드레스 정보를 바탕으로 access control, host name spoofing, host address spoofing, client username lookups, language extensions, multiple ftp/gopher/www archives on one host, banner messages, sequence number guessing 등의 기능을 수행한다.

1) 어디서 가져오나

다음에서 anonymous FTP를 이용하여 구할 수 있다.

ftp//:ftp.cert-kr.or.kr/pub/tools/tcp_wrapper/tcp_wrappers_7.4.tar.Z

2) Tcp wrapper의 작동

대부분의 TCP/IP application은 client-server 모델을 기반으로 한다. 예를 들면 사용자가 telnet를 이용하여 다른 호스트에 연결하면 그 target 호스트에는 in.telnetd이라는 프로세서가 구동되어 사용자에게 login process를 연결해 준다. 이러한 방식은 보통 inetd process를 이용하여 구동되는데 inetd는 inetd.conf에 정의되어 있는 여러가지 network connection을 기다리다가 어떤 service가 연결되면 inetd는 적당한 server program를 구동시킨다.(위의 경우 telnet이 들어오면 inetd는 in.telnetd를 구동하게 된다. 물론 이것은 inetd.conf에 정의 되어 있다는 가정하에서 이다.) 그후 inted는 다른 연결을 기다리게 된다.

이런 방식은 telnet에 대한 log file을 만들어 주지 않으므로 cracker의 침입을 발견하기 어렵다. 그러나 Tcp wrapper를 사용하면 in.telnetd를 구동하기 전에 tcpd라는 데몬를 구동시켜 telnet에 대한 log file을 기록한 후 in.telnetd를 구동시킨다. 이러한 방식을 cracker가 시스템에 들어 오기 위해 자주 사용하는 finger, rsh, tftp등에 사용하면 cracker도 모르게 그의 trace를 남겨 놓을 수 있다.

wrapper 프로그램은 클라이언트의 유저(프로세서)나 서버 어플리케이션과 어떤한 상호작용도 갖지 않는다. 이것의 주요한 두가지 이점은 1)에플리케이션에독립적이며, 2) 외부에 비가시적(인증된 최소의 유저외에) 이다는 것이다. wrapper의 다른 중요한 이점은 클라이언트와 서버사이에 초기 접속때만 작동을 하고 연결된 후에는 사라진다는 것이다.

wrapper 프로그램은 로깅 정보를 syslogd에 보내며, 보통 /etc/syslog.conf 파일의 컨피규레이션에 의해서 wrapper 로그정보의 위치가 결정된다. 디폴트로 wrapper 로그는 sendmail 데몬의 로그를 취급하는 같은 장소에 위치한다. Makefile과 syslog.conf 파일을 수정함으로써 위치를 변경할 수 있다.

3) Tcp wrapper의 기능

LOG FILE

위에서 언급한 것처럼 Tcp wrapper(즉 tctd)는 telnet, finger, ftp, rexec, rsh, rlogin, tftp, talk, comsat 등에 대한 log file을 만들어 준다. Default는 sendmail daemon에 대한 log정보가 기록되는 곳(/var/log/syslog)에 기록된다. 만약 바꾸고 싶으면 syslog.conf를 수정하면 된다.

Access Control

-DHOSTS_ACCESS의 옵션으로 컴파일 될때, wrapper 프로그램은 간단한 형태의access control를 지원한다. 엑세스는 매 호스트, 매 서비스 또는 그들의 조합들로 컨트롤될 수 있다.

Access control의 /etc/hosts.allow과 /etc/hosts.deny라는 화일들에 의해조정된다.

/etc/hosts.allow

in.ftpd: kiscc.cert-kr.or.kr localhost
UNKNOWN : /usr/ucb/finger @%h | /ust/ucb/mail jhkim &
in.rlogind: kiscc.cert-kr.or.kr localhost
UNKNOWN : /usr/ucb/finger @%h | /ust/ucb/mail jhkim &

위에서 보면 ftp 나 rlogin는 kiscc.cert-kr.or.kr에서 오는 것은 허락된다. 그리고 호스트의 이름이나 address를 모르는 곳에서 오는 경우에는 그 호스트에 대한finger의 결과를 jhkim에게 mail를 보내게 한다. 따라서 만약 cracker가 들어오려 할 때 trace가 남게 된다.

/etc/hosts.deny

in.telnetd, in.rlogind, in.ftpd: ALL EXCEPT 134.75

위와 같이 /etc/hosts.deny라는 화일을 만들어 주면 telnet, rlogin, ftp에 대한 서비스는 134.75.*.*에서 오는 것만 제외하고는 모두 deny된다.

Host name spoofing

RSH와 RLOGIN 같은 네트웍 에플리케이션에서, 클라이언트 호스트 이름은

4) Tcp wrapper의 설치

Easy Installation

여기서는 inetd.conf를 변경시키지 않고 설치하는 방법을 설명한다.

일단 README, Makefile을 읽어 본 후 setting한다.
Makefile를 OS에 맞게 환경을 설정사게 되어 있으므로 잘 확인한 후 install을 해야 한다.
먼저 실제 daemon를 어느 디렉토리에 둘지를 결정한 후 Makefile의 REAL DAEMON DIR에 적는다.
#Ultrix 4.x SunOS 4.x ConvexOS 10.x
REAL_DEAMON_DIR=/usr/etc/real_daemon

여러가지 option를 선택한다. 예를 들어 Access control를 install하고 시피지 않으면 Makefle의 DHOSTS ACCESS를 comment시키면된다. 그러나 웬만하면 그냥 Makefile을 그냥 놔누는 것이 좋다. 자세한 것은 README, Makefile를 읽어본다.
이제 make를 한다. 자신의 OS를 지정해 준다.
% make sunos40

이렇게 하면 몇개의 실행 가능한 프로그램이 생기게 된다. 그중 우리가 사용할 것은 tcpd이다. 먼저 자신이 설정한 REAL DAEMON DIR을 만든후 그 디렉토리에 실제 데몬을 이동시킨 후 tcpd를 원하는 daemon이름으로 copy한다.
% mkdir /usr/etc/real_daemon
% mv /usr/etc/in.telnetd /ust/etc/real_daemon
% cp tcpd /usr/etc/in.telnetd

이와 같이 다른 daemon들도 move하면 된다.

Advanced installation

위의 Easy installation의 make까지 한다.
자신이 설정한 REAL DAEMON DIR를 만든 후 그 디렉토리에 실제 데몬을 move시킨다. 그 후에는 inetd.conf를 바꾸어야 한다. 예를 들어
shell stream tcp nowait root /usr/etc/in.rshd in.rshd
login stream tcp nowait root /usr/etc/in.rlogind in.rlogind
exec stream tcp nowait root /usr/etc/in.rexecd in.rexecd
cosmat stream udp wait root /usr/etc/in.cosmat in.cosmat
talk stream udp wait root /usr/etc/in.talkd in.talkd

의 경우를 다음과 같이 바꾸어 주면 된다.

shell stream tcp nowait root /usr/etc/tcpd in.rshd
login stream tcp nowait root /usr/etc/tcpd in.rlogind
exec stream tcp nowait root /usr/etc/tcpd in.rexecd
cosmat stream udp wait root /usr/etc/tcpd in.cosmat
talk stream udp wait root /usr/etc/tcpd in.talkd

kill -HUP inetd-process-number 명령을 실행시킨다.
Access control을 실행하고 싶으면 위의 Access control를 참조한다.