Las etiquetas y las acreditaciones son fundamentales para el control de acceso obligatorio (MAC) en Trusted Extensions. Determinan qué usuarios pueden acceder a qué programas, archivos y directorios. Las etiquetas y las acreditaciones contienen un componente de clasificación y, además, puede que no contengan ningún componente de compartimiento o que contengan algunos. El componente de clasificación indica un nivel jerárquico de seguridad, por ejemplo, de TOP SECRET a SECRET y PUBLIC. El componente de compartimiento representa un grupo de usuarios que podrían necesitar acceso a un cuerpo común de información. Algunos de los ejemplos de tipos de compartimientos más comunes son los proyectos, los departamentos o las ubicaciones físicas. Las etiquetas son legibles para los usuarios autorizados, pero internamente se las manipula como números. En el archivo label_encodings, se definen los números y las versiones legibles correspondientes.
Trusted Extensions media en todas las transacciones relacionadas con la seguridad que se hayan intentado realizar. El software compara las etiquetas de la entidad de acceso (por lo general, un proceso) y la entidad a la que se accede (normalmente, un objeto del sistema de archivos). Luego, el software permite o no realizar la transacción según qué etiqueta sea dominante. Las etiquetas también se utilizan para determinar el acceso a otros recursos del sistema, como dispositivos asignables, redes, búferes de trama y otros sistemas.
Se dice que la etiqueta de una entidad domina otra etiqueta si se cumplen las dos condiciones siguientes:
El componente de clasificación de la etiqueta de la primera entidad es mayor o igual que la clasificación de la segunda entidad. El administrador de la seguridad asigna números a las clasificaciones en el archivo label_encodings. El software compara estos números para determinar el dominio.
El conjunto de compartimientos de la primera entidad incluye todos los compartimientos de la segunda entidad.
Se dice que dos etiquetas son iguales si tienen la misma clasificación y el mismo conjunto de compartimientos. Si las etiquetas son iguales, se dominan entre sí, y se permite el acceso.
Si una etiqueta tiene una clasificación superior o tiene la misma clasificación y los compartimientos son un superconjunto de los compartimientos de la segunda etiqueta, o si se cumplen ambas condiciones, se dice que la primera etiqueta domina estrictamente la segunda etiqueta.
Se dice que dos etiquetas están separadas o no son comparables si ninguna de ellas domina la otra.
La siguiente tabla presenta algunos ejemplos sobre comparaciones de etiquetas con relación al dominio. En el ejemplo, NEED_TO_KNOW es una clasificación superior a INTERNAL. Hay tres compartimientos: Eng, Mkt y Fin.
|
Trusted Extensions proporciona dos etiquetas administrativas especiales que se utilizan como etiquetas o acreditaciones: ADMIN_HIGH y ADMIN_LOW. Estas etiquetas se utilizan para proteger los recursos del sistema y no están diseñadas para los usuarios comunes, sino para los administradores.
ADMIN_HIGH es la etiqueta máxima. ADMIN_HIGH domina el resto de las etiquetas del sistema y se utiliza para evitar la lectura de los datos del sistema, como las bases de datos de administración o las pistas de auditoría. Debe estar en la zona global para leer los datos con la etiqueta ADMIN_HIGH.
ADMIN_LOW es la etiqueta mínima. ADMIN_LOW está dominada por el resto de las etiquetas de un sistema, incluidas las etiquetas de los usuarios comunes. El control de acceso obligatorio no permite que los usuarios escriban datos en los archivos con etiquetas de un nivel inferior al de la etiqueta del usuario. Por lo tanto, los usuarios comunes pueden leer un archivo con la etiqueta ADMIN_LOW, pero no pueden modificarlo. ADMIN_LOW se utiliza normalmente para proteger los archivos ejecutables que son públicos y están compartidos, como los archivos de /usr/bin.
Todos los componentes de etiqueta de un sistema, es decir, las clasificaciones, los compartimientos y las reglas asociadas, se almacenan en un archivo ADMIN_HIGH: el archivo label_encodings. El archivo original se encuentra en el directorio /etc/security/tsol. Una vez que se activa Trusted Extensions, la ubicación del archivo se almacena como una propiedad del servicio labeld. El administrador de la seguridad configura el archivo label_encodings para el sitio. Un archivo de codificaciones de etiqueta contiene lo siguiente:
Definiciones de componente: son las definiciones de clasificaciones, compartimientos, etiquetas y acreditaciones, incluidas las reglas para las restricciones y las combinaciones necesarias
Definiciones de rangos de acreditación: es la especificación de las acreditaciones y las etiquetas mínimas que definen los conjuntos de etiquetas disponibles para todo el sistema y los usuarios comunes
Especificaciones de impresión: información de identificación y tratamiento de carátulas, ubicadores, encabezados, pies de página y otras funciones de seguridad en las copias impresas
Personalizaciones: son las definiciones locales que incluyen los códigos de color de etiquetas y otros valores predeterminados
Para obtener más información, consulte la página del comando man label_encodings(4). También se puede encontrar información detallada en Trusted Extensions Label Administration y Compartmented Mode Workstation Labeling: Encodings Format .
Un rango de etiquetas es el conjunto de etiquetas potencialmente utilizables en que pueden operar los usuarios. Tanto los usuarios como los recursos tienen rangos de etiquetas. Los rangos de etiquetas pueden proteger recursos que incluyen elementos como dispositivos asignables, redes, interfaces, búferes de trama y comandos. Un rango de etiquetas está definido por una acreditación en la parte superior del rango y una etiqueta mínima en la parte inferior.
Un rango no incluye necesariamente todas las combinaciones de etiquetas que se ubican entre una etiqueta máxima y una etiqueta mínima. Las reglas del archivo label_encodings pueden descartar determinadas combinaciones. Una etiqueta debe estar bien formada, es decir, deben permitirla todas las reglas aplicables del archivo de codificaciones de etiqueta a fin de que pueda incluirse en un rango.
No obstante, no es necesario que una acreditación esté bien formada. Imagine, por ejemplo, que un archivo label_encodings prohíbe todas las combinaciones de los compartimientos Eng, Mkt y Fin de una etiqueta. INTERNAL Eng Mkt Fin sería una acreditación válida, pero no una etiqueta válida. Como acreditación, esta combinación permitiría al usuario acceder a los archivos con las etiquetas INTERNAL Eng, INTERNAL Mkt e INTERNAL Fin.
Cuando se asigna una acreditación y una etiqueta mínima a un usuario, se definen los límites superiores e inferiores del rango de etiquetas de cuenta en que puede operar el usuario. La siguiente ecuación describe el rango de etiquetas de cuenta, utilizando ≤ para indicar “dominada por o igual a”:
minimum-label ≤ permitted-label ≤ clearance
De este modo, el usuario puede operar en cualquier etiqueta que la acreditación domine, siempre que esa etiqueta domine la etiqueta mínima. Cuando no se define expresamente la acreditación o la etiqueta mínima del usuario, se aplican los valores predeterminados que están definidos en el archivo label_encodings.
Se puede asignar una acreditación y una etiqueta mínima a los usuarios para permitirles operar en más de una etiqueta o en una sola etiqueta. Cuando la acreditación y la etiqueta mínima del usuario son iguales, el usuario sólo puede operar en una etiqueta.
El rango de sesión es el conjunto de etiquetas que están disponibles para un usuario durante una sesión de Trusted Extensions. El rango de sesión deberá estar dentro del rango de etiquetas de cuenta del usuario y el conjunto de rangos de etiquetas del sistema. En el inicio de sesión, si el usuario selecciona el modo de sesión de una sola etiqueta, el rango de sesión se limita a esa etiqueta. Si el usuario selecciona el modo de sesión de varias etiquetas, la etiqueta que el usuario selecciona se convierte en la acreditación de sesión. La acreditación de sesión define el límite superior del rango de sesión. La etiqueta mínima del usuario define el límite inferior. El usuario inicia la sesión en un espacio de trabajo ubicado en la etiqueta mínima. Durante la sesión, el usuario puede cambiar a un espacio de trabajo que se encuentre en cualquier etiqueta dentro del rango de sesión.
Las etiquetas aparecen en el escritorio y en la salida que se ejecuta en el escritorio, como las copias impresas.
Aplicaciones: son las aplicaciones que inician los procesos. Dichos procesos se ejecutan en la etiqueta del espacio de trabajo en que se inicia la aplicación. Una aplicación de una zona con etiquetas, como un archivo, se etiqueta en la etiqueta de la zona.
Dispositivos: la asignación de dispositivos y los rangos de etiquetas de dispositivos se utilizan para controlar los datos que se transfieren entre dispositivos. Para utilizar un dispositivo, los usuarios deben ubicarse dentro del rango de etiquetas del dispositivo y estar autorizados para asignar el dispositivo.
Puntos de montaje del sistema de archivos: cada punto de montaje tiene una etiqueta. Se puede visualizar la etiqueta con el comando getlabel.
IPsec e IKE: las asociaciones de seguridad IPsec y las reglas IKE tienen etiquetas.
Interfaces de red: las direcciones IP (hosts) tienen asignadas plantillas de seguridad que describen sus rangos de etiquetas. El sistema Trusted Extensions implicado en la comunicación asigna también una etiqueta predeterminada a los hosts sin etiquetas.
Impresoras e impresión: las impresoras tienen rangos de etiquetas. Las etiquetas se imprimen en las páginas del cuerpo. Las etiquetas, el tratamiento de la información y otros datos de seguridad se imprimen en las páginas de la carátula y del ubicador. Para configurar la impresión en Trusted Extensions, consulte el Chapter 19, Gestión de impresión con etiquetas y Labels on Printed Output de Trusted Extensions Label Administration .
Procesos: los procesos tienen etiquetas. Los procesos se ejecutan en la etiqueta del espacio de trabajo en que se origina cada proceso. Se puede visualizar la etiqueta de un proceso con el comando plabel.
Usuarios: se les asignan una etiqueta predeterminada y un rango de etiquetas. La etiqueta del espacio de trabajo del usuario señala la etiqueta de los procesos del usuario.
Ventanas: se pueden visualizar las etiquetas en la parte superior de las ventanas del escritorio. La etiqueta del escritorio también se señala por color. El color aparece en el panel del espacio de trabajo y arriba de las barras de título de las ventanas, como se muestra en la Figure 6–1.
Cuando se mueve una ventana a un escritorio de trabajo con etiquetas diferentes, la ventana conserva la etiqueta original. Los procesos que se inician en la ventana se ejecutan en la etiqueta original.
Zonas: cada zona tiene una etiqueta. Los archivos y los directorios que son propiedad de una zona se encuentran en la etiqueta de la zona. Para obtener más información, consulte la página del comando man getzonepath(1).