Configuración y administración de Trusted Extensions

Salir de la Vista de impresión

 
Actualización: Julio de 2014
 
 

Comprobaciones de acreditaciones de Trusted Extensions

El software Trusted Extensions determina la idoneidad de una ruta por cuestiones de seguridad. El software efectúa una serie de pruebas que se denominan comprobaciones de acreditaciones en el host de origen, el host de destino y las puertas de enlace intermedias.

Notas - En la explicación siguiente, la comprobación de acreditación de un rango de etiquetas también implica la comprobación de un conjunto de etiquetas auxiliares.

La comprobación de acreditación verifica el rango de etiquetas y la información de etiquetas CALIPSO o CIPSO. Los atributos de seguridad de una ruta se obtienen de la entrada de la tabla de enrutamiento o de la plantilla de seguridad de la puerta de enlace si la entrada no tiene atributos de seguridad.

En las comunicaciones entrantes, el software de Trusted Extensions obtiene etiquetas de los mismos paquetes siempre que sea posible. La obtención de etiquetas de los paquetes sólo es posible cuando los mensajes se envían desde hosts que admiten etiquetas. Cuando una etiqueta no está disponible en el paquete, se asigna una etiqueta predeterminada al mensaje desde la plantilla de seguridad. Estas etiquetas se utilizan posteriormente en las comprobaciones de acreditaciones. Trusted Extensions aplica varias comprobaciones en los mensajes entrantes, salientes y reenviados.

Comprobaciones de acreditaciones del origen

    Las siguientes comprobaciones de acreditaciones se realizan en el proceso o la zona de envío:

  • En todos los destinos, el DOI de un paquete saliente debe coincidir con el DOI del host de destino. El DOI también debe coincidir con el DOI de todos los saltos de la ruta, incluida la puerta de enlace del primer salto.

  • En todos los destinos, la etiqueta del paquete saliente debe estar dentro del rango de etiquetas del próximo salto en la ruta, es decir, el primer salto. Además, la etiqueta debe estar incluida en los atributos de seguridad de la puerta de enlace del primer salto.

  • Cuando el host de destino es un host sin etiquetas, debe cumplirse una de las siguientes condiciones:

    • La etiqueta del host de envío debe coincidir con la etiqueta predeterminada del host de destino.

    • El host de envío tiene el privilegio de establecer comunicaciones de etiqueta cruzada, y la etiqueta del remitente domina la etiqueta predeterminada del destino.

    • El host de envío tiene el privilegio de establecer comunicaciones de etiqueta cruzada, y la etiqueta del remitente es ADMIN_LOW. Es decir, el remitente realiza el envío desde la zona global.

Notas - Una comprobación del primer salto tiene lugar cuando se envía un mensaje por medio de una puerta de enlace de un host en una red a un host en otra red.

Comprobaciones de acreditaciones de la puerta de enlace

    En un sistema de puerta de enlace de Trusted Extensions, se realizan las siguientes comprobaciones de acreditaciones para la puerta de enlace del próximo salto:

  • Si el paquete entrante no tiene etiquetas, el paquete hereda la etiqueta predeterminada del host de origen desde la plantilla de seguridad. De lo contrario, el paquete recibe la etiqueta que se indica en la opción CALIPSO o CIPSO.

  • Las comprobaciones para el reenvío de un paquete se efectúan de manera similar a la acreditación de origen:

    • En todos los destinos, el DOI de un paquete saliente debe coincidir con el DOI del host de destino. El DOI también debe coincidir con el DOI del host del próximo salto.

    • En todos los destinos, la etiqueta del paquete saliente debe estar dentro del rango de etiquetas del próximo salto. Además, la etiqueta debe estar incluida en los atributos de seguridad que corresponden al host del próximo salto.

    • La etiqueta de un paquete sin etiquetas debe coincidir con la etiqueta predeterminada del host de destino.

    • La etiqueta de un paquete etiquetado debe estar dentro del rango de etiquetas del host de destino.

    • La puerta de enlace etiquetada que se espera que reenvíe paquetes de hosts adaptive debe configurar su interfaz entrante con una plantilla de tipo de host netif. Para obtener definiciones de los tipos de host adaptive y netif, consulte Tipo de host y nombre de plantilla en plantillas de seguridad.

Comprobaciones de acreditaciones del destino

    Cuando un sistema Trusted Extensions recibe datos, el software realiza las siguientes comprobaciones:

  • Si el paquete entrante no tiene etiquetas, el paquete hereda la etiqueta predeterminada del host de origen desde la plantilla de seguridad. De lo contrario, el paquete recibe la etiqueta que se indica en la opción etiquetada.

  • La etiqueta y el DOI del paquete deben ser coherentes con la zona de destino o la etiqueta y el DOI del proceso de destino. La única excepción es cuando el proceso realiza la recepción en un puerto de varios niveles. El proceso que recibe puede obtener un paquete si tiene el privilegio de establecer comunicaciones de etiqueta cruzada y se encuentra en la zona global o tiene una etiqueta que domina la etiqueta del paquete.

Copyright © 1992, 2014, Oracle y/o sus filiales. Todos los derechos reservados. Advertencia legal
Anterior
Siguiente