Esta sección contiene referencias o ejemplos sobre la agregación de hosts a plantillas de seguridad. Para direcciones IP discontinuas, consulte Cómo agregar un host a una plantilla de seguridad. Para un rango de hosts, consulte Cómo agregar un rango de hosts a una plantilla de seguridad.
Los ejemplos de esta sección muestran las siguientes asignaciones de etiqueta de host remoto:
Una puerta de enlace remota de confianza gestiona el tráfico PUBLIC. Consulte el Example 16–4.
Los hosts remotos que no son de confianza actúan como enrutadores de una sola etiqueta: Example 16–5
Los hosts remotos de confianza restringen el tráfico a un rango de etiquetas estrecho. Consulte el Example 16–6.
A los hosts remotos de confianza se les asigna un conjunto limitado de etiquetas. Consulte el Example 16–7.
A los hosts remotos de confianza se les asignan etiquetas que están separadas del resto de la red. Consulte el Example 16–8.
Un host netif de confianza etiqueta paquetes de sistemas adaptive. Consulte el Example 16–9.
Un host adaptive no de confianza envía paquetes a un host netif. Consulte el Example 16–10.
Una red homogénea de confianza agrega una dirección de multidifusión en una etiqueta específica. Consulte el Example 16–11.
Un host se elimina de una plantilla de seguridad. Consulte el Example 16–12.
Se asignan etiquetas a redes y hosts remotos que no son de confianza. Consulte el Example 16–15.
Antes de empezar
Se deben cumplir los siguientes requisitos:
Las direcciones IP deben existir en el archivo /etc/hosts o DNS debe poder resolverlas.
Para el archivo hosts, consulte Cómo agregar hosts a la red conocida del sistema.
Para el DNS, consulte el Capítulo 3, Gestión de sistema de nombres de dominio de Trabajo con servicios de nombres y de directorio en Oracle Solaris 11.2: DNS y NIS .
Los puntos finales de la etiqueta deben coincidir. Para las reglas, consulte Acerca del enrutamiento en Trusted Extensions.
Debe estar con el rol de administrador de la seguridad en la zona global.
En este ejemplo, verifique que puede acceder a 192.168.1.2.
# arp 192.168.1.2 gateway-2.example.com (192.168.1.2) at 0:0:0:1:ad:cd
El comando arp verifica que el host está definido en el archivo /etc/hosts del sistema o que DNS puede resolverlo.
En este ejemplo, agrega la dirección IP 192.168.1.2.
# tncfg -t cipso tncfg:cipso> add host=192.168.1.2
Si agrega un host que se agregó anteriormente a otra plantilla, se le notificará que está sustituyendo la asignación de plantilla de seguridad. Para el mensaje informativo, consulte el Example 16–3.
En el siguiente ejemplo se muestra la dirección 192.168.1.2 que se agregó a la plantilla cipso:
tncfg:cipso> info ... host=192.168.1.2/32
La longitud del prefijo de /32 indica que la dirección es exacta.
tncfg:cipso> commit tncfg:cipso> exit
Para eliminar una entrada de host, consulte el Example 16–12.
En este ejemplo se muestra el mensaje informativo que aparece cuando se asigna una plantilla de seguridad a un host que ya tiene una asignación de plantilla.
# tncfg -t cipso tncfg:cipso> add host=192.168.1.2 192.168.1.2 previously matched the admin_low template tncfg:cipso> info ... host=192.168.1.2/32 tncfg:cipso> exitEjemplo 16-4 Creación de una puerta de enlace que gestiona paquetes en una sola etiqueta
En el Example 16–1, el administrador de la seguridad crea una plantilla de seguridad que define una puerta de enlace que sólo puede transferir paquetes en la etiqueta PUBLIC. En este ejemplo, el administrador de la seguridad comprueba que se puede resolver la dirección IP del host de la puerta de enlace.
# arp 192.168.131.75 gateway-1.example.com (192.168.131.75) at 0:0:0:1:ab:cd
El comando arp verifica que el host está definido en el archivo /etc/hosts del sistema o que DNS puede resolverlo.
A continuación, el administrador agrega el host gateway-1 a la plantilla de seguridad.
# tncfg -t cipso_public tncfg:cipso_public> add host=192.168.131.75 tncfg:cipso_public> exit
El sistema puede enviar y recibir paquetes public a través de gateway-1 de inmediato.
Ejemplo 16-5 Creación de un enrutador sin etiquetas para redirigir paquetes con etiquetasCualquier enrutador IP puede reenviar mensajes con etiquetas CALIPSO o CIPSO aunque el enrutador no admita etiquetas de manera explícita. Este tipo de enrutador sin etiquetas necesita una etiqueta predeterminada para definir el nivel en el que se deben controlar las conexiones con el enrutador (quizás para la gestión del enrutador). En este ejemplo, el administrador de la seguridad crea un enrutador que puede reenviar tráfico en cualquier etiqueta, pero toda comunicación directa con el enrutador se gestiona en la etiqueta predeterminada, PUBLIC.
En primer lugar, el administrador de la seguridad crea la plantilla desde el principio.
# tncfg -t unl_public_router tncfg:unl_public_router> set host_type=unlabeled tncfg:unl_public_router> set doi=1 tncfg:unl_public_router> set def_label="PUBLIC" tncfg:unl_public_router> set min_label=ADMIN_LOW tncfg:unl_public_router> set max_label=ADMIN_HIGH tncfg:unl_public_router> exit
A continuación, el administrador agrega el enrutador a la plantilla de seguridad.
# tncfg -t unl_public_router tncfg:unl_public_router> add host=192.168.131.82 tncfg:unl_public_router> exit
El sistema puede enviar y recibir de inmediato paquetes en todas las etiquetas por medio de router-1, el nombre de host de la dirección 192.168.131.82.
Ejemplo 16-6 Creación de una puerta de enlace con un rango de etiquetas limitadoEn este ejemplo, el administrador de la seguridad crea una plantilla que limita los paquetes a un rango de etiquetas estrecho y agrega la puerta de enlace a la plantilla.
# arp 192.168.131.78 gateway-ir.example.com (192.168.131.78) at 0:0:0:3:ab:cd
# tncfg -t cipso_iuo_rstrct tncfg:cipso_iuo_rstrct> set host_type=cipso tncfg:cipso_iuo_rstrct> set doi=1 tncfg:cipso_iuo_rstrct> set min_label=0x0004-08-48 tncfg:cipso_iuo_rstrct> set max_label=0x0004-08-78 tncfg:cipso_iuo_rstrct> add host=192.168.131.78 tncfg:cipso_iuo_rstrct> exit
El sistema puede enviar y recibir de inmediato paquetes con las etiquetas internal y restricted por medio de gateway-ir.
Ejemplo 16-7 Creación de hosts en etiquetas discretasEn este ejemplo, el administrador de la seguridad crea una plantilla de seguridad que reconoce dos etiquetas solamente, confidential : internal use only y confidential : restricted. Se rechaza todo el resto del tráfico.
Primero, el administrador de seguridad garantiza que se puedan resolver las direcciones IP de cada host.
# arp 192.168.132.21 host-auxset1.example.com (192.168.132.21) at 0:0:0:4:ab:cd # arp 192.168.132.22 host-auxset2.example.com (192.168.132.22) at 0:0:0:5:ab:cd # arp 192.168.132.23 host-auxset3.example.com (192.168.132.23) at 0:0:0:6:ab:cd # arp 192.168.132.24 host-auxset4.example.com (192.168.132.24) at 0:0:0:7:ab:cd
A continuación, el administrador escribe las etiquetas con cuidado y precisión. El software reconoce etiquetas en mayúscula y minúsculas y por nombre corto, pero no reconoce etiquetas donde los espacios son inexactos. Por ejemplo, la etiqueta cnf :restricted no es una etiqueta válida.
# tncfg -t cipso_int_and_rst tncfg:cipso_int_and_rst> set host_type=cipso tncfg:cipso_int_and_rst> set doi=1 tncfg:cipso_int_and_rst> set min_label="cnf : internal use only" tncfg:cipso_int_and_rst> set max_label="cnf : internal use only" tncfg:cipso_int_and_rst> set aux_label="cnf : restricted" tncfg:cipso_int_and_rst> exit
A continuación, el administrador asigna el rango de direcciones IP a la plantilla de seguridad mediante una longitud de prefijo.
# tncfg -t cipso_int_rstrct tncfg:cipso_int_rstrct> set host=192.168.132.0/24Ejemplo 16-8 Creación de un host con etiquetas para desarrolladores
En este ejemplo, el administrador de la seguridad crea una plantilla de seguridad cipso_sandbox. Esta plantilla se asigna a los sistemas que utilizan los desarrolladores de software de confianza. Las pruebas de desarrolladores no afectan a otros hosts con etiquetas, porque la etiqueta SANDBOX está separada de las otras etiquetas de la red.
# tncfg -t cipso_sandbox tncfg:cipso_sandbox> set host_type=cipso tncfg:cipso_sandbox> set doi=1 tncfg:cipso_sandbox> set min_sl="SBX" tncfg:cipso_sandbox> set max_sl="SBX" tncfg:cipso_sandbox> add host=196.168.129.102 tncfg:cipso_sandbox> add host=196.168.129.129 tncfg:cipso_sandbox> exit
Los desarrolladores que utilizan los sistemas 196.168.129.102 y 196.168.129.129 pueden comunicarse entre sí en la etiqueta SANDBOX.
Ejemplo 16-9 Creación de una plantilla de seguridad para un host netifEn este ejemplo, el administrador de seguridad crea una plantilla de seguridad netif. Esta plantilla se asigna a la interfaz de red etiquetada que contiene la dirección IP 10.121.10.3. Con esta asignación, el módulo IP de Trusted Extensions agrega la etiqueta predeterminada, PUBLIC, a todos los paquetes entrantes que provienen de un host adaptive.
# tncfg -t netif_public tncfg:netif_public> set host_type=netif tncfg:netif_public> set doi=1 tncfg:netif_public> set def_label="PUBLIC" tncfg:netif_public> add host=10.121.10.3 tncfg:netif_public> commit tncfg:netif_public> exitEjemplo 16-10 Creación de plantillas de seguridad para hosts adaptables
En este ejemplo, el administrador de seguridad planifica con anticipación. El administrador crea diferentes subredes para una red que contiene información pública y una red que contiene información interna. Luego, el administrador define dos hosts adaptive. A los sistemas de la subred pública se les asigna la etiqueta PUBLIC. A los sistemas de la red interna se les asigna la etiqueta IUO. Dado que esta red se planifica con anticipación, cada red contiene y transmite información en una determinada etiqueta. Otra ventaja es que la red es fácil de depurar cuando los paquetes no se entregan en la interfaz esperada.
# tncfg -t adpub_192_168_10 tncfg:adapt_public> set host_type=adapt tncfg:adapt_public> set doi=1 tncfg:adapt_public> set min_label="public" tncfg:adapt_public> set max_label="public" tncfg:adapt_public> add host=192.168.10.0 tncfg:adapt_public> commit tncfg:adapt_public> exit
# tncfg -t adiuo_192_168_20 tncfg:adapt_public> set host_type=adapt tncfg:adapt_public> set doi=1 tncfg:adapt_public> set min_label="iuo" tncfg:adapt_public> set max_label="iuo" tncfg:adapt_public> add host=192.168.20.0 tncfg:adapt_public> commit tncfg:adapt_public> exitEjemplo 16-11 Envío de mensajes de multidifusión etiquetados
En este ejemplo, en una LAN homogénea con etiquetas, el administrador de la seguridad elige una dirección de multidifusión disponible por medio de la cual enviar paquetes en la etiqueta PUBLIC.
# tncfg -t cipso_public tncfg:cipso_public> add host=224.4.4.4 tncfg:cipso_public> exitEjemplo 16-12 Eliminación de varios hosts de una plantilla de seguridad
En este ejemplo, el administrador de la seguridad elimina varios hosts de la plantilla de seguridad cipso. El administrador utiliza el subcomando info para mostrar los hosts, luego, escribe remove, y copia y pega cuatro entradas host=.
# tncfg -t cipso info name=cipso host_type=cipso doi=1 min_label=ADMIN_LOW max_label=ADMIN_HIGH host=127.0.0.1/32 host=192.168.1.2/32 host=192.168.113.0/24 host=192.168.113.100/25 host=2001:a08:3903:200::0/56
# tncfg -t cipso tncfg:cipso> remove host=192.168.1.2/32 tncfg:cipso> remove host=192.168.113.0/24 tncfg:cipso> remove host=192.168.113.100/25 tncfg:cipso> remove host=2001:a08:3903:200::0/56 tncfg:cipso> info ... max_label=ADMIN_HIGH host=127.0.0.1/32 host=192.168.75.0/24
Después de eliminar los hosts, el administrador confirma los cambios y sale de la plantilla de seguridad.
tncfg:cipso> commit tncfg:cipso> exit #
Antes de empezar
Para conocer los requisitos, consulte Cómo agregar un host a una plantilla de seguridad.
En este ejemplo, agrega dos subredes IPv4 a la plantilla cipso y, a continuación, visualiza la plantilla de seguridad.
# tncfg -t cipso tncfg:cipso> add host=192.168.75.0 tncfg:cipso> add host=192.168.113.0 tncfg:cipso> info ... host=192.168.75.0/24 host=192.168.113.0/24 tncfg:cipso> exit
La longitud del prefijo de /24 indica que la dirección, que termina en .0, es una subred.
# tncfg -t cipso tncfg:cipso> add host=192.168.113.100/25 192.168.113.100/25 previously matched the admin_low template
En el siguiente ejemplo, la longitud del prefijo /25 abarca direcciones IPv4 contiguas de 192.168.113.0 a 192.168.113.127. La dirección incluye 192.168.113.100.
# tncfg -t cipso tncfg:cipso> add host=192.168.113.100/25 tncfg:cipso> exit
En el siguiente ejemplo, la longitud del prefijo /56 abarca direcciones IPv6 contiguas de 2001:a08:3903:200::0 a 2001:a08:3903:2ff:ffff:ffff:ffff:ffff. La dirección incluye 2001:a08:3903:201:20e:cff:fe08:58c.
# tncfg -t cipso tncfg:cipso> add host=2001:a08:3903:200::0/56 tncfg:cipso> info ... host=2001:a08:3903:200::0/56 tncfg:cipso> exit
Si agrega un host que se agregó anteriormente a otra plantilla, se le notificará que está sustituyendo la asignación de plantilla de seguridad. Para el mensaje informativo, consulte el Example 16–13.
Una entrada mal escrita también genera un mensaje informativo, como se muestra en el Example 16–14.
En este ejemplo, se muestra el mensaje informativo que aparece cuando se asigna una plantilla de seguridad a un rango de hosts que ya tiene una asignación de plantilla.
# tncfg -t cipso tncfg:cipso> add host=192.168.113.100/32 192.168.113.100/32 previously matched the admin_low template tncfg:cipso> info ... host=192.168.113.100/32 tncfg:cipso> exit
El mecanismo de reserva de Trusted Extensions garantiza que esta asignación explícita sustituya la asignación anterior, como se explicó en Mecanismo de reserva de la red de confianza.
Ejemplo 16-14 Manejo de una dirección IP mal escrita en una plantilla de seguridadUna entrada mal escrita genera un mensaje informativo. En la siguiente agregación de host se omite :200 de la dirección:
# tncfg -t cipso tncfg:cipso> add host=2001:a08:3903::0/56 Invalid host: 2001:a08:3903::0/56Ejemplo 16-15 Creación de una subred sin etiquetas en la etiqueta PUBLIC
En el Example 16–2, el administrador de la seguridad crea una plantilla de seguridad que asigna la etiqueta PUBLIC a un host que no es de confianza. En este ejemplo, el administrador de la seguridad asigna una subred a la etiqueta PUBLIC. Los usuarios del sistema de asignación pueden montar sistemas de archivos desde hosts de esta subred en una zona PUBLIC.
# tncfg -t public tncfg:public> add host=10.10.0.0/16 tncfg:public> exit
Se puede acceder a la subred de inmediato en la etiqueta PUBLIC.