Omitir V�nculos de navegaci�n | |
Salir de la Vista de impresi�n | |
Configuración y administración de Trusted Extensions Oracle Solaris 11 Information Library (Español) |
Parte I Configuración inicial de Trusted Extensions
1. Planificación de la seguridad para Trusted Extensions
2. Guía básica de configuración de Trusted Extensions
3. Adición de la función Trusted Extensions a Oracle Solaris (tareas)
4. Configuración de Trusted Extensions (tareas)
5. Configuración de LDAP para Trusted Extensions (tareas)
Parte II Administración de Trusted Extensions
6. Conceptos de la administración de Trusted Extensions
7. Herramientas de administración de Trusted Extensions
8. Requisitos de seguridad del sistema Trusted Extensions (descripción general)
9. Realización de tareas comunes en Trusted Extensions (tareas)
10. Usuarios, derechos y roles en Trusted Extensions (descripción general)
11. Gestión de usuarios, derechos y roles en Trusted Extensions (tareas)
12. Administración remota en Trusted Extensions (tareas)
13. Gestión de zonas en Trusted Extensions (tareas)
14. Gestión y montaje de archivos en Trusted Extensions (tareas)
15. Redes de confianza (descripción general)
16. Gestión de redes en Trusted Extensions (tareas)
Gestión de la red de confianza (mapa de tareas)
Etiquetado de hosts y redes (mapa de tareas)
Cómo ver plantillas de seguridad
Cómo determinar si necesita plantillas de seguridad específicas del sitio
Cómo crear plantillas de seguridad
Cómo agregar hosts a la red conocida del sistema
Cómo agregar un host a una plantilla de seguridad
Cómo agregar un rango de hosts a una plantilla de seguridad
Cómo limitar los hosts que se pueden contactar en la red de confianza
Configuración de rutas y puertos de varios niveles (tareas)
Cómo agregar rutas predeterminadas
Cómo crear un puerto de varios niveles para una zona
Configuración de IPsec con etiquetas (mapa de tareas)
Cómo aplicar las protecciones IPsec en una red de Trusted Extensions de varios niveles
Resolución de problemas de la red de confianza (mapa de tareas)
Cómo verificar que las interfaces de un sistema estén activas
Cómo depurar la red de Trusted Extensions
Cómo depurar la conexión de un cliente con el servidor LDAP
17. Trusted Extensions y LDAP (descripción general)
18. Correo de varios niveles en Trusted Extensions (descripción general)
19. Gestión de impresión con etiquetas (tareas)
20. Dispositivos en Trusted Extensions (descripción general)
21. Gestión de dispositivos para Trusted Extensions (tareas)
22. Auditoría de Trusted Extensions (descripción general)
23. Gestión de software en Trusted Extensions (referencia)
A. Política de seguridad del sitio
Creación y gestión de una política de seguridad
Política de seguridad del sitio y Trusted Extensions
Recomendaciones de seguridad informática
Recomendaciones de seguridad física
Recomendaciones de seguridad del personal
Infracciones de seguridad comunes
Referencias de seguridad adicionales
B. Lista de comprobación de configuración de Trusted Extensions
Lista de comprobación para la configuración de Trusted Extensions
C. Referencia rápida a la administración de Trusted Extensions
Interfaces administrativas en Trusted Extensions
Interfaces de Oracle Solaris ampliadas por Trusted Extensions
Valores predeterminados de seguridad que brindan mayor protección en Trusted Extensions
Opciones limitadas en Trusted Extensions
D. Lista de las páginas del comando man de Trusted Extensions
Páginas del comando man de Trusted Extensions en orden alfabético
Páginas del comando man de Oracle Solaris modificadas por Trusted Extensions
El siguiente mapa de tareas describe las tareas que se utilizan para agregar etiquetas a las protecciones IPsec.
|
En este procedimiento, se configura IPsec en dos sistemas Trusted Extensions para manejar las siguientes condiciones:
Los dos sistemas, enigma y partym, son sistemas Trusted Extensions de varios niveles que se ejecutan en una red de varios niveles.
Los datos de aplicación están cifrados y protegidos contra cambios no autorizados en la red.
La etiqueta de seguridad de los datos se visualiza en forma de una opción IP de CIPSO para su uso en dispositivos de seguridad y enrutadores de varios niveles en la ruta entre los sistemas enigma y partym.
La etiquetas de seguridad que enigma y partym intercambian están protegidas contra cambios no autorizados.
Antes de empezar
Tiene el rol de usuario root en la zona global.
Siga los procedimientos detallados en Etiquetado de hosts y redes (mapa de tareas). Utilice una plantilla con un tipo de host CIPSO.
Para conocer el procedimiento, consulte Cómo proteger el tráfico entre dos sistemas con IPsec de Administración de Oracle Solaris: servicios IP. Utilice IKE para la gestión de claves, como se describe en el siguiente paso.
Siga el procedimiento detallado en Cómo configurar IKE con claves previamente compartidas de Administración de Oracle Solaris: servicios IP, y luego modifique el archivo ike/config de la siguiente manera:
El archivo resultante tiene el siguiente aspecto. Se resaltan las adiciones de etiquetas.
### ike/config file on enigma, 192.168.116.16 ## Global parameters # ## Use IKE to exchange security labels. label_aware # ## Defaults that individual rules can override. p1_xform { auth_method preshared oakley_group 5 auth_alg sha encr_alg 3des } p2_pfs 2 # ## The rule to communicate with partym # Label must be unique { label "enigma-partym" local_addr 192.168.116.16 remote_addr 192.168.13.213 multi_label wire_label inner p1_xform { auth_method preshared oakley_group 5 auth_alg sha1 encr_alg aes } p2_pfs 5 }
### ike/config file on partym, 192.168.13.213 ## Global Parameters # ## Use IKE to exchange security labels. label_aware # p1_xform { auth_method preshared oakley_group 5 auth_alg sha encr_alg 3des } p2_pfs 2 ## The rule to communicate with enigma # Label must be unique { label "partym-enigma" local_addr 192.168.13.213 remote_addr 192.168.116.16 multi_label wire_label inner p1_xform { auth_method preshared oakley_group 5 auth_alg sha1 encr_alg aes } p2_pfs 5 }
Utilice encr_auth_algs en lugar de auth_algs en el archivo /etc/inet/ipsecinit.conf para gestionar la autenticación. La autenticación ESP no abarca el encabezado IP y las opciones IP, pero autenticará toda la información después del encabezado ESP.
{laddr enigma raddr partym} ipsec {encr_algs any encr_auth_algs any sa shared}
Nota - También puede agregar etiquetas a los sistemas que están protegidos mediante certificados. Los certificados de claves públicas se gestionan en la zona global en los sistemas Trusted Extensions. Modifique el archivo ike/config de forma similar al completar los procedimientos detallados en Configuración de IKE con certificados de clave pública de Administración de Oracle Solaris: servicios IP.
Este procedimiento configura un túnel IPsec en una red pública entre dos sistemas de puerta de enlace VPN de Trusted Extensions. El ejemplo que se utiliza en este procedimiento se basa en la configuración ilustrada en Descripción de la topología de red para la protección de una VPN por parte de las tareas de IPsec de Administración de Oracle Solaris: servicios IP.
Supongamos que se realizan las siguientes modificaciones en la ilustración:
Las 10 subredes son redes de confianza de varios niveles. Las etiquetas de seguridad de las opciones IP de CIPSO se visualizan en estas redes LAN.
Las subredes 192.168 son redes no de confianza de una sola etiqueta que funcionan en la etiqueta PUBLIC. Estas redes no admiten las opciones IP de CIPSO.
El tráfico con etiquetas entre euro-vpn y calif-vpn está protegido contra cambios no autorizados.
Antes de empezar
Tiene el rol de usuario root en la zona global.
Utilice una plantilla con un tipo de host CIPSO. Conserve el rango de etiquetas predeterminado, de ADMIN_LOW a ADMIN_HIGH.
Utilice una plantilla con un tipo de host sin etiquetas. Defina PUBLIC como la etiqueta predeterminada. Conserve el rango de etiquetas predeterminado, de ADMIN_LOW a ADMIN_HIGH.
Conserve el rango de etiquetas predeterminado.
Siga el procedimiento detallado en Cómo proteger una VPN con IPsec en modo de túnel de Administración de Oracle Solaris: servicios IP. Utilice IKE para la gestión de claves, como se describe en el siguiente paso.
Siga el procedimiento detallado en Cómo configurar IKE con claves previamente compartidas de Administración de Oracle Solaris: servicios IP, y luego modifique el archivo ike/config de la siguiente manera:
El archivo resultante tiene el siguiente aspecto. Se resaltan las adiciones de etiquetas.
### ike/config file on euro-vpn, 192.168.116.16 ## Global parameters # ## Use IKE to exchange security labels. label_aware # ## Defaults that individual rules can override. p1_xform { auth_method preshared oakley_group 5 auth_alg sha encr_alg 3des } p2_pfs 2 # ## The rule to communicate with calif-vpn # Label must be unique { label "eurovpn-califvpn" local_addr 192.168.116.16 remote_addr 192.168.13.213 multi_label wire_label none PUBLIC p1_xform { auth_method preshared oakley_group 5 auth_alg sha1 encr_alg aes } p2_pfs 5 }
### ike/config file on calif-vpn, 192.168.13.213 ## Global Parameters # ## Use IKE to exchange security labels. label_aware # p1_xform { auth_method preshared oakley_group 5 auth_alg sha encr_alg 3des } p2_pfs 2 ## The rule to communicate with euro-vpn # Label must be unique { label "califvpn-eurovpn" local_addr 192.168.13.213 remote_addr 192.168.116.16 multi_label wire_label none PUBLIC p1_xform { auth_method preshared oakley_group 5 auth_alg sha1 encr_alg aes } p2_pfs 5 }
Nota - También puede agregar etiquetas a los sistemas que están protegidos mediante certificados. Modifique el archivo ike/config de forma similar al completar los procedimientos detallados en Configuración de IKE con certificados de clave pública de Administración de Oracle Solaris: servicios IP.