Omitir V�nculos de navegaci�n | |
Salir de la Vista de impresi�n | |
Procedimientos de administradores de Oracle Solaris Trusted Extensions |
1. Conceptos de la administración de Trusted Extensions
2. Herramientas de administración de Trusted Extensions
3. Introducción para administradores de Trusted Extensions (tareas)
4. Requisitos de seguridad del sistema Trusted Extensions (descripción general)
5. Administración de los requisitos de seguridad en Trusted Extensions (tareas)
6. Usuarios, derechos y roles en Trusted Extensions (descripción general)
7. Gestión de usuarios, derechos y roles en Trusted Extensions (tareas)
8. Administración remota en Trusted Extensions (tareas)
9. Trusted Extensions y LDAP (descripción general)
10. Gestión de zonas en Trusted Extensions (tareas)
11. Gestión y montaje de archivos en Trusted Extensions (tareas)
12. Redes de confianza (descripción general)
Paquetes de datos de Trusted Extensions
Comunicaciones de la red de confianza
Bases de datos de configuración de red en Trusted Extensions
Comandos de red en Trusted Extensions
Atributos de seguridad de la red de confianza
Atributos de seguridad de red en Trusted Extensions
Tipo de host y nombre de plantilla en Security Templates
Etiqueta predeterminada en Security Templates
Dominio de interpretación en Security Templates
Mecanismo de reserva de la red de confianza
Descripción general del enrutamiento en Trusted Extensions
Entradas de la tabla de enrutamiento en Trusted Extensions
Comprobaciones de acreditaciones de Trusted Extensions
Comprobaciones de acreditaciones del origen
Comprobaciones de acreditaciones de la puerta de enlace
Comprobaciones de acreditaciones del destino
Administración del enrutamiento en Trusted Extensions
Selección de los enrutadores en Trusted Extensions
Puertas de enlace en Trusted Extensions
Comandos de enrutamiento en Trusted Extensions
13. Gestión de redes en Trusted Extensions (tareas)
14. Correo de varios niveles en Trusted Extensions (descripción general)
15. Gestión de impresión con etiquetas (tareas)
16. Dispositivos en Trusted Extensions (descripción general)
17. Gestión de dispositivos para Trusted Extensions (tareas)
18. Auditoría de Trusted Extensions (descripción general)
19. Gestión de software en Trusted Extensions (tareas)
A. Referencia rápida a la administración de Trusted Extensions
B. Lista de las páginas del comando man de Trusted Extensions
Trusted Extensions se instala con un conjunto predeterminado de plantillas de seguridad. Cuando se asigna una plantilla a un host, los valores de seguridad de la plantilla se aplican al host. En Trusted Extensions, mediante una plantilla, se asignan atributos de seguridad a los hosts con etiquetas y sin etiquetas de la red. No es posible acceder a los hosts que no tienen una plantilla de seguridad asignada. Las plantillas pueden almacenarse localmente o en el servicio de nombres LDAP en Oracle Directory Server Enterprise Edition.
Las plantillas pueden asignarse directamente o indirectamente a un host. La asignación directa asigna una plantilla a una dirección IP específica. La asignación indirecta asigna una plantilla a una dirección de red que incluye el host. Los hosts que no tienen una plantilla de seguridad no pueden comunicarse con los hosts que están configurados con Trusted Extensions. Para obtener una explicación sobre la asignación directa e indirecta, consulte Mecanismo de reserva de la red de confianza.
Las plantillas se crean o se modifican con la herramienta Security Templates de Solaris Management Console. La herramienta Security Templates hace que se completen los campos que sean necesarios en las plantillas. El tipo de host determina qué campos son necesarios.
Cada tipo de host tiene su propio conjunto de atributos de seguridad adicionales, tanto necesarios como opcionales. Los siguientes atributos de seguridad están especificados en las plantillas de seguridad:
Tipo de host: define si los paquetes tienen etiquetas de seguridad CIPSO o no tienen ningún tipo de etiquetas.
Etiqueta predeterminada: define el nivel de confianza del host sin etiquetas. En esta etiqueta, el host o la puerta de enlace de recepción de Trusted Extensions leen los paquetes que se envían mediante un host sin etiquetas.
El atributo de la etiqueta predeterminada es específico del tipo de host sin etiquetas. Para obtener detalles, consulte la página del comando man smtnrhtp(1M) y las secciones siguientes.
DOI: es un entero positivo, distinto de cero, que identifica el dominio de interpretación. El DOI se utiliza para indicar qué conjunto de codificaciones de etiqueta se aplica a una comunicación o entidad de red. Las etiquetas con DOI diferentes están separadas, incluso si son idénticas en todo lo demás. En los hosts sin etiquetas, el DOI se aplica a la etiqueta predeterminada. En Trusted Extensions, el valor predeterminado es 1.
Etiqueta mínima: define el nivel más bajo del rango de acreditación de etiquetas. Los hosts y las puertas de enlace del próximo salto no reciben paquetes que estén por debajo de la etiqueta mínima que está especificada en la plantilla correspondiente.
Etiqueta máxima: define el nivel más alto del rango de acreditación de etiquetas. Los hosts y las puertas de enlace del próximo salto no reciben paquetes que estén por encima de la etiqueta máxima que está especificada en la plantilla correspondiente.
Conjunto de etiquetas de seguridad: es opcional. Especifica un conjunto discreto de etiquetas de seguridad para una plantilla de seguridad. Además del rango de acreditación correspondiente que se encuentra determinado por la etiqueta máxima y la etiqueta mínima, los hosts que se asignan a una plantilla con un conjunto de etiquetas de seguridad pueden enviar y recibir paquetes que coincidan con cualquiera de las etiquetas del conjunto de etiquetas. El número máximo de etiquetas que puede especificarse es cuatro.
Trusted Extensions admite dos tipos de hosts en las bases de datos de la red de confianza y proporciona dos plantillas predeterminadas:
Tipo de host CIPSO: diseñado para los host que ejecutan sistemas operativos de confianza. Trusted Extensions suministra la plantilla denominada cipso para este tipo de host.
El protocolo de la opción de seguridad de IP común (CIPSO) se utiliza para especificar las etiquetas de seguridad que se transfieren en el campo de opciones IP. Las etiquetas CIPSO se obtienen automáticamente de la etiqueta de datos. El tipo de etiqueta 1 se utiliza para transferir la etiqueta de seguridad CIPSO. Esta etiqueta se utiliza para realizar comprobaciones de seguridad en el nivel IP y para asignar una etiqueta a los datos del paquete de red.
Tipo de host sin etiquetas: está diseñado para los hosts que utilizan protocolos de redes estándar, pero que no admiten opciones CIPSO. Trusted Extensions suministra la plantilla denominada admin_low para este tipo de host.
Se asigna este tipo de host a los hosts que ejecutan el SO Oracle Solaris u otros sistemas operativos sin etiquetas. Este tipo de host proporciona una etiqueta y una acreditación predeterminadas para aplicar a las comunicaciones con el host sin etiquetas. Además, se puede especificar un rango de etiquetas o un conjunto de etiquetas discretas para permitir el envío de paquetes a una puerta de enlace sin etiquetas para el posterior reenvío.
Precaución - La plantilla admin_low brinda un ejemplo para la creación de plantillas sin etiquetas con etiquetas específicas del sitio. Mientras que la plantilla admin_low es necesaria para la instalación de Trusted Extensions, puede que las configuraciones de seguridad no sean adecuadas para las operaciones habituales del sistema. Conserve las plantillas proporcionadas sin modificaciones para el mantenimiento del sistema y el soporte técnico. |
Las plantillas para el tipo de host sin etiquetas especifican una etiqueta predeterminada. Esta etiqueta se utiliza para controlar las comunicaciones con los hosts cuyos sistemas operativos no tienen en cuenta las etiquetas, como los sistemas de Oracle Solaris. La etiqueta predeterminada que está asignada refleja el nivel de confianza adecuado para el host y los usuarios.
Debido a que las comunicaciones con los hosts sin etiquetas se limitan esencialmente a la etiqueta predeterminada, estos hosts también se denominan hosts de una sola etiqueta.
Las organizaciones que utilizan el mismo dominio de interpretación (DOI) deben acordar entre sí para interpretar la información de la etiqueta y otros atributos de seguridad de la misma manera. Cuando Trusted Extensions realiza una comparación de etiquetas, se efectúa una comprobación para determinar si el DOI es igual.
Un sistema Trusted Extensions aplica la política de etiquetas en un valor DOI. Todas las zonas de un sistema Trusted Extensions deben operar en el mismo DOI. Un sistema Trusted Extensions no proporciona el tratamiento de excepciones en los paquetes que se recibieron de un sistema que utiliza un DOI diferente.
Si el sitio utiliza un valor DOI distinto del predeterminado, debe agregar este valor en el archivo /etc/system y cambiar el valor en cada plantilla de seguridad. Para informarse acerca del procedimiento inicial, consulte Configuración del dominio de interpretación de Guía de configuración de Oracle Solaris Trusted Extensions. Para configurar el DOI en cada plantilla de seguridad, consulte el Ejemplo 13-1.
Los atributos de la etiqueta mínima y la etiqueta máxima se utilizan para establecer el rango de etiquetas para los hosts con etiquetas y sin etiquetas. Estos atributos se utilizan para realizar lo siguiente:
Establecer el rango de etiquetas que pueden utilizarse cuando se establece la comunicación con un host CIPSO remoto
Para que se envíe un paquete a un host de destino, la etiqueta del paquete debe estar dentro del rango de etiquetas asignado al host de destino en la plantilla de seguridad para ese host.
Establecer un rango de etiquetas para los paquetes que se reenvían mediante una puerta de enlace CIPSO o una sin etiquetas
Puede especificarse el rango de etiquetas en la plantilla para un tipo de host sin etiquetas. El rango de etiquetas habilita el host para reenviar los paquetes que no están necesariamente en la etiqueta del host, pero se encuentran dentro de un rango de etiquetas especificado.
El conjunto de etiquetas de seguridad define un máximo de cuatro etiquetas discretas en que el host remoto puede aceptar, enviar o reenviar paquetes. Este atributo es opcional. De manera predeterminada, no hay ningún conjunto de etiquetas de seguridad definido.