Omitir Vínculos de navegación | |
Salir de la Vista de impresión | |
![]() |
Configuración y administración de Trusted Extensions Oracle Solaris 11.1 Information Library (Español) |
Parte I Configuración inicial de Trusted Extensions
1. Planificación de la seguridad para Trusted Extensions
2. Guía básica de configuración de Trusted Extensions
3. Agregación de la función Trusted Extensions a Oracle Solaris (tareas)
4. Configuración de Trusted Extensions (tareas)
5. Configuración de LDAP para Trusted Extensions (tareas)
Parte II Administración de Trusted Extensions
6. Conceptos de la administración de Trusted Extensions
7. Herramientas de administración de Trusted Extensions
8. Requisitos de seguridad del sistema Trusted Extensions (descripción general)
9. Realización de tareas comunes en Trusted Extensions
10. Usuarios, derechos y roles en Trusted Extensions (descripción general)
11. Gestión de usuarios, derechos y roles en Trusted Extensions (tareas)
12. Administración remota en Trusted Extensions (tareas)
13. Gestión de zonas en Trusted Extensions
14. Gestión y montaje de archivos en Trusted Extensions
15. Redes de confianza (descripción general)
Paquetes de datos de Trusted Extensions
Paquetes de multidifusión Trusted Extensions
Comunicaciones de la red de confianza
Comandos de red en Trusted Extensions
Bases de datos de configuración de red en Trusted Extensions
Atributos de seguridad de la red de confianza
Atributos de seguridad de red en Trusted Extensions
Tipo de host y nombre de plantilla en plantillas de seguridad
Etiqueta predeterminada en plantillas de seguridad
Dominio de interpretación en plantillas de seguridad
Mecanismo de reserva de la red de confianza
Descripción general del enrutamiento en Trusted Extensions
Conocimientos básicos del enrutamiento
Entradas de la tabla de enrutamiento en Trusted Extensions
Comprobaciones de acreditaciones de Trusted Extensions
Comprobaciones de acreditaciones del origen
Comprobaciones de acreditaciones de la puerta de enlace
Comprobaciones de acreditaciones del destino
Administración del enrutamiento en Trusted Extensions
Selección de los enrutadores en Trusted Extensions
Puertas de enlace en Trusted Extensions
Comandos de enrutamiento en Trusted Extensions
Administración de IPsec con etiquetas
Etiquetas para intercambios protegidos por IPsec
Extensiones de etiquetas para asociaciones de seguridad IPsec
Extensiones de etiquetas para IKE
Etiquetas y acreditación en IPsec en modo túnel
Protecciones de confidencialidad e integridad con extensiones de etiquetas
16. Gestión de redes en Trusted Extensions (tareas)
17. Trusted Extensions y LDAP (descripción general)
18. Correo de varios niveles en Trusted Extensions (descripción general)
19. Gestión de impresión con etiquetas (tareas)
20. Dispositivos en Trusted Extensions (descripción general)
21. Gestión de dispositivos para Trusted Extensions (tareas)
22. Auditoría de Trusted Extensions (descripción general)
23. Gestión de software en Trusted Extensions
A. Política de seguridad del sitio
Creación y gestión de una política de seguridad
Política de seguridad del sitio y Trusted Extensions
Recomendaciones de seguridad informática
Recomendaciones de seguridad física
Recomendaciones de seguridad del personal
Infracciones de seguridad comunes
Referencias de seguridad adicionales
B. Lista de comprobación de configuración de Trusted Extensions
Lista de comprobación para la configuración de Trusted Extensions
C. Referencia rápida a la administración de Trusted Extensions
Interfaces administrativas en Trusted Extensions
Interfaces de Oracle Solaris ampliadas por Trusted Extensions
Valores predeterminados de seguridad que brindan mayor protección en Trusted Extensions
Opciones limitadas en Trusted Extensions
D. Lista de las páginas del comando man de Trusted Extensions
Páginas del comando man de Trusted Extensions en orden alfabético
Páginas del comando man de Oracle Solaris modificadas por Trusted Extensions
Un sistema Trusted Extensions se instala con un conjunto predeterminado de plantillas de seguridad que se utilizan para definir las propiedades de etiquetas de los hosts remotos. En Trusted Extensions, se asignan atributos de seguridad a los hosts con etiquetas y sin etiquetas de la red mediante una plantilla de seguridad. Los hosts que no tienen una plantilla de seguridad asignada no pueden comunicarse con los hosts que están configurados con Trusted Extensions. Las plantillas se almacenan de manera local.
Los hosts se pueden agregar a una plantilla de seguridad según la dirección IP o como parte de un rango de direcciones IP. Para obtener una explicación más detallada, consulte Mecanismo de reserva de la red de confianza.
Cada tipo de host tiene su propio conjunto de atributos de seguridad adicionales, tanto necesarios como opcionales. Los siguientes atributos de seguridad están especificados en las plantillas de seguridad:
Tipo de host: define si los paquetes tienen etiquetas de seguridad CALIPSO o CIPSO, o no tienen ningún tipo de etiqueta.
Etiqueta predeterminada: define el nivel de confianza del host sin etiquetas. En esta etiqueta, el host o la puerta de enlace de recepción de Trusted Extensions leen los paquetes que se envían mediante un host sin etiquetas.
El atributo de la etiqueta predeterminada es específico del tipo de host unlabeled. Para obtener detalles, consulte Etiqueta predeterminada en plantillas de seguridad.
DOI: es un entero positivo, distinto de cero, que identifica el dominio de interpretación. El DOI se utiliza para indicar qué conjunto de codificaciones de etiqueta se aplica a una comunicación o entidad de red. Las etiquetas con DOI diferentes están separadas, incluso si son idénticas en todo lo demás. En los hosts unlabeled, el DOI se aplica a la etiqueta predeterminada. En Trusted Extensions, el valor predeterminado es 1.
Etiqueta mínima: define el nivel más bajo del rango de acreditación de etiquetas. Los hosts y las puertas de enlace del próximo salto no reciben paquetes que estén por debajo de la etiqueta mínima que está especificada en la plantilla correspondiente.
Etiqueta máxima: define el nivel más alto del rango de acreditación de etiquetas. Los hosts y las puertas de enlace del próximo salto no reciben paquetes que estén por encima de la etiqueta máxima que está especificada en la plantilla correspondiente.
Conjunto de etiquetas auxiliares: es opcional. Especifica un conjunto discreto de etiquetas de seguridad para una plantilla de seguridad. Además su rango de acreditación determinado por la etiqueta máxima y la etiqueta mínima, los hosts que se agregan a una plantilla con un conjunto de etiquetas auxiliares pueden enviar y recibir paquetes que coincidan con cualquiera de las etiquetas del conjunto. El número máximo de etiquetas auxiliares que se puede especificar es cuatro.
Trusted Extensions admite cuatro tipos de hosts en las bases de datos de red de confianza y proporciona cuatro plantillas predeterminadas:
Tipo de host cipso: destinado a los hosts que ejecutan sistemas operativos de confianza. Este tipo de host admite etiquetas CALIPSO y CIPSO.
Para IPv6, el protocolo CALIPSO se utiliza para especificar las etiquetas de seguridad que se transfieren en el campo de opciones IP. Para IPv4, se utiliza el protocolo CIPSO. Las etiquetas en encabezados CALIPSO y CISCO se derivan automáticamente de la etiqueta de los datos. La etiqueta derivada se utiliza para realizar comprobaciones de seguridad en el nivel IP y para etiquetar los paquetes de red.
Tipo de host unlabeled: destinado a los hosts que usan protocolos de red estándar, pero que no admiten opciones con etiquetas. Trusted Extensions proporciona la plantilla denominada admin_low para este tipo de host.
Se asigna este tipo de host a los hosts que ejecutan el SO Oracle Solaris u otros sistemas operativos sin etiquetas. Este host tipo proporciona una etiqueta predeterminada para aplicarla a las comunicaciones con el host sin etiquetar. Además, se puede especificar un rango de etiquetas o un conjunto de etiquetas discretas para permitir el envío de paquetes a una puerta de enlace sin etiquetas para el posterior reenvío.
Tipo de host adaptive: destinado a subredes de hosts sin etiquetar, pero que envían paquetes a una interfaz de red específica en un sistema con etiquetas. El sistema etiquetado aplica su etiqueta predeterminada de interfaz de red a los paquetes entrantes.
Este tipo de host se asigna a los hosts que ejecutan SO Oracle Solaris u otros sistemas operativos sin etiquetar, que se espera que envíen datos a un sistema etiquetado. Este tipo de host no proporciona una etiqueta predeterminada. La etiqueta de comunicación se deriva de la interfaz de red etiquetada del sistema receptor. Este tipo de host se asigna a sistemas de nodo final, no puertas de enlace.
El tipo de host adaptive proporciona flexibilidad para planificar y escalar una red de confianza. Los administradores pueden ampliar la red con nuevos sistemas sin etiquetar, sin necesidad de conocer de forma anticipada la etiqueta predeterminada de los nuevos sistemas. Cuando un host adaptive está configurado para enviar paquetes a una interfaz de red etiquetada en un host netif, la etiqueta predeterminada de la interfaz en ese host netif asigna la etiqueta adecuada para los paquetes entrantes.
Tipo de host netif: destinado para los nombres de host de las interfaces que reciben paquetes en una interfaz de red específica de hosts adaptive. Este tipo de host se asigna a las interfaces en sistemas Trusted Extensions. La etiqueta predeterminada de la interfaz netif se aplica a los paquetes entrantes.
![]() | Precaución - La plantilla admin_low brinda un ejemplo para la creación de plantillas sin etiquetas con etiquetas específicas del sitio. Mientras que la plantilla admin_low es necesaria para la instalación de Trusted Extensions, es posible que los atributos de seguridad sean demasiado liberales para el funcionamiento normal del sistema. Conserve las plantillas proporcionadas sin modificaciones para el mantenimiento del sistema y el soporte técnico. |
Las plantillas para los tipos de host unlabeled y netif especifican una etiqueta predeterminada. Esta etiqueta se utiliza para controlar las comunicaciones con los hosts cuyos sistemas operativos no reconocen etiquetas, como los sistemas Oracle Solaris. La etiqueta predeterminada que está asignada refleja el nivel de confianza adecuado para el host y los usuarios.
Debido a que las comunicaciones con los hosts sin etiquetas se limitan esencialmente a la etiqueta predeterminada, estos hosts también se denominan hosts de una sola etiqueta. Una razón técnica para llamar a estos hosts "de una sola etiqueta" es que estos hosts no tienen etiquetas admin_high ni admin_low.
Las organizaciones que utilizan el mismo dominio de interpretación (DOI) deben acordar entre sí para interpretar la información de la etiqueta y otros atributos de seguridad de la misma manera. Cuando Trusted Extensions realiza una comparación de etiquetas, se efectúa una comprobación para determinar si el DOI es igual.
Un sistema Trusted Extensions aplica la política de etiquetas en un valor DOI. Todas las zonas de un sistema Trusted Extensions deben operar en el mismo DOI. Un sistema Trusted Extensions no proporciona el tratamiento de excepciones en los paquetes que se recibieron de un sistema que utiliza un DOI diferente.
Si su sitio utiliza un valor DOI diferente del valor predeterminado, debe utilizar este valor en cada plantilla de seguridad, como se describe en Cómo configurar un dominio de interpretación diferente.
Los atributos de la etiqueta mínima y la etiqueta máxima se utilizan para establecer el rango de etiquetas para los hosts con etiquetas y sin etiquetas. Estos atributos se utilizan para realizar lo siguiente:
Para establecer el rango de etiquetas que puede utilizarse cuando un host se comunica con un host etiquetado remoto
Para poder enviar un paquete a un host de destino, la etiqueta del paquete debe estar dentro del rango de etiquetas asignado en la plantilla de seguridad del host de destino.
Para establecer un rango de etiquetas para los paquetes que se reenvían mediante una puerta de enlace etiquetada o una sin etiquetar
Puede especificarse el rango de etiquetas en la plantilla para un tipo de host sin etiquetas. El rango de etiquetas activa el host para reenviar los paquetes que no están necesariamente en la etiqueta del host, pero se encuentran dentro de un rango de etiquetas especificado.
El conjunto de etiquetas auxiliares define un máximo de cuatro etiquetas discretas en que el host remoto puede aceptar, enviar o reenviar paquetes. Este atributo es opcional. De manera predeterminada, no hay ningún conjunto de etiquetas auxiliares definido.