Agregación de hosts a plantillas de seguridad

Esta sección contiene referencias o ejemplos sobre la agregación de hosts a plantillas de seguridad. Para direcciones IP discontinuas, consulte Cómo agregar un host a una plantilla de seguridad. Para un rango de hosts, consulte Cómo agregar un rango de hosts a una plantilla de seguridad.

Los ejemplos de esta sección muestran las siguientes asignaciones de etiqueta de host remoto:

• Una puerta de enlace remota de confianza gestiona el tráfico PUBLIC. Consulte el Example 16–4.

• Los hosts remotos que no son de confianza actúan como enrutadores de una sola etiqueta: Example 16–5

• Los hosts remotos de confianza restringen el tráfico a un rango de etiquetas estrecho. Consulte el Example 16–6.

• A los hosts remotos de confianza se les asigna un conjunto limitado de etiquetas. Consulte el Example 16–7.

• A los hosts remotos de confianza se les asignan etiquetas que están separadas del resto de la red. Consulte el Example 16–8.

• Un host netif de confianza etiqueta paquetes de sistemas adaptive. Consulte el Example 16–9.

• Un host adaptive no de confianza envía paquetes a un host netif. Consulte el Example 16–10.

• Una red homogénea de confianza agrega una dirección de multidifusión en una etiqueta específica. Consulte el Example 16–11.

• Un host se elimina de una plantilla de seguridad. Consulte el Example 16–12.

• Se asignan etiquetas a redes y hosts remotos que no son de confianza. Consulte el Example 16–15.

Cómo agregar un host a una plantilla de seguridad

Antes de empezar

Se deben cumplir los siguientes requisitos:

• Las direcciones IP deben existir en el archivo /etc/hosts o DNS debe poder resolverlas.

  Para el archivo hosts, consulte Cómo agregar hosts a la red conocida del sistema.

  Para el DNS, consulte el Capítulo 3, Gestión de sistema de nombres de dominio de Trabajo con servicios de nombres y de directorio en Oracle Solaris 11.2: DNS y NIS .

• Los puntos finales de la etiqueta deben coincidir. Para las reglas, consulte Acerca del enrutamiento en Trusted Extensions.

• Debe estar con el rol de administrador de la seguridad en la zona global.

1. (Opcional)Verifique que pueda acceder al nombre de host o la dirección IP que va a agregar.

   En este ejemplo, verifique que puede acceder a 192.168.1.2.

   # arp 192.168.1.2
   gateway-2.example.com (192.168.1.2) at 0:0:0:1:ad:cd

   El comando arp verifica que el host está definido en el archivo /etc/hosts del sistema o que DNS puede resolverlo.

2. Agregue un nombre de host o una dirección IP a una plantilla de seguridad.

   En este ejemplo, agrega la dirección IP 192.168.1.2.

   # tncfg -t cipso
   tncfg:cipso> add host=192.168.1.2

   Si agrega un host que se agregó anteriormente a otra plantilla, se le notificará que está sustituyendo la asignación de plantilla de seguridad. Para el mensaje informativo, consulte el Example 16–3.

3. Vea la plantilla de seguridad modificada.

   En el siguiente ejemplo se muestra la dirección 192.168.1.2 que se agregó a la plantilla cipso:

   tncfg:cipso> info
   ...
   host=192.168.1.2/32

   La longitud del prefijo de /32 indica que la dirección es exacta.

4. Confirme el cambio y salga de la plantilla de seguridad.

   tncfg:cipso> commit
   tncfg:cipso> exit

   Para eliminar una entrada de host, consulte el Example 16–12.

Ejemplo 16-3  Reemplazo de la asignación de plantilla de seguridad de un host

En este ejemplo se muestra el mensaje informativo que aparece cuando se asigna una plantilla de seguridad a un host que ya tiene una asignación de plantilla.

# tncfg -t cipso
tncfg:cipso> add host=192.168.1.2
192.168.1.2 previously matched the admin_low template
tncfg:cipso> info
...
host=192.168.1.2/32
tncfg:cipso> exit

Ejemplo 16-4  Creación de una puerta de enlace que gestiona paquetes en una sola etiqueta

En el Example 16–1, el administrador de la seguridad crea una plantilla de seguridad que define una puerta de enlace que sólo puede transferir paquetes en la etiqueta PUBLIC. En este ejemplo, el administrador de la seguridad comprueba que se puede resolver la dirección IP del host de la puerta de enlace.

# arp 192.168.131.75
gateway-1.example.com (192.168.131.75) at 0:0:0:1:ab:cd

El comando arp verifica que el host está definido en el archivo /etc/hosts del sistema o que DNS puede resolverlo.

A continuación, el administrador agrega el host gateway-1 a la plantilla de seguridad.

# tncfg -t cipso_public
tncfg:cipso_public> add host=192.168.131.75
tncfg:cipso_public> exit

El sistema puede enviar y recibir paquetes public a través de gateway-1 de inmediato.

Ejemplo 16-5  Creación de un enrutador sin etiquetas para redirigir paquetes con etiquetas

Cualquier enrutador IP puede reenviar mensajes con etiquetas CALIPSO o CIPSO aunque el enrutador no admita etiquetas de manera explícita. Este tipo de enrutador sin etiquetas necesita una etiqueta predeterminada para definir el nivel en el que se deben controlar las conexiones con el enrutador (quizás para la gestión del enrutador). En este ejemplo, el administrador de la seguridad crea un enrutador que puede reenviar tráfico en cualquier etiqueta, pero toda comunicación directa con el enrutador se gestiona en la etiqueta predeterminada, PUBLIC.

En primer lugar, el administrador de la seguridad crea la plantilla desde el principio.

# tncfg -t unl_public_router
tncfg:unl_public_router> set host_type=unlabeled
tncfg:unl_public_router> set doi=1
tncfg:unl_public_router> set def_label="PUBLIC"
tncfg:unl_public_router> set min_label=ADMIN_LOW
tncfg:unl_public_router> set max_label=ADMIN_HIGH
tncfg:unl_public_router> exit

A continuación, el administrador agrega el enrutador a la plantilla de seguridad.

# tncfg -t unl_public_router
tncfg:unl_public_router> add host=192.168.131.82
tncfg:unl_public_router> exit

El sistema puede enviar y recibir de inmediato paquetes en todas las etiquetas por medio de router-1, el nombre de host de la dirección 192.168.131.82.

Ejemplo 16-6  Creación de una puerta de enlace con un rango de etiquetas limitado

En este ejemplo, el administrador de la seguridad crea una plantilla que limita los paquetes a un rango de etiquetas estrecho y agrega la puerta de enlace a la plantilla.

# arp 192.168.131.78
gateway-ir.example.com (192.168.131.78) at 0:0:0:3:ab:cd

# tncfg -t cipso_iuo_rstrct
tncfg:cipso_iuo_rstrct> set host_type=cipso
tncfg:cipso_iuo_rstrct> set doi=1
tncfg:cipso_iuo_rstrct> set min_label=0x0004-08-48
tncfg:cipso_iuo_rstrct> set max_label=0x0004-08-78
tncfg:cipso_iuo_rstrct> add host=192.168.131.78
tncfg:cipso_iuo_rstrct> exit

El sistema puede enviar y recibir de inmediato paquetes con las etiquetas internal y restricted por medio de gateway-ir.

Ejemplo 16-7  Creación de hosts en etiquetas discretas

En este ejemplo, el administrador de la seguridad crea una plantilla de seguridad que reconoce dos etiquetas solamente, confidential : internal use only y confidential : restricted. Se rechaza todo el resto del tráfico.

Primero, el administrador de seguridad garantiza que se puedan resolver las direcciones IP de cada host.

# arp 192.168.132.21
host-auxset1.example.com (192.168.132.21) at 0:0:0:4:ab:cd
# arp 192.168.132.22
host-auxset2.example.com (192.168.132.22) at 0:0:0:5:ab:cd
# arp 192.168.132.23
host-auxset3.example.com (192.168.132.23) at 0:0:0:6:ab:cd
# arp 192.168.132.24
host-auxset4.example.com (192.168.132.24) at 0:0:0:7:ab:cd

A continuación, el administrador escribe las etiquetas con cuidado y precisión. El software reconoce etiquetas en mayúscula y minúsculas y por nombre corto, pero no reconoce etiquetas donde los espacios son inexactos. Por ejemplo, la etiqueta cnf :restricted no es una etiqueta válida.

# tncfg -t cipso_int_and_rst
tncfg:cipso_int_and_rst> set host_type=cipso
tncfg:cipso_int_and_rst> set doi=1
tncfg:cipso_int_and_rst> set min_label="cnf : internal use only"
tncfg:cipso_int_and_rst> set max_label="cnf : internal use only"
tncfg:cipso_int_and_rst> set aux_label="cnf : restricted"
tncfg:cipso_int_and_rst> exit

A continuación, el administrador asigna el rango de direcciones IP a la plantilla de seguridad mediante una longitud de prefijo.

# tncfg -t cipso_int_rstrct
tncfg:cipso_int_rstrct> set host=192.168.132.0/24

Ejemplo 16-8  Creación de un host con etiquetas para desarrolladores

En este ejemplo, el administrador de la seguridad crea una plantilla de seguridad cipso_sandbox. Esta plantilla se asigna a los sistemas que utilizan los desarrolladores de software de confianza. Las pruebas de desarrolladores no afectan a otros hosts con etiquetas, porque la etiqueta SANDBOX está separada de las otras etiquetas de la red.

# tncfg -t cipso_sandbox
tncfg:cipso_sandbox> set host_type=cipso
tncfg:cipso_sandbox> set doi=1
tncfg:cipso_sandbox> set min_sl="SBX"
tncfg:cipso_sandbox> set max_sl="SBX"
tncfg:cipso_sandbox> add host=196.168.129.102
tncfg:cipso_sandbox> add host=196.168.129.129
tncfg:cipso_sandbox> exit

Los desarrolladores que utilizan los sistemas 196.168.129.102 y 196.168.129.129 pueden comunicarse entre sí en la etiqueta SANDBOX.

Ejemplo 16-9  Creación de una plantilla de seguridad para un host netif

En este ejemplo, el administrador de seguridad crea una plantilla de seguridad netif. Esta plantilla se asigna a la interfaz de red etiquetada que contiene la dirección IP 10.121.10.3. Con esta asignación, el módulo IP de Trusted Extensions agrega la etiqueta predeterminada, PUBLIC, a todos los paquetes entrantes que provienen de un host adaptive.

# tncfg -t netif_public
tncfg:netif_public> set host_type=netif
tncfg:netif_public> set doi=1
tncfg:netif_public> set def_label="PUBLIC"
tncfg:netif_public> add host=10.121.10.3
tncfg:netif_public> commit
tncfg:netif_public> exit

Ejemplo 16-10  Creación de plantillas de seguridad para hosts adaptables

En este ejemplo, el administrador de seguridad planifica con anticipación. El administrador crea diferentes subredes para una red que contiene información pública y una red que contiene información interna. Luego, el administrador define dos hosts adaptive. A los sistemas de la subred pública se les asigna la etiqueta PUBLIC. A los sistemas de la red interna se les asigna la etiqueta IUO. Dado que esta red se planifica con anticipación, cada red contiene y transmite información en una determinada etiqueta. Otra ventaja es que la red es fácil de depurar cuando los paquetes no se entregan en la interfaz esperada.

# tncfg -t adpub_192_168_10
tncfg:adapt_public> set host_type=adapt
tncfg:adapt_public> set doi=1
tncfg:adapt_public> set min_label="public"
tncfg:adapt_public> set max_label="public"
tncfg:adapt_public> add host=192.168.10.0
tncfg:adapt_public> commit
tncfg:adapt_public> exit

# tncfg -t adiuo_192_168_20
tncfg:adapt_public> set host_type=adapt
tncfg:adapt_public> set doi=1
tncfg:adapt_public> set min_label="iuo"
tncfg:adapt_public> set max_label="iuo"
tncfg:adapt_public> add host=192.168.20.0
tncfg:adapt_public> commit
tncfg:adapt_public> exit

Ejemplo 16-11  Envío de mensajes de multidifusión etiquetados

En este ejemplo, en una LAN homogénea con etiquetas, el administrador de la seguridad elige una dirección de multidifusión disponible por medio de la cual enviar paquetes en la etiqueta PUBLIC.

# tncfg -t cipso_public
tncfg:cipso_public> add host=224.4.4.4
tncfg:cipso_public> exit

Ejemplo 16-12  Eliminación de varios hosts de una plantilla de seguridad

En este ejemplo, el administrador de la seguridad elimina varios hosts de la plantilla de seguridad cipso. El administrador utiliza el subcomando info para mostrar los hosts, luego, escribe remove, y copia y pega cuatro entradas host=.

# tncfg -t cipso info
name=cipso
host_type=cipso
doi=1
min_label=ADMIN_LOW
max_label=ADMIN_HIGH
host=127.0.0.1/32
host=192.168.1.2/32
host=192.168.113.0/24
host=192.168.113.100/25
host=2001:a08:3903:200::0/56

# tncfg -t cipso
tncfg:cipso> remove host=192.168.1.2/32
tncfg:cipso> remove host=192.168.113.0/24
tncfg:cipso> remove host=192.168.113.100/25
tncfg:cipso> remove host=2001:a08:3903:200::0/56
tncfg:cipso> info
...
max_label=ADMIN_HIGH
host=127.0.0.1/32
host=192.168.75.0/24

Después de eliminar los hosts, el administrador confirma los cambios y sale de la plantilla de seguridad.

tncfg:cipso> commit
tncfg:cipso> exit
#

Cómo agregar un rango de hosts a una plantilla de seguridad

Antes de empezar

Para conocer los requisitos, consulte Cómo agregar un host a una plantilla de seguridad.

1. Para asignar una plantilla de seguridad a una subred, agregue la dirección de subred a la plantilla.

   En este ejemplo, agrega dos subredes IPv4 a la plantilla cipso y, a continuación, visualiza la plantilla de seguridad.

   # tncfg -t cipso
   tncfg:cipso> add host=192.168.75.0
   tncfg:cipso> add host=192.168.113.0
   tncfg:cipso> info
   ...
   host=192.168.75.0/24
   host=192.168.113.0/24
   tncfg:cipso> exit

   La longitud del prefijo de /24 indica que la dirección, que termina en .0, es una subred.

   # tncfg -t cipso
   tncfg:cipso> add host=192.168.113.100/25
   192.168.113.100/25 previously matched the admin_low template

2. Para asignar una plantilla de seguridad a un rango de direcciones, especifique la dirección IP y la longitud del prefijo.

   En el siguiente ejemplo, la longitud del prefijo /25 abarca direcciones IPv4 contiguas de 192.168.113.0 a 192.168.113.127. La dirección incluye 192.168.113.100.

   # tncfg -t cipso
   tncfg:cipso> add host=192.168.113.100/25
   tncfg:cipso> exit

   En el siguiente ejemplo, la longitud del prefijo /56 abarca direcciones IPv6 contiguas de 2001:a08:3903:200::0 a 2001:a08:3903:2ff:ffff:ffff:ffff:ffff. La dirección incluye 2001:a08:3903:201:20e:cff:fe08:58c.

   # tncfg -t cipso
   tncfg:cipso> add host=2001:a08:3903:200::0/56
   tncfg:cipso> info
   ...
   host=2001:a08:3903:200::0/56
   tncfg:cipso> exit

   Si agrega un host que se agregó anteriormente a otra plantilla, se le notificará que está sustituyendo la asignación de plantilla de seguridad. Para el mensaje informativo, consulte el Example 16–13.

   Una entrada mal escrita también genera un mensaje informativo, como se muestra en el Example 16–14.

Ejemplo 16-13  Reemplazo de la plantilla de seguridad para un rango de hosts

En este ejemplo, se muestra el mensaje informativo que aparece cuando se asigna una plantilla de seguridad a un rango de hosts que ya tiene una asignación de plantilla.

# tncfg -t cipso
tncfg:cipso> add host=192.168.113.100/32
192.168.113.100/32 previously matched the admin_low template
tncfg:cipso> info
...
host=192.168.113.100/32
tncfg:cipso> exit

El mecanismo de reserva de Trusted Extensions garantiza que esta asignación explícita sustituya la asignación anterior, como se explicó en Mecanismo de reserva de la red de confianza.

Ejemplo 16-14  Manejo de una dirección IP mal escrita en una plantilla de seguridad

Una entrada mal escrita genera un mensaje informativo. En la siguiente agregación de host se omite :200 de la dirección:

# tncfg -t cipso
tncfg:cipso> add host=2001:a08:3903::0/56
Invalid host: 2001:a08:3903::0/56

Ejemplo 16-15  Creación de una subred sin etiquetas en la etiqueta PUBLIC

En el Example 16–2, el administrador de la seguridad crea una plantilla de seguridad que asigna la etiqueta PUBLIC a un host que no es de confianza. En este ejemplo, el administrador de la seguridad asigna una subred a la etiqueta PUBLIC. Los usuarios del sistema de asignación pueden montar sistemas de archivos desde hosts de esta subred en una zona PUBLIC.

# tncfg -t public
tncfg:public> add host=10.10.0.0/16
tncfg:public> exit

Se puede acceder a la subred de inmediato en la etiqueta PUBLIC.