konfigurace tras a kontrola informací o síti v důvěryhodných rozšířeních (mapa úloh)

následující mapa úloh popisuje úkoly pro konfiguraci sítě a naverifikaci konfigurace.

jak nakonfigurovat trasy s atributy zabezpečení

než začnete

, musíte být v roli správce zabezpečení v globální zóně.

1. přidejte každý cílový hostitel a bránu, kterou používáte, do routepackets přes důvěryhodnou síť.

   adresy jsou přidány do souboru local / etc / hosts nebo do jeho ekvivalentu na serveru LDAP. Použijte nástroj počítače a sítě v souborukonzole správy Solaris. Rozsah souborů upravuje soubor / etc / hosts. LDAPscope upravuje položky na serveru LDAP. Podrobnosti naleznete v části Jak přidat hostitele do známé sítě systému.

2. přiřaďte každému cílovému hostiteli, síti a bráně šablonu zabezpečení.

   adresy jsou přidány do lokálního souboru / etc/security / tsol/tnrhdb nebo do jeho ekvivalentu na LDAP serveru. Použijte nástroj šablony zabezpečení v konzole SolarisManagement. Podrobnosti naleznete v části jak přiřadit šablonu zabezpečení hostiteli nebo skupině hostitelů.

3. nastavte trasy.

   v okně terminálu zadejte trasy pomocí příkazu přidat trasu.

   první položka nastaví výchozí trasu. Položka určuje adresu agateway, 192.168.113.1, která se použije, pokud není definována žádná konkrétní trasa pro hostitele nebo cíl paketu.

   # route add default 192.168.113.1 -static

   podrobnosti naleznete na manuálové stránce trasy (1M).

4. nastavte jednu nebo více síťových položek.

   pomocí příznaku-secattr určete atributy zabezpečení.

   v následujícím seznamu příkazů druhý řádek zobrazuje síť. Třetí řádek zobrazuje položku sítě se štítkem rangeof PUBLIC to CONFIDENTIAL: INTERNAL USE ONLY.

   # route add default 192.168.113.36# route add -net 192.168.102.0 gateway-101# route add -net 192.168.101.0 gateway-102 \-secattr min_sl="PUBLIC",max_sl="CONFIDENTIAL : INTERNAL USE ONLY",doi=1

5. nastavte jednu nebo více položek hostitele.

   nový čtvrtý řádek zobrazuje položku hostitele pro hostitele s jedním štítkem,gateway-pub. gateway-pub má řadu štítků od veřejnosti k veřejnosti.

   # route add default 192.168.113.36# route add -net 192.168.102.0 gateway-101# route add -net 192.168.101.0 gateway-102 \-secattr min_sl="PUBLIC",max_sl="CONFIDENTIAL : INTERNAL USE ONLY",doi=1# route add -host 192.168.101.3 gateway-pub \-secattr min_sl="PUBLIC",max_sl="PUBLIC",doi=1

příklad 13-14 přidání trasy s označením rozsah důvěrné: interní použití pouze důvěrné : Omezený

následující příkaz route přidá do směrovací tabulky hostitele at192.168. 115. 0 s 192.168.118.39 jako svou bránu. Rozsah štítků je od důvěrné: interní použití pouze důvěrné: omezený, a DOI je 1.

$ route add -net 192.168.115.0 192.168.118.39 \-secattr min_sl="CONFIDENTIAL : INTERNAL USE ONLY",max_sl="CONFIDENTIAL : RESTRICTED",doi=1

výsledek přidaných hostitelů je zobrazen pomocí netstat-rR command.In následující výňatek, ostatní trasy jsou nahrazeny elipsy (…).

$ netstat -rRn...192.168.115.0 192.168.118.39 UG 0 0 min_sl=CNF : INTERNAL USE ONLY,max_sl=CNF : RESTRICTED,DOI=1,CIPSO...

jak zkontrolovat syntaxi důvěryhodných síťových databází

příkaz tnchkdb kontroluje, zda je syntaxe každé síťové databáze přesná.Konzola Solaris Management Console spustí tento příkaz automaticky, když použijete nástroj theSecurity Templates tool nebo Trusted Network Zones tool. Obvykle spustítento příkaz zkontroluje syntaxi databázových souborů, které konfigurujete pro budoucí použití.

než začnete

, musíte být v globální zóně v roli, která může zkontrolovat nastavení sítě. Role správce zabezpečení a role správce systémumůže tato nastavení zkontrolovat.

• v okně terminálu spusťte příkaz tnchkdb.

  $ tnchkdb checking /etc/security/tsol/tnrhtp ...checking /etc/security/tsol/tnrhdb ...checking /etc/security/tsol/tnzonecfg ...

příklad 13-15 testování syntaxe Databáze zkušební sítě

v tomto příkladu správce zabezpečení testuje soubor síťové databáze pro možné použití. Zpočátku správce používá nesprávnou možnost. Výsledky kontroly jsou vytištěny na řádku pro soubor tnrhdb:

$ tnchkdb -h /opt/secfiles/trial.tnrhtpchecking /etc/security/tsol/tnrhtp ...checking /opt/secfiles/trial.tnrhtp ...line 12: Illegal name: min_sl=ADMIN_LOW;max_sl=ADMIN_HIGHline 14: Illegal name: min_sl=ADMIN_LOW;max_sl=ADMIN_HIGHchecking /etc/security/tsol/tnzonecfg ...

když správce zabezpečení zkontroluje soubor pomocí volby-t, příkaz potvrdí, že syntaxe zkušební databáze tnrhtp je přesná:

$ tnchkdb -t /opt/secfiles/trial.tnrhtpchecking /opt/secfiles/trial.tnrhtp ...checking /etc/security/tsol/tnrhdb ...checking /etc/security/tsol/tnzonecfg ...

jak porovnat informace o důvěryhodné síťové databázi S mezipamětí jádra

síťové databáze mohou obsahovat informace, které nejsou uloženy v mezipaměti. Tento postup kontroluje, zda jsou informace totožné. Při použitíkonzole správy Solaris pro aktualizaci sítě je mezipaměť jádra aktualizována informacemi o síťové databázi. Příkaz tninfo je užitečný během testování aPro ladění.

než začnete

, musíte být v globální zóně v roli, která může zkontrolovat nastavení sítě. Role správce zabezpečení a role správce systémumůže tato nastavení zkontrolovat.

• v okně terminálu spusťte příkaz tninfo.

  • název hostitele tninfo-h zobrazuje IP adresu a šablonu pro zadaného hostitele.

  • tninfo-t templatename zobrazuje následující informace:

    template: template-namehost_type: either CIPSO or UNLABELEDdoi: 1min_sl: minimum-labelhex: minimum-hex-labelmax_sl: maximum-labelhex:maximum-hex-label

  • tninfo – m zone-name zobrazuje konfiguraci víceúrovňového portu (MLP) zóny.

příklad 13-16 zobrazení víceúrovňových portů na hostiteli

v tomto příkladu je systém nakonfigurován s několika označenými zónami. Všechny zóny sdílejí stejnou IP adresu. Některé zóny jsou také konfiguroványadresy specifické pro zónu. V této konfiguraci je port TCP pro prohlížení webu port8080 MLP na sdíleném rozhraní ve veřejné zóně. Správce také nastavil telnet, TCP port 23, aby byl anMLP ve veřejné zóně. Protože tyto dva MLP jsou na ashared rozhraní, žádná jiná zóna, včetně globální zóny, nemůže přijímat pakety na sdíleném rozhraní na portech 8080 a 23.

kromě toho je TCP port pro ssh, port 22, per-zoneMLP ve veřejné zóně. Služba SSH veřejné zóny může přijímatvšechny pakety na své adrese specifické pro zónu v rozsahu štítků adresy.

následující příkaz zobrazuje MLPs pro veřejnou zónu:

$ tninfo -m publicprivate: 22/tcpshared: 23/tcp;8080/tcp

následující příkaz zobrazuje MLPs pro globální zónu. Všimněte si, žeporty 23 a 8080 nemohou být MLPs v globální zóně, protože globální zóna sdílí stejnou adresu s veřejnou zónou:

$ tninfo -m globalprivate: 111/tcp;111/udp;514/tcp;515/tcp;631/tcp;2049/tcp; 6000-6003/tcp;38672/tcp;60770/tcp;shared: 6000-6003/tcp

jak synchronizovat mezipaměť jádra s důvěryhodnými síťovými databázemi

pokud jádro nebylo aktualizováno informacemi o důvěryhodné síťové databázi, máte několik způsobů, jak aktualizovat mezipaměť jádra. Solaris ManagementConsole spustí tento příkaz automaticky, když používáte nástroj šablony zabezpečení nebo nástroj důvěryhodné síťové zóny.

než začnete

, musíte být v roli správce zabezpečení v globální zóně.

• Chcete-li synchronizovat mezipaměť jádra se síťovými databázemi, spusťte jeden z následujících příkazů:
  • restartujte službu tnctl.

    upozornění-tuto metodu nepoužívejte v systémech, které získávají své důvěryhodné informace o databázi networkdatabase ze serveru LDAP. Informace o místní databázi by přepsalyinformace získané ze serveru LDAP.

    $ svcadm restart svc:/network/tnctl

    tento příkaz načte všechny informace z místních databází důvěryhodné sítě do jádra.

  • Aktualizujte mezipaměť jádra pro nedávno přidané položky.

    $ tnctl -h hostname

    tento příkaz čte pouze informace z vybrané volby do systému. Podrobnosti o možnostech viz příklad 13-17 a manpage tnctl(1M).

  • upravte službu tnd.

    Poznámka-služba tnd je spuštěna pouze v případě, že je spuštěna služba ldap.

    • změňte interval dotazování tnd.

      tím se neaktualizuje mezipaměť jádra. Můžete však zkrátitinterval sledování pro častější aktualizaci mezipaměti jádra. Podrobnosti vizpříklad na manuálové stránce tnd (1M).

    • obnovte tnd.

      tento příkaz Service Management Facility (SMF) spustí okamžitou aktualizaci systému s nedávnými změnami v důvěryhodných síťových databázích.

      $ svcadm refresh svc:/network/tnd

    • restartujte tnd pomocí SMF.

      $ svcadm restart svc:/network/tnd

      pozor-Vyhněte se spuštění příkazu tnd pro restartování tnd. Tento příkaz můžepřerušit komunikaci, která je v současné době úspěšná.

příklad 13-17 Aktualizace jádra s nejnovějšími položkami Tnrhdb

v tomto příkladu Správce přidal tři adresy do databáze localtnrhdb. Nejprve správce odstranil položku zástupných znaků 0.0.0.0.

$ tnctl -d -h 0.0.0.0:admin_low

poté správce zobrazí formát posledních tří položek v databázi/etc/security/tsol / tnrhdb:

$ tail /etc/security/tsol/tnrhdb#\:\:0:admin_low127.0.0.1:cipso#\:\:1:cipso192.168.103.5:admin_low192.168.103.0:cipso0.0.0.0/32:admin_low

poté Správce aktualizuje mezipaměť jádra:

$ tnctl -h 192.168.103.5tnctl -h 192.168.103.0tnctl -h 0.0.0.0/32

nakonec Správce ověří, že mezipaměť jádra je aktualizována. Výstup pro první položku je podobný následujícímu:

$ tninfo -h 192.168.103.5IP Address: 192.168.103.5Template: admin_low

příklad 13-18 aktualizace informací o síti v jádře

v tomto příkladu Správce aktualizuje důvěryhodnou síť serverem publicprint a poté zkontroluje, zda jsou nastavení jádra správná.

$ tnctl -h public-print-server$ tninfo -h public-print-serverIP Address: 192.168.103.55Template: PublicOnly$ tninfo -t PublicOnly==================================Remote Host Template Table Entries----------------------------------template: PublicOnlyhost_type: CIPSOdoi: 1min_sl: PUBLIChex: 0x0002-08-08max_sl: PUBLIChex: 0x0002-08-08