Omitir V�nculos de navegaci�n | |
Salir de la Vista de impresi�n | |
Configuración y administración de Trusted Extensions Oracle Solaris 11 Information Library (Español) |
Parte I Configuración inicial de Trusted Extensions
1. Planificación de la seguridad para Trusted Extensions
2. Guía básica de configuración de Trusted Extensions
3. Adición de la función Trusted Extensions a Oracle Solaris (tareas)
4. Configuración de Trusted Extensions (tareas)
5. Configuración de LDAP para Trusted Extensions (tareas)
Parte II Administración de Trusted Extensions
6. Conceptos de la administración de Trusted Extensions
7. Herramientas de administración de Trusted Extensions
8. Requisitos de seguridad del sistema Trusted Extensions (descripción general)
9. Realización de tareas comunes en Trusted Extensions (tareas)
10. Usuarios, derechos y roles en Trusted Extensions (descripción general)
11. Gestión de usuarios, derechos y roles en Trusted Extensions (tareas)
12. Administración remota en Trusted Extensions (tareas)
13. Gestión de zonas en Trusted Extensions (tareas)
14. Gestión y montaje de archivos en Trusted Extensions (tareas)
15. Redes de confianza (descripción general)
Paquetes de datos de Trusted Extensions
Comunicaciones de la red de confianza
Comandos de red en Trusted Extensions
Bases de datos de configuración de red en Trusted Extensions
Atributos de seguridad de la red de confianza
Atributos de seguridad de red en Trusted Extensions
Tipo de host y nombre de plantilla en plantillas de seguridad
Etiqueta predeterminada en plantillas de seguridad
Dominio de interpretación en plantillas de seguridad
Rango de etiquetas en plantillas de seguridad
Etiquetas auxiliares en plantillas de seguridad
Mecanismo de reserva de la red de confianza
Descripción general del enrutamiento en Trusted Extensions
Conocimientos básicos del enrutamiento
Entradas de la tabla de enrutamiento en Trusted Extensions
Comprobaciones de acreditaciones de Trusted Extensions
Comprobaciones de acreditaciones del origen
Administración del enrutamiento en Trusted Extensions
Selección de los enrutadores en Trusted Extensions
Puertas de enlace en Trusted Extensions
Comandos de enrutamiento en Trusted Extensions
Administración de IPsec con etiquetas
Etiquetas para intercambios protegidos por IPsec
Extensiones de etiquetas para asociaciones de seguridad IPsec
Extensiones de etiquetas para IKE
Etiquetas y acreditación en IPsec en modo túnel
Protecciones de confidencialidad e integridad con extensiones de etiquetas
16. Gestión de redes en Trusted Extensions (tareas)
17. Trusted Extensions y LDAP (descripción general)
18. Correo de varios niveles en Trusted Extensions (descripción general)
19. Gestión de impresión con etiquetas (tareas)
20. Dispositivos en Trusted Extensions (descripción general)
21. Gestión de dispositivos para Trusted Extensions (tareas)
22. Auditoría de Trusted Extensions (descripción general)
23. Gestión de software en Trusted Extensions (referencia)
A. Política de seguridad del sitio
Creación y gestión de una política de seguridad
Política de seguridad del sitio y Trusted Extensions
Recomendaciones de seguridad informática
Recomendaciones de seguridad física
Recomendaciones de seguridad del personal
Infracciones de seguridad comunes
Referencias de seguridad adicionales
B. Lista de comprobación de configuración de Trusted Extensions
Lista de comprobación para la configuración de Trusted Extensions
C. Referencia rápida a la administración de Trusted Extensions
Interfaces administrativas en Trusted Extensions
Interfaces de Oracle Solaris ampliadas por Trusted Extensions
Valores predeterminados de seguridad que brindan mayor protección en Trusted Extensions
Opciones limitadas en Trusted Extensions
D. Lista de las páginas del comando man de Trusted Extensions
Páginas del comando man de Trusted Extensions en orden alfabético
Páginas del comando man de Oracle Solaris modificadas por Trusted Extensions
En Trusted Extensions, las rutas que unen los hosts de diferentes redes deben preservar la seguridad en cada etapa de la transmisión. Trusted Extensions agrega atributos de seguridad ampliados a los protocolos de enrutamiento en el SO Oracle Solaris. A diferencia de Oracle Solaris, Trusted Extensions no admite el enrutamiento dinámico. Para obtener detalles sobre la especificación del enrutamiento estático, consulte la opción -p de la página del comando man route(1M).
Paquetes de ruta de enrutadores y puertas de enlace. Aquí se utilizan los términos “puerta de enlace” y “enrutador” de manera intercambiable.
En las comunicaciones entre dos hosts de la misma subred, las comprobaciones de acreditaciones se realizan en los puntos finales sólo porque no participan enrutadores. Las comprobaciones de los rangos de etiquetas se llevan a cabo en el origen. Si el host de recepción ejecuta el software Trusted Extensions, las comprobaciones de los rangos de etiquetas también se efectúan en el destino.
Cuando los hosts de origen y de destino se encuentran en subredes diferentes, el paquete se envía desde el host de origen hasta una puerta de enlace. El rango de etiquetas del destino y la puerta de enlace del primer salto se comprueban en el origen cuando una ruta está seleccionada. La puerta de enlace envía el paquete a la red en que está conectado el host de destino. Es posible que un paquete atraviese varias puertas de enlace antes de llegar al destino.
En las puertas de enlace de Trusted Extensions, las comprobaciones de los rangos de etiquetas se llevan a cabo en algunos casos. Un sistema Trusted Extensions que enruta un paquete entre dos hosts sin etiquetas compara la etiqueta predeterminada del host de origen con la etiqueta predeterminada del host de destino. Cuando los hosts sin etiquetas comparten una etiqueta predeterminada, se enruta el paquete.
Cada puerta de enlace mantiene una lista de rutas con todos los destinos. El enrutamiento estándar de Oracle Solaris incluye opciones para optimizar la ruta. Trusted Extensions proporciona software adicional para comprobar los requisitos de seguridad que se aplican a las opciones de ruta. Se omiten las opciones de Oracle Solaris que no cumplen los requisitos de seguridad.
Las entradas de la tabla de enrutamiento de Trusted Extensions pueden incorporar atributos de seguridad. Los atributos de seguridad pueden incluir una palabra clave cipso. Los atributos de seguridad deben incluir una etiqueta máxima, una etiqueta mínima y un DOI.
En las entradas que no proporcionan atributos de seguridad, se utilizan los atributos de la plantilla de seguridad de la puerta de enlace.
El software Trusted Extensions determina la idoneidad de una ruta por cuestiones de seguridad. El software efectúa una serie de pruebas que se denominan comprobaciones de acreditaciones en el host de origen, el host de destino y las puertas de enlace intermedias.
Nota - En la explicación siguiente, la comprobación de acreditación de un rango de etiquetas también implica la comprobación de un conjunto de etiquetas auxiliares.
La comprobación de acreditación controla el rango de etiquetas y la información de la etiqueta CIPSO. Los atributos de seguridad de una ruta se obtienen de la entrada de la tabla de enrutamiento o de la plantilla de seguridad de la puerta de enlace si la entrada no tiene atributos de seguridad.
Para las comunicaciones entrantes, el software Trusted Extensions obtiene etiquetas de los paquetes siempre que sea posible. La obtención de etiquetas de los paquetes sólo es posible cuando los mensajes se envían desde hosts que admiten etiquetas. Cuando una etiqueta no está disponible en el paquete, se asigna una etiqueta predeterminada al mensaje desde la plantilla de seguridad. Estas etiquetas se utilizan posteriormente en las comprobaciones de acreditaciones. Trusted Extensions aplica varias comprobaciones en los mensajes entrantes, salientes y reenviados.
Las siguientes comprobaciones de acreditaciones se realizan en el proceso o la zona de envío:
En todos los destinos, el DOI de un paquete saliente debe coincidir con el DOI del host de destino. El DOI también debe coincidir con el DOI de todos los saltos de la ruta, incluida la puerta de enlace del primer salto.
En todos los destinos, la etiqueta del paquete saliente debe estar dentro del rango de etiquetas del próximo salto en la ruta, es decir, el primer salto. Además, la etiqueta debe estar incluida en los atributos de seguridad de la puerta de enlace del primer salto.
Cuando el host de destino es un host sin etiquetas, debe cumplirse una de las siguientes condiciones:
La etiqueta del host de envío debe coincidir con la etiqueta predeterminada del host de destino.
El host de envío tiene el privilegio de establecer comunicaciones de etiqueta cruzada, y la etiqueta del remitente domina la etiqueta predeterminada del destino.
El host de envío tiene el privilegio de establecer comunicaciones de etiqueta cruzada, y la etiqueta del remitente es ADMIN_LOW. Es decir, el remitente realiza el envío desde la zona global.
Nota - Una comprobación del primer salto tiene lugar cuando se envía un mensaje por medio de una puerta de enlace de un host en una red a un host en otra red.
En un sistema de puerta de enlace de Trusted Extensions, se realizan las siguientes comprobaciones de acreditaciones para la puerta de enlace del próximo salto:
Si el paquete entrante no tiene etiquetas, el paquete hereda la etiqueta predeterminada del host de origen desde la plantilla de seguridad. De lo contrario, el paquete recibe la etiqueta CIPSO indicada.
Las comprobaciones para el envío de un paquete se efectúan de manera similar a la acreditación de origen:
En todos los destinos, el DOI de un paquete saliente debe coincidir con el DOI del host de destino. El DOI también debe coincidir con el DOI del host del próximo salto.
En todos los destinos, la etiqueta del paquete saliente debe estar dentro del rango de etiquetas del próximo salto. Además, la etiqueta debe estar incluida en los atributos de seguridad que corresponden al host del próximo salto.
La etiqueta de un paquete sin etiquetas debe coincidir con la etiqueta predeterminada del host de destino.
La etiqueta de un paquete CIPSO debe estar dentro del rango de etiquetas del host de destino.
Cuando un sistema Trusted Extensions recibe datos, el software realiza las siguientes comprobaciones:
Si el paquete entrante no tiene etiquetas, el paquete hereda la etiqueta predeterminada del host de origen desde la plantilla de seguridad. De lo contrario, el paquete recibe la etiqueta CIPSO indicada.
La etiqueta y el DOI del paquete deben ser coherentes con la zona de destino o la etiqueta y el DOI del proceso de destino. La única excepción es cuando el proceso realiza la recepción en un puerto de varios niveles. El proceso que recibe puede obtener un paquete si tiene el privilegio de establecer comunicaciones de etiqueta cruzada y se encuentra en la zona global o tiene una etiqueta que domina la etiqueta del paquete.