Capitolo 15. Wrapper TCP e xinetd
Il controllo dell'accesso ai servizi di rete é uno dei compiti inerenti la sicurezza piú importanti che un amministratore possa incontrare. Fortunatamente, con Red Hat Linux sono disponibili un numero di tool creati appositamente per questo. Per esempio, un firewall basato su iptables filtra i pacchetti di rete non desiderati all'interno della rete del kernel. Per i servizi di rete che lo utilizzano, i wrapper TCP aumentano la protezione definendo quale host é abilitato per connettersi ai servizi di rete "wrapped (inglobati)". Appartenente a questi servizi é il super server xinetd. Questo servizio é chiamato super server perché controlla le connessioni ad un sottogruppo di servizi di rete, e garantisce un controllo di accesso piú accurato.
Figura 15-1 rappresenta una illustrazione basica di come questi tool lavorano insieme per proteggere i servizi di rete.
Questo capitolo si sofferma sul ruolo dei wrapper TCP e xinetd nel controllo dell'accesso per i servizi di rete, indicando l'uso migliore dei tool per facilitare la gestione sia nel procedimento di logging che nell'utilizzazione del sistema. Per una discussione sul firewalling con iptables, consultare Capitolo 16.
15.1. Wrapper TCP
Il pacchetto dei wrapper TCP (tcp_wrappers) viene installato per default in Red Hat Linux e fornisce un controllo d'accesso basato su di un host, per i servizi di rete. Il componente piú importante all'interno del pacchetto é la libreria /usr/lib/libwrap.a. In termini generali, un servizio (inglobato) wrapped TCP é stato compilato usando la libreria libwrap.a.
Quando si cerca di collegarsi ad un servizio "inglobato" TCP, il servizio prima si riferisce ai file hosts access (/etc/hosts.allow e /etc/hosts.deny) per determinare se il client é abilitato al collegamento. Fatto ció, il servizio usa il demone syslog (syslogd) per scrivere il nome dell'host richiedente e del servizio richiesto su /var/log/secure o /var/log/messages.
Se un client host é abilitato al collegamento, i wrapper TCP permettono il controllo della connessione al servizio richiesto non interferendo con la comunicazione tra il client host ed il server.
In aggiunta a quanto finora detto, i wrapper TCP possono attivare i comandi per interagire con il client prima di rifiutare o permettere il controllo della connessione al servizio di rete richiesto.
Dato che i wrapper TCP sono un tool di sicurezza di gran valore per l'amministratore del sistema, molti servizi di rete all'interno di Red Hat Linux sono collegati alla libreria libwrap.a. Alcune applicazioni includono /usr/sbin/sshd, /usr/sbin/sendmail, e /usr/sbin/xinetd.
 | Nota Bene | |
|---|---|---|
Per determinare se un servizio di rete binario é collegato alla libreria libwrap.a, digitare il seguente comando come utente root:
Sostituire <binary-name> con il nome del servizio di rete binario. |
15.1.1. Vantaggi dei Wrapper TCP
I wrapper TCP forniscono i seguenti vantaggi rispetto alle altre techniche di controllo dei servizi di rete:
Transparenza a entrambi il client host e il servizio di rete wrapped "inglobato". — Sia il client collegato che il servizio di rete wrapped non sono a conoscenza dell'uso dei wrapper TCP. Gli utenti abilitati non si accorgeranno di niente, mentre coloro che non sono abilitati non riusciranno a collegarsi.
Gestione centralizzata di protocolli multipli. — I wrapper TCP funzionano indipendentemente dalle applicazioni protette dal programma wrapper, in questo modo, molte applicazioni possono condividere un insieme comune di file di configurazione semplificandone così la gestione.