Omitir V�nculos de navegaci�n | |
Salir de la Vista de impresi�n | |
Procedimientos de administradores de Oracle Solaris Trusted Extensions |
1. Conceptos de la administración de Trusted Extensions
2. Herramientas de administración de Trusted Extensions
3. Introducción para administradores de Trusted Extensions (tareas)
4. Requisitos de seguridad del sistema Trusted Extensions (descripción general)
5. Administración de los requisitos de seguridad en Trusted Extensions (tareas)
6. Usuarios, derechos y roles en Trusted Extensions (descripción general)
7. Gestión de usuarios, derechos y roles en Trusted Extensions (tareas)
8. Administración remota en Trusted Extensions (tareas)
9. Trusted Extensions y LDAP (descripción general)
10. Gestión de zonas en Trusted Extensions (tareas)
11. Gestión y montaje de archivos en Trusted Extensions (tareas)
12. Redes de confianza (descripción general)
13. Gestión de redes en Trusted Extensions (tareas)
Gestión de la red de confianza (mapa de tareas)
Configuración de bases de datos de red de confianza (mapa de tareas)
Cómo determinar si necesita plantillas de seguridad específicas del sitio
Cómo abrir las herramientas de redes de confianza
Cómo crear una plantilla de host remoto
Cómo agregar hosts a la red conocida del sistema
Cómo asignar una plantilla de seguridad a un host o a un grupo de hosts
Cómo limitar los hosts que se pueden contactar en la red de confianza
Cómo configurar las rutas con los atributos de seguridad
Cómo comprobar la sintaxis de las bases de datos de red de confianza
Cómo comparar la información de la base de datos de red de confianza con la antememoria del núcleo
Cómo sincronizar la antememoria del núcleo con las bases de datos de red de confianza
Resolución de problemas de la red de confianza (mapa de tareas)
Cómo verificar que las interfaces del host estén activas
Cómo depurar la red de Trusted Extensions
Cómo depurar una conexión de cliente con el servidor LDAP
14. Correo de varios niveles en Trusted Extensions (descripción general)
15. Gestión de impresión con etiquetas (tareas)
16. Dispositivos en Trusted Extensions (descripción general)
17. Gestión de dispositivos para Trusted Extensions (tareas)
18. Auditoría de Trusted Extensions (descripción general)
19. Gestión de software en Trusted Extensions (tareas)
A. Referencia rápida a la administración de Trusted Extensions
B. Lista de las páginas del comando man de Trusted Extensions
El software de Trusted Extensions incluye las bases de datos tnrhtp y tnrhdb. Estas bases de datos proporcionan etiquetas para los hosts remotos que se contactan con el sistema. Solaris Management Console proporciona la interfaz gráfica de usuario que se utiliza para administrar estas bases de datos.
El siguiente mapa de tareas describe las tareas para crear plantillas de seguridad y aplicarlas a los hosts.
|
Antes de empezar
Debe estar en el rol de administrador de la seguridad en la zona global.
Lea el archivo tnrhtp en un host local. Los comentarios del archivo sirven de ayuda. También puede ver los valores de atributo de seguridad de la herramienta Security Templates de Solaris Management Console.
Las plantillas predeterminadas coinciden con cualquier instalación. El rango de etiquetas para cada plantilla es de ADMIN_LOW a ADMIN_HIGH.
La plantilla cipso define un tipo de host CIPSO cuyo dominio de interpretación es 1. El rango de etiquetas para cada plantilla es de ADMIN_LOW a ADMIN_HIGH.
La plantilla de admin_low define un host sin etiquetas cuyo dominio de interpretación es 1. La etiqueta predeterminada de la plantilla es ADMIN_LOW. El rango de etiquetas para la plantilla es ADMIN_LOW a ADMIN_HIGH. En la configuración predeterminada, se asigna la dirección 0.0.0.0 a esta plantilla. Por lo tanto, todos los hosts no CIPSO se tratan como hosts que operan en la etiqueta de seguridad ADMIN_LOW.
Por razones de soporte, no elimine ni modifique las plantillas predeterminadas. Puede cambiar el host que se asigna a estas plantillas predeterminadas. Para obtener un ejemplo, consulte Cómo limitar los hosts que se pueden contactar en la red de confianza.
Limitar el rango de etiquetas de un host o un grupo de hosts.
Crear un host de una sola etiqueta.
Crear un host que reconozca algunas etiquetas discretas.
Utilizar un dominio de interpretación diferente de 1.
Requiera una etiqueta predeterminada para hosts sin etiquetas que no sea ADMIN_LOW.
Para obtener detalles, consulte Cómo crear una plantilla de host remoto.
Antes de empezar
Debe estar en la zona global en un rol que pueda modificar la seguridad de la red. Por ejemplo, los roles que tengan asignados los perfiles de derechos de seguridad de la información o de las redes pueden modificar las configuraciones de seguridad. El rol de administrador de la seguridad incluye estos perfiles.
Para utilizar la caja de herramientas LDAP, debe haber completado Configuración de Solaris Management Console para LDAP (mapa de tareas) de Guía de configuración de Oracle Solaris Trusted Extensions.
Para obtener detalles, consulte Inicialización del servidor de Solaris Management Console en Trusted Extensions de Guía de configuración de Oracle Solaris Trusted Extensions.
Para modificar una plantilla, utilice la herramienta Security Templates.
Todas las plantillas que están definidas actualmente se muestran en el panel derecho. Al seleccionar o crear una plantilla, la ayuda en pantalla está disponible en el panel izquierdo.
Para asignar un host a una plantilla, utilice la herramienta Security Templates.
Para crear un host que se pueda asignar a una plantilla, utilice la herramienta Computers and Networks.
Para asignar una etiqueta a una zona, utilice la herramienta Trusted Network Zones. Para obtener más información sobre las zonas en Trusted Extensions, consulte el Capítulo 10Gestión de zonas en Trusted Extensions (tareas).
Antes de empezar
Debe estar en la zona global en un rol que pueda modificar la seguridad de la red. Por ejemplo, los roles que tengan asignados los perfiles de derechos de seguridad de la información o de las redes pueden modificar las configuraciones de seguridad. El rol de administrador de la seguridad incluye estos perfiles.
Consulte Cómo abrir las herramientas de redes de confianza para conocer los pasos.
Las plantillas existentes se muestran en el panel View. Estas plantillas describen los atributos de seguridad para los hosts que este sistema puede contactar. Estos hosts incluyen hosts CIPSO que se ejecutan en Trusted Extensions y hosts sin etiquetas.
Vea qué hosts y qué redes ya están asignadas a esta plantilla.
Vea qué hosts y qué redes ya están asignadas a esta plantilla.
Si las plantillas proporcionadas no incluyen una descripción suficiente de los hosts que pueden estar comunicados con este sistema, seleccione Add Template en el menú Action.
Utilice la ayuda en pantalla para obtener asistencia. Antes de asignar hosts a las plantillas, cree todas las plantillas que su sitio requiere.
Haga doble clic en la plantilla y utilice la ayuda en pantalla para obtener asistencia. Puede cambiar los hosts asignados o las redes asignadas.
Ejemplo 13-1 Creación de una plantilla de seguridad con un valor de dominio de interpretación diferente
En este ejemplo, la red del administrador de la seguridad tiene un dominio de interpretación cuyo valor es diferente de 1. El equipo que configura el sistema al inicio completó Configuración del dominio de interpretación de Guía de configuración de Oracle Solaris Trusted Extensions.
Primero, el administrador de la seguridad confirma el valor del dominio de interpretación en el archivo/etc/system:
# grep doi /etc/system set default_doi = 4
Luego, en la herramienta Security Templates, por cada plantilla que el administrador crea, el valor de doi se establece en 4. El administrador de la seguridad crea la plantilla siguiente para el sistema de una sola etiqueta que se describe en el Ejemplo 13-2:
template: CIPSO_PUBLIC host_type: CIPSO doi: 4 min_sl: PUBLIC max_sl: PUBLIC
Ejemplo 13-2 Creación de una plantilla de seguridad que tiene una sola etiqueta
En este ejemplo, el administrador de la seguridad desea crear una puerta de enlace que únicamente pueda transferir paquetes en una sola etiqueta, PUBLIC. Mediante la herramienta Security Templates de Solaris Management Console, el administrador crea una plantilla y asigna el host de la puerta de enlace a la plantilla.
Primero, el host de la puerta de enlace y la dirección IP se agregan a la herramienta Computers and Networks.
gateway-1 192.168.131.75
Luego, se crea la plantilla en la herramienta Security Templates. Los siguientes son los valores de la plantilla:
template: CIPSO_PUBLIC host_type: CIPSO doi: 1 min_sl: PUBLIC max_sl: PUBLIC
La herramienta proporciona el valor hexadecimal para PUBLIC, 0X0002-08-08.
Por último, el host gateway-1 se asigna a la plantilla por su nombre y dirección IP.
gateway-1 192.168.131.75
En un host local, la entrada tnrhtp se verá similar a la siguiente:
cipso_public:host_type=cipso;doi=1;min_sl=0X0002-08-08;max_sl=0X0002-08-08;
En un host local, la entrada tnrhdb se verá similar a la siguiente:
# gateway-1 192.168.131.75:cipso_public
Ejemplo 13-3 Creación de una plantilla de seguridad para un enrutador sin etiquetas
Cualquier enrutador IP puede reenviar los mensajes con etiquetas CIPSO aunque el enrutador no admita etiquetas de manera explícita. Por ejemplo, un enrutador sin etiquetas necesita una etiqueta predeterminada para definir el nivel en el que se deben tratar las conexiones con el enrutador (quizás para la gestión del enrutador). En este ejemplo, el administrador de la seguridad crea un enrutador que puede reenviar tráfico en cualquier etiqueta, pero toda comunicación directa con el enrutador se gestiona en la etiqueta predeterminada, PUBLIC.
En Solaris Management Console, el administrador crea una plantilla y asigna el host de la puerta de enlace a la plantilla.
Primero, el enrutador y su dirección IP se agregan a la herramienta Computers and Networks.
router-1 192.168.131.82
Luego, se crea la plantilla en la herramienta Security Templates. Los valores siguientes figuran en la plantilla:
Template Name: UNL_PUBLIC Host Type: UNLABELED DOI: 1 Default Label: PUBLIC Minimum Label: ADMIN_LOW Maximum Label: ADMIN_HIGH
La herramienta proporciona el valor hexadecimal para las etiquetas.
Por último, el enrutador router-1 se asigna a la plantilla por su nombre y dirección IP.
router-1 192.168.131.82
Ejemplo 13-4 Creación de una plantilla de seguridad con un rango de etiquetas limitado
En este ejemplo, el administrador de la seguridad desea crear una puerta de enlace que restrinja los paquetes a un rango de etiquetas estrecho. En Solaris Management Console, el administrador crea una plantilla y asigna el host de la puerta de enlace a la plantilla.
Primero, el host y su dirección IP se agregan a la herramienta Computers and Networks.
gateway-ir 192.168.131.78
Luego, se crea la plantilla en la herramienta Security Templates. Los valores siguientes figuran en la plantilla:
Template Name: CIPSO_IUO_RSTRCT Host Type: CIPSO DOI: 1 Minimum Label: CONFIDENTIAL : INTERNAL USE ONLY Maximum Label: CONFIDENTIAL : RESTRICTED
La herramienta proporciona el valor hexadecimal para las etiquetas.
Por último, la puerta de enlace gateway-ir se asigna a la plantilla por su nombre y dirección IP.
gateway-ir 192.168.131.78
Ejemplo 13-5 Creación de una plantilla de seguridad con un conjunto de etiquetas de seguridad
En este ejemplo, el administrador de la seguridad desea crear una plantilla de seguridad que reconoce solamente dos etiquetas. En Solaris Management Console, el administrador crea una plantilla y asigna el host de la puerta de enlace a la plantilla.
Primero, se agregan todos los hosts y las direcciones IP que utilizará esta plantilla a la herramienta Computers and Networks.
host-slset1 192.168.132.21 host-slset2 192.168.132.22 host-slset3 192.168.132.23 host-slset4 192.168.132.24
Luego, se crea la plantilla en la herramienta Security Templates. Los valores siguientes figuran en la plantilla:
Template Name: CIPSO_PUB_RSTRCT Host Type: CIPSO DOI: 1 Minimum Label: PUBLIC Maximum Label: CONFIDENTIAL : RESTRICTED SL Set: PUBLIC, CONFIDENTIAL : RESTRICTED
La herramienta proporciona el valor hexadecimal para las etiquetas.
Por último, el rango de direcciones IP se asigna a la plantilla con el botón Wildcard y un prefijo.
192.168.132.0/17
Ejemplo 13-6 Creación de una plantilla sin etiquetas en la etiqueta PUBLIC
En este ejemplo, el administrador de la seguridad habilita una subred de los sistemas Oracle Solaris para que se incluya la etiqueta PUBLIC en la red de confianza. La plantilla tiene los siguientes valores:
Template Name: public Host Type: Unlabeled Default Label: Public Minimum Label: Public Maximum Label: Public DOI: 1 Wildcard Entry: 10.10.0.0 Prefix: 16
Todos los sistemas de la subred 10.10.0.0 se gestionan en la etiqueta PUBLIC.
Ejemplo 13-7 Creación de una plantilla con etiquetas para desarrolladores
En este ejemplo, el administrador de la seguridad crea una plantilla SANDBOX. Esta plantilla se asigna a los sistemas que utilizan los desarrolladores de software de confianza. Los dos sistemas que tienen asignada esta plantilla crean y prueban los programas con etiquetas. Sin embargo, estas pruebas no afectan a otros sistemas con etiquetas, porque la etiqueta SANDBOX está separada de las otras etiquetas de la red.
Template Name: cipso_sandbox Host Type: CIPSO Minimum Label: SANDBOX Maximum Label: SANDBOX DOI: 1 Hostname: DevMachine1 IP Address: 196.168.129.129 Hostname: DevMachine2 IP Address: 196.168.129.102
Los desarrolladores que utilizan estos sistemas pueden comunicarse entre sí en la etiqueta SANDBOX.
La herramienta Computers de Solaris Management Console es idéntica a la herramienta Computers de SO Oracle Solaris. Este procedimiento se proporciona aquí para su comodidad. Después de que se establecen los hosts conocidos, debe asignar los hosts a una plantilla de seguridad.
Antes de empezar
Debe estar en un administrador que pueda gestionar redes. Por ejemplo, los roles que incluyen los perfiles de derechos de gestión de red o administración del sistema pueden gestionar redes.
Para obtener detalles, consulte Cómo abrir las herramientas de redes de confianza.
Debe agregar todos los hosts con los que este sistema pueda contactarse, incluidos todos los enrutadores estáticos y los servidores de auditoría.
Utilice la ayuda en pantalla para agregar grupos de hosts con una dirección IP de red.
Antes de empezar
Debe estar en el rol de administrador de la seguridad en la zona global.
Todos los hosts que desee asignar a una plantilla deben existir en la herramienta Computers and Networks. Para obtener detalles, consulte Cómo agregar hosts a la red conocida del sistema.
Para obtener detalles, consulte Cómo abrir las herramientas de redes de confianza.
Ejemplo 13-8 Adición de una red IPv4 como entrada de comodín
En el ejemplo siguiente, un administrador de la seguridad asigna varias subredes IPv4 a la misma plantilla de seguridad. En la ficha Hosts Assigned to Template, el administrador agrega las siguientes entradas de comodín:
IP Address: 192.168.113.0 IP address: 192.168.75.0
Ejemplo 13-9 Adición de una lista de hosts IPv4 como entrada de comodín
En el ejemplo siguiente, un administrador de la seguridad asigna direcciones IPv4 contiguas que no están en los límites de octetos de la misma plantilla de seguridad. En la ficha Hosts Assigned to Template, el administrador agrega las siguientes entradas de comodín:
IP Address: 192.168.113.100 Prefix Length: 25
Esta entrada de comodín cubre el rango de direcciones de 192.168.113.0 a 192.168.113.127. La dirección incluye 192.168.113.100.
Ejemplo 13-10 Adición de una lista de hosts IPv6 como entrada de comodín
En el ejemplo siguiente, un administrador de la seguridad asigna direcciones IPv6 contiguas a la misma plantilla de seguridad. En la ficha Hosts Assigned to Template, el administrador agrega las siguientes entradas de comodín:
IP Address: 2001:a08:3903:200::0 Prefix Length: 56
Esta entrada de comodín cubre el rango de direcciones de 2001:a08:3903:200::0 a 2001:a08:3903:2ff:ffff:ffff:ffff:ffff. La dirección incluye 2001:a08:3903:201:20e:cff:fe08:58c.
Este procedimiento protege los hosts con etiquetas del contacto de hosts sin etiquetas arbitrarios. Si Trusted Extensions está instalado, esta plantilla predeterminada define cada host en la red. Utilice este procedimiento para enumerar hosts sin etiquetas específicos.
El archivo local tnrhdb de cada sistema se utiliza para contactar con la red en el momento del inicio. De manera predeterminada, cada host que no se proporciona con una plantilla CIPSO se define mediante la plantilla admin_low. Esta plantilla asigna todos los sistemas que no estén definidos de ningún otro modo (0.0.0.0) como sistemas sin etiquetas con la etiqueta predeterminada admin_low.
Antes de empezar
Debe estar en el rol de administrador de la seguridad en la zona global.
Todos los hosts que se deben contactar en el momento del inicio deben existir en la herramienta Computers and Networks.
El ámbito Files protege el sistema durante el inicio. Para acceder a la herramienta Security Templates, consulte Cómo abrir las herramientas de redes de confianza.
Cada host que se agrega se puede contactar durante el inicio en la etiqueta ADMIN_LOW.
Cada host que se agrega se puede contactar durante el inicio en la etiqueta ADMIN_LOW.
Para obtener detalles, consulte Cómo asignar una plantilla de seguridad a un host o a un grupo de hosts.
Incluya cada enrutador "on-link" que no esté ejecutando Trusted Extensions, mediante el cual este host debe comunicarse.
Cada host que se agrega se puede contactar durante el inicio.
Cada host que se agrega se puede contactar durante el inicio en la etiqueta ADMIN_LOW.
Para obtener detalles, consulte Cómo asignar una plantilla de seguridad a un host o a un grupo de hosts.
Incluya el servidor LDAP.
Incluya cada enrutador "on-link" que esté ejecutando Trusted Extensions, mediante el cual este host debe comunicarse.
Asegúrese de que todas las interfaces de red estén asignadas a la plantilla.
Incluya direcciones de difusión.
Ejemplo 13-11 Cambio de la etiqueta de la entrada 0.0.0.0 tnrhdb
En este ejemplo, el administrador de la seguridad crea un sistema de puerta de enlace pública. El administrador elimina la entrada 0.0.0.0 de la plantilla admin_low y asigna la entrada a una plantilla sin etiquetas que se denomina public. El sistema reconoce cualquier sistema que no figure en su archivo tnrhdb como sistema sin etiquetas con los atributos de seguridad de la plantilla de seguridad public.
A continuación se describe una plantilla sin etiquetas creada específicamente para puertas de enlace públicas.
Template Name: public Host Type: Unlabeled Default Label: Public Minimum Label: Public Maximum Label: Public DOI: 1
Ejemplo 13-12 Enumeración de equipos que se deben contactar durante el inicio en la base de datos tnrhdb
El siguiente ejemplo muestra la base de datos local tnrhdb con entradas para un cliente LDAP con dos interfaces de red. El cliente se comunica con otra red y con los enrutadores.
127.0.0.1:cipso Loopback address 192.168.112.111:cipso Interface 1 of this host 192.168.113.111:cipso Interface 2 of this host 10.6.6.2:cipso LDAP server 192.168.113.6:cipso Audit server 192.168.112.255:cipso Subnet broadcast address 192.168.113.255:cipso Subnet broadcast address 192.168.113.1:cipso Router 192.168.117.0:cipso Another Trusted Extensions network 192.168.112.12:public Specific network router 192.168.113.12:public Specific network router 224.0.0.2:public Multicast address 255.255.255.255:admin_low Broadcast address
Ejemplo 13-13 Establecimiento de la dirección de host 0.0.0.0 como entrada tnrhdb válida
En este ejemplo, el administrador de la seguridad configura un servidor Sun Ray para que acepte las solicitudes de conexión inicial de clientes potenciales. El servidor usa una topología privada y los valores predeterminados:
# utadm -a bge0
Primero, el administrador determina el nombre de dominio de Solaris Management Console:
SMCserver # /usr/sadm/bin/dtsetup scopes Getting list of managable scopes... Scope 1 file:/machine1.ExampleCo.COM/machine1.ExampleCo.COM
Luego, el administrador agrega la entrada para la conexión inicial del cliente con la base de datos tnrhdb del servidor Sun Ray. Mientras el administrador está probando, la dirección de comodín predeterminada se sigue utilizando para todas las direcciones desconocidas:
SunRayServer # /usr/sadm/bin/smtnrhdb \ add -D file:/machine1.ExampleCo.COM/machine1.ExampleCo.COM \ -- -w 0.0.0.0 -p 32 -n admin_low Authenticating as user: root Please enter a string value for: password :: ... from machine1.ExampleCo.COM was successful.
Después de que se ejecuta este comando, aparece una base de datos tnrhdb similar a la siguiente. El resultado del comando smtnrhdb aparece resaltado:
## tnrhdb database ## Sun Ray server address 192.168.128.1:cipso ## Sun Ray client addresses on 192.168.128 network 192.168.128.0/24:admin_low ## Initial address for new clients 0.0.0.0/32:admin_low ## Default wildcard address 0.0.0.0:admin_low Other addresses to be contacted at boot
# tnchkdb -h /etc/security/tsol/tnrhdb
Después de que esta fase de la prueba se realizó correctamente, el administrador elimina la dirección de comodín predeterminada a fin de hacer la configuración más segura, comprueba la sintaxis de la base de datos tnrhdb y vuelve a realizar la prueba. La base de datos tnrhdb final será similar a la siguiente:
## tnrhdb database ## Sun Ray server address 192.168.128.1:cipso ## Sun Ray client addresses on 192.168.128 network 192.168.128.0/24:admin_low ## Initial address for new clients 0.0.0.0/32:admin_low ## 0.0.0.0:admin_low - no other systems can enter network at admin_low Other addresses to be contacted at boot