Cap�tulo 17. Los wrappers TCP y el comando xinetd
El control del acceso a los servicios de red es una de las tareas de seguridad m�s importantes que un administrador de servidores debe enfrentar.Afortunadamente, bajo Red Hat Enterprise Linux, hay un gran n�mero de herramientas que hacen justamente estas tareas. Por ejemplo, un cortafuegos basado en iptables dejan afuera los paquetes de red que no son bienvenidos dentro de la pila de red del kernel. Para los servicios de red que lo utilizan, los TCP wrappers a�aden una capa adicional de protecci�n mediante la definici�n de cu�les hosts tienen permitido conectarse a los servicios de red "wrapped". Uno de los servicios de red wrapped es el super servicio xinetd. Este servicio se le llama super servicio porque controla la conexi�n a un subconjunto de servicios de red y refina a�n m�s el control de acceso.
La Figura 17-1 es una ilustraci�n b�sica de c�mo estas herramientas funcionan para proteger los servicios de red.
Este cap�tulo se basa en el papel de los TCP wrappers y de xinetd para controlar el acceso a los servicios de red y revisa c�mo estas herramientas pueden ser usadas para mejorar la administraci�n de la conexi�n y su uso. Para una discusi�n del uso de cortafuegos (firewalls) con iptables, consulte el Cap�tulo 18.
17.1. Wrappers TCP
El paquete TCP wrappers (tcp_wrappers) est� instalado por defecto y proporciona control de acceso basado en host a los servicios de red. El componente m�s importante dentro del paquete es la biblioteca /usr/lib/libwrap.a. En t�rminos generales, un servicio TCP wrapped es uno que ha sido compilado con la biblioteca libwrap.a.
Cuando un intento de conexi�n es hecho a un servicio wrapped TCP, el servicio primero referencia los archivos de acceso a host (/etc/hosts.allow y /etc/hosts.deny) para determinar si el cliente tiene permitido conectarse. En la mayor�a de los casos, luego utiliza el demonio syslog (syslogd) para escribir el nombre del host solicitante y el servicio solicitado a /var/log/secure o /var/log/messages.
Si a un cliente se le permite conectarse, los wrappers TCP liberan el control de la conexi�n al servicio solicitado y no interfieren m�s con la comunicaci�n entre el cliente y el servidor.
Adem�s del control de acceso y registro, los wrappers TCP pueden activar comandos para interactuar con el cliente antes de negar o liberar el control de la conexi�n al servicio solicitado.
Puesto que los wrappers TCP son una utilidad de gran valor a las herramientas de seguridad de cualquier administrador de servidor, la mayor�a de los servicios de red dentro de Red Hat Enterprise Linux est�n enlazados con la biblioteca libwrap.a. Algunas de tales aplicaciones incluyen /usr/sbin/sshd, /usr/sbin/sendmail, y /usr/sbin/xinetd.
 | Nota |
|---|
| | Para determinar si un binario de servicio de red est� enlazado con la libreria libwrap.a, escriba el comando siguiente como usuario root: strings -f <binary-name> | grep hosts_access |
Reemplace <binary-name> con el nombre del binario de servicio de red. Si aparece un indicador de comandos, entonces el servicio de red no est� enlazado con libwrap.a. |
17.1.1. Ventajas de los wrappers TCP
Los wrappers TCP ofrecen las siguientes ventajas b�sicas comparado con las otras t�cnicas de control de servicios de red:
Transparencia tanto para el host cliente y el servicio de red wrapped. — El cliente que se est� conectando as� como tambi�n el servicio de red wrapped no est�n al tanto de que est�n en uso los wrappers TCP. Los usuarios leg�timos son registrados y conectados al servicio solicitado mientras que las conexiones de clientes prohibidos fallan.
Administraci�n centralizada de m�ltiples protocolos. — Los wrappers TCP operan separadamente de los servicios de red que ellos protegen, permitiendo a muchas aplicaciones de servidor compartir un conjunto com�n de archivos de configuraci�n para una administraci�n m�s sencilla.
