Les wrappers TCP (Transmission Control Protocol) fournissent une sécurité accrue pour les services démarrés par inetd. Ils constituent une aternative à l'utilisation de /etc/inetd.sec et fournissent une protection contre l'emprunt d'identité (nom d'hôte et adresse d'hôte). L'emprunt d'identité consiste à assumer l'identité d'un utilisateur ou d'un hôte valide dans le but d'accéder au système de manière autorisée.
Pour empêcher l'emprunt d'identité, les wrappers TCP utilisent des listes de contrôle d'accès (ACL, Access Control Lists). Les listes ACL sont des listes de systèmes dans les fichiers /etc/hosts.allow et /etc/hosts.deny. Les wrappers TCP fournissent une protection contre l'emprunt d'adresse IP lorsqu'ils sont configurés de façon à vérifier le mappage nom d'hôte-à-adresse IP et à rejeter les paquets avec routage de source IP.
En revanche, ils ne procurent pas d'authentification cryptographique ni de chiffrement des données. Comme avec inetd, les informations sont transmises en texte clair.
Les wrappers TCP font partie du logiciel de services Internet HP-UX. Pour plus d'informations, consultez le document HP-UX Internet Services Administrator's Guide disponible à l'adresse suivante : http://www.docs.hp.com/en/netcom.html#Internet%20Services et les pages de manuel suivantes :
tcpd(1M), tcpdmatch(1), tcpdchk(1), tcpd.conf(4), hosts_access(3), hosts_access(5) et hosts_options(5).
Lorsque vous activez les wrappers TCP, inetd exécute un démon de wrapper TCP, nommé tcpd, au lieu d'exécuter directement le service demandé. Le principe de fonctionnement des wrappers TCP est le suivant :
Les clients envoient des demandes de connexion ordinaires à inetd, par exemple des demandes telnet.
Au lieu d'appeler le processus serveur, inetd appelle le démon de wrapper TCP (tcpd).
Celui-ci détermine la validité de la demande de connexion du client. Le démon tcpd enregistre la demande dans le journal et vérifie les fichiers de contrôle d'accès (/etc/hosts.allow et /etc/hosts.deny).
Si le client est valide, tcpd appelle le processus serveur approprié.
Le processus serveur traite la demande du client (par exemple, la connexion telnet est établie).
Fonctionnalités supplémentaires des wrappers TCP |
 |
Vous pouvez également définir des paramètres de configuration dans le fichier de configuration /etc/tcpd.conf, tels que le comportement de connexion, les recherches de noms d'utilisateurs et le comportement d'échec de recherche inversée. Le démon tcpd lit ce fichier de configuration afin de rechercher les paramètres de configuration durant l'exécution.
Vous pouvez configurer les fichiers /etc/hosts.allow et /etc/hosts.deny pour d'autres foncitonnalités de sécurité, telles que les paramètres d'interceptions et les messages de bannières.
La fonctionnalité de paramètres d'interceptions des wrappers TCP vous permet de déclencher une action appropriée sur l'hôte en fonction du nombre de tentatives de connexion refusées à partir d'un hôte distant.
La fonctionnalité de messages de bannières provoque l'envoi d'un message au client lorsqu'une règle de liste ACL est incluse dans un fichier de contrôle d'accès.
Les wrappers TCP ne fonctionnent pas avec les services RPC |
|
Les wrappers TCP ne fonctionnent pas avec les services RPC (Remote Procedure Calls) sur TPC. Ces services sont inscrits en tant que rpc ou tcp dans le fichier /etc/inetd.conf. Le seul service important affecté par cette limitation est rexd, qui est utilisé par la commande on.
Version imprimable 
