Avant d'étiqueter les réseaux et les hôtes distants, consultez les modèles de sécurité fournis et assurez-vous que vous pouvez atteindre les réseaux et les hôtes distants. Pour obtenir des instructions, reportez-vous aux sections suivantes :
Affichage des modèles de sécurité. Voir la section Affichage des modèles de sécurité
Evaluation de la nécessité d'utiliser des modèles de sécurité personnalisés sur votre site. Voir la section Evaluation de la nécessité d'utiliser des modèles de sécurité personnalisés sur votre site.
Ajout de systèmes et de réseaux au réseau de confiance. Voir la section Ajout d'hôtes au réseau connu du système.
Vous pouvez visualiser la liste des modèles de sécurité et le contenu de chaque modèle. Les exemples de cette procédure utilisent les modèles de sécurité par défaut.
# tncfg list cipso admin_low adapt netif
# tncfg -t cipso info name=cipso host_type=cipso doi=1 min_label=ADMIN_LOW max_label=ADMIN_HIGH host=127.0.0.1/32
L'entrée 127.0.0.1/32 du modèle de sécurité cipso précédent identifie ce système comme étiqueté. Lorsqu'un pair attribue ce système au modèle d'hôte distant du pair à l'aide du host_type de cipso, les deux systèmes peuvent échanger des paquets étiquetés.
# tncfg -t admin_low info name=admin_low host_type=unlabeled doi=1 def_label=ADMIN_LOW min_label=ADMIN_LOW max_label=ADMIN_HIGH host=0.0.0.0/0
L'entrée 0.0.0.0/0 du modèle de sécurité admin_low précédent permet à l'ensemble des hôtes qui ne sont pas explicitement assignés à un modèle de sécurité de contacter ce système. Ces hôtes sont reconnus en tant qu'hôtes sans étiquette.
L'avantage de l'entrée 0.0.0.0/0 est que tous les hôtes requis par le système au moment de l'initialisation, tels que les serveurs et les passerelles, peuvent être trouvés.
L'inconvénient de l'entrée 0.0.0.0/0 est que n'importe quel hôte se trouvant sur le réseau du système peut contacter ce système. Pour restreindre le nombre d'hôtes autorisés à contacter ce système, reportez-vous à la section Limitation des hôtes pouvant être contactés sur le réseau de confiance.
# tncfg -t adapt info name=adapt host_type=adapt doi=1 min_label=ADMIN_LOW max_label=ADMIN_HIGH host=0.0.0.0/0
Un modèle adapt identifie un hôte adaptative, c'est-à-dire un système non fiable qui ne peut pas disposer d'une étiquette par défaut. En revanche, son étiquette est assignée par son système de confiance de réception. L'étiquette est dérivée de l'étiquette par défaut de l'interface IP qui reçoit le paquet, comme défini par le modèle netif du système étiqueté.
# tncfg -t netif info name=netif host_type=netif doi=1 def_label=ADMIN_LOW min_label=ADMIN_LOW max_label=ADMIN_HIGH host=127.0.0.1/32
Un modèle netif indique une interface du réseau local de confiance, et non un hôte distant. L'étiquette par défaut d'un modèle netif doit être égale à l'étiquette de chaque zone avec une interface réseau dédiée dont l'adresse IP correspond à l'adresse de l'hôte dans ce modèle. En outre, la liaison inférieure qui correspond à l'interface de zone correspondante peut uniquement être assignée à d'autres zones qui partagent la même étiquette.
Une fois que vous avez ajouté des hôtes et des groupes d'hôtes dans le fichier /etc/hosts du système, les hôtes sont connus du système. Seuls les hôtes connus peuvent être ajoutés à un modèle de sécurité.
Avant de commencer
Vous êtes dans le rôle root dans la zone globale.
# pfedit /etc/hosts ... 192.168.111.121 ahost
# pfedit /etc/hosts ... 192.168.111.0 111-network