Configuración y administración de Trusted Extensions

Salir de la Vista de impresión

Actualización: Julio de 2014
 
 

Limitación de los hosts que pueden acceder a la red de confianza

Cómo limitar los hosts que se pueden contactar en la red de confianza

Este procedimiento protege los hosts con etiquetas del contacto de hosts sin etiquetas arbitrarios. Cuando Trusted Extensions está instalado, la plantilla de seguridad predeterminada admin_low define cada host de la red. Utilice este procedimiento para enumerar hosts sin etiquetas específicos.

Los valores de la red de confianza local de cada sistema se utilizan para establecer contacto con la red durante el inicio. De manera predeterminada, cada host que no se proporciona con una plantilla cipso se define mediante la plantilla admin_low. Esta plantilla asigna todos los hosts remotos que no están definidos de ningún otro modo (0.0.0.0/0) como sistemas sin etiquetas con la etiqueta predeterminada de admin_low.


Caution

Precaución  -  La plantilla admin_low predeterminada puede ser un riesgo de seguridad en una red de Trusted Extensions. Si la seguridad del sitio requiere una protección elevada, el administrador de la seguridad puede eliminar la entrada comodín 0.0.0.0/0 una vez instalado el sistema. La entrada se debe reemplazar con entradas para cada host con el que el sistema establece contacto durante el inicio. Por ejemplo, los servidores DNS, los servidores del directorio principal, los servidores de auditoría, las direcciones de difusión y multidifusión, y los enrutadores se deben agregar de manera explícita a una plantilla una vez que se elimina la entrada comodín 0.0.0.0/0. Si una aplicación inicialmente reconoce clientes en la dirección de host 0.0.0.0/32, debe agregar la entrada de host 0.0.0.0/32 a la plantilla admin_low. Por ejemplo, para recibir las solicitudes de conexión inicial de los posibles clientes Sun Ray, los servidores Sun Ray deben incluir esta entrada. A continuación, cuando el servidor reconoce los clientes, se proporciona una dirección IP a los clientes y se los conecta como clientes etiquetados.


Antes de empezar

Debe estar con el rol de administrador de la seguridad en la zona global.

Todos los hosts con los que se debe establecer contacto durante el inicio deben existir en el archivo /etc/hosts.

  1. Asigne la plantilla admin_low a cada host sin etiquetas con el que se debe establecer contacto durante el inicio.
    • Incluya cada host sin etiquetas con el que se debe establecer contacto durante el inicio.

    • Incluya cada enrutador "on-link" que no ejecute Trusted Extensions, mediante el cual se debe comunicar este sistema.

    • Elimine la asignación 0.0.0.0/0.

  2. Agregue hosts a la plantilla cipso.

      Agregue cada host con etiquetas con el que se debe establecer contacto durante el inicio.

    • Incluya cada enrutador "on-link" que ejecute Trusted Extensions, mediante el cual se debe comunicar este sistema.

    • Asegúrese de que todas las interfaces de red estén asignadas a la plantilla.

    • Incluya las direcciones de difusión.

    • Incluya los rangos de hosts con etiquetas con los que se debe establecer contacto durante el inicio.

    Consulte el Example 16–17 para ver una base de datos de ejemplo.

  3. Compruebe que las asignaciones de hosts permitan que el sistema se inicie.
Ejemplo 16-16  Cambio de la etiqueta de la dirección IP 0.0.0.0/0

En este ejemplo, el administrador crea un sistema de puerta de enlace pública. El administrador elimina la entrada de host 0.0.0.0/0 de la plantilla admin_low y agrega la entrada de host 0.0.0.0/0 a la plantilla public sin etiquetas. El sistema luego reconoce cualquier host que no esté asignado específicamente a otra plantilla de seguridad como un sistema sin etiquetas con los atributos de seguridad de la plantilla de seguridad public.

# tncfg -t admin_low info
tncfg:admin_low> remove host=0.0.0.0Wildcard address
tncfg:admin_low> exit
# tncfg -t public
tncfg:public> set host_type=unlabeled
tncfg:public> set doi=1
tncfg:public> set def_label="public"
tncfg:public> set min_sl="public"
tncfg:public> set max_sl="public"
tncfg:public> add host=0.0.0.0Wildcard address
tncfg:public> exit
Ejemplo 16-17  Enumeración de sistemas que un sistema Trusted Extensions puede contactar durante el inicio

En el siguiente ejemplo, el administrador configura la red de confianza de un sistema Trusted Extensions con dos interfaces de red. El sistema se comunica con otra red y con los enrutadores. Los hosts remotos se asignan a una de estas tres plantillas: cipso, admin_low o public. Se anotan los siguientes comandos.

# tncfg -t cipso
tncfg:admin_low> add host=127.0.0.1Loopback address
tncfg:admin_low> add host=192.168.112.111Interface 1 of this host
tncfg:admin_low> add host=192.168.113.111Interface 2 of this host
tncfg:admin_low> add host=192.168.113.6File server
tncfg:admin_low> add host=192.168.112.255Subnet broadcast address
tncfg:admin_low> add host=192.168.113.255Subnet broadcast address
tncfg:admin_low> add host=192.168.113.1Router
tncfg:admin_low> add host=192.168.117.0/24Another Trusted Extensions network
tncfg:admin_low> exit
# tncfg -t public
tncfg:public> add host=192.168.112.12Specific network router
tncfg:public> add host=192.168.113.12Specific network router
tncfg:public> add host=224.0.0.2Multicast address
tncfg:admin_low> exit
# tncfg -t admin_low
tncfg:admin_low> add host=255.255.255.255Broadcast address
tncfg:admin_low> exit

Después de especificar los hosts que se deben contactar durante el inicio, el administrador elimina la entrada 0.0.0.0/0 de la plantilla admin_low.

# tncfg -t admin_low
tncfg:admin_low> remove host=0.0.0.0
tncfg:admin_low> exit
Ejemplo 16-18  Cómo hacer que la dirección de host 0.0.0.0/32 sea una dirección inicial válida

En este ejemplo, el administrador de la seguridad configura un servidor de aplicaciones para aceptar las solicitudes de conexión inicial de clientes potenciales.

El administrador configura la red de confianza del servidor. Se anotan las entradas del servidor y el cliente.

# tncfg -t cipso info
name=cipso
host_type=cipso
doi=1
min_label=ADMIN_LOW
max_label=ADMIN_HIGH
host=127.0.0.1/32
host=192.168.128.1/32 Application server address
host=192.168.128.0/24 Application's client network
Other addresses to be contacted at boot time
# tncfg -t admin_low info
name=cipso
host_type=cipso
doi=1
def_label=ADMIN_LOW
min_label=ADMIN_LOW
max_label=ADMIN_HIGH
host=192.168.128.0/24 Application's client network
host=0.0.0.0/0 Wildcard address
Other addresses to be contacted at boot time

Una vez que esta fase de prueba finaliza correctamente, el administrador bloquea la configuración. Para ello, elimina la dirección comodín predeterminada, 0.0.0.0/0, confirma el cambio y, a continuación, agrega la dirección específica.

# tncfg -t admin_low info
tncfg:admin_low> remove host=0.0.0.0
tncfg:admin_low> commit
tncfg:admin_low> add host=0.0.0.0/32For initial client contact
tncfg:admin_low> exit

La configuración admin_low final es similar a la siguiente:

# tncfg -t admin_low
name=cipso
host_type=cipso
doi=1
def_label=ADMIN_LOW
min_label=ADMIN_LOW
max_label=ADMIN_HIGH
192.168.128.0/24 Application's client network
host=0.0.0.0/32 For initial client contact
Other addresses to be contacted at boot time

La entrada 0.0.0.0/32 sólo permite que los clientes de la aplicación accedan al servidor de aplicaciones.

Ejemplo 16-19  Configuración de una dirección inicial válida para un servidor Sun Ray etiquetado

En este ejemplo, el administrador de la seguridad configura un servidor Sun Ray para aceptar las solicitudes de conexión inicial de clientes potenciales. El servidor utiliza una topología privada y los valores predeterminados del servidor Sun Ray.

# utadm -a net0

Luego, el administrador configura la red de confianza del servidor. Se anotan las entradas del servidor y el cliente.

# tncfg -t cipso info
name=cipso
host_type=cipso
doi=1
min_label=ADMIN_LOW
max_label=ADMIN_HIGH
host=127.0.0.1/32
host=192.168.128.1/32 Sun Ray server address
host=192.168.128.0/24 Sun Ray client network
Other addresses to be contacted at boot time
# tncfg -t admin_low info
name=cipso
host_type=cipso
doi=1
def_label=ADMIN_LOW
min_label=ADMIN_LOW
max_label=ADMIN_HIGH
host=192.168.128.0/24 Sun Ray client network
host=0.0.0.0/0 Wildcard address
Other addresses to be contacted at boot time

Una vez que esta fase de prueba finaliza correctamente, el administrador bloquea la configuración. Para ello, elimina la dirección comodín predeterminada, 0.0.0.0/0, confirma el cambio y, a continuación, agrega la dirección específica.

# tncfg -t admin_low info
tncfg:admin_low> remove host=0.0.0.0
tncfg:admin_low> commit
tncfg:admin_low> add host=0.0.0.0/32For initial client contact
tncfg:admin_low> exit

La configuración admin_low final es similar a la siguiente:

# tncfg -t admin_low
name=cipso
host_type=cipso
doi=1
def_label=ADMIN_LOW
min_label=ADMIN_LOW
max_label=ADMIN_HIGH
192.168.128.0/24 Sun Ray client network
host=0.0.0.0/32 For initial client contact
Other addresses to be contacted at boot time

La entrada 0.0.0.0/32 permite que solamente los clientes Sun Ray accedan al servidor.