Omitir Vínculos de navegación | |
Salir de la Vista de impresión | |
Configuración y administración de Trusted Extensions Oracle Solaris 11.1 Information Library (Español) |
Parte I Configuración inicial de Trusted Extensions
1. Planificación de la seguridad para Trusted Extensions
Planificación de la seguridad en Trusted Extensions
Comprensión de Trusted Extensions
Comprensión de la política de seguridad del sitio
Planificación de quién configurará Trusted Extensions
Diseño de una estrategia de etiqueta
Para clientes internacionales de Trusted Extensions
Planificación del hardware y la capacidad del sistema para Trusted Extensions
Planificación de la red de confianza
Planificación de zonas etiquetadas en Trusted Extensions
Zonas de Trusted Extensions y Oracle Solaris Zones
Creación de zonas en Trusted Extensions
Aplicaciones restringidas a una zona etiquetada
Planificación de los servicios de varios niveles
Planificación del servicio de nombres LDAP en Trusted Extensions
Planificación de la auditoría en Trusted Extensions
Planificación de la seguridad del usuario en Trusted Extensions
Formación de un equipo de instalación para Trusted Extensions
Resolución de problemas adicionales antes de activar Trusted Extensions
Realización de copia de seguridad del sistema antes de activar Trusted Extensions
Resultados de la activación de Trusted Extensions desde la perspectiva de un administrador
2. Guía básica de configuración de Trusted Extensions
3. Agregación de la función Trusted Extensions a Oracle Solaris (tareas)
4. Configuración de Trusted Extensions (tareas)
5. Configuración de LDAP para Trusted Extensions (tareas)
Parte II Administración de Trusted Extensions
6. Conceptos de la administración de Trusted Extensions
7. Herramientas de administración de Trusted Extensions
8. Requisitos de seguridad del sistema Trusted Extensions (descripción general)
9. Realización de tareas comunes en Trusted Extensions
10. Usuarios, derechos y roles en Trusted Extensions (descripción general)
11. Gestión de usuarios, derechos y roles en Trusted Extensions (tareas)
12. Administración remota en Trusted Extensions (tareas)
13. Gestión de zonas en Trusted Extensions
14. Gestión y montaje de archivos en Trusted Extensions
15. Redes de confianza (descripción general)
16. Gestión de redes en Trusted Extensions (tareas)
17. Trusted Extensions y LDAP (descripción general)
18. Correo de varios niveles en Trusted Extensions (descripción general)
19. Gestión de impresión con etiquetas (tareas)
20. Dispositivos en Trusted Extensions (descripción general)
21. Gestión de dispositivos para Trusted Extensions (tareas)
22. Auditoría de Trusted Extensions (descripción general)
23. Gestión de software en Trusted Extensions
A. Política de seguridad del sitio
Creación y gestión de una política de seguridad
Política de seguridad del sitio y Trusted Extensions
Recomendaciones de seguridad informática
Recomendaciones de seguridad física
Recomendaciones de seguridad del personal
Infracciones de seguridad comunes
Referencias de seguridad adicionales
B. Lista de comprobación de configuración de Trusted Extensions
Lista de comprobación para la configuración de Trusted Extensions
C. Referencia rápida a la administración de Trusted Extensions
Interfaces administrativas en Trusted Extensions
Interfaces de Oracle Solaris ampliadas por Trusted Extensions
Valores predeterminados de seguridad que brindan mayor protección en Trusted Extensions
Opciones limitadas en Trusted Extensions
D. Lista de las páginas del comando man de Trusted Extensions
Páginas del comando man de Trusted Extensions en orden alfabético
Páginas del comando man de Oracle Solaris modificadas por Trusted Extensions
En esta sección, se detalla la planificación que se necesita antes de activar y configurar el software Trusted Extensions.
Planificación del hardware y la capacidad del sistema para Trusted Extensions
Planificación del servicio de nombres LDAP en Trusted Extensions
Planificación de la seguridad del usuario en Trusted Extensions
Formación de un equipo de instalación para Trusted Extensions
Resolución de problemas adicionales antes de activar Trusted Extensions
Realización de copia de seguridad del sistema antes de activar Trusted Extensions
Para obtener una lista de comprobación de las tareas de configuración de Trusted Extensions, consulte el Apéndice BLista de comprobación de configuración de Trusted Extensions. Si está interesado en la localización de su sitio, consulte Para clientes internacionales de Trusted Extensions. Si está interesado en la ejecución de una configuración evaluada, consulte Comprensión de la política de seguridad del sitio.
La activación y configuración de Trusted Extensions implica más que cargar archivos ejecutables, especificar los datos del sitio y definir variables de configuración. Es preciso tener un nivel considerable de conocimientos previos. El software Trusted Extensions proporciona un entorno con etiquetas que se basa en dos funciones de Oracle Solaris:
Las capacidades que, en la mayoría de los entornos UNIX, se asignan a root son gestionadas por roles administrativos discretos.
La capacidad de ignorar la política de seguridad se puede asignar a usuarios y aplicaciones específicos.
En Trusted Extensions, el acceso a los datos se controla mediante marcas de seguridad especiales. Estas marcas se denominan etiquetas. Las etiquetas se asignan a usuarios, procesos y objetos, como archivos de datos y directorios. Estas etiquetas proporcionan control de acceso obligatorio (MAC, Mandatory Access Control), además permisos UNIX, o control de acceso discrecional (DAC, Discretionary Access Control).
Trusted Extensions le permite integrar eficazmente la política de seguridad del sitio con SO Oracle Solaris. Por lo tanto, debe comprender muy bien el alcance de su política y la manera en que el software Trusted Extensions puede implementar dicha política. Una configuración bien planificada debe proporcionar un equilibrio entre la coherencia con la política de seguridad del sitio y la comodidad para los usuarios que trabajan en el sistema.
Trusted Extensions está configurado de manera predeterminada según los criterios comunes para la evaluación de la seguridad informática (ISO/IEC 15408) con un nivel de seguridad EAL4 en los siguientes perfiles de protección:
Perfil de protección de seguridad mediante etiquetas
Perfil de protección de acceso controlado
Perfil de protección de control de acceso basado en roles
Para alcanzar estos niveles de evaluación, debe configurar LDAP como el servicio de nombres. Tenga en cuenta que la configuración podría dejar de cumplir con los criterios de la evaluación si realiza cualquiera de las siguientes acciones:
Cambiar la configuración de la conmutación de núcleo en el archivo /etc/system.
Desactivar la auditoría o la asignación de dispositivos.
Cambiar las entradas predeterminadas de archivos públicos en el directorio /usr.
Para obtener más información, consulte el sitio web de Common Criteria.
El rol root o el rol de administrador del sistema es el responsable de activar Trusted Extensions. Puede crear roles para dividir las responsabilidades administrativas entre varias áreas funcionales:
El administrador de la seguridad es el responsable de las tareas relacionadas con la seguridad, como la creación y asignación de etiquetas de sensibilidad, la configuración de auditorías y el establecimiento de directivas de contraseña.
El administrador del sistema es el responsable de los aspectos no relacionados con la seguridad de la configuración, el mantenimiento, y la administración general.
Se pueden configurar roles más limitados. Por ejemplo, un operador podría ser el responsable de la copia de seguridad de los archivos.
Como parte de la estrategia de administración, tendrá que decidir lo siguiente:
Qué usuario manejará cada responsabilidad administrativa
Qué usuarios no administrativos podrán ejecutar aplicaciones de confianza, es decir, qué usuarios tendrán permiso para ignorar la política de seguridad, cuando sea necesario
Qué usuarios tendrán acceso a determinados grupos de datos
Para la planificación de etiquetas es necesario establecer una jerarquía de niveles de sensibilidad y categorizar la información del sistema. El archivo label_encodings contiene este tipo de información para el sitio. Puede utilizar uno de los archivos label_encodings que se suministran con el software Trusted Extensions. También podría modificar uno de los archivos suministrados o crear un nuevo archivo label_encodings específico para su sitio. El archivo debe incluir las extensiones locales específicas de Oracle, al menos la sección COLOR NAMES.
Precaución - Si proporciona un archivo label_encodings, se recomienda tener la versión final del archivo instalada antes de que el sistema verifique las etiquetas. Las etiquetas se verifican durante el primer inicio, una vez que el servicio de Trusted Extensions está activado. Después de crear su primera zona o plantilla de red, todos los cambios realizados en el archivo label_encodings deben ajustarse a las zonas y las plantillas existentes. |
La planificación de etiquetas también implica la planificación de la configuración de etiquetas. Después de activar el servicio Trusted Extensions, tendrá que decidir si el sistema debe permitir inicios de sesión en varias etiquetas o si el sistema se puede configurar con una etiqueta de usuario solamente. Por ejemplo, un servidor LDAP es un buen candidato para tener una zona con etiquetas. Para la administración local del servidor, se crearía una zona en la etiqueta mínima. Para administrar el sistema, el administrador inicia sesión y, desde el espacio de trabajo de usuario, asume el rol adecuado.
Para obtener más información, consulte Trusted Extensions Label Administration. También puede consultar Compartmented Mode Workstation Labeling: Encodings Format.
Al localizar un archivo label_encodings, los clientes internacionales deben localizar sólo los nombres de las etiquetas. Los nombres de las etiquetas administrativas, ADMIN_HIGH y ADMIN_LOW, no se deben localizar. Todos los hosts con etiquetas que contacte, de cualquier proveedor, deberán tener nombres de etiqueta que coincidan con los nombres de etiqueta incluidos en el archivo label_encodings.
El hardware del sistema incluye el sistema en sí y los dispositivos conectados. Estos dispositivos incluyen unidades de cinta, micrófonos, unidades de CD-ROM y paquetes de discos. La capacidad del hardware incluye la memoria del sistema, las interfaces de red y el espacio en el disco.
Siga las recomendaciones para instalar una versión de Oracle Solaris, como se describe en Instalación de sistemas Oracle Solaris 11.1 y la sección de instalación de las Notas de la versión para esta versión.
Las funciones de Trusted Extensions se pueden agregar a esas recomendaciones:
En los siguientes sistemas se requiere una memoria mayor al mínimo sugerido:
Sistemas en los que se ejecuta en más de una etiqueta de sensibilidad
Sistemas utilizados por usuarios que pueden asumir un rol administrativo
En los siguientes sistemas se necesitará más espacio en el disco:
Sistemas donde se almacenan archivos en más de una etiqueta
Sistemas cuyos usuarios pueden asumir un rol administrativo
Para obtener ayuda para planificar el hardware de red, consulte el Capítulo 1, Planificación de la implementación de red de Configuración y administración de redes Oracle Solaris 11.1.
El software Trusted Extensions reconoce dos tipos de host, "unlabeled" y "cipso". Cada tipo de host tiene una plantilla de seguridad predeterminada, como se muestra en la Tabla 1-1.
Tabla 1-1 Plantillas de host predeterminadas en Trusted Extensions
|
Si otras redes pueden acceder a su red, debe especificar hosts y dominios disponibles. También debe identificar qué hosts de Trusted Extensions actuarán como puertas de enlace. Debe identificar la etiqueta rango de acreditación para estas puertas de enlace y la etiqueta de sensibilidad en la que se podrán ver los datos de otros hosts.
El etiquetado de hosts, puertas de enlace y redes se explica en el Capítulo 16, Gestión de redes en Trusted Extensions (tareas). La asignación de etiquetas a sistemas remotos se realiza después de la configuración inicial.
El software Trusted Extensions se agrega a Oracle Solaris en la zona global. A continuación, debe configurar las zonas no globales con etiquetas. Puede crear una o varias zonas etiquetadas para cada etiqueta única, aunque no es necesario crear una zona para cada etiqueta en el archivo label_encodings. Una secuencia de comandos proporcionada permite crear dos zonas con etiquetas fácilmente para la etiqueta de usuario predeterminada y la acreditación de usuario predeterminada en el archivo label_encodings.
Después de crear las zonas etiquetadas, los usuarios comunes pueden utilizar el sistema configurado, pero estos usuarios no pueden acceder a otros sistemas. Para aislar aún más los servicios que se ejecutan en la misma etiqueta, puede crear zonas secundarias. Para obtener más información, consulte Zonas etiquetadas primarias y secundarias.
En Trusted Extensions, el transporte local para conectar con el servidor X es los sockets de dominio UNIX. De manera predeterminada, el servidor X no recibe conexiones TCP.
De manera predeterminada, las zonas no globales no se pueden comunicar con hosts que no son de confianza. Debe especificar las máscaras de red o las direcciones IP explícitas del host remoto a las que puede acceder cada zona.
Las zonas de Trusted Extensions, es decir, las zonas con etiquetas, son una marca de Oracle Solaris Zones. Las zonas con etiquetas se usan principalmente para separar datos. En Trusted Extensions, los usuarios comunes no pueden iniciar sesión de manera remota en una zona con etiquetas, excepto una zona con etiquetas iguales en otro sistemas de confianza. Los administradores autorizados pueden acceder a una zona con etiquetas desde la zona global. Para obtener más información sobre las marcas de zonas, consulte la página del comando man brands(5).
La creación de zonas en Trusted Extensions es similar a la creación de zonas en Oracle Solaris. Trusted Extensions proporciona la secuencia de comandos txzonemgr para guiarlo a través del proceso. La secuencia de comandos tiene varias opciones de línea de comandos para automatizar la creación de zonas con etiquetas. Para obtener más información, consulte la página del comando man txzonemgr(1M).
En un sistema configurado correctamente, cada zona debe poder utilizar una dirección de red para comunicarse con otras zonas que comparten la misma etiqueta. Las siguientes configuraciones proporcionan a las zonas con etiquetas acceso a otras zonas con etiquetas:
Interfaz all-zones: se asigna una dirección all-zones. En esta configuración predeterminada, sólo se necesita una dirección IP. Cada zona, global y con etiquetas, se puede comunicar con zonas con etiquetas idénticas de sistemas remotos mediante esta dirección compartida.
Un refinamiento de esta configuración consiste en crear una segunda instancia de IP para que la zona global utilice de manera exclusiva. Esta segunda instancia no será una dirección all-zones. La instancia de IP no se podrá utilizar para alojar un servicio de varios niveles ni para proporcionar una ruta a un subred privada.
Instancias de IP: como en el SO Oracle Solaris, se asigna una dirección IP a cada zona, incluida la zona global. Las zonas comparten la pila de IP. En el caso más simple, todas las zonas comparten la misma interfaz física.
Un refinamiento de esta configuración consiste en asignar una tarjeta de información de red (NIC) por separado a cada zona. Una configuración de ese tipo se utiliza para separar físicamente las redes de una sola etiqueta que están asociadas a cada NIC.
Un refinamiento adicional consiste en usar una o más interfaces all-zones además de un instancia de IP por zona. Esta configuración permite utilizar interfaces internas, como vni0, para acceder a la zona global, lo que protege a la zona global contra ataques remotos. Por ejemplo, un servicio con privilegios que enlaza un puerto de varios niveles en una instancia de vni0 en la zona global sólo se puede contactar internamente mediante las zonas que utilizan la pila compartida.
Pila de IP exclusiva: como en Oracle Solaris, se asigna una dirección IP a cada zona, incluida la zona global. Se crea una tarjeta de interfaz de red virtual (VNIC) para cada zona con etiquetas.
Un refinamiento de esta configuración consiste en crear cada VNIC mediante una interfaz red independiente. Una configuración de ese tipo se utiliza para separar físicamente las redes de una sola etiqueta que están asociadas a cada NIC. Las zonas que están configuradas con una pila de IP exclusiva no pueden utilizar la interfaz all-zones.
De manera predeterminada, las zonas etiquetadas comparten el servicio de nombres de la zona global y tienen copias de sólo lectura de los archivos de configuración de la zona global, incluidos los archivos /etc/passwd and /etc/shadow. Si planea instalar aplicaciones en una zona etiquetada desde la zona etiquetada y el paquete agrega usuarios a la zona, necesitará copias modificables de los archivos de la zona.
Los paquetes como pkg:/service/network/ftp crean cuentas de usuario. Para instalar este paquete ejecutando el comando pkg dentro de una zona etiquetada, debe haber un daemon nscd independiente ejecutándose en la zona y se debe asignar a la zona una dirección IP exclusiva. Para obtener más información, consulte Cómo configurar un servicio de nombres independiente para cada zona con etiquetas.
De manera predeterminada, Trusted Extensions no proporciona servicios de varios niveles. La mayoría de los servicios se configuran fácilmente como servicios de zona a zona, es decir, servicios de una sola etiqueta. Por ejemplo, cada zona con etiquetas puede conectarse con el servidor NFS que se ejecuta en la etiqueta de la zona con etiquetas.
Si el sitio necesita servicios de varios niveles, estos servicios se configuran mejor en un sistema con al menos dos direcciones IP. Los puertos de varios niveles que requiere un servicio de varios niveles se pueden asignar a la dirección IP que está asociada con la zona global. Las zonas con etiquetas pueden usar una dirección all-zones para acceder a los servicios.
Consejo - Si los usuarios de zonas con etiquetas no deben tener acceso a los servicios de varios niveles, puede asignar una dirección IP al sistema. Generalmente, esta configuración de Trusted Extensions se utiliza en equipos portátiles.
Si no tiene pensado instalar una red de sistemas con etiquetas, puede omitir esta sección. Si planea utilizar LDAP, sus sistemas se deben configurar como clientes LDAP antes de agregar la primera zona con etiquetas.
Si piensa ejecutar Trusted Extensions en una red de sistemas, utilice LDAP como servicio de nombres. Para Trusted Extensions se requiere un servidor LDAP (Oracle Directory Server Enterprise Edition) rellenado en el momento de configurar una red de sistemas. Si su sitio tiene un servidor LDAP existente, puede rellenar el servidor con bases de datos de Trusted Extensions. Para acceder al servidor, configure un proxy LDAP en un sistema Trusted Extensions.
Si su sitio no tiene un servidor LDAP existente, debe crear un servidor LDAP en un sistema en el que se ejecute el software Trusted Extensions. Los procedimientos se describen en el Capítulo 5, Configuración de LDAP para Trusted Extensions (tareas).
De manera predeterminada, la auditoría se activa cuando se inicia Trusted Extensions por primera vez. Por lo tanto, de manera predeterminada, se auditan todos los eventos de la clase login/logout. Para auditar a los usuarios que están configurando el sistema, puede crear roles en una fase temprana del proceso de configuración. Cuando estos roles configuran el sistema, los registros de auditoría incluyen al usuario de inicio de sesión que asume el rol. Consulte Creación de roles y usuarios en Trusted Extensions.
La planificación de la auditoría en Trusted Extensions es igual que en SO Oracle Solaris. Para obtener detalles, consulte la Parte VII, Auditoría en Oracle Solaris de Administración de Oracle Solaris 11.1: servicios de seguridad. Mientras que Trusted Extensions agrega tokens de clases, eventos y auditoría, el software no cambia el modo en que se administra la auditoría. Para obtener información sobre las adiciones de Trusted Extensions a la auditoría, consulte el Capítulo 22, Auditoría de Trusted Extensions (descripción general).
El software Trusted Extensions proporciona valores predeterminados de seguridad razonable para los usuarios. Estos valores predeterminados de seguridad se muestran en la Tabla 1-2. Cuando se muestran dos valores, el primero es el valor predeterminado. El administrador de la seguridad puede modificar estos valores predeterminados para reflejar la política de seguridad del sitio. Una vez que el administrador de la seguridad define los valores predeterminados, el administrador del sistema puede crear todos los usuarios, que heredan los valores predeterminados establecidos. Para obtener descripciones de las palabras clave y los valores predeterminados, consulte las páginas del comando man label_encodings(4) y policy.conf(4).
Tabla 1-2 Valores predeterminados de seguridad de Trusted Extensions para las cuentas de usuario
|
Nota - Las variables IDLECMD e IDLETIME se aplican a la sesión del usuario de inicio de sesión. Si el usuario de inicio de sesión asume un rol, los valores IDLECMD e IDLETIME del usuario están en vigencia para ese rol.
El administrador del sistema puede configurar una plantilla de usuario estándar que defina los valores predeterminados del sistema adecuados para cada usuario. Por ejemplo, de manera predeterminada, el shell inicial de cada usuario es un shell bash. El administrador del sistema puede configurar una plantilla que proporcione un shell pfbash a cada usuario.
A continuación se describen las estrategias de configuración, de la estrategia más segura a la menos segura:
Un equipo de dos personas configura el software. El proceso de configuración es auditado.
Dos personas están en el equipo cuando se activa el software. En una fase temprana del proceso de configuración, este equipo crea roles discretos y usuarios locales que puedan asumir dichos roles. El equipo también configura la auditoría para auditar los eventos ejecutados por los roles. Una vez se asignan los roles a los usuarios y se reinicia el equipo, los usuarios inician sesión y asumen un rol limitado. El software aplica la división de tareas por rol. La pista de auditoría proporciona un registro del proceso de configuración. Para ver una ilustración de un proceso de configuración seguro, consulte la Figura 1-1.
Una persona activa y configura el software asumiendo el rol adecuado. El proceso de configuración es auditado.
En una fase temprana del proceso de configuración, el rol de usuario root crea roles adicionales. El rol de usuario root también configura la auditoría para auditar los eventos ejecutados por los roles. Una vez asignados estos roles adicionales al usuario inicial y reiniciado el equipo, el usuario inicia sesión y asume el rol adecuado para la tarea actual. La pista de auditoría proporciona un registro del proceso de configuración.
Una persona asume el rol de usuario root para activar y configurar el software. El proceso de configuración no es auditado.
Mediante esta estrategia, no se conserva ningún registro del proceso de configuración.
El equipo de configuración inicial cambia el rol root a un usuario.
No se conserva ningún registro en el software del nombre del usuario que actúa como root. Esta configuración puede ser necesaria para la administración remota de un sistema sin periféricos.
En la figura siguiente se muestra la división de tareas por rol. El administrador de la seguridad configura la auditoría, protege los sistemas de archivos, establece la política de dispositivos, determina qué programas requieren privilegio para la ejecución y protege a los usuarios, entre otras tareas. El administrador del sistema comparte y monta sistemas de archivos, instala paquetes de software y crea usuarios, entre otras tareas.
Figura 1-1 Administración de un sistema Trusted Extensions: división de tareas por rol
Antes de configurar Trusted Extensions, debe proteger físicamente los sistemas, decidir qué etiquetas conectará a las zonas y resolver otras cuestiones de seguridad. Para conocer los procedimientos, consulte Resolución de problemas de seguridad antes de activar Trusted Extensions.
Si el sistema tiene archivos que se deben guardar, realice una copia de seguridad antes de activar el servicio Trusted Extensions. La forma más segura de realizar una copia de seguridad de los archivos es realizar un volcado de nivel 0. Si no tiene un procedimiento de copia de seguridad en el lugar, consulte la guía del administrador de su sistema operativo actual para obtener instrucciones.