Omitir Vínculos de navegación | |
Salir de la Vista de impresión | |
Procedimientos de administradores de Trusted Extensions Oracle Solaris 10 1/13 Information Library (Español) |
1. Conceptos de la administración de Trusted Extensions
2. Herramientas de administración de Trusted Extensions
3. Introducción para administradores de Trusted Extensions (tareas)
4. Requisitos de seguridad del sistema Trusted Extensions (descripción general)
5. Administración de los requisitos de seguridad en Trusted Extensions (tareas)
6. Usuarios, derechos y roles en Trusted Extensions (descripción general)
7. Gestión de usuarios, derechos y roles en Trusted Extensions (tareas)
8. Administración remota en Trusted Extensions (tareas)
9. Trusted Extensions y LDAP (descripción general)
10. Gestión de zonas en Trusted Extensions (tareas)
11. Gestión y montaje de archivos en Trusted Extensions (tareas)
12. Redes de confianza (descripción general)
13. Gestión de redes en Trusted Extensions (tareas)
Gestión de la red de confianza (mapa de tareas)
Configuración de bases de datos de red de confianza (mapa de tareas)
Cómo determinar si necesita plantillas de seguridad específicas del sitio
Cómo abrir las herramientas de redes de confianza
Cómo crear una plantilla de host remoto
Cómo agregar hosts a la red conocida del sistema
Cómo asignar una plantilla de seguridad a un host o a un grupo de hosts
Cómo limitar los hosts que se pueden contactar en la red de confianza
Cómo configurar las rutas con los atributos de seguridad
Cómo comprobar la sintaxis de las bases de datos de red de confianza
Cómo comparar la información de la base de datos de red de confianza con la caché del núcleo
Cómo sincronizar la caché del núcleo con las bases de datos de red de confianza
Resolución de problemas de la red de confianza (mapa de tareas)
Cómo verificar que las interfaces del host estén activas
Cómo depurar la red de Trusted Extensions
Cómo depurar una conexión de cliente con el servidor LDAP
14. Correo de varios niveles en Trusted Extensions (descripción general)
15. Gestión de impresión con etiquetas (tareas)
16. Dispositivos en Trusted Extensions (descripción general)
17. Gestión de dispositivos para Trusted Extensions (tareas)
18. Auditoría de Trusted Extensions (descripción general)
19. Gestión de software en Trusted Extensions (tareas)
A. Referencia rápida a la administración de Trusted Extensions
B. Lista de las páginas del comando man de Trusted Extensions
El siguiente mapa de tareas describe las tareas que se realizan para configurar la red y verificar la configuración.
|
Antes de empezar
Debe estar con el rol de administrador de la seguridad en la zona global.
Las direcciones se agregan al archivo /etc/hosts local o a su equivalente en el servidor LDAP. Utilice la herramienta Computers and Networks de Solaris Management Console. El ámbito Files modifica el archivo /etc/hosts. El ámbito LDAP modifica las entradas en el servidor LDAP. Para obtener detalles, consulte Cómo agregar hosts a la red conocida del sistema.
Las direcciones se agregan al archivo /etc/security/tsol/tnrhdb o a su equivalente en el servidor LDAP. Utilice la herramienta Security Templates de Solaris Management Console. Para obtener detalles, consulte Cómo asignar una plantilla de seguridad a un host o a un grupo de hosts.
En una ventana de terminal, utilice el comando route add para especificar las rutas.
La primera entrada configura una ruta predeterminada. La entrada especifica una dirección de puerta de enlace (192.168.113.1) para utilizar cuando no hay una ruta específica definida para el host o el destino del paquete.
# route add default 192.168.113.1 -static
Para obtener detalles, consulte la página del comando man route(1M).
Utilice el indicador -secattr para especificar los atributos de seguridad.
En la siguiente lista de comandos, la segunda línea muestra una entrada de red. La tercera línea muestra una entrada de red con un rango de etiquetas de PUBLIC a CONFIDENTIAL : INTERNAL USE ONLY.
# route add default 192.168.113.36 # route add -net 192.168.102.0 gateway-101 # route add -net 192.168.101.0 gateway-102 \ -secattr min_sl=“PUBLIC”,max_sl=”CONFIDENTIAL : INTERNAL USE ONLY”,doi=1
La cuarta línea nueva muestra una entrada para el host de una sola etiqueta, gateway-pub. gateway-pub tiene un rango de etiquetas de PUBLIC a PUBLIC.
# route add default 192.168.113.36 # route add -net 192.168.102.0 gateway-101 # route add -net 192.168.101.0 gateway-102 \ -secattr min_sl="PUBLIC",max_sl="CONFIDENTIAL : INTERNAL USE ONLY",doi=1 # route add -host 192.168.101.3 gateway-pub \ -secattr min_sl="PUBLIC",max_sl="PUBLIC",doi=1
Ejemplo 13-14 Agregación de una ruta con un rango de etiquetas de CONFIDENTIAL : INTERNAL USE ONLY a CONFIDENTIAL : RESTRICTED
El siguiente comando route agrega a la tabla de enrutamiento los hosts de 192.168.115.0 con 192.168.118.39 como puerta de enlace. El rango de etiquetas es de CONFIDENTIAL : INTERNAL USE ONLY a CONFIDENTIAL : RESTRICTED y el dominio de interpretación es 1.
$ route add -net 192.168.115.0 192.168.118.39 \ -secattr min_sl="CONFIDENTIAL : INTERNAL USE ONLY",max_sl="CONFIDENTIAL : RESTRICTED",doi=1
El resultado de los hosts agregados se muestra con el comando netstat -rR. En el fragmento siguiente, se reemplazan otras rutas por puntos suspensivos (...).
$ netstat -rRn ... 192.168.115.0 192.168.118.39 UG 0 0 min_sl=CNF : INTERNAL USE ONLY,max_sl=CNF : RESTRICTED,DOI=1,CIPSO ...
El comando tnchkdb comprueba que la sintaxis de cada base de datos de la red sea precisa. Solaris Management Console ejecuta este comando automáticamente cuando se usan las herramientas Security Templates o Trusted Network Zones. En general, debe ejecutar este comando para comprobar la sintaxis de los archivos de las bases de datos que esté configurando para que se usen en el futuro.
Antes de empezar
Debe estar en la zona global, en un rol que pueda verificar la configuración de la red. El rol de administrador de la seguridad y el rol de administrador del sistema pueden verificar esta configuración.
$ tnchkdb [-h tnrhdb-path] [-t tnrhtp-path] [-z tnzonecfg-path] checking /etc/security/tsol/tnrhtp ... checking /etc/security/tsol/tnrhdb ... checking /etc/security/tsol/tnzonecfg ...
Ejemplo 13-15 Comprobación de la sintaxis de una base de datos de red de prueba
En este ejemplo, el administrador de la seguridad prueba un archivo de base de datos de red para su posible uso. Primero, el administrador usa la opción incorrecta. Los resultados de la comprobación se imprimen en la línea para el archivo tnrhdb:
$ tnchkdb -h /opt/secfiles/trial.tnrhtp checking /etc/security/tsol/tnrhtp ... checking /opt/secfiles/trial.tnrhtp ... line 12: Illegal name: min_sl=ADMIN_LOW;max_sl=ADMIN_HIGH line 14: Illegal name: min_sl=ADMIN_LOW;max_sl=ADMIN_HIGH checking /etc/security/tsol/tnzonecfg ...
Cuando el administrador de la seguridad comprueba el archivo con la opción -t, el comando confirma que la sintaxis de la base de datos de prueba tnrhtp sea precisa:
$ tnchkdb -t /opt/secfiles/trial.tnrhtp checking /opt/secfiles/trial.tnrhtp ... checking /etc/security/tsol/tnrhdb ... checking /etc/security/tsol/tnzonecfg ...
Las bases de datos de red pueden contener información que no se encuentre en la caché del núcleo. Con este procedimiento se comprueba que la información sea idéntica. Cuando usa Solaris Management Console para actualizar la red, la caché del núcleo se actualiza con la información de la base de datos de la red. El comando tninfo resulta útil para la comprobación y la depuración.
Antes de empezar
Debe estar en la zona global, en un rol que pueda verificar la configuración de la red. El rol de administrador de la seguridad y el rol de administrador del sistema pueden verificar esta configuración.
tninfo -h hostname muestra la dirección IP y plantilla para el host especificado.
tninfo -t templatename muestra la siguiente información:
template: template-name host_type: either CIPSO or UNLABELED doi: 1 min_sl: minimum-label hex: minimum-hex-label max_sl: maximum-label hex:maximum-hex-label
tninfo -m zone-name muestra la configuración del puerto de varios niveles (MLP) de una zona.
Ejemplo 13-16 Visualización de puertos de varios niveles en un host
En este ejemplo, se configura un sistema con varias zonas con etiquetas. Todas las zonas comparten la misma dirección IP. Algunas zonas también se configuran con direcciones específicas de las zonas. En esta configuración, el puerto TCP para navegar por la web (puerto 8080), es un puerto de varios niveles en una interfaz compartida en la zona public. El administrador también configuró telnet (puerto TCP 23) para que sea un puerto de varios niveles en la zona public. Dado que estos dos puertos de varios niveles están en una interfaz compartida, ninguna otra zona, ni siquiera la zona global, puede recibir paquetes de la interfaz compartida en los puertos 8080 y 23.
Además, el puerto TCP para ssh (puerto 22) es un puerto de varios niveles por zona en la zona public. El servicio de la zona public ssh puede recibir cualquier paquete en su dirección específica de la zona dentro del rango de etiquetas de la etiqueta.
El siguiente comando muestra los puertos de varios niveles para la zona public:
$ tninfo -m public private: 22/tcp shared: 23/tcp;8080/tcp
El siguiente comando muestra los puertos de varios niveles para la zona global. Tenga en cuenta que los puertos 23 y 8080 no pueden ser puertos de varios niveles en la zona global porque dicha zona comparte la misma dirección con la zona public:
$ tninfo -m global private: 111/tcp;111/udp;514/tcp;515/tcp;631/tcp;2049/tcp; 6000-6003/tcp;38672/tcp;60770/tcp; shared: 6000-6003/tcp
Si el núcleo no se actualizó con la información de la base de datos de red de confianza, existen varias maneras de actualizar la caché del núcleo. Solaris Management Console ejecuta este comando automáticamente cuando se usan las herramientas Security Templates o Trusted Network Zones.
Antes de empezar
Debe estar con el rol de administrador de la seguridad en la zona global.
Precaución - No utilice este método en los sistemas que obtienen la información de las bases de datos de red de confianza desde un servidor LDAP. La información de la base de datos local sobrescribe la información que se obtiene del servidor LDAP. |
$ svcadm restart svc:/network/tnctl
Este comando lee toda la información de las bases de datos de red de confianza locales en el núcleo.
$ tnctl -h hostname
Este comando lee solamente la información desde la opción seleccionada en el núcleo. Para obtener detalles sobre las opciones, consulte el Ejemplo 13-17 y la página del comando man tnctl(1M).
Nota - El servicio tnd se ejecuta solamente si el servicio ldap también se ejecuta.
Esto no actualiza la caché del núcleo. Sin embargo, puede acortar el intervalo de sondeo para actualizar la caché del núcleo con más frecuencia. Para obtener detalles, consulte el ejemplo de la página del comando man tnd(1M).
Este comando de la Utilidad de gestión de servicios (SMF) inicia una actualización inmediata del núcleo con los cambios recientes en las bases de datos de red de confianza.
$ svcadm refresh svc:/network/tnd
$ svcadm restart svc:/network/tnd
Precaución - Evite la ejecución del comando tnd para reiniciar el tnd. Este comando puede interrumpir comunicaciones que se estén realizando con éxito. |
Ejemplo 13-17 Actualización del núcleo con las últimas entradas tnrhdb
En este ejemplo, el administrador agrega tres direcciones a la base de datos local tnrhdb. Primero, el administrador elimina la entrada de comodín 0.0.0.0.
$ tnctl -d -h 0.0.0.0:admin_low
Luego, el administrador ve el formato las tres últimas entradas en la base de datos /etc/security/tsol/tnrhdb:
$ tail /etc/security/tsol/tnrhdb #\:\:0:admin_low 127.0.0.1:cipso #\:\:1:cipso 192.168.103.5:admin_low 192.168.103.0:cipso 0.0.0.0/32:admin_low
A continuación, el administrador actualiza la caché del núcleo:
$ tnctl -h 192.168.103.5 tnctl -h 192.168.103.0 tnctl -h 0.0.0.0/32
Por último, el administrador verifica que la caché del núcleo se haya actualizado. La salida de la primera entrada será similar a la siguiente:
$ tninfo -h 192.168.103.5 IP Address: 192.168.103.5 Template: admin_low
Ejemplo 13-18 Actualización de la información de la red en el núcleo
En este ejemplo, el administrador actualiza la red de confianza con un servidor de impresión público y, luego, comprueba que la configuración del núcleo sea correcta.
$ tnctl -h public-print-server $ tninfo -h public-print-server IP Address: 192.168.103.55 Template: PublicOnly $ tninfo -t PublicOnly ================================== Remote Host Template Table Entries ---------------------------------- template: PublicOnly host_type: CIPSO doi: 1 min_sl: PUBLIC hex: 0x0002-08-08 max_sl: PUBLIC hex: 0x0002-08-08