TCP Wrapper 란?

TCP Wrapper 에 대해 알아보도록 하겠습니다.

​

TCP Wrapper 는 TCP 래퍼라고 불리며, Linux, Unix 설치 시 기본적으로 사용가능한 호스트 기반 네트워킹 ACL 시스템입니다. 또한 네트워크 접근을 필터하는 역할을 합니다. 조금 더 자세히 알아보겠습니다.

​

Ⅰ.Tcp Wrapper 정의

Linux, Unix 에서 tcp wrapper를 통해 FTP, telnet, SSH 및 xinetd 기반의 서비스에 대한 접근 제어(ACL)설정을 할 수 있으며, 주요 접근 제어 설정은 /etc/host.allow, /etc/hosts.deny 파일에 설정하여 특정 IP주소나 대역에 대해 접근 허가 혹은 접근 거부할 수 있습니다.

 

Ⅱ. 접근제어 설정 관련

 

1) default 설정은 모든 접근을 허용

2) allow 파일에 허용 정보가 있다면 해당 호스트만 접근을 허용합니다.

3) allow와 deny 모두 호스트 정보가 있으면 , allow 파일의 설정이 우선 적용됩니다.

 

Ⅲ. 접근제어 설정 방법

hosts.allow와 hosts.deny를 통해 서비스별 필터링을 수행합니다.

 

서비스 목록 : 호스트 목록

 

형태로 사용된다. 특정 서비스에 대한 접근 통제만 하려면 hosts.deny만 작성해도 됩니다.

 ex) FTP, telnet, SSH 및 xinetd 기반의 서비스 : IP, HOST

 

서비스 목록 : 서비스명이 아닌 실행 데몬명으로 적어야 합니다.

예를 들어 telnet제어 시 in.telnetd 라고 적습니다.

복수의 경우 따옴표로 구분합니다.

호스트 목록 : 아래와 같이 표현할 수 있습니다.

192.168.10.

192.168.10.0/255.255.255.0

.kakao.com EXCEPT mail.kakao.com

.com EXCEPT www.kakao.com

 

Ⅳ. hosts.deny, hosts.allow 설정

​

1) /etc/hosts.deny

접속을 차단할 리스트를 관리합니다.

화이트리스트 기반으로 운영 할 경우 hosts.deny에는 ALL:ALL, hosts.allow 에는 특정 서비스 및 허용 IP를 설정합니다.

​

아래와 같이 설정하면 됩니다.

 

# vi /etc/hosts.deny

ALL : ALL 으로 설정할 경우 모든 서비스에 대해 모든 호스트의 접근을 차단합니다.

 

2) /etc/hosts.allow 설정

접속을 허용할 리스트를 관리합니다.

화이트리스트 기반으로 운영 할 경우 hosts.deny에는 ALL:ALL, hosts.allow 에는 특정 서비스 및 허용 IP를 설정합니다.

 

# vi /etc/hosts.allow

ALL : localhost

in.telnetd : 192.168.10.

sshd, vsftpd : .도메인 EXCEPT 서브도메인

ex) sshd, vsftpd : .kakao.com EXCEPT mail.kakao.com

 

Ⅴ. TCP Wrapper를 이용한 호스트들의 접근 제어 예시

# vi /etc/hosts.allow

in.telnetd:192.168.10.0

-> 텔넷 서비스에 대해 192.168.10.0 네트워크 대역에 속한 호스트의 접근을 허가합니다.

sshd:192.168.10.42

-> ssh 서비스에 대해 IP주소가 192.168.10.42인 호스트만 허가합니다.

sshd:192.168.152.0/255.255.255.0

-> ssh 서비스에 대해 IP주소가 192.168.152.0 ~ 255인 호스트들을 허가합니다.

​

 

Ⅵ. TCP Wrapper가 기록하는 로그 내용은 운영체제별로 다음 로그 위치에서 확인 가능합니다.

운영체제명	로그 위치
AIX	/var/admin/messages
HP-UX	/usr/spool/mqueue/syslog
SOLARIS	/var/log/syslog
LINUX	/var/log/messages, /var/log/secure

감사합니다.