출처 : 대전국제IT교육센터 정성재 강사
1. 접근통제란?
(1) 설명: 네트워크
환경체제에서는 항상 권한이라는 것이 있다. 어떠한 시스템에 접근하려면 그
시스템에 접근권한이 있어야 한다. 권한을
가지지 않은 자가 권한이 부여되지 않은 자료에
불법적인 접근을 시도할 때 이를 차단하는 행위를 접근통제(Access
Control)이라 한다. 리
눅스시스템에서도 소유자, 그룹, 그 외의 사용자 등 3계층으로 분리하여, 파일 또는
디렉
토리에 읽기, 쓰기, 실행에 대한 권한을 부여한다.
(2) 접근통제방법: 접근통제하는 방법에는 학문적으로
보면 어떤 계층에서의 통제냐 운영체제의
위치가 어디냐에 따라 굉장히 많이 나누지만 여기서는 간단히
분류해보자.
1) 완전접근통제: 말 그대로 어떠한 사람도 접근을 못하게 막는 것이다. 그러나,
완전통제라면
네트워크로서의 기능이 없다고 말할 수 있다.
2) 일부접근통제: 선별적으로
접근을 허가하는 통제법이다. 대표적인 방법이 TCP Wrapper이다.
(3) 참고: 일부접근통제방식과 Set-Uid
1) 설명: 리눅스에서 비밀번호를 변경할 때 passwd라는 명령을 이용한다. 이 passwd의 권한은
root에게
있다. (실제적으로 확인해보면 소유자와 소유그룹 모두 root다. 파일의 위치는
/usr/ bin/passwd)
그런데, 어떻게 일반 사용자가 그 명령을 사용할 수 있을까? 그것은
root가 패스워드 권한 일부를 양도했기
때문이다. 이를 setuid, setgid라고 부른다. 이
러한 경우와 같이 패스워드를 바꾸는 행위 또는 그 역할에만
권한을 허용한 경우가 일부
접근통제방법에 해당한다.
2) passwd의 setuid 확인
ㄱ.
/etc/bin으로 이동한다.
ㄴ. 'ls -l passwd'라고 입력
ㄷ. 다음과 같이 결과가
출력된다.
-r-s--x--x 1 root root 12244 Feb 8 2000
passwd
=> 이와 같이 소유자부분에서 x가 있어야 할 자리에 s가 있다. 이런 경우가 setuid
또는
setgid가 부여된 경우이다. 이 파일의 소유자와 그룹은 root이다.
2. TCP Wrapper란?
리눅스 커널 2.2 버전에서 TCP Wrapper는 슈퍼데몬인
inetd데몬에 의하여 수행되는 서비스들의 접근
을 제어한다. 즉, 시스템에 접속을 허락한 호스트만 접속할 수 있도록 한다거나, 또는
원하지 않는
호스트의 접근을 막도록 해주는 접근 제어 프로그램이다. TCP 연결을 기반으로 하는 TELNET, FTP,
FINGER,RLOGIN 등을 감시하고 필터링할 수 있다. 현재 사용하는 커널 2.4 버전에서는 inetd가 확장
된
xinetd라는 슈퍼데몬을 사용하면서 자체적으로 접근제어를 하지만 tcp wrapper의 구성요소중
/etc/hosts.allow와
/etc/hosts.deny을 이용한 접근제어는 아직도 사용하고 있다.
3. TCP Wrapper의
구성
(1) 개요: TCP Wrapper는 데몬 프로세서인 /usr/sbin/inetd와 환경파일인
/etc/inetd.conf로 구성
되어 있다. 또한 리눅스에서는 스크립트파일인 /etc/rc.d/init.d/inet이
있고, /usr/sbin
/tcpd에서 참조하는 /etc/hosts.allow 파일과 /etc/hosts.deny파일이
있다.
(2) 구성파일
1) /usr/sbin/inetd
이 데몬은 여러 가지 다른 서버 프로그램들(telnet,
ftp 등)을 관리하기 때문에 슈퍼 데몬이라고
불리운다. 만약 호스트에서 telnet서비스를 요청하면 inetd는 환경파일인
/etc/inetd.conf파일을
참고하여 in.telnetd를 구동하고 telnet서비스를 처리한다.
2)
/etc/inetd.conf(커널 2.2 버전만 해당)
ㄱ. 설명: TCP Wrapper가 구동될 때 참고하는 환경파일이다.
전반적인 설정에 관여한
다.
ㄴ. inetd.conf 필드의 구성 : 총 7개의 필드로 구성되어
있다.
a. 구성예
telnet stream tcp nowait root
/usr/sbin/in.telnetd in.telnetd
(서비스이름) (소켓타입)(프로토콜)(플래그)(사용자)(서버프로그램)
(매개변수)
b. 필드의 설명
- 서비스이름 : /etc/services에 정의된 이름
- 소켓타입 : stream은 tcp, dgram은 udp이다.
- 프로토콜 : /etc/protocols에 있는
이름
- 플래그 : 프로세스의 시작방법
- 사용자 : 서비스가 수행될 때 그 서비스의
소유자
- 서버프로그램 : 실제 서버 프로그램 및 경로
- 매개변수 : 서버에 넘겨줄 명령어 라인
매개변수
ㄷ. inetd.conf의 역할: 이 파일에서 TCP Wrapper에서 사용하는 서비스를 제어할 수 있다.
보통
telnet, ftp, shell, login, exec, talk, ntalk,
dtalk, pop-2, pop-3,
imap, uucp, tftp, bootps,
finger, cfinger, sysstat, netstat 등 TCP연
결을 기반으로 하는
것들을 제어할 수 있다. 서비스를 하지 않으려면 해당
서비스의 맨 앞에 '#'문자를 삽입한다.
즉, 해당서비스열이 주석처리된다.
3) /etc/rc.d/init.d/inet: 리눅스 배포판만에 있는 스크립트 파일이다. 리눅스에서
inetd 전체의
시작과 종료는 이 파일을 이용한다. 커널 2.4에서는
xinetd이다.
4) /usr/sbin/inetd 와 /usr/sbin/tcpd
리눅스에서
/etc/inetd.conf 파일의 필드 구성을 보면 위의 구성예와 서버프로그램부분이 다
르다.
telnet
stream tcp nowait root /usr/sbin/tcpd in.telnetd
그럼
/usr/sbin/tcpd는 무엇인가? inetd는 /etc/inetd.conf파일을 참고하여 TCP Wrapper의 초기
구동을
담당한다. 즉, /etc/inetd.conf 파일의 설정을 다음과 같이 했다고 가정하자.
telnet stream
tcp nowait root /usr/sbin/in.telnetd in.telnetd
이 경우에 inetd는
단순히 텔넷서비스 요청이 들어오면 텔넷서비스로 연결만 해준다. 이런 설정
은 텔넷서비스요청에 대한 어떠한 접근 거부나 허가를 할 수
없게 된다. 그래서, 중간에 접근
여부를 판단하는 데몬이 tcpd이다. tcpd는 접근허용 파일인 /etc/hosts.allow와
/etc/hosts.deny
파일을 참조하여 접근 여부를 결정한다. 또한 서비스에 접근하는 과정에서 발생하는 모든
사항에
대하여 상세한 접속 로그를 남긴다. 즉, tcpd는 inetd와 서버사이에서 중요한 판단을
수행한다.
4.TCP Wrapper의 운용
(1) 개요: TCP
Wrapper의 운용은 크게 3가지로 구분할 수 있다. 첫번째는 슈퍼 데몬인 inetd를 종료
시켜 어떠한 서비스도 하지
않는 것이고, 두번째는 inetd.conf파일을 수정(커널 2.4에서는
/etc/xinetd.d 디렉토리내의
서비스제어)하여 선택적으로 서비스를 제어하는 것이고, 마지
막은 /etc/hosts.allows파일과
/etc/hosts.deny파일을 가지고 클라이언트를 선택제어하는
것이다.
(2) TCP Wrapper 전체
서비스의 중단
1) 설명: TCP Wrapper를 작동하지 않으려면 inetd 데몬을 중단시키면 된다. 보통
리눅스배포판에
서는 스크립트파일을 이용하면 된다.
ㄱ. 서비스의 중단
/etc/rc.d/init.d/inet stop
ㄴ. 서비스의 시작
/etc/rc.d/init.d/inet
start
=> 커널 2.4버전인 경우에는 xinetd이다.
(3)선택적인 서비스의 중단
1) 설명:
TCP Wrapper에서는 여러 서비스를 한다. telnet, ftp, rlogin등 많은 서비스등을 한꺼번
에
관리한다. 따라서, 이중 한가지 서비스를 중단하려면 /etc/inetd.conf파일을 수정하면
된다. 만약 현재
telnet서비스를 한다면 다음과 같이 설정되어 있을 것이다.
telnet stream tcp
nowait root /usr/sbin/tcpd in.telnetd
그럼, 텔넷서비스를 중단해보자. 맨 앞에
주석을 뜻하는 '#'만 붙여주면 된다.
2) 사용예
#telnet stream tcp nowait
root /usr/sbin/tcpd in.telnetd
(4)호스트의 접근제어 : /etc/hosts.allow와
/etc/hosts.deny파일을 이용하여 선택적으로 호스트
를 제어할 수 있다. 실제적으로
xinetd를 사용하는 커널 2.4버전에서도 사용
가능한 파일이 이 두 개의
파일이다.
1)/etc/hosts.allow : 접근이 허가된 호스트들의 목록을 적는다.
2)/etc/hosts.deny : 접근이 금지된 호스트들의 목록을 적는다.
3)hosts.allow와 hosts.deny의
검색순서
hosts.allow를 먼저 검색한 후 hosts.deny를 검색한다. 만약 hosts.deny에 모든 서비스에
대
해 접근 금지로 설정했을 경우, hosts.allow에 허용된 접근외에는 모든 접근이 금지된다.
5.접근제어 규칙
(1) 설명: /etc/hosts.allow파일과 /etc/hosts.deny파일은
정해진 접근통제규칙을 가지고 있다. 이
규칙대로 설정을 하여 접근을 제어해야 한다.
(2) 파일 작성시 문법상의
규칙
1) 새로운 줄(줄바꿈)은 무시되고, 줄을 연장할 경우에는 백슬래쉬를 사용해야 한다.
2) 빈줄 혹은 '#'으로
시작되는 줄은 주석처리된다.
3) 다른 모든 줄은 아래의 형식을 따라야 한다.
예) daemon_list :
client_list [ : shell_command ]
daemon_list : 한개 이상의 데몬(서버프로그램)프로세스 혹은
예약어(와일드카드)
client_list : 한 개 이상의 호스트 이름, 주소, 패턴 혹은 예약어(클라이언트 이름
혹은
주소가 일치하는 것)
(3) 예약어(와일드카드라고도 부름)
ALL :
모든 서비스 또는 모든 호스트를 나타냄.
LOCAL : 같은 네트워크에 있는 모든 호스트
KNOWN
: 이름이 KNOWN인 호스트, 혹은 이름 또는 주소를 알고 있는 호스트
UNKNOWN : 이름이 UNKNOWN인 호스트,
혹은 이름이나 주소를 모르는 호스트
PARANOID : 호스트네임이 주소와 일치되는 않는 호스트
B EXCEPT A
: 리스트 B에서 A를 제외한 모든 B
(4) 패턴형식 : '.'의 위치에 유념해야 하고, ALL과 ':'은 공백이 있어야 한다.
1)모든 서비스를 모든 호스트에 대해 거부 : /etc/hosts.deny파일에 적는다.
ALL : ALL
2) 특정 호스트에 특정서비스 접근 허용 : /etc/hosts.allow파일에 적는다.
ALL :
localhost, .aaa.com => localhost와 aaa.com의 모든 호스트들에게 모든 서비스를
허용한다는 뜻이다.
in.telnetd :
192.168.0.2 => 192.168.0.2에서 텔넷 접속에 대해서만 접근을 허용한다.
ALL : .aaa.com
EXCEPT killer.aaa.com => killer.aaa.com를 제외한 aaa.com의 모든
호스트들
에게 모든 서비스를 허용한다.
ALL EXCEPT in.ftpd : .aaa.com EXCEPT bad.aaa.com => bad.aaa.com를 제외한 aaa.com의
모든
호스트들에게 ftp서비스를
제외한 모든
서비스를
허용한다.
in.telnetd, in.figerd : 233.234.235., .aaa.com =>
233.234.235.* 네트워크에 속한 모든
호
스트와 .aaa.com에 속하는 모든
호스트들
은 텔넷서비스와
finger서비스를 허용함.
ALL : ALL : DENY => 그외의 모든 네트워크 호스트는 어떠한 서비스도 받을 수
없다. 만약에
hosts.allow를 이렇게 설정해 놓으면 별도로 hosts.deny파일이
필요없다.
ALL : 192.168.0.0/24 => IP/넷마스크를 이용하여 설정하는 방법으로 192.168.0.0부터
192.16
8.0.255까지 모든 서비스에 대하여 허가한다.
(5) Shell
Command
1) 명령
spawn : 현재 수행중인 프로세스의 자프로세스로 수행
twist : 현재
수행중인 프로세스의 이미지 교체 후 수행(프로세스의 이미지가 교체되므로 규칙
의 마지막 옵션으로 사용해야
한다.
2) 확장 옵션
%a (%A) : 클라이언트(서버)의 주소
%c : 클라이언트의 정보
(user@host 또는 user@address)
%n (%N) : 클라이언트의 이름
%d : 서비스
데몬의 이름
%h (%H) : 클라이언트(서버) 이름 또는 주소
%n : 클라이언트(서버)
이름
%p : 데몬 프로세스 ID
%s : 서버 정보
%u : 클라이언트
사용자 이름
3) 사용예 : 의심되는 호스트(cracker.aaa.com)가 시스템에 접근을 시도할 경우 이 접속을
거부하
고 관리자에게 관련 정보를 전송하기 위하여 hosts.deny파일에 다음과 같이 설정한다.
ALL : cracker.aaa.com : twist (finger -l @%h | mail -s %d -%h root)
&
6.TCP Wrapper의 단점
TCP Wrapper는
클라이언트에서 보내진 네트워크 패킷들로부터 제공된 발신지주소의 정보를 보고 그
호스트에 대해 접근을 허가를 하든지 거부를 하든지 동작을
하는데, 이 정보를 전적으로 믿을 수는
없다. 만약 TCP Wrapper에서 192.168.0.2로 부터 오는 telnet 요청을
허가하도록 설정되어 있다고
할 때, 크래커가 자신의 주소를 192.168.0.2라고 속여서 접근한다면 속수무책이다. 이런 식의
공격을
IP 스푸핑이라고 한다.
