Création de modèles de sécurité

Langue :

Cette section contient des pointeurs ou des exemples de création de modèles de sécurité pour les configurations réseau suivantes :

Le DOI est une valeur autre que 1. Voir la section Configuration d'un autre domaine d'interprétation.
Une étiquette spécifique est assignée aux hôtes distants de confiance. Voir l'Example 16–1.
Une étiquette spécifique est assignée aux hôtes distants non fiables. Voir l'Example 16–2.

Pour obtenir plus d'exemples de modèles de sécurité qui répondent à des obligations spécifiques, reportez-vous à la section Ajout d'hôtes aux modèles de sécurité.

Création de modèles de sécurité

Avant de commencer

Vous devez accéder à la zone globale à l'aide d'un rôle capable de modifier la sécurité du réseau. Par exemple, les rôles auxquels des profils de droits Information Security ou Network Security ont été affectés peuvent modifier les valeurs de sécurité. Le rôle d'administrateur de sécurité inclut ces profils de droits.

Remarque - Pour permettre une assistance en cas de besoin, vous ne devez ni modifier ni supprimer les modèles de sécurité par défaut.

Vous pouvez copier et modifier ces modèles.
Vous pouvez également ajouter et supprimer des hôtes assignés à ces modèles. Pour consulter un exemple, reportez-vous à la section Limitation des hôtes pouvant être contactés sur le réseau de confiance.

(Facultatif)Déterminez la version hexadécimale de chaque étiquette autre que ADMIN_HIGH et ADMIN_LOW.
Pour les étiquettes comme CONFIDENTIAL, vous pouvez utiliser la chaîne d'étiquettes ou la valeur hexadécimale comme valeur d'étiquette. La commande tncfg accepte les deux formats.
```
# atohexlabel "confidential : internal use only"
0x0004-08-48
```
Pour plus d'informations, reportez-vous à la section Obtention de l'équivalent hexadécimal d'une étiquette.
Créez un modèle de sécurité.
La commande tncfg -t fournit trois façons de créer de nouveaux modèles.
- Créer un modèle de sécurité à partir de zéro.
  Utilisez la commande tncfg en mode interactif. La sous-commande info affiche les valeurs fournies par défaut. Appuyez sur la touche de tabulation pour compléter les propriétés et les valeurs partielles. Saisissez exit pour terminer le modèle.
```
# tncfg -t newunlabeled
tncfg:newunlabeled> info
name=newunlabeled
host_type=unlabeled
doi=1
def_label=ADMIN_LOW
min_label=ADMIN_LOW
max_label=ADMIN_HIGH
tncfg:newunlabeled> set mTab
set max_label=" set min_label="Auto-complete shows two possible completions
tncfg:newunlabeled> set maTabUser types the letter a
tncfg:newunlabeled> set max_label=ADMIN_LOW
...
tncfg:newunlabeled> commit
tncfg:newunlabeled> exit
```
  Vous pouvez également fournir la liste complète des attributs d'un modèle de sécurité sur la ligne de commande. Les sous-commandes set sont séparées par des points-virgules. Lorsqu'un attribut est omis, la valeur par défaut lui est attribuée. Pour plus d'informations sur les attributs de sécurité réseau, reportez-vous à la section Attributs de sécurité réseau dans TrustedÂ Extensions.
```
# tncfg -t newunlabeled set host_type=unlabeled;set doi=1; \
set min_label=ADMIN_LOW;set max_label=ADMIN_LOW
```
- Copier et modifier un modèle de sécurité existant.
```
# tncfg -t cipso
tncfg:cipso> set name=newcipso
tncfg:newcipso> info
name=newcipso
host_type=cipso
doi=1
min_label=ADMIN_LOW
max_label=ADMIN_HIGH
```
  Les hôtes qui sont affectés au modèle de sécurité existant ne sont pas copiés dans le nouveau modèle.
- Utiliser un fichier modèle créé par la sous-commande export.
```
# tncfg -f unlab_1 -f template-file
tncfg: unlab_1> set host_type=unlabeled
...
# tncfg -f template-file
```
  Pour obtenir un exemple de création de modèle source pour l'importation, reportez-vous à la page de manuel tncfg(1M).

Exemple 16-1 Création d'un modèle de sécurité pour une passerelle gérant des paquets sous une étiquette unique

Dans cet exemple, l'administrateur de sécurité définit une passerelle qui permet uniquement la transmission de paquets au niveau de l'étiquette PUBLIC.

# tncfg -t cipso_public
tncfg:cipso_public> set host_type=cipso
tncfg:cipso_public> set doi=1
tncfg:cipso_public> set min_label="public"
tncfg:cipso_public> set max_label="public"
tncfg:cipso_public> commit
tncfg:cipso_public> exit

L'administrateur de sécurité ajoute ensuite l'hôte de passerelle au modèle de sécurité. Pour plus d'informations sur l'ajout, reportez-vous à l'Example 16–4.

Exemple 16-2 Création d'un modèle de sécurité non étiqueté sous l'étiquette PUBLIC

Dans cet exemple, l'administrateur de sécurité crée un modèle non étiqueté pour les hôtes non sécurisés qui peuvent recevoir et envoyer des paquets uniquement sous l'étiquette PUBLIC. Ce modèle peut être affecté aux hôtes dont les systèmes de fichiers doivent être montés sur l'étiquette PUBLIC par les systèmes Trusted Extensions.

# tncfg -t public
tncfg:public> set host_type=unlabeled
tncfg:public> set doi=1
tncfg:public> set def_label="public"
tncfg:public> set min_sl="public"
tncfg:public> set max_sl="public"
tncfg:public> exit

L'administrateur de sécurité ajoute ensuite des hôtes au modèle de sécurité. Pour plus d'informations sur l'ajout, reportez-vous à l'Example 16–15.