Omitir V�nculos de navegaci�n | |
Salir de la Vista de impresi�n | |
Configuración y administración de Trusted Extensions Oracle Solaris 11 Information Library (Español) |
Parte I Configuración inicial de Trusted Extensions
1. Planificación de la seguridad para Trusted Extensions
2. Guía básica de configuración de Trusted Extensions
3. Adición de la función Trusted Extensions a Oracle Solaris (tareas)
4. Configuración de Trusted Extensions (tareas)
5. Configuración de LDAP para Trusted Extensions (tareas)
Parte II Administración de Trusted Extensions
6. Conceptos de la administración de Trusted Extensions
7. Herramientas de administración de Trusted Extensions
8. Requisitos de seguridad del sistema Trusted Extensions (descripción general)
9. Realización de tareas comunes en Trusted Extensions (tareas)
10. Usuarios, derechos y roles en Trusted Extensions (descripción general)
11. Gestión de usuarios, derechos y roles en Trusted Extensions (tareas)
12. Administración remota en Trusted Extensions (tareas)
13. Gestión de zonas en Trusted Extensions (tareas)
14. Gestión y montaje de archivos en Trusted Extensions (tareas)
15. Redes de confianza (descripción general)
16. Gestión de redes en Trusted Extensions (tareas)
Gestión de la red de confianza (mapa de tareas)
Etiquetado de hosts y redes (mapa de tareas)
Cómo ver plantillas de seguridad
Cómo determinar si necesita plantillas de seguridad específicas del sitio
Cómo crear plantillas de seguridad
Cómo agregar hosts a la red conocida del sistema
Cómo agregar un host a una plantilla de seguridad
Cómo agregar un rango de hosts a una plantilla de seguridad
Cómo limitar los hosts que se pueden contactar en la red de confianza
Configuración de IPsec con etiquetas (mapa de tareas)
Cómo aplicar las protecciones IPsec en una red de Trusted Extensions de varios niveles
Cómo configurar un túnel en una red que no es de confianza
Resolución de problemas de la red de confianza (mapa de tareas)
Cómo verificar que las interfaces de un sistema estén activas
Cómo depurar la red de Trusted Extensions
Cómo depurar la conexión de un cliente con el servidor LDAP
17. Trusted Extensions y LDAP (descripción general)
18. Correo de varios niveles en Trusted Extensions (descripción general)
19. Gestión de impresión con etiquetas (tareas)
20. Dispositivos en Trusted Extensions (descripción general)
21. Gestión de dispositivos para Trusted Extensions (tareas)
22. Auditoría de Trusted Extensions (descripción general)
23. Gestión de software en Trusted Extensions (referencia)
A. Política de seguridad del sitio
Creación y gestión de una política de seguridad
Política de seguridad del sitio y Trusted Extensions
Recomendaciones de seguridad informática
Recomendaciones de seguridad física
Recomendaciones de seguridad del personal
Infracciones de seguridad comunes
Referencias de seguridad adicionales
B. Lista de comprobación de configuración de Trusted Extensions
Lista de comprobación para la configuración de Trusted Extensions
C. Referencia rápida a la administración de Trusted Extensions
Interfaces administrativas en Trusted Extensions
Interfaces de Oracle Solaris ampliadas por Trusted Extensions
Valores predeterminados de seguridad que brindan mayor protección en Trusted Extensions
Opciones limitadas en Trusted Extensions
D. Lista de las páginas del comando man de Trusted Extensions
Páginas del comando man de Trusted Extensions en orden alfabético
Páginas del comando man de Oracle Solaris modificadas por Trusted Extensions
Las rutas estáticas permiten que los paquetes con etiquetas alcancen su destino mediante puertas de enlace con etiquetas y sin etiquetas. Los puertos de varios niveles permiten que una aplicación utilice un único punto de entrada para acceder a todas las zonas.
Antes de empezar
Debe estar con el rol de administrador de la seguridad en la zona global.
Ha agregado cada red, puerta de enlace y host de destino a una plantilla de seguridad. Para obtener detalles, consulte Cómo agregar un host a una plantilla de seguridad y Cómo agregar un rango de hosts a una plantilla de seguridad.
# txzonemgr &
Si la zona tiene más de una dirección IP, seleccione la entrada con la interfaz deseada.
Nota - Para eliminar o modificar el enrutador predeterminado, elimine la entrada, cree la entrada de IP de nuevo y agregue el enrutador. Si la zona sólo tiene una dirección IP, debe eliminar la instancia de IP para eliminar la entrada.
Ejemplo 16-17 Uso del comando route para definir la ruta predeterminada de la zona global
En este ejemplo, el administrador utiliza el comando route para crear una ruta predeterminada para la zona global.
# route add default 192.168.113.1 -static
Puede agregar MLP privados y compartidos a las zonas con etiquetas y la zona global.
Este procedimiento se utiliza cuando una aplicación que se ejecuta en una zona con etiquetas necesita un puerto de varios niveles (MLP) para comunicarse con la zona. En este procedimiento, un proxy web se comunica con la zona.
Antes de empezar
Debe estar con el rol de usuario root en la zona global. El sistema debe tener al menos dos direcciones IP y la zona con etiquetas debe estar detenida.
## /etc/hosts file ... proxy-host-name IP-address web-service-host-name IP-address
Por ejemplo, configure la zona public para que reconozca los paquetes explícitamente etiquetados como PUBLIC. Para esta configuración, la plantilla de seguridad se denomina webprox.
# tncfg -t webprox tncfg:public> set name=webprox tncfg:public> set host_type=cipso tncfg:public> set min_label=public tncfg:public> set max_label=public tncfg:public> add host=mywebproxy.oracle.comhost name associated with public zone tncfg:public> add host=10.1.2.3/16IP address of public zone tncfg:public> exit
Por ejemplo, el servicio proxy web podría establecer una comunicación con la zona PUBLIC a través de la interfaz 8080/tcp.
# tncfg -z public add mlp_shared=8080/tcp # tncfg -z public add mlp_private=8080/tcp
# zoneadm -z zone-name boot
Para agregar rutas, consulte Cómo agregar rutas predeterminadas.
Ejemplo 16-18 Configuración de un puerto de varios niveles con la interfaz gráfica de usuario txzonemgr
Para configurar el servicio proxy web, el administrador abre Labeled Zone Manager.
# txzonemgr &
El administrador hace doble clic en la zona PUBLIC y, a continuación, hace doble clic en Configure Multilevel Ports. Luego, el administrador selecciona y hace doble clic en la línea Private interfaces. La selección cambia a un campo de entrada similar al siguiente:
Private interfaces:111/tcp;111/udp
El administrador comienza la entrada del proxy web con un punto y coma como separador.
Private interfaces:111/tcp;111/udp;8080/tcp
Después de completar la entrada privada, el administrador escribe el proxy web en el campo Shared interfaces.
Shared interfaces:111/tcp;111/udp;8080/tcp
Un mensaje emergente indica que los puertos de varios niveles de la zona public estarán activos la próxima vez que se inicie la zona.
Ejemplo 16-19 Configuración de un puerto de varios niveles privado para NFSv3 mediante udp
En este ejemplo, el administrador habilita los montajes de lectura en sentido descendente de NFSv3 mediante udp. El administrador tiene la posibilidad de utilizar el comando tncfg.
# tncfg -z global add mlp_private=2049/udp
La interfaz gráfica de usuario txzonemgr proporciona otra manera de definir el puerto de varios niveles.
En Labeled Zone Manager, el administrador hace doble clic en la zona global y, a continuación, hace doble clic en Configure Multilevel Ports. En el menú MLP, el administrador selecciona y hace doble clic en la línea Private interfaces y agrega el puerto/protocolo.
Private interfaces:111/tcp;111/udp;8080/tcp
Un mensaje emergente indica que los puertos de varios niveles de la zona global estarán activos la próxima vez que se inicie la zona.
Ejemplo 16-20 Visualización de puertos de varios niveles en un sistema
En este ejemplo, se configura un sistema con varias zonas con etiquetas. Todas las zonas comparten la misma dirección IP. Algunas zonas también se configuran con direcciones específicas de las zonas. En esta configuración, el puerto TCP para navegar por la web (puerto 8080), es un puerto de varios niveles en una interfaz compartida en la zona public. El administrador también configuró telnet (puerto TCP 23) para que sea un puerto de varios niveles en la zona public. Dado que estos dos puertos de varios niveles están en una interfaz compartida, ninguna otra zona, ni siquiera la zona global, puede recibir paquetes de la interfaz compartida en los puertos 8080 y 23.
Además, el puerto TCP para ssh (puerto 22) es un puerto de varios niveles por zona en la zona public. El servicio de la zona public ssh puede recibir cualquier paquete en su dirección específica de la zona dentro del rango de etiquetas de la etiqueta.
El siguiente comando muestra los puertos de varios niveles para la zona public:
$ tninfo -m public private: 22/tcp shared: 23/tcp;8080/tcp
El siguiente comando muestra los puertos de varios niveles para la zona global. Tenga en cuenta que los puertos 23 y 8080 no pueden ser puertos de varios niveles en la zona global porque dicha zona comparte la misma dirección con la zona public:
$ tninfo -m global private: 111/tcp;111/udp;514/tcp;515/tcp;631/tcp;2049/tcp; 6000-6003/tcp;38672/tcp;60770/tcp; shared: 6000-6003/tcp