En esta sección, puede proteger la red limitando los hosts que pueden acceder a la red.
Cómo limitar los hosts que se pueden contactar en la red de confianza.
Aumente la seguridad mediante la especificación de sistemas para contactar durante el inicio. Consulte el Example 16–16.
Configure un servidor de aplicaciones para aceptar el contacto inicial desde un cliente remoto. Consulte el Example 16–18.
Configure un servidor Sun Ray con etiquetas para aceptar el contacto inicial desde un cliente remoto. Consulte el Example 16–19.
Este procedimiento protege los hosts con etiquetas del contacto de hosts sin etiquetas arbitrarios. Cuando Trusted Extensions está instalado, la plantilla de seguridad predeterminada admin_low define cada host de la red. Utilice este procedimiento para enumerar hosts sin etiquetas específicos.
Los valores de la red de confianza local de cada sistema se utilizan para establecer contacto con la red durante el inicio. De manera predeterminada, cada host que no se proporciona con una plantilla cipso se define mediante la plantilla admin_low. Esta plantilla asigna todos los hosts remotos que no están definidos de ningún otro modo (0.0.0.0/0) como sistemas sin etiquetas con la etiqueta predeterminada de admin_low.
Antes de empezar
Debe estar con el rol de administrador de la seguridad en la zona global.
Todos los hosts con los que se debe establecer contacto durante el inicio deben existir en el archivo /etc/hosts.
Incluya cada host sin etiquetas con el que se debe establecer contacto durante el inicio.
Incluya cada enrutador "on-link" que no ejecute Trusted Extensions, mediante el cual se debe comunicar este sistema.
Elimine la asignación 0.0.0.0/0.
Agregue cada host con etiquetas con el que se debe establecer contacto durante el inicio.
Incluya cada enrutador "on-link" que ejecute Trusted Extensions, mediante el cual se debe comunicar este sistema.
Asegúrese de que todas las interfaces de red estén asignadas a la plantilla.
Incluya las direcciones de difusión.
Incluya los rangos de hosts con etiquetas con los que se debe establecer contacto durante el inicio.
Consulte el Example 16–17 para ver una base de datos de ejemplo.
En este ejemplo, el administrador crea un sistema de puerta de enlace pública. El administrador elimina la entrada de host 0.0.0.0/0 de la plantilla admin_low y agrega la entrada de host 0.0.0.0/0 a la plantilla public sin etiquetas. El sistema luego reconoce cualquier host que no esté asignado específicamente a otra plantilla de seguridad como un sistema sin etiquetas con los atributos de seguridad de la plantilla de seguridad public.
# tncfg -t admin_low info tncfg:admin_low> remove host=0.0.0.0Wildcard address tncfg:admin_low> exit
# tncfg -t public tncfg:public> set host_type=unlabeled tncfg:public> set doi=1 tncfg:public> set def_label="public" tncfg:public> set min_sl="public" tncfg:public> set max_sl="public" tncfg:public> add host=0.0.0.0Wildcard address tncfg:public> exitEjemplo 16-17 Enumeración de sistemas que un sistema Trusted Extensions puede contactar durante el inicio
En el siguiente ejemplo, el administrador configura la red de confianza de un sistema Trusted Extensions con dos interfaces de red. El sistema se comunica con otra red y con los enrutadores. Los hosts remotos se asignan a una de estas tres plantillas: cipso, admin_low o public. Se anotan los siguientes comandos.
# tncfg -t cipso tncfg:admin_low> add host=127.0.0.1Loopback address tncfg:admin_low> add host=192.168.112.111Interface 1 of this host tncfg:admin_low> add host=192.168.113.111Interface 2 of this host tncfg:admin_low> add host=192.168.113.6File server tncfg:admin_low> add host=192.168.112.255Subnet broadcast address tncfg:admin_low> add host=192.168.113.255Subnet broadcast address tncfg:admin_low> add host=192.168.113.1Router tncfg:admin_low> add host=192.168.117.0/24Another Trusted Extensions network tncfg:admin_low> exit
# tncfg -t public tncfg:public> add host=192.168.112.12Specific network router tncfg:public> add host=192.168.113.12Specific network router tncfg:public> add host=224.0.0.2Multicast address tncfg:admin_low> exit
# tncfg -t admin_low tncfg:admin_low> add host=255.255.255.255Broadcast address tncfg:admin_low> exit
Después de especificar los hosts que se deben contactar durante el inicio, el administrador elimina la entrada 0.0.0.0/0 de la plantilla admin_low.
# tncfg -t admin_low tncfg:admin_low> remove host=0.0.0.0 tncfg:admin_low> exitEjemplo 16-18 Cómo hacer que la dirección de host 0.0.0.0/32 sea una dirección inicial válida
En este ejemplo, el administrador de la seguridad configura un servidor de aplicaciones para aceptar las solicitudes de conexión inicial de clientes potenciales.
El administrador configura la red de confianza del servidor. Se anotan las entradas del servidor y el cliente.
# tncfg -t cipso info name=cipso host_type=cipso doi=1 min_label=ADMIN_LOW max_label=ADMIN_HIGH host=127.0.0.1/32 host=192.168.128.1/32 Application server address host=192.168.128.0/24 Application's client network Other addresses to be contacted at boot time
# tncfg -t admin_low info name=cipso host_type=cipso doi=1 def_label=ADMIN_LOW min_label=ADMIN_LOW max_label=ADMIN_HIGH host=192.168.128.0/24 Application's client network host=0.0.0.0/0 Wildcard address Other addresses to be contacted at boot time
Una vez que esta fase de prueba finaliza correctamente, el administrador bloquea la configuración. Para ello, elimina la dirección comodín predeterminada, 0.0.0.0/0, confirma el cambio y, a continuación, agrega la dirección específica.
# tncfg -t admin_low info tncfg:admin_low> remove host=0.0.0.0 tncfg:admin_low> commit tncfg:admin_low> add host=0.0.0.0/32For initial client contact tncfg:admin_low> exit
La configuración admin_low final es similar a la siguiente:
# tncfg -t admin_low name=cipso host_type=cipso doi=1 def_label=ADMIN_LOW min_label=ADMIN_LOW max_label=ADMIN_HIGH 192.168.128.0/24 Application's client network host=0.0.0.0/32 For initial client contact Other addresses to be contacted at boot time
La entrada 0.0.0.0/32 sólo permite que los clientes de la aplicación accedan al servidor de aplicaciones.
Ejemplo 16-19 Configuración de una dirección inicial válida para un servidor Sun Ray etiquetadoEn este ejemplo, el administrador de la seguridad configura un servidor Sun Ray para aceptar las solicitudes de conexión inicial de clientes potenciales. El servidor utiliza una topología privada y los valores predeterminados del servidor Sun Ray.
# utadm -a net0
Luego, el administrador configura la red de confianza del servidor. Se anotan las entradas del servidor y el cliente.
# tncfg -t cipso info name=cipso host_type=cipso doi=1 min_label=ADMIN_LOW max_label=ADMIN_HIGH host=127.0.0.1/32 host=192.168.128.1/32 Sun Ray server address host=192.168.128.0/24 Sun Ray client network Other addresses to be contacted at boot time
# tncfg -t admin_low info name=cipso host_type=cipso doi=1 def_label=ADMIN_LOW min_label=ADMIN_LOW max_label=ADMIN_HIGH host=192.168.128.0/24 Sun Ray client network host=0.0.0.0/0 Wildcard address Other addresses to be contacted at boot time
Una vez que esta fase de prueba finaliza correctamente, el administrador bloquea la configuración. Para ello, elimina la dirección comodín predeterminada, 0.0.0.0/0, confirma el cambio y, a continuación, agrega la dirección específica.
# tncfg -t admin_low info tncfg:admin_low> remove host=0.0.0.0 tncfg:admin_low> commit tncfg:admin_low> add host=0.0.0.0/32For initial client contact tncfg:admin_low> exit
La configuración admin_low final es similar a la siguiente:
# tncfg -t admin_low name=cipso host_type=cipso doi=1 def_label=ADMIN_LOW min_label=ADMIN_LOW max_label=ADMIN_HIGH 192.168.128.0/24 Sun Ray client network host=0.0.0.0/32 For initial client contact Other addresses to be contacted at boot time
La entrada 0.0.0.0/32 permite que solamente los clientes Sun Ray accedan al servidor.