Esta sección contiene referencias o ejemplos sobre la creación de plantillas de seguridad para las siguientes configuraciones de red:
El dominio de interpretación es un valor distinto de 1. Consulte Cómo configurar un dominio de interpretación diferente.
A los hosts remotos de confianza se les asigna una etiqueta específica. Consulte el Example 16–1.
A los hosts remotos no de confianza se les asigna una etiqueta específica. Consulte el Example 16–2.
Para ver más ejemplos de plantillas de seguridad que satisfacen requisitos específicos, consulte Agregación de hosts a plantillas de seguridad.
Antes de empezar
Debe estar en la zona global en un rol que pueda modificar la seguridad de la red. Por ejemplo, los roles que tienen asignados los perfiles de derechos de seguridad de la información o seguridad de la red pueden modificar los valores de seguridad. El rol de administrador de la seguridad incluye estos perfiles de derechos.
Puede copiar y modificar estas plantillas.
Además, puede agregar y eliminar hosts asignados a estas plantillas. Para obtener un ejemplo, consulte Cómo limitar los hosts que se pueden contactar en la red de confianza.
Para las etiquetas como CONFIDENTIAL, puede utilizar la cadena de etiqueta o el valor hexadecimal como valor de etiqueta. El comando tncfg acepta ambos formatos.
# atohexlabel "confidential : internal use only" 0x0004-08-48
Para obtener más información, consulte Cómo obtener el equivalente hexadecimal de una etiqueta.
El comando tncfg -t proporciona tres maneras de crear plantillas nuevas.
Utilice el comando tncfg en modo interactivo. El subcomando info muestra los valores que se proporcionan de forma predeterminada. Presione la tecla de tabulación para completar los valores y las propiedades parciales. Escriba exit para completar la plantilla.
# tncfg -t newunlabeled tncfg:newunlabeled> info name=newunlabeled host_type=unlabeled doi=1 def_label=ADMIN_LOW min_label=ADMIN_LOW max_label=ADMIN_HIGH tncfg:newunlabeled> set mTab set max_label=" set min_label="Auto-complete shows two possible completions tncfg:newunlabeled> set maTabUser types the letter a tncfg:newunlabeled> set max_label=ADMIN_LOW ... tncfg:newunlabeled> commit tncfg:newunlabeled> exit
También puede proporcionar la lista completa de atributos para una plantilla de seguridad en la línea de comandos. Se utiliza un punto y coma para separar los subcomandos set. Un atributo omitido recibe el valor predeterminado. Para obtener información sobre los atributos de seguridad de la red, consulte Atributos de seguridad de red en Trusted Extensions.
# tncfg -t newunlabeled set host_type=unlabeled;set doi=1; \ set min_label=ADMIN_LOW;set max_label=ADMIN_LOW
# tncfg -t cipso tncfg:cipso> set name=newcipso tncfg:newcipso> info name=newcipso host_type=cipso doi=1 min_label=ADMIN_LOW max_label=ADMIN_HIGH
Los hosts asignados a la plantilla de seguridad existente no se copian en la nueva plantilla.
# tncfg -f unlab_1 -f template-file tncfg: unlab_1> set host_type=unlabeled ... # tncfg -f template-file
Para ver un ejemplo de creación de una plantilla de origen para la importación, consulte la página del comando man tncfg(1M).
En este ejemplo, el administrador de la seguridad define una puerta de enlace que únicamente puede transferir paquetes en la etiqueta PUBLIC.
# tncfg -t cipso_public tncfg:cipso_public> set host_type=cipso tncfg:cipso_public> set doi=1 tncfg:cipso_public> set min_label="public" tncfg:cipso_public> set max_label="public" tncfg:cipso_public> commit tncfg:cipso_public> exit
El administrador de la seguridad luego agrega el host de la puerta de enlace a la plantilla de seguridad. Para obtener información sobre la agregación, consulte el Example 16–4.
Ejemplo 16-2 Creación de una plantilla de seguridad sin etiquetas en la etiqueta PUBLICEn este ejemplo, el administrador de seguridad crea una plantilla sin etiquetar para hosts que no son de confianza que pueden recibir y enviar paquetes en la etiqueta PUBLIC únicamente. Esta plantilla se puede asignar a los hosts cuyos sistemas de archivos deben montarse en la etiqueta PUBLIC mediante los sistemas Trusted Extensions.
# tncfg -t public tncfg:public> set host_type=unlabeled tncfg:public> set doi=1 tncfg:public> set def_label="public" tncfg:public> set min_sl="public" tncfg:public> set max_sl="public" tncfg:public> exit
El administrador de la seguridad luego agrega los hosts a la plantilla de seguridad. Para obtener información sobre la agregación, consulte el Example 16–15.