Omitir V�nculos de navegaci�n | |
Salir de la Vista de impresi�n | |
Configuración y administración de Trusted Extensions Oracle Solaris 11 Information Library (Español) |
Parte I Configuración inicial de Trusted Extensions
1. Planificación de la seguridad para Trusted Extensions
2. Guía básica de configuración de Trusted Extensions
3. Adición de la función Trusted Extensions a Oracle Solaris (tareas)
4. Configuración de Trusted Extensions (tareas)
5. Configuración de LDAP para Trusted Extensions (tareas)
Parte II Administración de Trusted Extensions
6. Conceptos de la administración de Trusted Extensions
7. Herramientas de administración de Trusted Extensions
8. Requisitos de seguridad del sistema Trusted Extensions (descripción general)
9. Realización de tareas comunes en Trusted Extensions (tareas)
10. Usuarios, derechos y roles en Trusted Extensions (descripción general)
11. Gestión de usuarios, derechos y roles en Trusted Extensions (tareas)
12. Administración remota en Trusted Extensions (tareas)
13. Gestión de zonas en Trusted Extensions (tareas)
14. Gestión y montaje de archivos en Trusted Extensions (tareas)
15. Redes de confianza (descripción general)
16. Gestión de redes en Trusted Extensions (tareas)
Gestión de la red de confianza (mapa de tareas)
Etiquetado de hosts y redes (mapa de tareas)
Cómo ver plantillas de seguridad
Cómo determinar si necesita plantillas de seguridad específicas del sitio
Cómo crear plantillas de seguridad
Cómo agregar hosts a la red conocida del sistema
Cómo agregar un host a una plantilla de seguridad
Cómo agregar un rango de hosts a una plantilla de seguridad
Cómo limitar los hosts que se pueden contactar en la red de confianza
Configuración de rutas y puertos de varios niveles (tareas)
Cómo agregar rutas predeterminadas
Cómo crear un puerto de varios niveles para una zona
Configuración de IPsec con etiquetas (mapa de tareas)
Cómo aplicar las protecciones IPsec en una red de Trusted Extensions de varios niveles
Cómo configurar un túnel en una red que no es de confianza
Resolución de problemas de la red de confianza (mapa de tareas)
Cómo verificar que las interfaces de un sistema estén activas
Cómo depurar la red de Trusted Extensions
Cómo depurar la conexión de un cliente con el servidor LDAP
17. Trusted Extensions y LDAP (descripción general)
18. Correo de varios niveles en Trusted Extensions (descripción general)
19. Gestión de impresión con etiquetas (tareas)
20. Dispositivos en Trusted Extensions (descripción general)
21. Gestión de dispositivos para Trusted Extensions (tareas)
22. Auditoría de Trusted Extensions (descripción general)
23. Gestión de software en Trusted Extensions (referencia)
A. Política de seguridad del sitio
Creación y gestión de una política de seguridad
Política de seguridad del sitio y Trusted Extensions
Recomendaciones de seguridad informática
Recomendaciones de seguridad física
Recomendaciones de seguridad del personal
Infracciones de seguridad comunes
Referencias de seguridad adicionales
B. Lista de comprobación de configuración de Trusted Extensions
Lista de comprobación para la configuración de Trusted Extensions
C. Referencia rápida a la administración de Trusted Extensions
Interfaces administrativas en Trusted Extensions
Interfaces de Oracle Solaris ampliadas por Trusted Extensions
Valores predeterminados de seguridad que brindan mayor protección en Trusted Extensions
Opciones limitadas en Trusted Extensions
D. Lista de las páginas del comando man de Trusted Extensions
Páginas del comando man de Trusted Extensions en orden alfabético
Páginas del comando man de Oracle Solaris modificadas por Trusted Extensions
Un sistema Trusted Extensions puede establecer contacto con otros hosts sólo después de que el sistema ha definido los atributos de seguridad de esos hosts. Debido a que los hosts remotos pueden tener atributos de seguridad similares, Trusted Extensions proporciona plantillas de seguridad a las que es posible agregar hosts.
El siguiente mapa de tareas describe las tareas que puede utilizar para agregar plantillas de seguridad y aplicarlas a los hosts remotos.
|
Puede ver la lista de plantillas de seguridad y el contenido de cada plantilla. Los ejemplos que se muestran en este procedimiento hacen referencia a las plantillas de seguridad predeterminadas.
# tncfg list cipso admin_low
# tncfg -t cipso info name=cipso host_type=cipso doi=1 min_label=ADMIN_LOW max_label=ADMIN_HIGH host=127.0.0.1/32
La entrada 127.0.0.1/32 de la plantilla de seguridad cipso anterior identifica este sistema como un sistema con etiquetas. Cuando un igual asigna este sistema a la plantilla de host remoto del igual con el host_type de cipso, los dos sistemas pueden intercambiar paquetes con etiquetas.
# tncfg -t admin_low info name=admin_low host_type=unlabeled doi=1 def_label=ADMIN_LOW min_label=ADMIN_LOW max_label=ADMIN_HIGH host=0.0.0.0/0
La entrada 0.0.0.0/0 de la plantilla de seguridad admin_low anterior permite que todos los hosts que están asignados explícitamente a una plantilla de seguridad puedan establecer contacto con este sistema. Estos hosts se reconocen como hosts sin etiquetas.
La ventaja de esta entrada es que se pueden encontrar todos los hosts que este sistema requiere durante el inicio, por ejemplo, servidores y puertas de enlace.
La desventaja de esta entrada es que cualquier host de la red de este sistema puede establecer contacto con el sistema. Para limitar los hosts que pueden establecer contacto con este sistema, consulte Cómo limitar los hosts que se pueden contactar en la red de confianza.
Antes de empezar
Debe estar con el rol de administrador de la seguridad en la zona global.
Siga las instrucciones detalladas en Cómo ver plantillas de seguridad para ver las plantillas de seguridad disponibles.
Limite el rango de etiquetas de un host o un grupo de hosts.
Cree un host de una sola etiqueta en una etiqueta distinta de ADMIN_LOW.
Requiera una etiqueta predeterminada para los hosts sin etiquetas que no sea ADMIN_LOW.
Cree un host que reconozca algunas etiquetas discretas.
Utilice un dominio de interpretación distinto de 1.
Pasos siguientes
Para agregar hosts a las plantillas de seguridad predeterminadas, vaya a Cómo agregar un host a una plantilla de seguridad.
De lo contrario, continúe con Cómo crear plantillas de seguridad.
Antes de empezar
Debe estar en la zona global en un rol que pueda modificar la seguridad de la red. Por ejemplo, los roles que tienen asignados los perfiles de derechos de seguridad de la información o seguridad de la red pueden modificar los valores de seguridad. El rol de administrador de la seguridad incluye estos perfiles de derechos.
Para las etiquetas como PUBLIC, puede utilizar la cadena de etiqueta o el valor hexadecimal, 0x0002-08-08, como valores de etiqueta. El comando tncfg acepta ambos formatos.
# atohexlabel "confidential : internal use only" 0x0004-08-48
Para obtener más información, consulte Cómo obtener el equivalente hexadecimal de una etiqueta.
Por razones de compatibilidad, no suprima las plantillas de seguridad predeterminadas. Puede copiar y modificar estas plantillas. Además, puede agregar y eliminar hosts asignados a estas plantillas. Para obtener un ejemplo, consulte Cómo limitar los hosts que se pueden contactar en la red de confianza.
El comando tncfg -t proporciona tres maneras de crear plantillas nuevas.
Utilice el comando tncfg en modo interactivo. El subcomando info muestra los valores que se proporcionan de forma predeterminada. Utilice la tecla de tabulación para completar los valores y las propiedades parciales.
# tncfg -t newunlabeled tncfg:newtemplate> info name=newunlabeled host_type=unlabeled doi=1 def_label=ADMIN_LOW min_label=ADMIN_LOW max_label=ADMIN_HIGH tncfg:newunlabeled> set m<Tab> set max_label=" set min_label=" tncfg:newunlabeled> set ma<Tab> tncfg:newunlabeled> set max_label=ADMIN_LOW ...
También puede proporcionar la lista completa de atributos para una plantilla de seguridad en la línea de comandos. Se utiliza un punto y coma para separar los subcomandos set. Una propiedad omitida recibe el valor predeterminado.
# tncfg -t newunlabeled set host_type=unlabeled;set doi=1; \ set min_label=ADMIN_LOW;set max_label=ADMIN_LOW
# tncfg -t cipso tncfg:cipso> set name=newcipso tncfg:newcipso> info name=newcipso host_type=cipso doi=1 min_label=ADMIN_LOW max_label=ADMIN_HIGH
Los hosts asignados a la plantilla de seguridad existente no se copian en la nueva plantilla.
# tncfg -f unlab_1 -f template-file tncfg: unlab1> set host_type=unlabeled ... # tncfg -f template-file
Para obtener un ejemplo de cómo crear una plantilla de origen para la importación, consulte la página del comando man tncfg(1M).
Ejemplo 16-1 Creación de una plantilla de seguridad para una puerta de enlace que gestiona paquetes en una sola etiqueta
En este ejemplo, el administrador de la seguridad define una puerta de enlace que únicamente puede transferir paquetes en la etiqueta PUBLIC.
# tncfg -t cipso_public tncfg:cipso_public> set host_type=cipso tncfg:cipso_public> set doi=1 tncfg:cipso_public> set min_label="public" tncfg:cipso_public> set max_label="public" tncfg:cipso_public> commit tncfg:cipso_public> exit
El administrador de la seguridad luego agrega el host de la puerta de enlace a la plantilla de seguridad. Para obtener detalles sobre la adición, consulte el Ejemplo 16-7.
Ejemplo 16-2 Creación de una plantilla de seguridad para un enrutador sin etiquetas que redirige paquetes con etiquetas
Cualquier enrutador IP puede reenviar los mensajes con etiquetas CIPSO aunque el enrutador no admita etiquetas de manera explícita. Este tipo de enrutador sin etiquetas necesita una etiqueta predeterminada para definir el nivel en el que se deben controlar las conexiones con el enrutador (quizás para la gestión del enrutador). En este ejemplo, el administrador de la seguridad crea un enrutador que puede reenviar tráfico en cualquier etiqueta, pero toda comunicación directa con el enrutador se gestiona en la etiqueta predeterminada, PUBLIC.
El administrador de la seguridad crea la plantilla desde el principio.
# tncfg -t unl_public tncfg:unl_public> set host_type=unlabeled tncfg:unl_public> set doi=1 tncfg:unl_public> set def_label="PUBLIC" tncfg:unl_public> set min_label=ADMIN_LOW tncfg:unl_public> set max_label=ADMIN_HIGH tncfg:unl_public> exit
El administrador de la seguridad luego agrega el enrutador a la plantilla de seguridad. Para obtener detalles sobre la adición, consulte el Ejemplo 16-8.
Ejemplo 16-3 Creación de una plantilla de seguridad para una puerta de enlace con un rango de etiquetas limitado
En este ejemplo, el administrador de la seguridad crea una puerta de enlace que limita los paquetes a un rango de etiquetas reducido. El administrador crea una plantilla de seguridad y luego asigna el host de la puerta de enlace a la plantilla de seguridad.
# tncfg -t cipso_iuo_rstrct tncfg:cipso_iuo_rstrct> set host_type=cipso tncfg:cipso_iuo_rstrct> set doi=1 tncfg:cipso_iuo_rstrct> set min_label=0x0004-08-48 tncfg:cipso_iuo_rstrct> set max_label=0x0004-08-78 tncfg:cipso_iuo_rstrct> add host=192.168.131.78 tncfg:cipso_iuo_rstrct> exit
El administrador de la seguridad luego agrega el host de la puerta de enlace a la plantilla de seguridad. Para obtener detalles sobre la adición, consulte el Ejemplo 16-9.
Ejemplo 16-4 Creación de una plantilla de seguridad que tiene etiquetas discretas
En este ejemplo, el administrador de la seguridad crea una plantilla de seguridad que reconoce dos etiquetas solamente, confidential : internal use only y confidential : restricted. Se rechaza todo el resto del tráfico.
En primer lugar, el administrador escribe las etiquetas con cuidado y precisión. El software reconoce etiquetas en mayúscula y minúsculas y por nombre corto, pero no reconoce etiquetas donde los espacios son inexactos. Por ejemplo, la etiqueta confidential :restricted no es una etiqueta válida.
# tncfg -t cipso_int_and_rst tncfg:cipso_int_and_rst> set host_type=cipso tncfg:cipso_int_and_rst> set doi=1 tncfg:cipso_int_and_rst> set min_label="cnf : internal use only" tncfg:cipso_int_and_rst> set max_label="cnf : internal use only" tncfg:cipso_int_and_rst> set aux_label="cnf : restricted" tncfg:cipso_int_and_rst> exit
Ejemplo 16-5 Creación de una plantilla de seguridad sin etiquetas en la etiqueta PUBLIC
En este ejemplo, el administrador de la seguridad crea una plantilla de una sola etiqueta para los hosts que pueden recibir y enviar paquetes en la etiqueta PUBLIC únicamente. Esta plantilla se puede asignar a los hosts cuyos sistemas de archivos deben montarse en la etiqueta PUBLIC mediante los sistemas Trusted Extensions.
# tncfg -t public tncfg:public> set host_type=unlabeled tncfg:public> set doi=1 tncfg:public> set def_label="public" tncfg:public> set min_sl="public" tncfg:public> set max_sl="public" tncfg:public> exit
El administrador de la seguridad luego agrega los hosts a la plantilla de seguridad. Para obtener detalles sobre la adición, consulte el Ejemplo 16-13.
Ejemplo 16-6 Creación de una plantilla de seguridad con etiquetas para desarrolladores
En este ejemplo, el administrador de la seguridad crea una plantilla cipso_sandbox. Esta plantilla de seguridad se asigna a los sistemas que utilizan los desarrolladores de software de confianza. Las pruebas de desarrolladores no afectan a otros hosts con etiquetas, porque la etiqueta SANDBOX está separada de las otras etiquetas de la red.
# tncfg -t cipso_sandbox tncfg:cipso_sandbox> set host_type=cipso tncfg:cipso_sandbox> set doi=1 tncfg:cipso_sandbox> set min_sl="SBX" tncfg:cipso_sandbox> set max_sl="SBX" tncfg:cipso_sandbox> exit
Después de agregar hosts y grupos de hosts al archivo /etc/hosts de un sistema, el sistema reconoce los hosts. Sólo es posible agregar hosts conocidos a una plantilla de seguridad.
Antes de empezar
Tiene el rol de usuario root en la zona global.
# vi /etc/hosts ... 192.168.111.121 ahost
# vi /etc/hosts ... 192.168.111.0 111-network
Pasos siguientes
Continúe con Cómo agregar un host a una plantilla de seguridad.
Antes de empezar
Se deben cumplir los siguientes requisitos:
La plantilla de seguridad debe existir. Para conocer el procedimiento, consulte Cómo crear plantillas de seguridad.
Las direcciones IP deben existir en el archivo /etc/hosts o DNS debe poder resolverlas.
Para el archivo hosts, consulte Cómo agregar hosts a la red conocida del sistema.
Para DNS, consulte el Capítulo 3, Managing DNS (Tasks) de Oracle Solaris Administration: Naming and Directory Services.
Los puntos finales de la etiqueta deben coincidir. Para las reglas, consulte Descripción general del enrutamiento en Trusted Extensions.
Debe estar con el rol de administrador de la seguridad en la zona global.
Por ejemplo, agregue la dirección IP 192.168.1.2.
# tncfg -t cipso tncfg:cipso> add host=192.168.1.2
Si agrega un host que se agregó anteriormente a otra plantilla, se le notificará que está sustituyendo la asignación de plantilla de seguridad. Por ejemplo:
# tncfg -t cipso tncfg:cipso> add host=192.168.1.22 192.168.1.2 previously matched the admin_low template tncfg:cipso> info ... host=192.168.1.2/32 tncfg:cipso> exit
Por ejemplo, a continuación se muestra la dirección 192.168.1.2 que se agregó a la plantilla cipso:
tncfg:cipso> info ... host=192.168.1.2/32
La longitud del prefijo de /32 indica que la dirección es exacta.
tncfg:cipso> commit tncfg:cipso> exit
Para eliminar una entrada de host, consulte el Ejemplo 16-11.
Ejemplo 16-7 Creación de una puerta de enlace que gestiona paquetes en una sola etiqueta
En el Ejemplo 16-1, el administrador crea una plantilla de seguridad que define una puerta de enlace que sólo puede transferir paquetes en la etiqueta PUBLIC. En este ejemplo, el administrador de la seguridad comprueba que se puede resolver la dirección IP del host de la puerta de enlace.
# arp 192.168.131.75 gateway-1.example.com (192.168.131.75) at 0:0:0:1:ab:cd
El comando arp verifica que el host está definido en el archivo /etc/hosts del sistema o que DNS puede resolverlo.
A continuación, el administrador agrega el host gateway-1 a la plantilla de seguridad:
# tncfg -t cipso_public tncfg:cipso_public> add host=192.168.131.75 tncfg:cipso_public> exit
El sistema puede enviar y recibir paquetes public a través de gateway-1 de inmediato.
Ejemplo 16-8 Creación de un enrutador sin etiquetas para redirigir paquetes con etiquetas
En el Ejemplo 16-2, el administrador crea la plantilla de seguridad para el enrutador. En este ejemplo, el administrador comprueba que se puede resolver la dirección IP del enrutador.
# arp 192.168.131.82 router-1.example.com (192.168.131.82) at 0:0:0:2:ab:cd
El comando arp indica que el host está definido en el archivo /etc/hosts del sistema o que DNS puede resolverlo.
A continuación, el administrador agrega el enrutador a la plantilla de seguridad.
# tncfg -t unl_public tncfg:unl_public> add host=192.168.131.82 tncfg:unl_public> exit
El sistema puede enviar y recibir paquetes en todas las etiquetas a través de router-1 de inmediato.
Ejemplo 16-9 Creación de una puerta de enlace con un rango de etiquetas limitado
En el Ejemplo 16-3, el administrador crea una plantilla de seguridad con un rango de etiquetas limitado. En este ejemplo, el administrador de la seguridad comprueba que se puede resolver la dirección IP del host de la puerta de enlace.
# arp 192.168.131.78 gateway-ir.example.com (192.168.131.78) at 0:0:0:3:ab:cd
El comando arp indica que el host está definido en el archivo /etc/hosts del sistema o que DNS puede resolverlo.
A continuación, el administrador agrega la puerta de enlace a la plantilla de seguridad.
# tncfg -t cipso_iuo_rstrct tncfg:cipso_iuo_rstrct> add host=192.168.131.78 tncfg:cipso_iuo_rstrct> exit
El sistema puede enviar y recibir paquetes con las etiquetas internal y restricted a través de gateway-ir de inmediato.
Ejemplo 16-10 Creación de un host con etiquetas para desarrolladores
En el Ejemplo 16-6, el administrador crea la plantilla de seguridad cipso_sandbox. En este ejemplo, el administrador de la seguridad agrega dos hosts a la plantilla.
# tncfg -t cipso_sandbox tncfg:cipso_sandbox> add host=196.168.129.102 tncfg:cipso_sandbox> add host=196.168.129.129 tncfg:cipso_sandbox> exit
Los desarrolladores que utilizan los sistemas 196.168.129.102 y 196.168.129.129 pueden comunicarse entre sí en la etiqueta SANDBOX.
Ejemplo 16-11 Eliminación de varios hosts de una plantilla de seguridad
En este ejemplo, el administrador de la seguridad elimina varios hosts de la plantilla de seguridad cipso. El administrador utiliza el subcomando info para mostrar los hosts, luego escribe remove y copia y pega cuatro entradas host=.
# tncfg -t cipso info name=cipso host_type=cipso doi=1 min_label=ADMIN_LOW max_label=ADMIN_HIGH host=127.0.0.1/32 host=192.168.1.2/32 host=192.168.113.0/24 host=192.168.113.100/25 host=2001:a08:3903:200::0/56
# tncfg -t cipso tncfg:cipso> remove host=192.168.1.2/32 tncfg:cipso> remove host=192.168.113.0/24 tncfg:cipso> remove host=192.168.113.100/25 tncfg:cipso> remove host=2001:a08:3903:200::0/56 tncfg:cipso> info ... max_label=ADMIN_HIGH host=127.0.0.1/32 host=192.168.75.0/24
Después de eliminar los hosts, el administrador confirma los cambios y sale de la plantilla de seguridad.
tncfg:cipso> commit tncfg:cipso> exit #
Antes de empezar
Para conocer los requisitos, consulte Cómo agregar un host a una plantilla de seguridad.
Por ejemplo, agregue dos subredes a la plantilla cipso y, a continuación, visualice la plantilla de seguridad.
# tncfg -t cipso tncfg:cipso> add host=192.168.75.0 tncfg:cipso> add host=192.168.113.0 tncfg:cipso> info ... host=192.168.75.0/24 host=192.168.113.0/24 tncfg:cipso> exit
La longitud del prefijo de /24 indica que la dirección, que termina en .0, es una subred.
Nota - Si agrega un rango de hosts que se agregó anteriormente a otra plantilla, se le notificará que está sustituyendo la asignación de plantilla de seguridad.
# tncfg -t cipso tncfg:cipso> add host=192.168.113.100/25 192.168.113.100/25 previously matched the admin_low template
En el siguiente ejemplo, la longitud del prefijo comprende el rango de direcciones entre 192.168.113.0 y 192.168.113.127. La dirección incluye 192.168.113.100.
# tncfg -t cipso tncfg:cipso> add host=192.168.113.100/25 tncfg:cipso> exit
En el siguiente ejemplo, la longitud del prefijo comprende las direcciones IPv6 contiguas entre 2001:a08:3903:200::0 y 2001:a08:3903:2ff:ffff:ffff:ffff:ffff. La dirección incluye 2001:a08:3903:201:20e:cff:fe08:58c.
# tncfg -t cipso tncfg:cipso> add host=2001:a08:3903:200::0/56 tncfg:cipso> info ... host=2001:a08:3903:200::0/56 tncfg:cipso> exit
Si escribe una entrada de manera incorrecta, recibirá un mensaje similar al siguiente:
# tncfg -t cipso tncfg:cipso> add host=2001:a08:3903::0/56 Invalid host: 2001:a08:3903::0/56
Si agrega un host que se agregó anteriormente a otra plantilla, se le notificará que está sustituyendo la asignación de plantilla de seguridad. Por ejemplo:
# tncfg -t cipso tncfg:cipso> add host=192.168.113.100/32 192.168.113.100/32 previously matched the admin_low template tncfg:cipso> info ... host=192.168.113.100/32 tncfg:cipso> exit
El mecanismo de reserva de Trusted Extensions garantiza que esta asignación explícita sustituya la asignación anterior, como se describe en Mecanismo de reserva de la red de confianza.
Ejemplo 16-12 Creación de hosts en etiquetas discretas
En el Ejemplo 16-4, el administrador crea una plantilla de seguridad que reconoce dos etiquetas. En este ejemplo, el administrador de la seguridad comprueba que se pueden resolver las direcciones IP de cada host.
# arp 192.168.132.21 host-auxset1.example.com (192.168.132.21) at 0:0:0:4:ab:cd # arp 192.168.132.22 host-auxset2.example.com (192.168.132.22) at 0:0:0:5:ab:cd # arp 192.168.132.23 host-auxset3.example.com (192.168.132.23) at 0:0:0:6:ab:cd # arp 192.168.132.24 host-auxset4.example.com (192.168.132.24) at 0:0:0:7:ab:cd
El comando arp indica que los hosts están definidos en el archivo /etc/hosts del sistema o que DNS puede resolverlos.
A continuación, el administrador asigna el rango de direcciones IP a la plantilla de seguridad mediante una longitud de prefijo.
# tncfg -t cipso_int_rstrct tncfg:cipso_int_rstrct> set host=192.168.132.0/24
Ejemplo 16-13 Creación de una subred sin etiquetas en la etiqueta PUBLIC
En el Ejemplo 16-5, el administrador crea una plantilla de seguridad que define un host PUBLIC de una sola etiqueta. En este ejemplo, el administrador de la seguridad asigna una subred a la etiqueta PUBLIC. Los usuarios del sistema de confianza pueden montar sistemas de archivos de esta subred en la etiqueta PUBLIC.
# tncfg -t public tncfg:public> add host=10.10.0.0/16 tncfg:public> exit
Se puede acceder a la subred de inmediato en la etiqueta PUBLIC.
Este procedimiento protege los hosts con etiquetas del contacto de hosts sin etiquetas arbitrarios. Cuando Trusted Extensions está instalado, la plantilla de seguridad predeterminada admin_low define cada host de la red. Utilice este procedimiento para enumerar hosts sin etiquetas específicos.
Los valores de la red de confianza local de cada sistema se utilizan para establecer contacto con la red durante el inicio. De manera predeterminada, cada host que no se proporciona con una plantilla cipso se define mediante la plantilla admin_low. Esta plantilla asigna todos los hosts remotos que no están definidos de ningún otro modo (0.0.0.0/0) como sistemas sin etiquetas con la etiqueta predeterminada de admin_low.
Antes de empezar
Debe estar con el rol de administrador de la seguridad en la zona global.
Todos los hosts con los que se debe establecer contacto durante el inicio deben existir en el archivo /etc/hosts.
Incluya cada host sin etiquetas con el que se debe establecer contacto durante el inicio.
Incluya cada enrutador "on-link" que no ejecute Trusted Extensions, mediante el cual se debe comunicar este sistema.
Elimine la asignación 0.0.0.0/0.
Agregue cada host con etiquetas con el que se debe establecer contacto durante el inicio.
Incluya cada enrutador "on-link" que ejecute Trusted Extensions, mediante el cual se debe comunicar este sistema.
Asegúrese de que todas las interfaces de red estén asignadas a la plantilla.
Incluya las direcciones de difusión.
Incluya los rangos de hosts con etiquetas con los que se debe establecer contacto durante el inicio.
Consulte el Ejemplo 16-15 para ver una base de datos de ejemplo.
Ejemplo 16-14 Cambio de la etiqueta de la dirección IP 0.0.0.0/0
En este ejemplo, el administrador crea un sistema de puerta de enlace pública. El administrador elimina la entrada de host 0.0.0.0/0 de la plantilla admin_low y agrega la entrada de host 0.0.0.0/0 a la plantilla public sin etiquetas. El sistema luego reconoce cualquier host que no esté asignado específicamente a otra plantilla de seguridad como un sistema sin etiquetas con los atributos de seguridad de la plantilla de seguridad public.
# tncfg -t admin_low info tncfg:admin_low> remove host=0.0.0.0Wildcard address tncfg:admin_low> exit
# tncfg -t public tncfg:public> set host_type=unlabeled tncfg:public> set doi=1 tncfg:public> set def_label="public" tncfg:public> set min_sl="public" tncfg:public> set max_sl="public" tncfg:public> add host=0.0.0.0Wildcard address tncfg:public> exit
Ejemplo 16-15 Enumeración de los equipos que se deben contactar durante el inicio
En el siguiente ejemplo, el administrador configura la red de confianza de un sistema Trusted Extensions con dos interfaces de red. El sistema se comunica con otra red y con los enrutadores. Los hosts remotos se asignan a una de estas tres plantillas: cipso, admin_low o public. Se anotan los siguientes comandos.
# tncfg -t cipso tncfg:admin_low> add host=127.0.0.1Loopback address tncfg:admin_low> add host=192.168.112.111Interface 1 of this host tncfg:admin_low> add host=192.168.113.111Interface 2 of this host tncfg:admin_low> add host=192.168.113.6File server tncfg:admin_low> add host=192.168.112.255Subnet broadcast address tncfg:admin_low> add host=192.168.113.255Subnet broadcast address tncfg:admin_low> add host=192.168.113.1Router tncfg:admin_low> add host=192.168.117.0/24Another Trusted Extensions network tncfg:admin_low> exit
# tncfg -t public tncfg:public> add host=192.168.112.12Specific network router tncfg:public> add host=192.168.113.12Specific network router tncfg:public> add host=224.0.0.2Multicast address tncfg:admin_low> exit
# tncfg -t admin_low tncfg:admin_low> add host=255.255.255.255Broadcast address tncfg:admin_low> exit
Después de especificar los hosts que se deben contactar durante el inicio, el administrador elimina la entrada 0.0.0.0/0 de la plantilla admin_low.
# tncfg -t admin_low tncfg:admin_low> remove host=0.0.0.0 tncfg:admin_low> exit
Ejemplo 16-16 Cómo hacer que la dirección de host 0.0.0.0/32 sea una dirección inicial válida
En este ejemplo, el administrador de la seguridad configura un servidor de aplicaciones para aceptar las solicitudes de conexión inicial de clientes potenciales.
El administrador configura la red de confianza del servidor. Se anotan las entradas del servidor y el cliente.
# tncfg -t cipso info name=cipso host_type=cipso doi=1 min_label=ADMIN_LOW max_label=ADMIN_HIGH host=127.0.0.1/32 host=192.168.128.1/32 Application server address host=192.168.128.0/24 Application's client network Other addresses to be contacted at boot time
# tncfg -t admin_low info name=cipso host_type=cipso doi=1 def_label=ADMIN_LOW min_label=ADMIN_LOW max_label=ADMIN_HIGH host=192.168.128.0/24 Application's client network host=0.0.0.0/0 Wildcard address Other addresses to be contacted at boot time
Una vez que esta fase de prueba finaliza correctamente, el administrador bloquea la configuración. Para ello, elimina la dirección comodín predeterminada, 0.0.0.0/0, confirma el cambio y, a continuación, agrega la dirección específica.
# tncfg -t admin_low info tncfg:admin_low> remove host=0.0.0.0 tncfg:admin_low> commit tncfg:admin_low> add host=0.0.0.0/32For initial client contact tncfg:admin_low> exit
La configuración admin_low final es similar a la siguiente:
# tncfg -t admin_low name=cipso host_type=cipso doi=1 def_label=ADMIN_LOW min_label=ADMIN_LOW max_label=ADMIN_HIGH 192.168.128.0/24 Application's client network host=0.0.0.0/32 For initial client contact Other addresses to be contacted at boot time
La entrada 0.0.0.0/32 sólo permite que los clientes de la aplicación accedan al servidor de aplicaciones.