Cette section contient des pointeurs ou des exemples de création de modèles de sécurité pour les configurations réseau suivantes :
Le DOI est une valeur autre que 1. Voir la section Configuration d'un autre domaine d'interprétation.
Une étiquette spécifique est assignée aux hôtes distants de confiance. Voir l'Example 16–1.
Une étiquette spécifique est assignée aux hôtes distants non fiables. Voir l'Example 16–2.
Pour obtenir plus d'exemples de modèles de sécurité qui répondent à des obligations spécifiques, reportez-vous à la section Ajout d'hôtes aux modèles de sécurité.
Avant de commencer
Vous devez accéder à la zone globale à l'aide d'un rôle capable de modifier la sécurité du réseau. Par exemple, les rôles auxquels des profils de droits Information Security ou Network Security ont été affectés peuvent modifier les valeurs de sécurité. Le rôle d'administrateur de sécurité inclut ces profils de droits.
Vous pouvez copier et modifier ces modèles.
Vous pouvez également ajouter et supprimer des hôtes assignés à ces modèles. Pour consulter un exemple, reportez-vous à la section Limitation des hôtes pouvant être contactés sur le réseau de confiance.
Pour les étiquettes comme CONFIDENTIAL, vous pouvez utiliser la chaîne d'étiquettes ou la valeur hexadécimale comme valeur d'étiquette. La commande tncfg accepte les deux formats.
# atohexlabel "confidential : internal use only" 0x0004-08-48
Pour plus d'informations, reportez-vous à la section Obtention de l'équivalent hexadécimal d'une étiquette.
La commande tncfg -t fournit trois façons de créer de nouveaux modèles.
Utilisez la commande tncfg en mode interactif. La sous-commande info affiche les valeurs fournies par défaut. Appuyez sur la touche de tabulation pour compléter les propriétés et les valeurs partielles. Saisissez exit pour terminer le modèle.
# tncfg -t newunlabeled tncfg:newunlabeled> info name=newunlabeled host_type=unlabeled doi=1 def_label=ADMIN_LOW min_label=ADMIN_LOW max_label=ADMIN_HIGH tncfg:newunlabeled> set mTab set max_label=" set min_label="Auto-complete shows two possible completions tncfg:newunlabeled> set maTabUser types the letter a tncfg:newunlabeled> set max_label=ADMIN_LOW ... tncfg:newunlabeled> commit tncfg:newunlabeled> exit
Vous pouvez également fournir la liste complète des attributs d'un modèle de sécurité sur la ligne de commande. Les sous-commandes set sont séparées par des points-virgules. Lorsqu'un attribut est omis, la valeur par défaut lui est attribuée. Pour plus d'informations sur les attributs de sécurité réseau, reportez-vous à la section Attributs de sécurité réseau dans Trusted Extensions.
# tncfg -t newunlabeled set host_type=unlabeled;set doi=1; \ set min_label=ADMIN_LOW;set max_label=ADMIN_LOW
# tncfg -t cipso tncfg:cipso> set name=newcipso tncfg:newcipso> info name=newcipso host_type=cipso doi=1 min_label=ADMIN_LOW max_label=ADMIN_HIGH
Les hôtes qui sont affectés au modèle de sécurité existant ne sont pas copiés dans le nouveau modèle.
# tncfg -f unlab_1 -f template-file tncfg: unlab_1> set host_type=unlabeled ... # tncfg -f template-file
Pour obtenir un exemple de création de modèle source pour l'importation, reportez-vous à la page de manuel tncfg(1M).
Dans cet exemple, l'administrateur de sécurité définit une passerelle qui permet uniquement la transmission de paquets au niveau de l'étiquette PUBLIC.
# tncfg -t cipso_public tncfg:cipso_public> set host_type=cipso tncfg:cipso_public> set doi=1 tncfg:cipso_public> set min_label="public" tncfg:cipso_public> set max_label="public" tncfg:cipso_public> commit tncfg:cipso_public> exit
L'administrateur de sécurité ajoute ensuite l'hôte de passerelle au modèle de sécurité. Pour plus d'informations sur l'ajout, reportez-vous à l'Example 16–4.
Exemple 16-2 Création d'un modèle de sécurité non étiqueté sous l'étiquette PUBLICDans cet exemple, l'administrateur de sécurité crée un modèle non étiqueté pour les hôtes non sécurisés qui peuvent recevoir et envoyer des paquets uniquement sous l'étiquette PUBLIC. Ce modèle peut être affecté aux hôtes dont les systèmes de fichiers doivent être montés sur l'étiquette PUBLIC par les systèmes Trusted Extensions.
# tncfg -t public tncfg:public> set host_type=unlabeled tncfg:public> set doi=1 tncfg:public> set def_label="public" tncfg:public> set min_sl="public" tncfg:public> set max_sl="public" tncfg:public> exit
L'administrateur de sécurité ajoute ensuite des hôtes au modèle de sécurité. Pour plus d'informations sur l'ajout, reportez-vous à l'Example 16–15.