Разработчик (и) | Wietse Venema |
---|---|
Стабильный выпуск | 7.6 (8 апреля, 1997) |
Операционная система | Unix-подобная |
Тип | Безопасность |
Лицензия | Лицензия BSD |
Веб-сайт | porcupine.org |
TCP Wrappers ( также известная как tcp_wrappers ) - это сетевая система ACL на основе хоста, используемая для фильтрации сетевого доступа к серверам протокола Интернета на (Unix-подобные ) операционные системы, такие как Linux или BSD. Он позволяет использовать хост или подсеть IP-адреса, имена и / или идентификаторы в ответах на запросы в качестве токенов, по которым выполняется фильтрация контроль доступа целей.
Исходный код был написан Витсе Венема в 1990 году для отслеживания действий взломщика на рабочих станциях Unix на кафедре математики и информатики в Технологический университет Эйндховена. Он поддерживал его до 1995 года, а 1 июня 2001 года выпустил его под собственной лицензией в стиле BSD.
. tarball включает библиотеку с именем libwrap., реализующий фактическую функциональность. Первоначально упаковывались только службы, которые создавались для каждого соединения с суперсервера (например, inetd ) с помощью программы tcpd . Однако наиболее распространенные сетевые службы демоны сегодня могут быть связаны напрямую с libwrap. Это используется демонами, которые работают без порождения суперсервера, или когда один процесс обрабатывает несколько соединений. В противном случае только первая попытка подключения будет проверяться на соответствие его ACL.
По сравнению с директивами управления доступом к хосту, которые часто встречаются в файлах конфигурации демонов, TCP Wrappers имеют преимущество времени выполнения перенастройки ACL (т.е. службы не нужно перезагружать или перезапускать) и общий подход к администрированию сети.
Это упрощает использование скриптов анти- червя, таких как DenyHosts или Fail2ban, для добавления и истечения срока действия правил блокировки клиентов., когда встречается слишком много соединений и / или много неудачных попыток входа в систему.
Хотя изначально было написано для защиты принимающих служб TCP и UDP, существуют также примеры использования для фильтрации определенных пакетов ICMP, например ' pingd '- ответчик на запросы userspace ping.
В январе 1999 г. в дистрибутиве Технологического университета Эйндховена (основной сайт распространения до того дня) был заменен модифицированной версией. Замена содержала троянскую версию программного обеспечения, которое позволяло злоумышленнику получить доступ к любому серверу, на котором оно было установлено. Автор заметил это в течение нескольких часов, после чего перенес основной дистрибутив на свой личный сайт.