Omitir Vínculos de navegación | |
Salir de la Vista de impresión | |
Configuración y administración de Trusted Extensions Oracle Solaris 11.1 Information Library (Español) |
Parte I Configuración inicial de Trusted Extensions
1. Planificación de la seguridad para Trusted Extensions
2. Guía básica de configuración de Trusted Extensions
3. Agregación de la función Trusted Extensions a Oracle Solaris (tareas)
4. Configuración de Trusted Extensions (tareas)
5. Configuración de LDAP para Trusted Extensions (tareas)
Parte II Administración de Trusted Extensions
6. Conceptos de la administración de Trusted Extensions
7. Herramientas de administración de Trusted Extensions
8. Requisitos de seguridad del sistema Trusted Extensions (descripción general)
9. Realización de tareas comunes en Trusted Extensions
10. Usuarios, derechos y roles en Trusted Extensions (descripción general)
11. Gestión de usuarios, derechos y roles en Trusted Extensions (tareas)
12. Administración remota en Trusted Extensions (tareas)
13. Gestión de zonas en Trusted Extensions
14. Gestión y montaje de archivos en Trusted Extensions
15. Redes de confianza (descripción general)
Paquetes de datos de Trusted Extensions
Paquetes de multidifusión Trusted Extensions
Comunicaciones de la red de confianza
Comandos de red en Trusted Extensions
Bases de datos de configuración de red en Trusted Extensions
Atributos de seguridad de red en Trusted Extensions
Tipo de host y nombre de plantilla en plantillas de seguridad
Etiqueta predeterminada en plantillas de seguridad
Dominio de interpretación en plantillas de seguridad
Rango de etiquetas en plantillas de seguridad
Etiquetas auxiliares en plantillas de seguridad
Mecanismo de reserva de la red de confianza
Descripción general del enrutamiento en Trusted Extensions
Conocimientos básicos del enrutamiento
Entradas de la tabla de enrutamiento en Trusted Extensions
Comprobaciones de acreditaciones de Trusted Extensions
Comprobaciones de acreditaciones del origen
Comprobaciones de acreditaciones de la puerta de enlace
Comprobaciones de acreditaciones del destino
Administración del enrutamiento en Trusted Extensions
Selección de los enrutadores en Trusted Extensions
Puertas de enlace en Trusted Extensions
Comandos de enrutamiento en Trusted Extensions
Administración de IPsec con etiquetas
Etiquetas para intercambios protegidos por IPsec
Extensiones de etiquetas para asociaciones de seguridad IPsec
Extensiones de etiquetas para IKE
Etiquetas y acreditación en IPsec en modo túnel
Protecciones de confidencialidad e integridad con extensiones de etiquetas
16. Gestión de redes en Trusted Extensions (tareas)
17. Trusted Extensions y LDAP (descripción general)
18. Correo de varios niveles en Trusted Extensions (descripción general)
19. Gestión de impresión con etiquetas (tareas)
20. Dispositivos en Trusted Extensions (descripción general)
21. Gestión de dispositivos para Trusted Extensions (tareas)
22. Auditoría de Trusted Extensions (descripción general)
23. Gestión de software en Trusted Extensions
A. Política de seguridad del sitio
Creación y gestión de una política de seguridad
Política de seguridad del sitio y Trusted Extensions
Recomendaciones de seguridad informática
Recomendaciones de seguridad física
Recomendaciones de seguridad del personal
Infracciones de seguridad comunes
Referencias de seguridad adicionales
B. Lista de comprobación de configuración de Trusted Extensions
Lista de comprobación para la configuración de Trusted Extensions
C. Referencia rápida a la administración de Trusted Extensions
Interfaces administrativas en Trusted Extensions
Interfaces de Oracle Solaris ampliadas por Trusted Extensions
Valores predeterminados de seguridad que brindan mayor protección en Trusted Extensions
Opciones limitadas en Trusted Extensions
D. Lista de las páginas del comando man de Trusted Extensions
Páginas del comando man de Trusted Extensions en orden alfabético
Páginas del comando man de Oracle Solaris modificadas por Trusted Extensions
Trusted Extensions asigna atributos de seguridad a las zonas, los hosts y las redes. Estos atributos garantizan que las siguientes funciones de seguridad se apliquen en la red:
Los datos tienen las etiquetas correctas en las comunicaciones de red.
Las reglas de control de acceso obligatorio (MAC) se aplican cuando se envían o se reciben datos mediante una red local, y cuando se montan los sistemas de archivos.
Las reglas de MAC se aplican cuando se enrutan datos a redes distantes.
Las reglas de MAC se aplican cuando se enrutan datos a zonas.
En Trusted Extensions, MAC protege los paquetes de red. Las etiquetas se utilizan para las decisiones de MAC. Los datos se etiquetan explícita o implícitamente con una etiqueta de sensibilidad. La etiqueta tiene un campo de ID, un campo de clasificación o “nivel” y un campo de compartimiento o “categoría”. Los datos deben someterse a una comprobación de acreditación. Esta comprobación determina si la etiqueta está bien formada y si se encuentra dentro del rango de acreditación del host de recepción. Los paquetes bien formados que están dentro del rango de acreditación del host de recepción obtienen acceso.
Es posible etiquetar los paquetes IP que se intercambian entre los sistemas de confianza. La etiqueta de un paquete sirve para clasificar, separar y enrutar paquetes IP. Las decisiones de enrutamiento comparan la etiqueta de sensibilidad de los datos con la etiqueta del destino.
Trusted Extensions admite etiquetas en paquetes IPv4 e IPv6.
Para los paquetes IPv4, Trusted Extensions las etiquetas de opción de seguridad de IP comercial (CIPSO).
Para los paquetes IPv6, Trusted Extensions admite la opción de seguridad de IPv6 de etiquetas de arquitectura común (CALIPSO).
Si debe interactuar con sistemas en una red CIPSO IPv6, consulte Cómo configurar una red CIPSO IPv6 en Trusted Extensions.
Por lo general, en una red de confianza, el host de envío genera la etiqueta y el host de recepción la procesa. Sin embargo, un enrutador de confianza también puede agregar o filtrar etiquetas cuando reenvía paquetes en una red de confianza. Antes de la transmisión, se asigna una etiqueta de sensibilidad a una etiqueta CALIPSO o CIPSO. Esta etiqueta se incrusta en el paquete IP que, luego, es un paquete etiquetado paquete. En general, el remitente y el receptor de un paquete operan en la misma etiqueta.
El software de las redes de confianza garantiza que la política de seguridad de Trusted Extensions se aplique incluso cuando los sujetos (procesos) y los objetos (datos) estén en hosts diferentes. Las redes de Trusted Extensions mantienen el MAC en todas las aplicaciones distribuidas.
Los paquetes de datos de Trusted Extensions incluyen una opción de etiqueta. Los paquetes de datos CIPSO se envían mediante redes IPv4. Los paquetes CALIPSO se envían mediante redes IPv6.
En el formato IPv4 estándar, el encabezado IPv4 con opciones va seguido de un encabezado TCP, UDP o SCTP, y, a continuación, los datos reales. La versión de Trusted Extensions de un paquete IPv4 utiliza la opción CIPSO del encabezado IP para los atributos de seguridad.
En el formato IPv6 estándar, un encabezado IPv6 con opciones es seguido de un encabezado TCP, UDP o SCTP, y, a continuación, de los datos reales. La versión de Trusted Extensions de un paquete IPv6 utiliza la opción CALIPSO del encabezado IP para los atributos de seguridad.
Trusted Extensions puede agregar etiquetas a paquetes de multidifusión dentro de una LAN. Esta función le permite enviar paquetes de multidifusión etiquetados a sistemas CIPSO o CALIPSO que operan en la misma etiqueta o dentro del rango de etiquetas de paquetes de multidifusión. En una LAN heterogénea, es decir, una LAN con hosts etiquetados y sin etiquetar, la multidifusión no puede verificar la pertenencia de un grupo de multidifusión.
Precaución - No envíe paquetes de multidifusión etiquetados mediante una LAN heterogénea. Es posible que se filtre información de etiquetas. |
Trusted Extensions admite hosts con etiquetas y sin etiquetas en una red de confianza. La interfaz gráfica de usuario txzonemgr y el comando tncfg se utilizan para configurar la red.
Los sistemas que ejecutan el software Trusted Extensions admiten las comunicaciones de red entre los sistemas Trusted Extensions y cualquiera de los siguientes tipos de host:
Otros hosts que ejecutan Trusted Extensions.
Hosts que ejecutan sistemas operativos que no reconocen atributos de seguridad, pero que admiten TCP/IP, como los sistemas Oracle Solaris, otros sistemas UNIX, sistemas Macintosh OS y Microsoft Windows.
Hosts que ejecutan otros sistemas operativos de confianza y que reconocen etiquetas CIPSO para paquetes IPv4 y etiquetas CALIPSO para paquetes IPv6.
Como en el SO Oracle Solaris, el servicio de nombres puede administrar las comunicaciones y los servicios de red de Trusted Extensions. Trusted Extensions agrega las siguientes interfaces a las interfaces de red de Oracle Solaris:
Trusted Extensions agrega comandos y proporciona una interfaz gráfica de usuario para administrar las redes de confianza. Trusted Extensions también agrega opciones a los comandos de red de Oracle Solaris. Para obtener una descripción de estos comandos, consulte Comandos de red en Trusted Extensions.
Las interfaces gestionan tres bases de datos de configuración de red de Trusted Extensions, tnzonecfg, tnrhdb y tnrhtp. Para obtener detalles, consulte Bases de datos de configuración de red en Trusted Extensions.
Trusted Extensions agrega las bases de datos tnrhtp y tnrhdb a las propiedades del servicio SMF de cambio de servicio de nombres, svc:/system/name-service/switch.
En la Parte I, Configuración inicial de Trusted Extensions, se describe cómo definir zonas y hosts al configurar la red. Para conocer procedimientos adicionales, consulte el Capítulo 16, Gestión de redes en Trusted Extensions (tareas).
Trusted Extensions amplía el archivo de configuración de IKE, /etc/inet/ike/config. Para obtener más información, consulte Administración de IPsec con etiquetas y la página del comando man ike.config(4).
Trusted Extensions agrega los siguientes comandos para administrar las redes de confianza:
tncfg: este comando crea, modifica y muestra la configuración de la red de Trusted Extensions. El comando tncfg -t se utiliza para ver, crear o modificar una plantilla de seguridad especificada. El comando tncfg -z se utiliza para ver o modificar las propiedades de red de una zona especificada. Para obtener detalles, consulte la página del comando man tncfg(1M).
tnchkdb: este comando se utiliza para comprobar la precisión de las bases de datos de la red de confianza. El comando tnchkdb se llama cada vez que se cambia una plantilla de seguridad (tnrhtp), una asignación de plantilla de seguridad (tnrhdb) o la configuración de una zona (tnzonecfg) mediante el comando tncfg o txzonemgr. Para obtener detalles, consulte la página del comando man tnchkdb(1M).
tnctl: este comando puede utilizarse para actualizar la información de la red de confianza en el núcleo. tnctl también es un servicio del sistema. Cuando se reinicia con el comando svcadm restart /network/tnctl, se refresca la caché del núcleo de las bases de datos de la red de confianza en el sistema local. Para obtener detalles, consulte la página del comando man tnctl(1M).
tnd: este daemon extrae la información de tnrhdb y tnrhtp del directorio LDAP y los archivos locales. El orden de búsqueda está determinado por el servicio SMF name-service/switch. En el momento del inicio, el servicio svc:/network/tnd inicia el daemon tnd. Este servicio depende de svc:/network/ldap/client.
En una red LDAP, el comando tnd también se puede utilizar para la depuración y para la modificación del intervalo de sondeo. Para obtener detalles, consulte la página del comando man tnd(1M).
tninfo: este comando muestra los detalles del estado actual de la caché del núcleo de la red de confianza. Es posible filtrar los resultados por zona, plantilla de seguridad o nombre de host. Para obtener detalles, consulte la página del comando man tninfo(1M).
Trusted Extensions agrega opciones a los siguientes comandos de red de Oracle Solaris:
ipadm: la propiedad de dirección all-zones permite que la interfaz especificada esté disponible para cada zona del sistema. La zona adecuada para entregar los datos se encuentra determinada por la etiqueta que está asociada con los datos. Para obtener detalles, consulte la página del comando man ipadm(1M).
netstat: la opción -R amplía el uso de netstat de Oracle Solaris para mostrar información específica de Trusted Extensions, como los atributos de seguridad para sockets de varios niveles y las entradas de la tabla de enrutamiento. Los atributos de seguridad ampliados incluyen la etiqueta del igual y establecen si el socket es específico para una zona o si está disponible para varias zonas. Para obtener detalles, consulte la página del comando man netstat(1M).
route: la opción -secattr amplía el uso de route de Oracle Solaris para mostrar los atributos de seguridad de la ruta. El valor de la opción tiene el siguiente formato:
min_sl=label,max_sl=label,doi=integer,cipso
La palabra clave cipso es opcional y se establece de manera predeterminada. Para obtener detalles, consulte la página del comando man route(1M).
snoop: como en Oracle Solaris, puede utilizarse la opción -v de este comando para mostrar los encabezados IP de manera detallada. En Trusted Extensions, los encabezados contienen información de la etiqueta.
ipseckey: en Trusted Extensions, las siguientes extensiones están disponibles para los paquetes de etiquetas protegidos por IPsec: label etiqueta, outer-label etiqueta e implicit-label etiqueta. Para obtener más información, consulte la página del comando man ipseckey(1M).
Trusted Extensions carga tres bases de datos de configuración de red en el núcleo. Estas bases de datos se utilizan en las comprobaciones de acreditaciones cuando se transmiten datos de un host a otro.
tnzonecfg: esta base de datos local almacena atributos de la zona que están relacionados con la seguridad. El comando tncfg es la interfaz para acceder a esta base de datos y modificarla.
Los atributos de cada zona especifican la etiqueta de la zona y el acceso de dicha zona a los puertos de un solo nivel y de varios niveles. Otro atributo gestiona las respuestas a los mensajes de control, como ping. Las etiquetas de las zonas se definen en el archivo label_encodings. Para obtener más información, consulte la página del comando man label_encodings(4). Para ver una explicación sobre los puertos de varios niveles, consulte Zonas y puertos de varios niveles.
tnrhtp: esta base de datos almacena plantillas que describen los atributos de seguridad de los hosts y las puertas de enlace. El comando tncfg es la interfaz para acceder a esta base de datos y modificarla.
Los hosts y las puertas de enlace utilizan los atributos del host de destino y la puerta de enlace del próximo salto para aplicar el MAC al enviar tráfico. Cuando el tráfico se recibe, los hosts y las puertas de enlace utilizan los atributos del remitente. Sin embargo, cuando un host adaptativo es el remitente, la interfaz de red receptora asigna la etiqueta predeterminada a los paquetes entrantes. Para obtener detalles sobre los atributos de seguridad, consulte Atributos de seguridad de red en Trusted Extensions.
tnrhdb: esta base de datos almacena las direcciones IP y los rangos de direcciones IP que corresponden a todos los hosts que pueden comunicarse con este sistema. El comando tncfg es la interfaz para acceder a esta base de datos y modificarla.
Se asigna una plantilla de seguridad de la base de datos tnrhtp a cada host o rango de direcciones IP. Los atributos de la plantilla definen los atributos del host asignado.
La administración de redes en Trusted Extensions se basa en plantillas de seguridad. Una plantilla de seguridad describe un conjunto de hosts que tienen protocolos y atributos de seguridad idénticos.
Los atributos de seguridad se asignan de manera administrativa a sistemas remotos, tanto hosts como enrutadores, mediante plantillas. El administrador de la seguridad administra las plantillas y las asigna a sistemas remotos. Si no se asigna ninguna plantilla a un sistema remoto, no se permiten las comunicaciones con ese sistema.
Cada plantilla recibe un nombre e incluye lo siguiente:
Uno de cuatro tipos de host: unlabeled, cipso, adaptive o netif. El tipo de host de la plantilla determina el protocolo que se utiliza para las comunicaciones de red. Consulte Tipo de host y nombre de plantilla en plantillas de seguridad.
Un conjunto de atributos de seguridad que se aplican a cada tipo de host.
Para obtener más detalles, consulte Atributos de seguridad de red en Trusted Extensions.