BENEMRITA UNIVERSIDAD AUTNOMA DE

PUEBLA

FACULTAD DE CIENCIAS DE LA COMPUTACIN

Ingeniera en Ciencias de la Computacin

DERECHO A PRIMER PARCIAL

TCP WRAPPER.

PROFESOR:
MC. Adriana Hernndez Beristain

ALUMNO

MATRCULA

Reyes Ramrez Fernando

201115572

TCP WRAPPER
Cuando un equipo basado en unix y sin proteccin est conectada a una red, la
informacin del ordenador est expuesta a otros usuarios conectados a la red. Por ejemplo,
utilizando el protocolo finger, un hacker puede ser capaz de determinar qu usuarios han
iniciado sesin en un servidor determinado. Tambin es posible averiguar la identidad de
los ordenadores individuales, y varios detalles sobre el comportamiento reciente de Internet
de sus usuarios. Un pirata informtico puede determinar cundo es probable que estar
inactiva una estacin de trabajo, y luego acceder y utilizar esa estacin de trabajo cuando
no lo est supervisando. TCP Wrapper puede actuar como un cortafuego para evitar esto.
TCP Wrapper supervisa los paquetes entrantes. Si un ordenador externo o host intenta
conectarse, TCP Wrapper comprueba para ver si esa entidad externa est autorizado a
conectarse. Si se autoriza, a continuacin, se permite el acceso; en caso contrario, se
deniega el acceso. El programa puede ser adaptado a las necesidades del usuario o de red
individuales.
Para comprobar el acceso de un cliente a un servidor, TCP-wrapper consultan los archivos
hosts.allow y hosts.deny, ambos ubicados en /etc/, conocidos como archivos de acceso al
host.
Cuando un servicio TCP-wrapper recibe una peticin de un cliente, realiza los siguientes
pasos:
Primero hace referencia el archivo /etc/hosts.allow posteriormente es revisado de forma
secuencial y aplica la primera regla especificada para ese servicio. Si encuentra una regla
que coincide, permite la conexin. Sino, se pasa a la siguiente etapa.
En la siguiente etapa referencia el archivo /etc/hosts.deny que tambin es revisado de
forma secuencial. Si encuentra una regla que coincide, rechaza la conexin. Si no, permite
el acceso al servicip
Los siguientes son puntos importantes a tener en cuenta al utilizar TCP-wrapper para
proteger servicios de red:

Slo las reglas IPv6 pueden utilizar este formato.

Las reglas en hosts.allow tiene prioridad sobre las reglas en hosts.deny .Lo cual
significa que si una regla de coincidencia se encuentra en hosts.allow permite el
acceso al servicio, incluso si hay una coincidencia de regla de rechazo en el
archivo hosts.deny.

Slo tomo en cuenta solo una regla por servicio en hosts.allow y hosts.deny.

Las reglas en cada archivo se leen de arriba hacia abajo y la primera regla que
coincida para un servicio dado es la nica aplicada. El orden de las reglas es
extremadamente importante.

Si no se encuentran reglas para el servicio en cualquiera de los archivos, o el

archivo no existe, se concede el acceso al servicio.

Cualquier cambio a hosts.allow y hosts.deny archivo tiene un efecto inmediato.

Reglas de sintaxis
El formato para cada archivo es idntico:

Cada regla tiene que estar en su propia lnea.

Las lneas en blanco o lneas que comienzan con hash (#) se ignoran.

Si la ltima lnea de un archivo de acceso a host no es un carcter de nueva lnea

(creado al presionar la tecla entrar), generar el error falta una nueva lnea o
demasiado larga

La barra inversa (\) se usa para romper la lnea y evita que el fracaso de la regla
debido al largo.

Cada regla utiliza el siguiente formato bsico para controlar el acceso a los servicios
de red

<Lista de daemons> - Una lista separada por comas de nombres de procesos

(no nombres de servicios). La lista de demonios tambin acepta operadores para
permitir una mayor flexibilidad.
<Lista de clientes> - Una lista separada por comas de nombres de host, direcciones
IP de host, patrones especiales o wildcards que identifican los hosts afectados por la
regla. La lista de clientes tambin acepta operadores listados para permitir una
mayor flexibilidad.

<Opcin> - Una accin opcional o una lista separada por comas de las acciones
realizadas cuando se activa la regla. Los campos de opciones de apoyo expansiones,
comandos de shell de arranque, permitir o denegar el acceso y alteran el
comportamiento de conexin.

Wildcards
Permiten que TCPwrapper coincida ms fcilmente con grupos de daemons o hosts. Se
utilizan con mayor frecuencia en la lista de cliente de las reglas de acceso.

ALL- Se corresponde con todo. Se puede utilizar tanto para la lista de demonios y la
lista de clientes.

LOCAL - Corresponde con cualquier equipo que no contiene un perodo, tal como
localhost (.).

KNOWN - Corresponder todas las mquinas donde se sabe que el nombre de host y
la direccin de host o cuando el usuario es conocido.

UNKNOWN - Se corresponde con cualquier equipo cuyo nombre de host o

anfitrin es desconocida o cuando el usuario es desconocido.

PARANOID- Una bsqueda DNS inversa se realiza en la direccin IP de origen

para obtener el nombre de host. A continuacin, una bsqueda de DNS se lleva a
cabo para resolver la direccin IP. Si las dos direcciones IP no coinciden con la
conexin se interrumpe y los registros se actualizan

Operadores
En la actualidad, las reglas de control de acceso aceptan un operador, EXCEPT. Se puede
utilizar en la lista de daemons y la lista de clientes de una regla.
El EXCEPT operador permite excepciones especficas a coincidencias ms amplias dentro
de la misma norma.
En el siguiente ejemplo de un archivo hosts.allow, todos los hosts example.com pueden
conectarse a todos los servicios, excepto attacker.example.com

En otro ejemplo de un archivo hosts.allow, los clientes de la red 192.168.0.x pueden utilizar
todos los servicios a excepcin de FTP

Ejemplos del uso de TCPwrapper

Para permitir el acceso SSH al hosts en un dominio particular llamado xyz.com y negar el
acceso a todos los dems. Entro en la siguiente regla en el archivo hosts.allow.

Y en el archivo hosts.deny incluyo la regla

La siguiente regla deniega el acceso FTP para todos los host en el dominio abc.co.in, as
como los host en la red 192.168.1.0.

Spawn y deny son opciones. Spawn lanza un comando en shell como un proceso hijo. En
la regla anterior, spawn registra un mensaje en el archivo de registro (vsftpd) cada vez que
coincide con la regla. Deny es opcional si est incluyendo esta regla en el archivo
hosts.deny.

La siguiente regla de acceso de los equipos de la muestra es ms compleja y utiliza dos

campos de opciones

Comandos de Shell
Como se mencion anteriormente, se puede acoplar las reglas a ciertos comandos de shell
mediante el uso de las dos opciones siguientes.
Spawn - Esta opcin inicia un comando shell como un proceso hijo

Cada vez que se satisface la regla, la fecha actual y el nombre de host clientes %h se aade
al archivo ssh.log.
Twist - Esta es una opcin que sustituye a la peticin con el comando especificado. Por
ejemplo, si desea enviar al cliente tratando de conectarse a travs de ssh a la mquina, que
tienen prohibido el acceso SSH, puede utilizar esta opcin.

Cuando se ocupa spawn o twist se puede ocupar las siguientes expresiones:

% a . - La direccin IP del cliente.
% A - La direccin IP del servidor.
% c - Proporciona una variedad de informacin del cliente, tales como nombre de usuario y
la mquina o el nombre de usuario y la direccin IP.
% d -. El nombre del proceso demonio
% h -.El nombre de host (o direccin IP, si el nombre de host no est disponible) del cliente
% H - El nombre de host del servidor (o la direccin IP, si el nombre de host no est
disponible).
% n - El nombre de host del cliente. Si no est disponible aparecer unknown. Si la
direccin y el nombre de host del host del cliente no coinciden, paranoid.
% N - El nombre de host del servidor. Si no est disponible aparecer unknown. Si la
direccin y el nombre de host del host del servidor no coinciden, paranoid.
% p - El ID del proceso demonio.
% s - Varios tipos de informacin del servidor, tales como el proceso demonio y la mquina
o la direccin IP del servidor.
% u - nombre de usuario del cliente. Si no est disponible aparecer unknown.