Creación de plantillas de seguridad

Idioma:

Esta sección contiene referencias o ejemplos sobre la creación de plantillas de seguridad para las siguientes configuraciones de red:

El dominio de interpretación es un valor distinto de 1. Consulte Cómo configurar un dominio de interpretación diferente.
A los hosts remotos de confianza se les asigna una etiqueta específica. Consulte el Example 16–1.
A los hosts remotos no de confianza se les asigna una etiqueta específica. Consulte el Example 16–2.

Para ver más ejemplos de plantillas de seguridad que satisfacen requisitos específicos, consulte Agregación de hosts a plantillas de seguridad.

Cómo crear plantillas de seguridad

Antes de empezar

Debe estar en la zona global en un rol que pueda modificar la seguridad de la red. Por ejemplo, los roles que tienen asignados los perfiles de derechos de seguridad de la información o seguridad de la red pueden modificar los valores de seguridad. El rol de administrador de la seguridad incluye estos perfiles de derechos.

Notas - Por razones de compatibilidad, no modifique ni suprima las plantillas de seguridad predeterminadas.

Puede copiar y modificar estas plantillas.
Además, puede agregar y eliminar hosts asignados a estas plantillas. Para obtener un ejemplo, consulte Cómo limitar los hosts que se pueden contactar en la red de confianza.

(Opcional)Determine la versión hexadecimal de cualquier etiqueta que no sea ADMIN_HIGH ni ADMIN_LOW.
Para las etiquetas como CONFIDENTIAL, puede utilizar la cadena de etiqueta o el valor hexadecimal como valor de etiqueta. El comando tncfg acepta ambos formatos.
```
# atohexlabel "confidential : internal use only"
0x0004-08-48
```
Para obtener más información, consulte Cómo obtener el equivalente hexadecimal de una etiqueta.
Cree una plantilla de seguridad.
El comando tncfg -t proporciona tres maneras de crear plantillas nuevas.
- Cree una plantilla de seguridad desde el principio.
  Utilice el comando tncfg en modo interactivo. El subcomando info muestra los valores que se proporcionan de forma predeterminada. Presione la tecla de tabulación para completar los valores y las propiedades parciales. Escriba exit para completar la plantilla.
```
# tncfg -t newunlabeled
tncfg:newunlabeled> info
name=newunlabeled
host_type=unlabeled
doi=1
def_label=ADMIN_LOW
min_label=ADMIN_LOW
max_label=ADMIN_HIGH
tncfg:newunlabeled> set mTab
set max_label=" set min_label="Auto-complete shows two possible completions
tncfg:newunlabeled> set maTabUser types the letter a
tncfg:newunlabeled> set max_label=ADMIN_LOW
...
tncfg:newunlabeled> commit
tncfg:newunlabeled> exit
```
  También puede proporcionar la lista completa de atributos para una plantilla de seguridad en la línea de comandos. Se utiliza un punto y coma para separar los subcomandos set. Un atributo omitido recibe el valor predeterminado. Para obtener información sobre los atributos de seguridad de la red, consulte Atributos de seguridad de red en Trusted Extensions.
```
# tncfg -t newunlabeled set host_type=unlabeled;set doi=1; \
set min_label=ADMIN_LOW;set max_label=ADMIN_LOW
```
- Copie y modifique una plantilla de seguridad existente.
```
# tncfg -t cipso
tncfg:cipso> set name=newcipso
tncfg:newcipso> info
name=newcipso
host_type=cipso
doi=1
min_label=ADMIN_LOW
max_label=ADMIN_HIGH
```
  Los hosts asignados a la plantilla de seguridad existente no se copian en la nueva plantilla.
- Utilice un archivo de plantilla creado por el subcomando export.
```
# tncfg -f unlab_1 -f template-file
tncfg: unlab_1> set host_type=unlabeled
...
# tncfg -f template-file
```
  Para ver un ejemplo de creación de una plantilla de origen para la importación, consulte la página del comando man tncfg(1M).

Ejemplo 16-1 Creación de una plantilla de seguridad para una puerta de enlace que gestiona paquetes en una sola etiqueta

En este ejemplo, el administrador de la seguridad define una puerta de enlace que únicamente puede transferir paquetes en la etiqueta PUBLIC.

# tncfg -t cipso_public
tncfg:cipso_public> set host_type=cipso
tncfg:cipso_public> set doi=1
tncfg:cipso_public> set min_label="public"
tncfg:cipso_public> set max_label="public"
tncfg:cipso_public> commit
tncfg:cipso_public> exit

El administrador de la seguridad luego agrega el host de la puerta de enlace a la plantilla de seguridad. Para obtener información sobre la agregación, consulte el Example 16–4.

Ejemplo 16-2 Creación de una plantilla de seguridad sin etiquetas en la etiqueta PUBLIC

En este ejemplo, el administrador de seguridad crea una plantilla sin etiquetar para hosts que no son de confianza que pueden recibir y enviar paquetes en la etiqueta PUBLIC únicamente. Esta plantilla se puede asignar a los hosts cuyos sistemas de archivos deben montarse en la etiqueta PUBLIC mediante los sistemas Trusted Extensions.

# tncfg -t public
tncfg:public> set host_type=unlabeled
tncfg:public> set doi=1
tncfg:public> set def_label="public"
tncfg:public> set min_sl="public"
tncfg:public> set max_sl="public"
tncfg:public> exit

El administrador de la seguridad luego agrega los hosts a la plantilla de seguridad. Para obtener información sobre la agregación, consulte el Example 16–15.