Configuration de routes et vérification des informations réseau dans Trusted Extensions (liste des tâches)

La liste des tâches ci-dessous décrit les tâches permettant de configurer le réseau et de vérifier la configuration.

Procédure de configuration de routes à l'aide d'attributs de sécurité

Avant de commencer

Vous devez être dans le rôle d'administrateur de sécurité dans la zone globale.

1. Ajoutez chaque hôte et passerelle de destination que vous utilisez pour acheminer des paquets dans le réseau de confiance.

   Les adresses sont ajoutées au fichier /etc/hosts local ou à son équivalent sur le serveur LDAP. Utilisez l'outil Computers and Networks (Ordinateurs et réseaux) dans la Console de gestion Solaris. L'étendue fichiers modifie le fichier /etc/hosts. L'étendue LDAP modifie les entrées sur le serveur LDAP. Pour plus d'informations, reportez-vous à la section Procédure d'ajout d'hôtes au réseau connu du système .

2. Assignez chaque hôte, réseau et passerelle de destination à un modèle de sécurité.

   Les adresses sont ajoutées au fichier /etc/security/tsol/tnrhdb local ou à son équivalent sur le serveur LDAP. Utilisez l'outil Security Templates (Modèles de sécurité) dans la Console de gestion Solaris. Pour plus d'informations, reportez-vous à la section Procédure d'assignation d'un modèle de sécurité à un hôte ou à un groupe d'hôtes.

3. Configurez les routes.

   Dans une fenêtre de terminal, utilisez la commande route add pour spécifier des routes.

   La première entrée configure une route par défaut. L'entrée spécifie une adresse de passerelle, 192.168.113.1, à utiliser lorsqu'aucune route spécifique n'est définie pour la destination de l'hôte ou celle du paquet.

   # route add default 192.168.113.1 -static

   Pour plus d'informations, reportez-vous à la page de manuel route(1M).

4. Configurez une ou plusieurs entrées de réseau.

   Utilisez l'indicateur -secattr pour spécifier les attributs de sécurité.

   Dans la liste de commandes suivante, la deuxième ligne présente une entrée de réseau. La troisième ligne présente une entrée de réseau possédant une plage d'étiquettes allant de PUBLIC à CONFIDENTIAL : INTERNAL USE ONLY.

   # route add default 192.168.113.36
   # route add -net 192.168.102.0 gateway-101
   # route add -net 192.168.101.0 gateway-102 \
   -secattr min_sl=“PUBLIC”,max_sl=”CONFIDENTIAL : INTERNAL USE ONLY”,doi=1

5. Configurez une ou entrée d'hôtes ou plus.

   La nouvelle ligne (la dernière) montre une entrée d'hôte pour l'hôte à étiquette unique gateway-pub. gateway-pub a une plage d'étiquettes comprise entre PUBLIC et PUBLIC.

   # route add default 192.168.113.36
   # route add -net 192.168.102.0 gateway-101
   # route add -net 192.168.101.0 gateway-102 \
   -secattr min_sl="PUBLIC",max_sl="CONFIDENTIAL : INTERNAL USE ONLY",doi=1
   # route add -host 192.168.101.3 gateway-pub \
   -secattr min_sl="PUBLIC",max_sl="PUBLIC",doi=1

Exemple 13-14 Ajout d'une route possédant une plage d'étiquettes allant de CONFIDENTIAL : INTERNAL USE ONLY à CONFIDENTIAL : RESTRICTED

La commande route suivante ajoute à la table de routage les hôtes à l'adresse 192.168.115.0 utilisant 192.168.118.39 comme passerelle. La plage d'étiquettes va de CONFIDENTIAL : INTERNAL USE ONLY à CONFIDENTIAL : RESTRICTED et la valeur du DOI est 1.

$ route add -net 192.168.115.0 192.168.118.39 \
-secattr min_sl="CONFIDENTIAL : INTERNAL USE ONLY",max_sl="CONFIDENTIAL : RESTRICTED",doi=1

La commande netstat -rR permet d'afficher le résultat des hôtes ajoutés. Dans l'extrait ci-dessous, les autres routes sont remplacées par des points de suspension (...).

$ netstat -rRn
...
192.168.115.0        192.168.118.39        UG       0      0  
        min_sl=CNF : INTERNAL USE ONLY,max_sl=CNF : RESTRICTED,DOI=1,CIPSO
...

Procédure de vérification de la syntaxe des bases de données d'un réseau de confiance

La commande tnchkdb vérifie que la syntaxe de chaque base de données réseau est exacte. La Console de gestion Solaris exécute automatiquement cette commande lorsque vous utilisez l'outil Security Templates (Modèles de sécurité) ou l'outil Trusted Network Zones (Zones du réseau de confiance). En règle générale, vous exécutez cette commande pour vérifier la syntaxe des fichiers de la base de données que vous êtes en train de configurer pour une utilisation ultérieure.

Avant de commencer

Vous devez accéder à la zone globale à l'aide d'un rôle habilité à vérifier les paramètres du réseau. Les rôles d'administrateur de sécurité et d'administrateur système sont habilités à vérifier ces paramètres.

• Dans une fenêtre de terminal, exécutez la commande tnchkdb.

  $ tnchkdb [-h tnrhdb-path] [-t tnrhtp-path] [-z tnzonecfg-path]
  checking /etc/security/tsol/tnrhtp ...
  checking /etc/security/tsol/tnrhdb ...
  checking /etc/security/tsol/tnzonecfg ...

Exemple 13-15 Test de la syntaxe d'une base de données réseau

Dans cet exemple, l'administrateur de sécurité teste un fichier de base de données réseau en vue d'une éventuelle utilisation. Au départ, l'administrateur utilise la mauvaise option. Les résultats de la vérification sont imprimés sur la ligne pour le fichier tnrhdb :

$ tnchkdb -h /opt/secfiles/trial.tnrhtp
checking /etc/security/tsol/tnrhtp ...
checking /opt/secfiles/trial.tnrhtp ...
line 12: Illegal name: min_sl=ADMIN_LOW;max_sl=ADMIN_HIGH
line 14: Illegal name: min_sl=ADMIN_LOW;max_sl=ADMIN_HIGH
checking /etc/security/tsol/tnzonecfg ...

Lorsque l'administrateur de sécurité vérifie le fichier à l'aide de l'option -t, la commande confirme l'exactitude de la syntaxe de la base de données tnrhtp à l'essai :

$ tnchkdb -t /opt/secfiles/trial.tnrhtp
checking /opt/secfiles/trial.tnrhtp ...
checking /etc/security/tsol/tnrhdb ...
checking /etc/security/tsol/tnzonecfg ...

Procédure de comparaison des informations des base de données du réseau de confiance et du cache du noyau

Les bases de données du réseau peuvent contenir des informations qui ne figurent pas dans le cache du noyau. Cette procédure vérifie que les informations sont identiques. Lorsque vous utilisez la Console de gestion Solaris pour mettre à jour le réseau, le cache du noyau est mis à jour avec les informations des bases de données réseau. La commande tninfo est utile durant le test et le débogage.

Avant de commencer

Vous devez accéder à la zone globale à l'aide d'un rôle habilité à vérifier les paramètres du réseau. Les rôles d'administrateur de sécurité et d'administrateur système sont habilités à vérifier ces paramètres.

• Dans une fenêtre de terminal, exécutez la commande tninfo.

  • tninfo -h hostname affiche l'adresse IP et le modèle pour l'hôte spécifié.

  • tninfo -t templatename affiche les informations suivantes :

    template: template-name
    host_type: either CIPSO or UNLABELED
    doi: 1
    min_sl: minimum-label
    hex: minimum-hex-label
    max_sl: maximum-label
    hex:maximum-hex-label

  • tninfo -m zone-name affiche la configuration de port multiniveau (MLP) d'une zone.

Exemple 13-16 Affichage de ports multiniveau sur un hôte

Dans cet exemple, un système est configuré avec plusieurs zones étiquetées. Toutes les zones partagent la même adresse IP. Certaines zones sont également configurées avec des adresses spécifiques à leur zone. Dans cette configuration, le port TCP permettant de naviguer sur le Web (port 8080) est un MLP situé sur une interface partagée de la zone publique. L'administrateur a également configuré telnet, le port TCP 23, comme MLP de la zone publique. Étant donné que ces deux MLP se trouvent sur une interface partagée, aucune autre zone, pas même la zone globale, ne peut recevoir de paquets sur les ports 8080 et 23 dans l'interface partagée.

En outre, le port TCP de ssh, le port 22, est un MLP par zone de la zone publique. Le service ssh de la zone publique peut recevoir sur l'adresse spécifique à sa zone n'importe quel paquet correspondant à la page d'étiquettes de l'adresse.

La commande suivante indique les MLP pour la zone publique :

$ tninfo -m public
private: 22/tcp
shared:  23/tcp;8080/tcp

La commande suivante indique les MLP pour la zone globale. Notez que les ports 23 et 8080 ne peuvent pas être de type MLP dans la zone globale car celle-ci partage la même adresse que la zone publique :

$ tninfo -m global
private: 111/tcp;111/udp;514/tcp;515/tcp;631/tcp;2049/tcp;
         6000-6003/tcp;38672/tcp;60770/tcp;
shared:  6000-6003/tcp

Procédure de synchronisation du cache du noyau avec les bases de données d'un réseau de confiance

Lorsque le noyau n'a pas été mis à jour avec les informations des bases de données du réseau de confiance, vous pouvez procéder de différentes manières pour mettre à jour le cache du noyau. La Console de gestion Solaris exécute automatiquement cette commande lorsque vous utilisez les outils Security Templates (Modèles de sécurité) ou Trusted Network Zones (Zones de réseau de confiance).

Avant de commencer

Vous devez être dans le rôle d'administrateur de sécurité dans la zone globale.

• Pour synchroniser le cache du noyau avec les bases de données réseau, exécutez l'une des commandes suivantes :
  • Redémarrage du service tnctl.

    ---

    Attention - N'utilisez pas cette méthode sur des systèmes où les informations des bases de données du réseau de confiance sont obtenues à partir d'un serveur LDAP. Les informations de la base de données locale écraseraient les informations obtenues à partir du serveur LDAP.

    ---

    $ svcadm restart svc:/network/tnctl

    Cette commande permet d'importer dans le noyau toutes les informations des bases de données locales du réseau de confiance.

  • Mise à jour du cache du noyau avec vos entrées récemment ajoutées.

    $ tnctl -h hostname

    Cette commande importe uniquement dans le noyau les informations de l'option sélectionnée. Pour plus d'informations sur les options, reportez-vous à l'Exemple 13-17 et à la page de manuel tnctl(1M).

  • Modification du service tnd.

    ---

    Remarque - Le service tnd ne peut être exécuté que si le service ldap est en cours d'exécution.

    ---

    • Modification de l'intervalle d'interrogation tnd.

      Cette commande ne met pas à jour le cache du noyau. Cependant, vous pouvez réduire l'intervalle d'interrogation pour augmenter la fréquence de mise à jour du cache du noyau. Pour plus d'informations, reportez-vous à la page de manuel tnd(1M).

    • Actualisation de tnd.

      Cette commande de l'utilitaire de gestion des services (SMF) déclenche une mise à jour immédiate du noyau avec les modifications récentes apportées aux bases de données du réseau de confiance.

      $ svcadm refresh svc:/network/tnd

    • Redémarrage de tnd à l'aide de SMF.

      $ svcadm restart svc:/network/tnd

      ---

      Attention - Évitez d'exécuter la commande tnd pour redémarrer tnd. Cette commande peut interrompre des communications en cours.

      ---

Exemple 13-17 Mise à jour du noyau avec vos entrées tnrhdb les plus récentes

Dans cet exemple, l'administrateur a ajouté trois adresses à la base de données locale tnrhdb. L'administrateur supprime tout d'abord l'entrée générique 0.0.0.0.

$ tnctl -d -h 0.0.0.0:admin_low

Il visualise ensuite le format des trois dernières entrées dans la base de données /etc/security/tsol/tnrhdb :

$ tail /etc/security/tsol/tnrhdb
#\:\:0:admin_low
127.0.0.1:cipso
#\:\:1:cipso
192.168.103.5:admin_low
192.168.103.0:cipso
0.0.0.0/32:admin_low

Puis il met à jour le cache du noyau :

$ tnctl -h 192.168.103.5
tnctl -h 192.168.103.0
tnctl -h 0.0.0.0/32

Enfin, l'administrateur vérifie que le cache du noyau a bien été mis à jour. La sortie de la première entrée se présente de la manière suivante :

$ tninfo -h 192.168.103.5
IP Address: 192.168.103.5
Template: admin_low

Exemple 13-18 Mise à jour des informations réseau dans le noyau

Dans cet exemple, l'administrateur met à jour le réseau de confiance avec un serveur d'impression public et s'assure que les paramètres du noyau sont corrects.

$ tnctl -h public-print-server
$ tninfo -h public-print-server
IP Address: 192.168.103.55
Template: PublicOnly
$ tninfo -t PublicOnly
==================================
Remote Host Template Table Entries
----------------------------------
template: PublicOnly
host_type: CIPSO
doi: 1
min_sl: PUBLIC
hex: 0x0002-08-08
max_sl: PUBLIC
hex: 0x0002-08-08