Configuración y administración de Trusted Extensions

Salir de la Vista de impresión

Actualización: Julio de 2014
 
 

Visualización de plantillas de seguridad existentes

Cómo ver plantillas de seguridad

Puede ver la lista de plantillas de seguridad y el contenido de cada plantilla. Los ejemplos que se muestran en este procedimiento usan las plantillas de seguridad predeterminadas.

  1. Consulte las plantillas de seguridad disponibles.
    # tncfg list
    cipso
    admin_low
    adapt
    netif
  2. Vea el contenido de la plantillas mostradas.
    # tncfg -t cipso info
    name=cipso
    host_type=cipso
    doi=1
    min_label=ADMIN_LOW
    max_label=ADMIN_HIGH
    host=127.0.0.1/32

    La entrada 127.0.0.1/32 de la plantilla de seguridad cipso anterior identifica este sistema como un sistema con etiquetas. Cuando un igual asigna este sistema a la plantilla de host remoto del igual con el host_type de cipso, los dos sistemas pueden intercambiar paquetes con etiquetas.

    # tncfg -t admin_low info
    name=admin_low
    host_type=unlabeled
    doi=1
    def_label=ADMIN_LOW
    min_label=ADMIN_LOW
    max_label=ADMIN_HIGH
    host=0.0.0.0/0

      La entrada 0.0.0.0/0 de la plantilla de seguridad admin_low anterior permite que todos los hosts que no están asignados explícitamente a una plantilla de seguridad puedan establecer contacto con este sistema. Estos hosts se reconocen como hosts sin etiquetas.

    • La ventaja de la entrada 0.0.0.0/0 es que se pueden encontrar todos los hosts que este sistema requiere durante el inicio, por ejemplo, servidores y puertas de enlace.

    • La desventaja de la entrada 0.0.0.0/0 es que cualquier host de la red de este sistema puede establecer contacto con el sistema. Para limitar los hosts que pueden establecer contacto con este sistema, consulte Cómo limitar los hosts que se pueden contactar en la red de confianza.

    # tncfg -t adapt info
    name=adapt
    host_type=adapt
    doi=1
    min_label=ADMIN_LOW
    max_label=ADMIN_HIGH
    host=0.0.0.0/0

    Una plantilla adapt identifica un host adaptive, es decir, un sistema que no es de confianza que no puede tener una etiqueta predeterminada. En cambio, su etiqueta es asignada por el sistema de confianza receptor. La etiqueta se deriva de la etiqueta predeterminada de la interfaz IP que recibe el paquete, como se especifica en la plantilla netif del sistema etiquetado.

    # tncfg -t netif info
    name=netif
    host_type=netif
    doi=1
    def_label=ADMIN_LOW
    min_label=ADMIN_LOW
    max_label=ADMIN_HIGH
    host=127.0.0.1/32

    Una plantilla netif especifica una interfaz de red local de confianza, no un host remoto. La etiqueta predeterminada de una plantilla netif debe ser igual a la etiqueta de cada zona con una interfaz de red dedicada cuya dirección IP coincide con una dirección de host en esa plantilla. Además, el enlace inferior correspondiente a la interfaz de zona coincidente solamente se puede asignar a otras zonas que comparten la misma etiqueta.

Cómo agregar hosts a la red conocida del sistema

Después de agregar hosts y grupos de hosts al archivo /etc/hosts de un sistema, el sistema reconoce los hosts. Sólo es posible agregar hosts conocidos a una plantilla de seguridad.

Antes de empezar

Debe estar con el rol de usuario root en la zona global.

  1. Agregue hosts individuales al archivo /etc/hosts.
    # pfedit /etc/hosts
    
    ...
    192.168.111.121   ahost
  2. Agregue un grupo de hosts al archivo /etc/hosts.
    # pfedit /etc/hosts
    
    ...
    192.168.111.0   111-network