Trusted Extensions asigna atributos de seguridad a las zonas, los hosts y las redes. Estos atributos garantizan que las siguientes funciones de seguridad se apliquen en la red:
Los datos tienen las etiquetas correctas en las comunicaciones de red.
Las reglas de control de acceso obligatorio (MAC) se aplican cuando se envían o se reciben datos mediante una red local, y cuando se montan los sistemas de archivos.
Las reglas de MAC se aplican cuando se enrutan datos a redes distantes.
Las reglas de MAC se aplican cuando se enrutan datos a zonas.
En Trusted Extensions, MAC protege los paquetes de red. Las etiquetas se utilizan para las decisiones de MAC. Los datos se etiquetan explícita o implícitamente con una etiqueta de sensibilidad. La etiqueta tiene un campo de ID, un campo de clasificación o “nivel” y un campo de compartimiento o “categoría”. Los datos deben someterse a una comprobación de acreditación. Esta comprobación determina si la etiqueta está bien formada y si se encuentra dentro del rango de acreditación del host de recepción. Los paquetes bien formados que están dentro del rango de acreditación del host de recepción obtienen acceso.
Es posible etiquetar los paquetes IP que se intercambian entre los sistemas de confianza. La etiqueta de un paquete sirve para clasificar, separar y enrutar paquetes IP. Las decisiones de enrutamiento comparan la etiqueta de sensibilidad de los datos con la etiqueta del destino.
Trusted Extensions admite etiquetas en paquetes IPv4 e IPv6.
Para los paquetes IPv4, Trusted Extensions las etiquetas de opción de seguridad de IP comercial (CIPSO).
Para los paquetes IPv6, Trusted Extensions admite la opción de seguridad de IPv6 de etiquetas de arquitectura común (CALIPSO).
Si debe interactuar con sistemas en una red CIPSO IPv6, consulte Cómo configurar una red CIPSO IPv6 en Trusted Extensions.
Por lo general, en una red de confianza, el host de envío genera la etiqueta y el host de recepción la procesa. Sin embargo, un enrutador de confianza también puede agregar o filtrar etiquetas cuando reenvía paquetes en una red de confianza. Antes de la transmisión, se asigna una etiqueta de sensibilidad a una etiqueta CALIPSO o CIPSO. Esta etiqueta se incrusta en el paquete IP que, luego, es un paquete etiquetado paquete. En general, el remitente y el receptor de un paquete operan en la misma etiqueta.
El software de las redes de confianza garantiza que la política de seguridad de Trusted Extensions se aplique incluso cuando los sujetos (procesos) y los objetos (datos) estén en hosts diferentes. Las redes de Trusted Extensions mantienen el MAC en todas las aplicaciones distribuidas.