Omitir Vínculos de navegación | |
Salir de la Vista de impresión | |
Procedimientos de administradores de Trusted Extensions Oracle Solaris 10 1/13 Information Library (Español) |
1. Conceptos de la administración de Trusted Extensions
2. Herramientas de administración de Trusted Extensions
3. Introducción para administradores de Trusted Extensions (tareas)
4. Requisitos de seguridad del sistema Trusted Extensions (descripción general)
5. Administración de los requisitos de seguridad en Trusted Extensions (tareas)
6. Usuarios, derechos y roles en Trusted Extensions (descripción general)
7. Gestión de usuarios, derechos y roles en Trusted Extensions (tareas)
8. Administración remota en Trusted Extensions (tareas)
9. Trusted Extensions y LDAP (descripción general)
10. Gestión de zonas en Trusted Extensions (tareas)
11. Gestión y montaje de archivos en Trusted Extensions (tareas)
12. Redes de confianza (descripción general)
Paquetes de datos de Trusted Extensions
Comunicaciones de la red de confianza
Bases de datos de configuración de red en Trusted Extensions
Comandos de red en Trusted Extensions
Atributos de seguridad de la red de confianza
Atributos de seguridad de red en Trusted Extensions
Tipo de host y nombre de plantilla en plantillas de seguridad
Etiqueta predeterminada en plantillas de seguridad
Dominio de interpretación en plantillas de seguridad
Rango de etiquetas en plantillas de seguridad
Conjunto de etiquetas de seguridad en Security Templates
Mecanismo de reserva de la red de confianza
Descripción general del enrutamiento en Trusted Extensions
Conocimientos básicos del enrutamiento
Entradas de la tabla de enrutamiento en Trusted Extensions
Comprobaciones de acreditaciones de Trusted Extensions
Comprobaciones de acreditaciones del origen
Administración del enrutamiento en Trusted Extensions
Selección de los enrutadores en Trusted Extensions
Puertas de enlace en Trusted Extensions
Comandos de enrutamiento en Trusted Extensions
13. Gestión de redes en Trusted Extensions (tareas)
14. Correo de varios niveles en Trusted Extensions (descripción general)
15. Gestión de impresión con etiquetas (tareas)
16. Dispositivos en Trusted Extensions (descripción general)
17. Gestión de dispositivos para Trusted Extensions (tareas)
18. Auditoría de Trusted Extensions (descripción general)
19. Gestión de software en Trusted Extensions (tareas)
A. Referencia rápida a la administración de Trusted Extensions
B. Lista de las páginas del comando man de Trusted Extensions
En Trusted Extensions, las rutas que unen los hosts de diferentes redes deben preservar la seguridad en cada etapa de la transmisión. Trusted Extensions agrega atributos de seguridad ampliados a los protocolos de enrutamiento en el SO Oracle Solaris. A diferencia del SO Oracle Solaris, esta versión de Trusted Extensions no admite el enrutamiento dinámico. Para obtener detalles sobre la especificación del enrutamiento estático, consulte la opción -p de la página del comando man route(1M).
Paquetes de ruta de enrutadores y puertas de enlace. Aquí se utilizan los términos “puerta de enlace” y “enrutador” de manera intercambiable.
En las comunicaciones entre dos hosts de la misma subred, las comprobaciones de acreditaciones se realizan en los puntos finales sólo porque no participan enrutadores. Las comprobaciones de los rangos de etiquetas se llevan a cabo en el origen. Si el host de recepción ejecuta el software Trusted Extensions, las comprobaciones de los rangos de etiquetas también se efectúan en el destino.
Cuando los hosts de origen y de destino se encuentran en subredes diferentes, el paquete se envía desde el host de origen hasta una puerta de enlace. El rango de etiquetas del destino y la puerta de enlace del primer salto se comprueban en el origen cuando una ruta está seleccionada. La puerta de enlace envía el paquete a la red en que está conectado el host de destino. Es posible que un paquete atraviese varias puertas de enlace antes de llegar al destino.
En las puertas de enlace de Trusted Extensions, las comprobaciones de los rangos de etiquetas se llevan a cabo en algunos casos. Un sistema Trusted Extensions que enruta un paquete entre dos hosts sin etiquetas compara la etiqueta predeterminada del host de origen con la etiqueta predeterminada del host de destino. Cuando los hosts sin etiquetas comparten una etiqueta predeterminada, se enruta el paquete.
Cada puerta de enlace mantiene una lista de rutas con todos los destinos. El enrutamiento estándar de Oracle Solaris incluye opciones para optimizar la ruta. Trusted Extensions proporciona software adicional para comprobar los requisitos de seguridad que se aplican a las opciones de ruta. Se omiten las opciones de Oracle Solaris que no cumplen los requisitos de seguridad.
Las entradas de la tabla de enrutamiento de Trusted Extensions pueden incorporar atributos de seguridad. Los atributos de seguridad pueden incluir una palabra clave cipso. Los atributos de seguridad deben incluir una etiqueta máxima, una etiqueta mínima y un DOI.
En las entradas que no proporcionan atributos de seguridad, se utilizan los atributos de la plantilla de seguridad de la puerta de enlace.
El software Trusted Extensions determina la idoneidad de una ruta por cuestiones de seguridad. El software efectúa una serie de pruebas que se denominan comprobaciones de acreditaciones en el host de origen, el host de destino y las puertas de enlace intermedias.
Nota - En la explicación siguiente, la comprobación de acreditación de un rango de etiquetas también implica la comprobación de un conjunto de etiquetas de seguridad.
La comprobación de acreditación controla el rango de etiquetas y la información de la etiqueta CIPSO. Los atributos de seguridad de una ruta se obtienen de la entrada de la tabla de enrutamiento o de la plantilla de seguridad de la puerta de enlace si la entrada no tiene atributos de seguridad.
En las comunicaciones entrantes, el software de Trusted Extensions obtiene etiquetas de los mismos paquetes siempre que sea posible. La obtención de etiquetas de los paquetes sólo es posible cuando los mensajes se envían desde sistemas que admiten etiquetas. Cuando una etiqueta no está disponible en el paquete, se asigna una etiqueta predeterminada al mensaje desde los archivos de las bases de datos de redes de confianza. Estas etiquetas se utilizan posteriormente en las comprobaciones de acreditaciones. Trusted Extensions aplica varias comprobaciones en los mensajes entrantes, salientes y reenviados.
Las siguientes comprobaciones de acreditaciones se realizan en el proceso o la zona de envío:
En todos los destinos, la etiqueta de los datos debe estar dentro del rango de etiquetas del próximo salto en la ruta, es decir, el primer salto. Además, la etiqueta debe estar incluida en los atributos de seguridad de la puerta de enlace del primer salto.
En todos los destinos, el DOI de un paquete saliente debe coincidir con el DOI del host de destino. El DOI también debe coincidir con el DOI de todos los saltos de la ruta, incluida la puerta de enlace del primer salto.
Cuando el host de destino es un host sin etiquetas, debe cumplirse una de las siguientes condiciones:
La etiqueta del host de envío debe coincidir con la etiqueta predeterminada del host de destino.
El host de envío tiene el privilegio de establecer comunicaciones de etiqueta cruzada, y la etiqueta del remitente domina la etiqueta predeterminada del destino.
El host de envío tiene el privilegio de establecer comunicaciones de etiqueta cruzada, y la etiqueta del remitente es ADMIN_LOW. Es decir, el remitente realiza el envío desde la zona global.
Nota - Una comprobación del primer salto tiene lugar cuando se envía un mensaje por medio de una puerta de enlace de un host en una red a un host en otra red.
En un sistema de puerta de enlace de Trusted Extensions, se realizan las siguientes comprobaciones de acreditaciones para la puerta de enlace del próximo salto:
Si el paquete entrante no tiene etiquetas, hereda la etiqueta predeterminada del host de origen de la entrada tnrhdb. De lo contrario, el paquete recibe la etiqueta CIPSO indicada.
Las comprobaciones para el envío de un paquete se efectúan de manera similar a la acreditación de origen:
En todos los destinos, la etiqueta de los datos debe estar dentro del rango de etiquetas del próximo salto. Además, la etiqueta debe estar incluida en los atributos de seguridad que corresponden al host del próximo salto.
En todos los destinos, el DOI de un paquete saliente debe coincidir con el DOI del host de destino. El DOI también debe coincidir con el DOI del host del próximo salto.
La etiqueta de un paquete sin etiquetas debe coincidir con la etiqueta predeterminada del host de destino.
La etiqueta de un paquete CIPSO debe estar dentro del rango de etiquetas del host de destino.
Cuando un host de Trusted Extensions recibe datos, el software realiza las siguientes comprobaciones:
Si el paquete entrante no tiene etiquetas, hereda la etiqueta predeterminada del host de origen de la entrada tnrhdb. De lo contrario, el paquete recibe la etiqueta CIPSO indicada.
La etiqueta y el DOI del paquete deben ser coherentes con la zona de destino o la etiqueta y el DOI del proceso de destino. La única excepción es cuando el proceso realiza la recepción en un puerto de varios niveles. El proceso que recibe puede obtener un paquete si tiene el privilegio de establecer comunicaciones de etiqueta cruzada y se encuentra en la zona global o tiene una etiqueta que domina la etiqueta del paquete.