Cómo configurar una función para la seguridad de la red

Si está utilizando RBAC (Role-Based Access Control) para administrar los sistemas, siga este procedimiento para proporcionar una función de administración de red o de seguridad de red.

1. Busque los perfiles de derechos de red en la base de datos prof_attr local.

   En la versión actual, aparece una salida similar a la siguiente:

   % cd /etc/security % grep Network prof_attr Network IPsec Management:::Manage IPsec and IKE... Network Link Security:::Manage network link security... Network Management:::Manage the host and network configuration... Network Security:::Manage network and host security... Network Wifi Management:::Manage wifi network configuration... Network Wifi Security:::Manage wifi network security...

   Si está ejecutando una versión anterior a Solaris 10 4/09, la salida presenta un aspecto parecido al siguiente:

   % cd /etc/security % grep Network prof_attr Network Management:::Manage the host and network configuration   Network Security:::Manage network and host security   System Administrator::: Network Management

   El perfil de administración de red es un perfil complementario del perfil de administrador de sistemas. Si ha incluido el perfil de derechos de administrador de sistemas en un rol, dicho rol podrá ejecutar los comandos del perfil de administración de red.

2. Determine qué comandos hay disponibles en el perfil de derechos de administración de red.

   % grep "Network Management" /etc/security/exec_attr Network Management:solaris:cmd:::/usr/sbin/ifconfig:privs=sys_net_config … Network Management:suser:cmd:::/usr/sbin/snoop:uid=0

   Los comandos de directiva solaris se ejecutan con privilegio ( privs=sys_net_config). Los comandos de directiva suser se ejecutan como superusuario (uid=0).

3. Decida el ámbito de las funciones de seguridad de la red en su sitio.

   Utilice las definiciones de los perfiles de derechos en el Paso 1 para guiar la decisión.

   • Para crear una función que administre toda la seguridad de la red, utilice el perfil de derechos de la seguridad de la red.

   • En la versión actual, para crear una función que administre sólo IPsec e IKE, utilice el perfil de derechos de gestión de red IPsec.

4. Cree un rol de seguridad de red que incluya el perfil de derechos de gestión de la red.

   Una función con el perfil de derechos de gestión de red IPsec o de seguridad de la red, además del perfil de gestión de la red, puede ejecutar los comandos ifconfig, snoop, ipsecconf e ipseckey, entre otros, con privilegios adecuados.

   Para crear el rol, asignarlo a un usuario y registrar los cambios con el servicio de nombres, consulte Configuring RBAC (Task Map) de System Administration Guide: Security Services.

Ejemplo 20–5 División de responsabilidades de seguridad de la red entre las funciones

En este ejemplo, el administrador divide las responsabilidades de seguridad de la red entre dos funciones. Una función administra wifi y seguridad de los vínculos; otra administra IPsec e IKE. Cada función está asignada a tres personas, una por turno.

El administrador crea las funciones como se indica a continuación:

• El administrador asigna el nombre de LinkWifi a la primera función.

  • El administrador asigna los perfiles de derechos wifi de red, seguridad de vínculos de red y gestión de red a la función.

  • A continuación, el administrador asigna la función LinkWifi a los usuarios pertinentes.

• El administrador asigna el nombre de IPsec Administrator a la segunda función.

  • El administrador asigna los perfiles de derechos de gestión de red IPsec y de gestión de red a la función.

  • A continuación, el administrador asigna la función de administrador de IPsec a los usuarios pertinentes.