TCP Wrappers

Tcp Wrapper Nedir?

TCP Wrappers hangi servislere hangi istemcilerin erişebileceğini belirleyen ve erişimler ile ilgili kayıtların tutulmasını sağlayan bir güvenlik yazılımıdır.

Tcp Wrappers iptables güvenlik duvarından sonra ek önlem almak için kullanılabilir.

 
 

Kullanımı

Tcp wrappers ile kullanılabilen servisleri (yani tcp wrappers’ı destekleyen servisler) /etc/host.allow ve /etc/host.deny dosyalarını kullanarak istediğimiz kısıtlamaları getirebiliriz.

 
 

Önce host.allow dosyasına bakılır burada herhangi bir servis varsa buna izin verilir. Daha sonra host.deny dosyasına bakılır burada kısıtlama olan servisler kısıtlanır. (eğer bir servis önce host.allow ile izin verildiyse host.deny dosyasında izin verilip verilmediğine bakılmaz.)

 
 

Programların Tcp Wrappers Destekleyip Desteklemediğinin Kontrol Edilmesi

Tcp Wrappers kullanılacak ise önce kural eklemek istediğimiz servis tcpwrappers destekliyor mu kontrol etmek gerekir.

 
 

ldd /usr/sbin/sshd |grep libwrap

komutu ile ssh’ın destekleyip desteklemediğini görebiliriz.

 
 

Kural Tanımlamaları

Kurallar yazılırken aşağıdaki yapı kullanılır.

 
 

<servis.listesi>:<itemci listesi>[:<seçenekler>:<seçenekler>:]

 
 

Aşağıdaki ifadeler /etc/host.allow dosyasına eklenirse izin verilen servis-istemci ikilisini ifade etmiş olur.

 
 

ALL:ALL

//Tüm kullanıcılar ve servisler

Not : Burada ALL ifadesi özel anlamı olan bir ifadedir. Servisler tarafında kullanıldığında tüm servisleri, istemci tarafında kullanılırsa da tüm istemcileri fiade eder.. Bu tarz özel ifadelere “wildcard” denir.

 
 

 
 

ALL: .example.com

//Tüm servisler ‘example.com’ ile biten kullanıcılar

 
 

ALL : 192.168.

//Tüm servisler ve IP adresi 192.168. ile başlayan bilgisayarlar

 
 

ALL : 192.168.0.0/255.255.254.0

//Tüm servisler ve bir ağa ait tüm kullanıcılar

 
 

vsftpd : 192.168.252.

//IP adresi 192.168.252. ile başlayan bilgisayarlardan ‘vsftpd’ servisi kullananlar

 
 

Sshd: 192.168.252.

//İp adresi 192.168.252. ile başlayan bilgisayarlardan ‘sshd’ servisini kullananlar

 
 

WildCard Kullanımı

TCP Wrappers ile kullanılaiblecek wildcard’lar

 
 

ALL => Hem işlemci hem servis alanında kullanılabilir. Servisler için tüm servislere, istemciler için tüm istemcilere karşılık gelir.

LOCAL => İçinde “,” bulunmayan istemciler

KNOWN => Konak ismi veya kullanıcının sistem tarafından bilindiği durumlar

UNKNOWN => Konak ismi veya kullanıcının sistem tarafından bilinmediği durumlar

PARANOID => Konak isminin konak adresi ile aynı olup olmadığı kontrol edilir.

 
 

Kuralın Loglanması

sshd : ALL : spawn (/bin/echo %a from %h %d >> \

/var/log/tcpwrappersaccess.log) \

//ssh servisi için herkese izin verilir ayrıca sshd.log dosyasına bu kuralla eşleşen tüm paketler loglanır.