Omitir Vínculos de navegación | |
Salir de la Vista de impresión | |
Configuración y administración de Trusted Extensions Oracle Solaris 11.1 Information Library (Español) |
Parte I Configuración inicial de Trusted Extensions
1. Planificación de la seguridad para Trusted Extensions
2. Guía básica de configuración de Trusted Extensions
3. Agregación de la función Trusted Extensions a Oracle Solaris (tareas)
4. Configuración de Trusted Extensions (tareas)
5. Configuración de LDAP para Trusted Extensions (tareas)
Parte II Administración de Trusted Extensions
6. Conceptos de la administración de Trusted Extensions
7. Herramientas de administración de Trusted Extensions
8. Requisitos de seguridad del sistema Trusted Extensions (descripción general)
9. Realización de tareas comunes en Trusted Extensions
10. Usuarios, derechos y roles en Trusted Extensions (descripción general)
11. Gestión de usuarios, derechos y roles en Trusted Extensions (tareas)
12. Administración remota en Trusted Extensions (tareas)
13. Gestión de zonas en Trusted Extensions
14. Gestión y montaje de archivos en Trusted Extensions
15. Redes de confianza (descripción general)
16. Gestión de redes en Trusted Extensions (tareas)
Etiquetado de hosts y redes (mapa de tareas)
Visualización de plantillas de seguridad existentes (tareas)
Cómo ver plantillas de seguridad
Cómo determinar si necesita plantillas de seguridad específicas del sitio
Cómo agregar hosts a la red conocida del sistema
Creación de plantillas de seguridad (tareas)
Cómo crear plantillas de seguridad
Agregación de hosts a plantillas de seguridad (tareas)
Cómo agregar un host a una plantilla de seguridad
Cómo agregar un rango de hosts a una plantilla de seguridad
Limitación de los hosts que pueden acceder a la red de confianza (tareas)
Cómo limitar los hosts que se pueden contactar en la red de confianza
Configuración de rutas y puertos de varios niveles (tareas)
Cómo agregar rutas predeterminadas
Cómo crear un puerto de varios niveles para una zona
Configuración de IPsec con etiquetas (mapa de tareas)
Cómo aplicar las protecciones IPsec en una red de Trusted Extensions de varios niveles
Cómo configurar un túnel en una red que no es de confianza
Resolución de problemas de la red de confianza (mapa de tareas)
Cómo verificar que las interfaces de un sistema estén activas
Cómo depurar la red de Trusted Extensions
Cómo depurar la conexión de un cliente con el servidor LDAP
17. Trusted Extensions y LDAP (descripción general)
18. Correo de varios niveles en Trusted Extensions (descripción general)
19. Gestión de impresión con etiquetas (tareas)
20. Dispositivos en Trusted Extensions (descripción general)
21. Gestión de dispositivos para Trusted Extensions (tareas)
22. Auditoría de Trusted Extensions (descripción general)
23. Gestión de software en Trusted Extensions
A. Política de seguridad del sitio
Creación y gestión de una política de seguridad
Política de seguridad del sitio y Trusted Extensions
Recomendaciones de seguridad informática
Recomendaciones de seguridad física
Recomendaciones de seguridad del personal
Infracciones de seguridad comunes
Referencias de seguridad adicionales
B. Lista de comprobación de configuración de Trusted Extensions
Lista de comprobación para la configuración de Trusted Extensions
C. Referencia rápida a la administración de Trusted Extensions
Interfaces administrativas en Trusted Extensions
Interfaces de Oracle Solaris ampliadas por Trusted Extensions
Valores predeterminados de seguridad que brindan mayor protección en Trusted Extensions
Opciones limitadas en Trusted Extensions
D. Lista de las páginas del comando man de Trusted Extensions
Páginas del comando man de Trusted Extensions en orden alfabético
Páginas del comando man de Oracle Solaris modificadas por Trusted Extensions
Un sistema Trusted Extensions puede establecer contacto con otros hosts sólo después de que el sistema ha definido los atributos de seguridad de esos hosts. Debido a que los hosts remotos pueden tener atributos de seguridad similares, Trusted Extensions proporciona plantillas de seguridad a las que es posible agregar hosts.
Antes de etiquetar redes y hosts remotos, lea la plantillas de seguridad proporcionadas y asegúrese de que puede acceder a las redes y los hosts remotos. Para obtener instrucciones, consulte lo siguiente:
Ver las plantillas de seguridad: Cómo ver plantillas de seguridad
Determinar si el sitio requiere plantillas de seguridad personalizadas: Cómo determinar si necesita plantillas de seguridad específicas del sitio
Agregar sistemas y redes a la red de confianza: Cómo agregar hosts a la red conocida del sistema
Puede ver la lista de plantillas de seguridad y el contenido de cada plantilla. Los ejemplos que se muestran en este procedimiento hacen referencia a las plantillas de seguridad predeterminadas.
# tncfg list cipso admin_low adapt netif
# tncfg -t cipso info name=cipso host_type=cipso doi=1 min_label=ADMIN_LOW max_label=ADMIN_HIGH host=127.0.0.1/32
La entrada 127.0.0.1/32 de la plantilla de seguridad cipso anterior identifica este sistema como un sistema con etiquetas. Cuando un igual asigna este sistema a la plantilla de host remoto del igual con el host_type de cipso, los dos sistemas pueden intercambiar paquetes con etiquetas.
# tncfg -t admin_low info name=admin_low host_type=unlabeled doi=1 def_label=ADMIN_LOW min_label=ADMIN_LOW max_label=ADMIN_HIGH host=0.0.0.0/0
La entrada 0.0.0.0/0 de la plantilla de seguridad admin_low anterior permite que todos los hosts que están asignados explícitamente a una plantilla de seguridad puedan establecer contacto con este sistema. Estos hosts se reconocen como hosts sin etiquetas.
La ventaja de la entrada 0.0.0.0/0 es que se pueden encontrar todos los hosts que este sistema requiere durante el inicio, por ejemplo, servidores y puertas de enlace.
La desventaja de la entrada 0.0.0.0/0 es que cualquier host de la red de este sistema puede establecer contacto con el sistema. Para limitar los hosts que pueden establecer contacto con este sistema, consulte Cómo limitar los hosts que se pueden contactar en la red de confianza.
# tncfg -t adapt info name=adapt host_type=adapt doi=1 min_label=ADMIN_LOW max_label=ADMIN_HIGH host=0.0.0.0/0
Una plantilla adapt identifica un host adaptable, es decir, un sistema que no es de confianza que no puede tener una etiqueta predeterminada. En cambio, su etiqueta es asignada por el sistema de confianza receptor. La etiqueta se deriva de la etiqueta predeterminada de la interfaz IP que recibe el paquete, como se especifica en la plantilla netif del sistema etiquetado.
# tncfg -t netif info name=netif host_type=netif doi=1 def_label=ADMIN_LOW min_label=ADMIN_LOW max_label=ADMIN_HIGH host=127.0.0.1/32
Una plantilla netif especifica una interfaz de red local de confianza, no un host remoto. La etiqueta predeterminada de una plantilla netif debe ser igual a la etiqueta de cada zona con una interfaz de red dedicada cuya dirección IP coincide con una dirección de host en esa plantilla. Además, el enlace inferior correspondiente a la interfaz de zona coincidente solamente se puede asignar a otras zonas que comparten la misma etiqueta.
Limite el rango de etiquetas de un host o un grupo de hosts.
Cree un host de una sola etiqueta en una etiqueta distinta de ADMIN_LOW.
Requiera una etiqueta predeterminada para los hosts sin etiquetas que no sea ADMIN_LOW.
Cree un host que reconozca un conjunto limitado de etiquetas.
Utilice un dominio de interpretación distinto de 1.
Envíe información desde hosts sin etiquetar especificados hasta una interfaz de red de confianza para asignar la etiqueta correcta a los paquetes desde los hosts sin etiquetar.
Después de agregar hosts y grupos de hosts al archivo /etc/hosts de un sistema, el sistema reconoce los hosts. Sólo es posible agregar hosts conocidos a una plantilla de seguridad.
Antes de empezar
Debe estar con el rol de usuario root en la zona global.
# pfedit /etc/hosts ... 192.168.111.121 ahost
# pfedit /etc/hosts ... 192.168.111.0 111-network
Esta sección contiene referencias o ejemplos sobre la creación de plantillas de seguridad para las siguientes configuraciones de red:
DOI es un valor diferente de 1: Cómo configurar un dominio de interpretación diferente
Los hosts remotos de confianza se asignan a una etiqueta específica: Ejemplo 16-1
Los hosts remotos que no son de confianza se asignan a una etiqueta específica: Ejemplo 16-2
Para ver más ejemplos de plantillas de seguridad que satisfacen requisitos específicos, consulte Agregación de hosts a plantillas de seguridad (tareas).
Antes de empezar
Debe estar en la zona global en un rol que pueda modificar la seguridad de la red. Por ejemplo, los roles que tienen asignados los perfiles de derechos de seguridad de la información o seguridad de la red pueden modificar los valores de seguridad. El rol de administrador de la seguridad incluye estos perfiles de derechos.
Para las etiquetas como PUBLIC, puede utilizar la cadena de etiqueta o el valor hexadecimal, 0x0002-08-08, como valores de etiqueta. El comando tncfg acepta ambos formatos.
# atohexlabel "confidential : internal use only" 0x0004-08-48
Para obtener más información, consulte Cómo obtener el equivalente hexadecimal de una etiqueta.
Por razones de compatibilidad, no suprima las plantillas de seguridad predeterminadas.
Puede copiar y modificar estas plantillas.
Además, puede agregar y eliminar hosts asignados a estas plantillas. Para obtener un ejemplo, consulte Cómo limitar los hosts que se pueden contactar en la red de confianza.
El comando tncfg -t proporciona tres maneras de crear plantillas nuevas.
Utilice el comando tncfg en modo interactivo. El subcomando info muestra los valores que se proporcionan de forma predeterminada. Utilice la tecla de tabulación para completar los valores y las propiedades parciales. Escriba exit para completar la plantilla.
# tncfg -t newunlabeled tncfg:newunlabeled> info name=newunlabeled host_type=unlabeled doi=1 def_label=ADMIN_LOW min_label=ADMIN_LOW max_label=ADMIN_HIGH tncfg:newunlabeled> set m<Tab> set max_label=" set min_label=" tncfg:newunlabeled> set ma<Tab> tncfg:newunlabeled> set max_label=ADMIN_LOW ... tncfg:newunlabeled> commit tncfg:newunlabeled> exit
También puede proporcionar la lista completa de atributos para una plantilla de seguridad en la línea de comandos. Se utiliza un punto y coma para separar los subcomandos set. Una propiedad omitida recibe el valor predeterminado.
# tncfg -t newunlabeled set host_type=unlabeled;set doi=1; \ set min_label=ADMIN_LOW;set max_label=ADMIN_LOW
# tncfg -t cipso tncfg:cipso> set name=newcipso tncfg:newcipso> info name=newcipso host_type=cipso doi=1 min_label=ADMIN_LOW max_label=ADMIN_HIGH
Los hosts asignados a la plantilla de seguridad existente no se copian en la nueva plantilla.
# tncfg -f unlab_1 -f template-file tncfg: unlab_1> set host_type=unlabeled ... # tncfg -f template-file
Para ver un ejemplo de creación de una plantilla de origen para la importación, consulte la página del comando man tncfg(1M).
Ejemplo 16-1 Creación de una plantilla de seguridad para una puerta de enlace que gestiona paquetes en una sola etiqueta
En este ejemplo, el administrador de la seguridad define una puerta de enlace que únicamente puede transferir paquetes en la etiqueta PUBLIC.
# tncfg -t cipso_public tncfg:cipso_public> set host_type=cipso tncfg:cipso_public> set doi=1 tncfg:cipso_public> set min_label="public" tncfg:cipso_public> set max_label="public" tncfg:cipso_public> commit tncfg:cipso_public> exit
El administrador de la seguridad luego agrega el host de la puerta de enlace a la plantilla de seguridad. Para obtener detalles sobre la agregación, consulte el Ejemplo 16-3.
Ejemplo 16-2 Creación de una plantilla de seguridad sin etiquetas en la etiqueta PUBLIC
En este ejemplo, el administrador de seguridad crea una plantilla sin etiquetar para hosts que no son de confianza que pueden recibir y enviar paquetes en la etiqueta PUBLIC únicamente. Esta plantilla se puede asignar a los hosts cuyos sistemas de archivos deben montarse en la etiqueta PUBLIC mediante los sistemas Trusted Extensions.
# tncfg -t public tncfg:public> set host_type=unlabeled tncfg:public> set doi=1 tncfg:public> set def_label="public" tncfg:public> set min_sl="public" tncfg:public> set max_sl="public" tncfg:public> exit
El administrador de la seguridad luego agrega los hosts a la plantilla de seguridad. Para obtener detalles sobre la agregación, consulte el Ejemplo 16-12.
Esta sección contiene referencias o ejemplos sobre la agregación de hosts a plantillas de seguridad. Para direcciones IP discontinuas, consulte Cómo agregar un host a una plantilla de seguridad. Para un rango de hosts, consulte Cómo agregar un rango de hosts a una plantilla de seguridad.
Los ejemplos de esta sección muestran las siguientes asignaciones de etiqueta de host remoto:
La puerta de enlace remota de confianza gestiona el tráfico PUBLIC: Ejemplo 16-3
Los hosts remotos que no son de confianza actúan como enrutadores de una sola etiqueta: Ejemplo 16-4
Los hosts remotos de confianza restringen el tráfico a un rango de etiquetas menor: Ejemplo 16-5
A los hosts remotos de confianza se les asigna un conjunto limitado de etiquetas: Ejemplo 16-6
A los hosts remotos de confianza se les asignan etiquetas que están separadas del resto de la red: Ejemplo 16-7
El host netif de confianza etiqueta paquetes de sistemas adapt: Ejemplo 16-8
El host adapt que no es de confianza envía paquetes a un host netif: Ejemplo 16-9
La red homogénea de confianza agrega una dirección de multidifusión en una etiqueta específica: Ejemplo 16-10
Un host se elimina de una plantilla de seguridad: Ejemplo 16-11
Se asignan etiquetas a redes y hosts remotos que no son de confianza: Ejemplo 16-12
Antes de empezar
Se deben cumplir los siguientes requisitos:
Las direcciones IP deben existir en el archivo /etc/hosts o DNS debe poder resolverlas.
Para el archivo hosts, consulte Cómo agregar hosts a la red conocida del sistema.
Para obtener información sobre DNS, consulte el Capítulo 3, Gestión de DNS (tareas) de Trabajo con servicios de nombres y directorios en Oracle Solaris 11.1.
Los puntos finales de la etiqueta deben coincidir. Para las reglas, consulte Descripción general del enrutamiento en Trusted Extensions.
Debe estar con el rol de administrador de la seguridad en la zona global.
En este ejemplo, verifique que puede acceder a 192.168.1.2.
# arp 192.168.1.2 gateway-2.example.com (192.168.1.2) at 0:0:0:1:ad:cd
El comando arp verifica que el host está definido en el archivo /etc/hosts del sistema o que DNS puede resolverlo.
Por ejemplo, agregue la dirección IP 192.168.1.2.
# tncfg -t cipso tncfg:cipso> add host=192.168.1.2
Si agrega un host que se agregó anteriormente a otra plantilla, se le notificará que está sustituyendo la asignación de plantilla de seguridad. Por ejemplo:
# tncfg -t cipso tncfg:cipso> add host=192.168.1.2 192.168.1.2 previously matched the admin_low template tncfg:cipso> info ... host=192.168.1.2/32 tncfg:cipso> exit
Por ejemplo, a continuación se muestra la dirección 192.168.1.2 que se agregó a la plantilla cipso:
tncfg:cipso> info ... host=192.168.1.2/32
La longitud del prefijo de /32 indica que la dirección es exacta.
tncfg:cipso> commit tncfg:cipso> exit
Para eliminar una entrada de host, consulte el Ejemplo 16-11.
Ejemplo 16-3 Creación de una puerta de enlace que gestiona paquetes en una sola etiqueta
En el Ejemplo 16-1, el administrador crea una plantilla de seguridad que define una puerta de enlace que sólo puede transferir paquetes en la etiqueta PUBLIC. En este ejemplo, el administrador de la seguridad comprueba que se puede resolver la dirección IP del host de la puerta de enlace.
# arp 192.168.131.75 gateway-1.example.com (192.168.131.75) at 0:0:0:1:ab:cd
El comando arp verifica que el host está definido en el archivo /etc/hosts del sistema o que DNS puede resolverlo.
A continuación, el administrador agrega el host gateway-1 a la plantilla de seguridad:
# tncfg -t cipso_public tncfg:cipso_public> add host=192.168.131.75 tncfg:cipso_public> exit
El sistema puede enviar y recibir paquetes public a través de gateway-1 de inmediato.
Ejemplo 16-4 Creación de un enrutador sin etiquetas para redirigir paquetes con etiquetas
Cualquier enrutador IP puede reenviar mensajes con etiquetas CALIPSO o CIPSO aunque el enrutador no admita etiquetas de manera explícita. Este tipo de enrutador sin etiquetas necesita una etiqueta predeterminada para definir el nivel en el que se deben controlar las conexiones con el enrutador (quizás para la gestión del enrutador). En este ejemplo, el administrador de seguridad crea un enrutador que puede reenviar tráfico en cualquier etiqueta, pero toda comunicación directa con el enrutador se gestiona en la etiqueta predeterminada, PUBLIC.
El administrador de la seguridad crea la plantilla desde el principio.
# tncfg -t unl_public_router tncfg:unl_public_router> set host_type=unlabeled tncfg:unl_public_router> set doi=1 tncfg:unl_public_router> set def_label="PUBLIC" tncfg:unl_public_router> set min_label=ADMIN_LOW tncfg:unl_public_router> set max_label=ADMIN_HIGH tncfg:unl_public_router> exit
A continuación, el administrador agrega el enrutador a la plantilla de seguridad.
# tncfg -t unl_public_router tncfg:unl_public_router> add host=192.168.131.82 tncfg:unl_public_router> exit
El sistema puede enviar y recibir paquetes en todas las etiquetas a través de router-1 de inmediato.
Ejemplo 16-5 Creación de una puerta de enlace con un rango de etiquetas limitado
En este ejemplo, el administrador de seguridad crea una puerta de enlace que limita los paquetes a un rango de etiquetas menor y agrega la puerta de enlace.
# arp 192.168.131.78 gateway-ir.example.com (192.168.131.78) at 0:0:0:3:ab:cd
# tncfg -t cipso_iuo_rstrct tncfg:cipso_iuo_rstrct> set host_type=cipso tncfg:cipso_iuo_rstrct> set doi=1 tncfg:cipso_iuo_rstrct> set min_label=0x0004-08-48 tncfg:cipso_iuo_rstrct> set max_label=0x0004-08-78 tncfg:cipso_iuo_rstrct> add host=192.168.131.78 tncfg:cipso_iuo_rstrct> exit
El sistema puede enviar y recibir paquetes con las etiquetas internal y restricted a través de gateway-ir de inmediato.
Ejemplo 16-6 Creación de hosts en etiquetas discretas
En este ejemplo, el administrador de la seguridad crea una plantilla de seguridad que reconoce dos etiquetas solamente, confidential : internal use only y confidential : restricted. Se rechaza todo el resto del tráfico.
Primero, el administrador de seguridad garantiza que se puedan resolver las direcciones IP de cada host.
# arp 192.168.132.21 host-auxset1.example.com (192.168.132.21) at 0:0:0:4:ab:cd # arp 192.168.132.22 host-auxset2.example.com (192.168.132.22) at 0:0:0:5:ab:cd # arp 192.168.132.23 host-auxset3.example.com (192.168.132.23) at 0:0:0:6:ab:cd # arp 192.168.132.24 host-auxset4.example.com (192.168.132.24) at 0:0:0:7:ab:cd
A continuación, el administrador escribe las etiquetas con cuidado y precisión. El software reconoce etiquetas en mayúscula y minúsculas y por nombre corto, pero no reconoce etiquetas donde los espacios son inexactos. Por ejemplo, la etiqueta cnf :restricted no es una etiqueta válida.
# tncfg -t cipso_int_and_rst tncfg:cipso_int_and_rst> set host_type=cipso tncfg:cipso_int_and_rst> set doi=1 tncfg:cipso_int_and_rst> set min_label="cnf : internal use only" tncfg:cipso_int_and_rst> set max_label="cnf : internal use only" tncfg:cipso_int_and_rst> set aux_label="cnf : restricted" tncfg:cipso_int_and_rst> exit
A continuación, el administrador asigna el rango de direcciones IP a la plantilla de seguridad mediante una longitud de prefijo.
# tncfg -t cipso_int_rstrct tncfg:cipso_int_rstrct> set host=192.168.132.0/24
Ejemplo 16-7 Creación de un host con etiquetas para desarrolladores
En este ejemplo, el administrador de la seguridad crea una plantilla cipso_sandbox. Esta plantilla de seguridad se asigna a los sistemas que utilizan los desarrolladores de software de confianza. Las pruebas de desarrolladores no afectan a otros hosts con etiquetas, porque la etiqueta SANDBOX está separada de las otras etiquetas de la red.
# tncfg -t cipso_sandbox tncfg:cipso_sandbox> set host_type=cipso tncfg:cipso_sandbox> set doi=1 tncfg:cipso_sandbox> set min_sl="SBX" tncfg:cipso_sandbox> set max_sl="SBX" tncfg:cipso_sandbox> add host=196.168.129.102 tncfg:cipso_sandbox> add host=196.168.129.129 tncfg:cipso_sandbox> exit
Los desarrolladores que utilizan los sistemas 196.168.129.102 y 196.168.129.129 pueden comunicarse entre sí en la etiqueta SANDBOX.
Ejemplo 16-8 Creación de una plantilla de seguridad para un host netif
En este ejemplo, el administrador de seguridad crea una plantilla de seguridad netif. Esta plantilla se asigna a la interfaz de red etiquetada que contiene la dirección IP 10.121.10.3. Con esta asignación, el módulo IP de Trusted Extensions agrega la etiqueta predeterminada, PUBLIC, a todos los paquetes entrantes que provienen de un host adaptive.
# tncfg -t netif_public tncfg:netif_public> set host_type=netif tncfg:netif_public> set doi=1 tncfg:netif_public> set def_label="PUBLIC" tncfg:netif_public> add host=10.121.10.3 tncfg:netif_public> commit tncfg:netif_public> exit
Ejemplo 16-9 Creación de plantillas de seguridad para hosts adaptables
En este ejemplo, el administrador de seguridad planifica con anticipación. El administrador crea diferentes subredes para una red que contiene información pública y una red que contiene información interna. Luego, el administrador define dos hosts adapt. A los sistemas de la subred pública se les asigna la etiqueta PUBLIC. A los sistemas de la red interna se les asigna la etiqueta IUO. Dado que esta red se planifica con anticipación, cada red contiene y transmite información en una determinada etiqueta. Otra ventaja es que la red es fácil de depurar cuando los paquetes no se entregan en la interfaz esperada.
# tncfg -t adpub_192_168_10 tncfg:adapt_public> set host_type=adapt tncfg:adapt_public> set doi=1 tncfg:adapt_public> set min_label="public" tncfg:adapt_public> set max_label="public" tncfg:adapt_public> add host=192.168.10.0 tncfg:adapt_public> commit tncfg:adapt_public> exit
# tncfg -t adiuo_192_168_20 tncfg:adapt_public> set host_type=adapt tncfg:adapt_public> set doi=1 tncfg:adapt_public> set min_label="iuo" tncfg:adapt_public> set max_label="iuo" tncfg:adapt_public> add host=192.168.20.0 tncfg:adapt_public> commit tncfg:adapt_public> exit
Ejemplo 16-10 Envío de mensajes de multidifusión etiquetados
En una LAN homogénea etiquetada, el administrador elige una dirección de multidifusión disponible a través de la cual enviar paquetes en la etiqueta PUBLIC.
# tncfg -t cipso_public tncfg:cipso_public> add host=224.4.4.4 tncfg:cipso_public> exit
Ejemplo 16-11 Eliminación de varios hosts de una plantilla de seguridad
En este ejemplo, el administrador de la seguridad elimina varios hosts de la plantilla de seguridad cipso. El administrador utiliza el subcomando info para mostrar los hosts, luego escribe remove y copia y pega cuatro entradas host=.
# tncfg -t cipso info name=cipso host_type=cipso doi=1 min_label=ADMIN_LOW max_label=ADMIN_HIGH host=127.0.0.1/32 host=192.168.1.2/32 host=192.168.113.0/24 host=192.168.113.100/25 host=2001:a08:3903:200::0/56
# tncfg -t cipso tncfg:cipso> remove host=192.168.1.2/32 tncfg:cipso> remove host=192.168.113.0/24 tncfg:cipso> remove host=192.168.113.100/25 tncfg:cipso> remove host=2001:a08:3903:200::0/56 tncfg:cipso> info ... max_label=ADMIN_HIGH host=127.0.0.1/32 host=192.168.75.0/24
Después de eliminar los hosts, el administrador confirma los cambios y sale de la plantilla de seguridad.
tncfg:cipso> commit tncfg:cipso> exit #
Antes de empezar
Para conocer los requisitos, consulte Cómo agregar un host a una plantilla de seguridad.
Por ejemplo, agregue dos subredes IPv4 a la plantilla cipso y, a continuación, visualice la plantilla de seguridad.
# tncfg -t cipso tncfg:cipso> add host=192.168.75.0 tncfg:cipso> add host=192.168.113.0 tncfg:cipso> info ... host=192.168.75.0/24 host=192.168.113.0/24 tncfg:cipso> exit
La longitud del prefijo de /24 indica que la dirección, que termina en .0, es una subred.
Nota - Si agrega un rango de hosts que se agregó anteriormente a otra plantilla, se le notificará que está sustituyendo la asignación de plantilla de seguridad.
# tncfg -t cipso tncfg:cipso> add host=192.168.113.100/25 192.168.113.100/25 previously matched the admin_low template
En el siguiente ejemplo, la longitud del prefijo /25 abarca direcciones IPv4 contiguas de 192.168.113.0 a 192.168.113.127. La dirección incluye 192.168.113.100.
# tncfg -t cipso tncfg:cipso> add host=192.168.113.100/25 tncfg:cipso> exit
En el siguiente ejemplo, la longitud del prefijo /56 abarca direcciones IPv6 contiguas de 2001:a08:3903:200::0 a 2001:a08:3903:2ff:ffff:ffff:ffff:ffff. La dirección incluye 2001:a08:3903:201:20e:cff:fe08:58c.
# tncfg -t cipso tncfg:cipso> add host=2001:a08:3903:200::0/56 tncfg:cipso> info ... host=2001:a08:3903:200::0/56 tncfg:cipso> exit
Si escribe incorrectamente una entrada, por ejemplo, omite :200 de la dirección, recibirá un mensaje similar al siguiente:
# tncfg -t cipso tncfg:cipso> add host=2001:a08:3903::0/56 Invalid host: 2001:a08:3903::0/56
Si agrega un host que se agregó anteriormente a otra plantilla, se le notificará que está sustituyendo la asignación de plantilla de seguridad. Por ejemplo:
# tncfg -t cipso tncfg:cipso> add host=192.168.113.100/32 192.168.113.100/32 previously matched the admin_low template tncfg:cipso> info ... host=192.168.113.100/32 tncfg:cipso> exit
El mecanismo de reserva de Trusted Extensions garantiza que esta asignación explícita sustituya la asignación anterior, como se describe en Mecanismo de reserva de la red de confianza.
Ejemplo 16-12 Creación de una subred sin etiquetas en la etiqueta PUBLIC
En el Ejemplo 16-2, el administrador crea una plantilla de seguridad que asigna la etiqueta PUBLIC a un host que no es de confianza. En este ejemplo, el administrador de la seguridad asigna una subred a la etiqueta PUBLIC. Los usuarios del sistema de asignación pueden montar sistemas de archivos de hosts de esta subred en una zona PUBLIC.
# tncfg -t public tncfg:public> add host=10.10.0.0/16 tncfg:public> exit
Se puede acceder a la subred de inmediato en la etiqueta PUBLIC.
En esta sección, puede proteger la red limitando los hosts que pueden acceder a la red.
Cómo limitar los hosts que se pueden contactar en la red de confianza
Aumentar la seguridad especificando sistemas para contactar durante el inicio: Ejemplo 16-13
Configurar un servidor de aplicaciones para aceptar el contacto inicial de un cliente remoto: Ejemplo 16-15
Configurar un servidor Sun Ray etiquetado para aceptar el contacto inicial de un cliente remoto: Ejemplo 16-16
Este procedimiento protege los hosts con etiquetas del contacto de hosts sin etiquetas arbitrarios. Cuando Trusted Extensions está instalado, la plantilla de seguridad predeterminada admin_low define cada host de la red. Utilice este procedimiento para enumerar hosts sin etiquetas específicos.
Los valores de la red de confianza local de cada sistema se utilizan para establecer contacto con la red durante el inicio. De manera predeterminada, cada host que no se proporciona con una plantilla cipso se define mediante la plantilla admin_low. Esta plantilla asigna todos los hosts remotos que no están definidos de ningún otro modo (0.0.0.0/0) como sistemas sin etiquetas con la etiqueta predeterminada de admin_low.
Antes de empezar
Debe estar con el rol de administrador de la seguridad en la zona global.
Todos los hosts con los que se debe establecer contacto durante el inicio deben existir en el archivo /etc/hosts.
Incluya cada host sin etiquetas con el que se debe establecer contacto durante el inicio.
Incluya cada enrutador "on-link" que no ejecute Trusted Extensions, mediante el cual se debe comunicar este sistema.
Elimine la asignación 0.0.0.0/0.
Agregue cada host con etiquetas con el que se debe establecer contacto durante el inicio.
Incluya cada enrutador "on-link" que ejecute Trusted Extensions, mediante el cual se debe comunicar este sistema.
Asegúrese de que todas las interfaces de red estén asignadas a la plantilla.
Incluya las direcciones de difusión.
Incluya los rangos de hosts con etiquetas con los que se debe establecer contacto durante el inicio.
Consulte el Ejemplo 16-14 para ver una base de datos de ejemplo.
Ejemplo 16-13 Cambio de la etiqueta de la dirección IP 0.0.0.0/0
En este ejemplo, el administrador crea un sistema de puerta de enlace pública. El administrador elimina la entrada de host 0.0.0.0/0 de la plantilla admin_low y agrega la entrada de host 0.0.0.0/0 a la plantilla public sin etiquetas. El sistema luego reconoce cualquier host que no esté asignado específicamente a otra plantilla de seguridad como un sistema sin etiquetas con los atributos de seguridad de la plantilla de seguridad public.
# tncfg -t admin_low info tncfg:admin_low> remove host=0.0.0.0Wildcard address tncfg:admin_low> exit
# tncfg -t public tncfg:public> set host_type=unlabeled tncfg:public> set doi=1 tncfg:public> set def_label="public" tncfg:public> set min_sl="public" tncfg:public> set max_sl="public" tncfg:public> add host=0.0.0.0Wildcard address tncfg:public> exit
Ejemplo 16-14 Enumeración de sistemas que un sistema Trusted Extensions puede contactar durante el inicio
En el siguiente ejemplo, el administrador configura la red de confianza de un sistema Trusted Extensions con dos interfaces de red. El sistema se comunica con otra red y con los enrutadores. Los hosts remotos se asignan a una de estas tres plantillas: cipso, admin_low o public. Se anotan los siguientes comandos.
# tncfg -t cipso tncfg:admin_low> add host=127.0.0.1Loopback address tncfg:admin_low> add host=192.168.112.111Interface 1 of this host tncfg:admin_low> add host=192.168.113.111Interface 2 of this host tncfg:admin_low> add host=192.168.113.6File server tncfg:admin_low> add host=192.168.112.255Subnet broadcast address tncfg:admin_low> add host=192.168.113.255Subnet broadcast address tncfg:admin_low> add host=192.168.113.1Router tncfg:admin_low> add host=192.168.117.0/24Another Trusted Extensions network tncfg:admin_low> exit
# tncfg -t public tncfg:public> add host=192.168.112.12Specific network router tncfg:public> add host=192.168.113.12Specific network router tncfg:public> add host=224.0.0.2Multicast address tncfg:admin_low> exit
# tncfg -t admin_low tncfg:admin_low> add host=255.255.255.255Broadcast address tncfg:admin_low> exit
Después de especificar los hosts que se deben contactar durante el inicio, el administrador elimina la entrada 0.0.0.0/0 de la plantilla admin_low.
# tncfg -t admin_low tncfg:admin_low> remove host=0.0.0.0 tncfg:admin_low> exit
Ejemplo 16-15 Cómo hacer que la dirección de host 0.0.0.0/32 sea una dirección inicial válida
En este ejemplo, el administrador de la seguridad configura un servidor de aplicaciones para aceptar las solicitudes de conexión inicial de clientes potenciales.
El administrador configura la red de confianza del servidor. Se anotan las entradas del servidor y el cliente.
# tncfg -t cipso info name=cipso host_type=cipso doi=1 min_label=ADMIN_LOW max_label=ADMIN_HIGH host=127.0.0.1/32 host=192.168.128.1/32 Application server address host=192.168.128.0/24 Application's client network Other addresses to be contacted at boot time
# tncfg -t admin_low info name=cipso host_type=cipso doi=1 def_label=ADMIN_LOW min_label=ADMIN_LOW max_label=ADMIN_HIGH host=192.168.128.0/24 Application's client network host=0.0.0.0/0 Wildcard address Other addresses to be contacted at boot time
Una vez que esta fase de prueba finaliza correctamente, el administrador bloquea la configuración. Para ello, elimina la dirección comodín predeterminada, 0.0.0.0/0, confirma el cambio y, a continuación, agrega la dirección específica.
# tncfg -t admin_low info tncfg:admin_low> remove host=0.0.0.0 tncfg:admin_low> commit tncfg:admin_low> add host=0.0.0.0/32For initial client contact tncfg:admin_low> exit
La configuración admin_low final es similar a la siguiente:
# tncfg -t admin_low name=cipso host_type=cipso doi=1 def_label=ADMIN_LOW min_label=ADMIN_LOW max_label=ADMIN_HIGH 192.168.128.0/24 Application's client network host=0.0.0.0/32 For initial client contact Other addresses to be contacted at boot time
La entrada 0.0.0.0/32 sólo permite que los clientes de la aplicación accedan al servidor de aplicaciones.
Ejemplo 16-16 Configuración de una dirección inicial válida para un servidor Sun Ray etiquetado
En este ejemplo, el administrador de seguridad configura un servidor Sun Ray para que acepte las solicitudes de conexión inicial de clientes potenciales. El servidor utiliza una topología privada y los valores predeterminados del servidor Sun Ray.
# utadm -a net0
Luego, el administrador configura la red de confianza del servidor. Se anotan las entradas del servidor y el cliente.
# tncfg -t cipso info name=cipso host_type=cipso doi=1 min_label=ADMIN_LOW max_label=ADMIN_HIGH host=127.0.0.1/32 host=192.168.128.1/32 Sun Ray server address host=192.168.128.0/24 Sun Ray client network Other addresses to be contacted at boot time
# tncfg -t admin_low info name=cipso host_type=cipso doi=1 def_label=ADMIN_LOW min_label=ADMIN_LOW max_label=ADMIN_HIGH host=192.168.128.0/24 Sun Ray client network host=0.0.0.0/0 Wildcard address Other addresses to be contacted at boot time
Una vez que esta fase de prueba finaliza correctamente, el administrador bloquea la configuración. Para ello, elimina la dirección comodín predeterminada, 0.0.0.0/0, confirma el cambio y, a continuación, agrega la dirección específica.
# tncfg -t admin_low info tncfg:admin_low> remove host=0.0.0.0 tncfg:admin_low> commit tncfg:admin_low> add host=0.0.0.0/32For initial client contact tncfg:admin_low> exit
La configuración admin_low final es similar a la siguiente:
# tncfg -t admin_low name=cipso host_type=cipso doi=1 def_label=ADMIN_LOW min_label=ADMIN_LOW max_label=ADMIN_HIGH 192.168.128.0/24 Sun Ray client network host=0.0.0.0/32 For initial client contact Other addresses to be contacted at boot time
La entrada 0.0.0.0/32 permite que solamente los clientes Sun Ray accedan al servidor.