Antes de etiquetar redes y hosts remotos, revise la plantillas de seguridad proporcionadas y asegúrese de que puede acceder a las redes y los hosts remotos. Para obtener instrucciones, consulte lo siguiente:
Ver las plantillas de seguridad. Consultar Cómo ver plantillas de seguridad.
Determinar si el sitio requiere plantillas de seguridad personalizadas. Consultar Cómo determinar si necesita plantillas de seguridad específicas del sitio.
Agregar sistemas y redes a la red de confianza. Consultar Cómo agregar hosts a la red conocida del sistema.
Puede ver la lista de plantillas de seguridad y el contenido de cada plantilla. Los ejemplos que se muestran en este procedimiento usan las plantillas de seguridad predeterminadas.
# tncfg list cipso admin_low adapt netif
# tncfg -t cipso info name=cipso host_type=cipso doi=1 min_label=ADMIN_LOW max_label=ADMIN_HIGH host=127.0.0.1/32
La entrada 127.0.0.1/32 de la plantilla de seguridad cipso anterior identifica este sistema como un sistema con etiquetas. Cuando un igual asigna este sistema a la plantilla de host remoto del igual con el host_type de cipso, los dos sistemas pueden intercambiar paquetes con etiquetas.
# tncfg -t admin_low info name=admin_low host_type=unlabeled doi=1 def_label=ADMIN_LOW min_label=ADMIN_LOW max_label=ADMIN_HIGH host=0.0.0.0/0
La entrada 0.0.0.0/0 de la plantilla de seguridad admin_low anterior permite que todos los hosts que no están asignados explícitamente a una plantilla de seguridad puedan establecer contacto con este sistema. Estos hosts se reconocen como hosts sin etiquetas.
La ventaja de la entrada 0.0.0.0/0 es que se pueden encontrar todos los hosts que este sistema requiere durante el inicio, por ejemplo, servidores y puertas de enlace.
La desventaja de la entrada 0.0.0.0/0 es que cualquier host de la red de este sistema puede establecer contacto con el sistema. Para limitar los hosts que pueden establecer contacto con este sistema, consulte Cómo limitar los hosts que se pueden contactar en la red de confianza.
# tncfg -t adapt info name=adapt host_type=adapt doi=1 min_label=ADMIN_LOW max_label=ADMIN_HIGH host=0.0.0.0/0
Una plantilla adapt identifica un host adaptive, es decir, un sistema que no es de confianza que no puede tener una etiqueta predeterminada. En cambio, su etiqueta es asignada por el sistema de confianza receptor. La etiqueta se deriva de la etiqueta predeterminada de la interfaz IP que recibe el paquete, como se especifica en la plantilla netif del sistema etiquetado.
# tncfg -t netif info name=netif host_type=netif doi=1 def_label=ADMIN_LOW min_label=ADMIN_LOW max_label=ADMIN_HIGH host=127.0.0.1/32
Una plantilla netif especifica una interfaz de red local de confianza, no un host remoto. La etiqueta predeterminada de una plantilla netif debe ser igual a la etiqueta de cada zona con una interfaz de red dedicada cuya dirección IP coincide con una dirección de host en esa plantilla. Además, el enlace inferior correspondiente a la interfaz de zona coincidente solamente se puede asignar a otras zonas que comparten la misma etiqueta.
Después de agregar hosts y grupos de hosts al archivo /etc/hosts de un sistema, el sistema reconoce los hosts. Sólo es posible agregar hosts conocidos a una plantilla de seguridad.
Antes de empezar
Debe estar con el rol de usuario root en la zona global.
# pfedit /etc/hosts ... 192.168.111.121 ahost
# pfedit /etc/hosts ... 192.168.111.0 111-network