El software Trusted Extensions determina la idoneidad de una ruta por cuestiones de seguridad. El software efectúa una serie de pruebas que se denominan comprobaciones de acreditaciones en el host de origen, el host de destino y las puertas de enlace intermedias.
La comprobación de acreditación verifica el rango de etiquetas y la información de etiquetas CALIPSO o CIPSO. Los atributos de seguridad de una ruta se obtienen de la entrada de la tabla de enrutamiento o de la plantilla de seguridad de la puerta de enlace si la entrada no tiene atributos de seguridad.
En las comunicaciones entrantes, el software de Trusted Extensions obtiene etiquetas de los mismos paquetes siempre que sea posible. La obtención de etiquetas de los paquetes sólo es posible cuando los mensajes se envían desde hosts que admiten etiquetas. Cuando una etiqueta no está disponible en el paquete, se asigna una etiqueta predeterminada al mensaje desde la plantilla de seguridad. Estas etiquetas se utilizan posteriormente en las comprobaciones de acreditaciones. Trusted Extensions aplica varias comprobaciones en los mensajes entrantes, salientes y reenviados.
Las siguientes comprobaciones de acreditaciones se realizan en el proceso o la zona de envío:
En todos los destinos, el DOI de un paquete saliente debe coincidir con el DOI del host de destino. El DOI también debe coincidir con el DOI de todos los saltos de la ruta, incluida la puerta de enlace del primer salto.
En todos los destinos, la etiqueta del paquete saliente debe estar dentro del rango de etiquetas del próximo salto en la ruta, es decir, el primer salto. Además, la etiqueta debe estar incluida en los atributos de seguridad de la puerta de enlace del primer salto.
Cuando el host de destino es un host sin etiquetas, debe cumplirse una de las siguientes condiciones:
La etiqueta del host de envío debe coincidir con la etiqueta predeterminada del host de destino.
El host de envío tiene el privilegio de establecer comunicaciones de etiqueta cruzada, y la etiqueta del remitente domina la etiqueta predeterminada del destino.
El host de envío tiene el privilegio de establecer comunicaciones de etiqueta cruzada, y la etiqueta del remitente es ADMIN_LOW. Es decir, el remitente realiza el envío desde la zona global.
En un sistema de puerta de enlace de Trusted Extensions, se realizan las siguientes comprobaciones de acreditaciones para la puerta de enlace del próximo salto:
Si el paquete entrante no tiene etiquetas, el paquete hereda la etiqueta predeterminada del host de origen desde la plantilla de seguridad. De lo contrario, el paquete recibe la etiqueta que se indica en la opción CALIPSO o CIPSO.
Las comprobaciones para el reenvío de un paquete se efectúan de manera similar a la acreditación de origen:
En todos los destinos, el DOI de un paquete saliente debe coincidir con el DOI del host de destino. El DOI también debe coincidir con el DOI del host del próximo salto.
En todos los destinos, la etiqueta del paquete saliente debe estar dentro del rango de etiquetas del próximo salto. Además, la etiqueta debe estar incluida en los atributos de seguridad que corresponden al host del próximo salto.
La etiqueta de un paquete sin etiquetas debe coincidir con la etiqueta predeterminada del host de destino.
La etiqueta de un paquete etiquetado debe estar dentro del rango de etiquetas del host de destino.
La puerta de enlace etiquetada que se espera que reenvíe paquetes de hosts adaptive debe configurar su interfaz entrante con una plantilla de tipo de host netif. Para obtener definiciones de los tipos de host adaptive y netif, consulte Tipo de host y nombre de plantilla en plantillas de seguridad.
Cuando un sistema Trusted Extensions recibe datos, el software realiza las siguientes comprobaciones:
Si el paquete entrante no tiene etiquetas, el paquete hereda la etiqueta predeterminada del host de origen desde la plantilla de seguridad. De lo contrario, el paquete recibe la etiqueta que se indica en la opción etiquetada.
La etiqueta y el DOI del paquete deben ser coherentes con la zona de destino o la etiqueta y el DOI del proceso de destino. La única excepción es cuando el proceso realiza la recepción en un puerto de varios niveles. El proceso que recibe puede obtener un paquete si tiene el privilegio de establecer comunicaciones de etiqueta cruzada y se encuentra en la zona global o tiene una etiqueta que domina la etiqueta del paquete.