Konfigurieren von Routen und Überprüfen von Netzwerkinformationen in vertrauenswürdigen Erweiterungen (Task Map)

Die folgende Task Map beschreibt Aufgaben zum Konfigurieren des Netzwerks und zum Überprüfen der Konfiguration.

Aufgabe	Beschreibung	Für Anweisungen
Konfigurieren Sie statische Routen.	Beschreibt manuell die beste Route von onehost zu einem anderen Host.
Überprüfen Sie die Genauigkeit der lokalen Netzwerkdatenbanken.	Verwendet den Befehl thetnchkdb, um die syntaktische Gültigkeit der lokalen Netzwerkdatenbanken zu überprüfen.
Vergleichen Sie die Netzwerkdatenbankeinträge mit den Einträgen im Kernel-Cache.	Verwendet den Befehl tninfo, um festzustellen, ob der Kernel-Cache mit den neuesten Datenbankinformationen aktualisiert wurde.
Synchronisieren Sie den Kernel-Cache mit den Netzwerkdatenbanken.	Verwendet den Befehl nctl, um den Kernel-Cache mit aktuellen Netzwerkdatenbankinformationen auf einem laufenden System zu aktualisieren.

Konfigurieren von Routen mit Sicherheitsattributen

Bevor Sie mit

beginnen, müssen Sie die Rolle des Sicherheitsadministrators in der globalen Zone haben.

Fügen Sie jeden Zielhost und jedes Gateway, das Sie verwenden, zu Routepackets über das vertrauenswürdige Netzwerk hinzu.
Die Adressen werden zur lokalen Datei /etc/hosts oder zu deren Äquivalent auf dem LDAP-Server hinzugefügt. Verwenden Sie das Tool Computer und Netzwerke in der Solaris-Verwaltungskonsole. Der Bereich Files ändert die Datei /etc/hosts. Das LDAPscope ändert die Einträge auf dem LDAP-Server. Weitere Informationen finden Sie unter Hinzufügen von Hosts zum bekannten Netzwerk des Systems.
Weisen Sie jedem Zielhost, Netzwerk und Gateway eine Sicherheitsvorlage zu.
Die Adressen werden zur lokalen Datei /etc/security/tsol/tnrhdb oder zu itsequivalent auf dem LDAP-Server hinzugefügt. Verwenden Sie das Tool Sicherheitsvorlagen in der SolarisManagement-Konsole. Weitere Informationen finden Sie unter Zuweisen einer Sicherheitsvorlage zu einem Host oder einer Gruppe von Hosts.
Richten Sie die Routen ein.
Verwenden Sie in einem Terminalfenster den Befehl route hinzufügen, um Routen anzugeben.

Der erste Eintrag legt eine Standardroute fest. Der Eintrag gibt die Adresse von agateway an, 192.168.113.1, die verwendet werden soll, wenn keine bestimmte Route für den Host oder das Ziel des Pakets definiert ist.
```
# route add default 192.168.113.1 -static
```
Einzelheiten finden Sie auf der Manpage route(1M).
Richten Sie einen oder mehrere Netzwerkeinträge ein.
Verwenden Sie das Flag -secattr, um Sicherheitsattribute anzugeben.

In der folgenden Befehlsliste wird in der zweiten Zeile ein networkentry angezeigt. Die dritte Zeile zeigt einen Netzwerkeintrag mit der Bezeichnung rangeof PUBLIC to CONFIDENTIAL : INTERNAL USE ONLY.
```
# route add default 192.168.113.36# route add -net 192.168.102.0 gateway-101# route add -net 192.168.101.0 gateway-102 \-secattr min_sl="PUBLIC",max_sl="CONFIDENTIAL : INTERNAL USE ONLY",doi=1
```

Richten Sie einen oder mehrere Hosteinträge ein.

Die neue vierte Zeile zeigt einen Host-Eintrag für den Single-Label-Host gateway-pub. gateway-Pub hat eine breite Palette von öffentlichen zu öffentlichen.

# route add default 192.168.113.36# route add -net 192.168.102.0 gateway-101# route add -net 192.168.101.0 gateway-102 \-secattr min_sl="PUBLIC",max_sl="CONFIDENTIAL : INTERNAL USE ONLY",doi=1# route add -host 192.168.101.3 gateway-pub \-secattr min_sl="PUBLIC",max_sl="PUBLIC",doi=1

Beispiel 13-14 Hinzufügen einer Route mit dem Label CONFIDENTIAL : INTERNAL USE ONLY zu CONFIDENTIAL : RESTRICTED

Der folgende Befehl route fügt der Routing-Tabelle die Hosts at192.168.115.0 mit 192.168.118.39 als Gateway hinzu. Der Etikettenbereich reicht von VERTRAULICH: Nur FÜR DEN INTERNEN GEBRAUCH bis VERTRAULICH: EINGESCHRÄNKT, und der DOI ist 1.

$ route add -net 192.168.115.0 192.168.118.39 \-secattr min_sl="CONFIDENTIAL : INTERNAL USE ONLY",max_sl="CONFIDENTIAL : RESTRICTED",doi=1

Das Ergebnis der hinzugefügten Hosts wird mit dem netstat -rR angezeigt command.In der folgende Auszug, die anderen Routen werden durch Ellipsen ersetzt (…).

$ netstat -rRn...192.168.115.0 192.168.118.39 UG 0 0 min_sl=CNF : INTERNAL USE ONLY,max_sl=CNF : RESTRICTED,DOI=1,CIPSO...

Überprüfen der Syntax vertrauenswürdiger Netzwerkdatenbanken

Der Befehl tnchkdb überprüft, ob die Syntax jeder Netzwerkdatenbank korrekt ist.Die Solaris-Verwaltungskonsole führt diesen Befehl automatisch aus, wenn Sie das Tool Sicherheitsvorlagen oder das Tool Vertrauenswürdige Netzwerkzonen verwenden. Normalerweise führen Sie diesen Befehl aus, um die Syntax der Datenbankdateien zu überprüfen, die Sie für die zukünftige Verwendung konfigurieren.

Bevor Sie beginnen

Sie müssen sich in der globalen Zone in einer Rolle befinden, die Netzwerkeinstellungen überprüfen kann. Die Rolle Sicherheitsadministrator und die Rolle Systemadministratorkann diese Einstellungen überprüfen.

Führen Sie in einem Terminalfenster den Befehl tnchkdb aus.

$ tnchkdb checking /etc/security/tsol/tnrhtp ...checking /etc/security/tsol/tnrhdb ...checking /etc/security/tsol/tnzonecfg ...

Beispiel 13-15 Testen der Syntax einer Testnetzwerkdatenbank

In diesem Beispiel testet der Sicherheitsadministrator eine Netzwerkdatenbankdatei auf mögliche Verwendung. Anfangs verwendet der Administrator die falsche Option. Die Ergebnisse der Prüfung werden in der Zeile für die tnrhdb-Datei ausgedruckt:

$ tnchkdb -h /opt/secfiles/trial.tnrhtpchecking /etc/security/tsol/tnrhtp ...checking /opt/secfiles/trial.tnrhtp ...line 12: Illegal name: min_sl=ADMIN_LOW;max_sl=ADMIN_HIGHline 14: Illegal name: min_sl=ADMIN_LOW;max_sl=ADMIN_HIGHchecking /etc/security/tsol/tnzonecfg ...

Wenn der Sicherheitsadministrator die Datei mit der Option -t überprüft, bestätigt der Befehl, dass die Syntax der tnrhtp-Testdatenbank korrekt ist:

$ tnchkdb -t /opt/secfiles/trial.tnrhtpchecking /opt/secfiles/trial.tnrhtp ...checking /etc/security/tsol/tnrhdb ...checking /etc/security/tsol/tnzonecfg ...

So vergleichen Sie vertrauenswürdige Netzwerkdatenbankinformationen mit dem Kernel-Cache

Die Netzwerkdatenbanken enthalten möglicherweise Informationen, die nicht im Kernel zwischengespeichert werden. Dieses Verfahren prüft, ob die Informationen identisch sind. Wenn Sie die Solaris Management Console zum Aktualisieren des Netzwerks verwenden, wird der Kernelcache mit Netzwerkdatenbankinformationen aktualisiert. Der Befehl tninfo ist nützlich beim Testen undzum Debuggen.

Bevor Sie beginnen

Führen Sie in einem Terminalfenster den Befehl tninfo aus.
- tninfo -h hostname zeigt die IP-Adresse und die Vorlage für den angegebenen Host an.
- tninfo -t templatename zeigt die folgenden Informationen an:
```
template: template-namehost_type: either CIPSO or UNLABELEDdoi: 1min_sl: minimum-labelhex: minimum-hex-labelmax_sl: maximum-labelhex:maximum-hex-label
```
- tninfo -m zone-name zeigt die MLP-Konfiguration (Multilevel Port) einer Zone an.

Beispiel 13-16 Anzeigen von Multilevel-Ports auf einem Host

In diesem Beispiel wird ein System mit mehreren beschrifteten Zonen konfiguriert. Allzones teilen sich die gleiche IP-Adresse. Einige Zonen sind auch mit konfiguriertzonenspezifische Adressen. In dieser Konfiguration ist der TCP-Port für das Surfen im Internet, port8080, ein MLP auf einer gemeinsam genutzten Schnittstelle in der öffentlichen Zone. Der Administrator hat auch Telnet, TCP-Port 23, als anMLP in der öffentlichen Zone eingerichtet. Da sich diese beiden MLPs auf einer gemeinsamen Schnittstelle befinden, kann keine andere Zone, einschließlich der globalen Zone, Pakete auf der gemeinsamen Schnittstelle an den Ports 8080 und 23 empfangen.

Darüber hinaus ist der TCP-Port für ssh, Port 22, ein zonenspezifischer LPIN der öffentlichen Zone. Der SSH-Dienst der öffentlichen Zone kann empfangenalle Pakete auf seiner zonenspezifischen Adresse innerhalb des Etikettenbereichs der Adresse.

Der folgende Befehl zeigt die MLPs für die öffentliche Zone an:

$ tninfo -m publicprivate: 22/tcpshared: 23/tcp;8080/tcp

Der folgende Befehl zeigt die MLPs für die globale Zone an. Beachten Sie, dass die Ports 23 und 8080 keine MLPs in der globalen Zone sein können, da die globale Zone dieselbe Adresse wie die öffentliche Zone hat:

$ tninfo -m globalprivate: 111/tcp;111/udp;514/tcp;515/tcp;631/tcp;2049/tcp; 6000-6003/tcp;38672/tcp;60770/tcp;shared: 6000-6003/tcp

So synchronisieren Sie den Kernel-Cache mit vertrauenswürdigen Netzwerkdatenbanken

Wenn der Kernel nicht mit vertrauenswürdigen Netzwerkdatenbankinformationen aktualisiert wurde, haben Sie mehrere Möglichkeiten, den Kernel-Cache zu aktualisieren. Die Solaris ManagementConsole führt diesen Befehl automatisch aus, wenn Sie die Sicherheitsvorlagen zum Konfigurieren des Tools Vertrauenswürdige Netzwerkzonen verwenden.

Bevor Sie mit

beginnen, müssen Sie die Rolle des Sicherheitsadministrators in der globalen Zone haben.

Um den Kernel-Cache mit Netzwerkdatenbanken zu synchronisieren, führen Sie einen der folgenden Befehle aus:

Starten Sie den tnctl-Dienst neu.

Vorsicht – Verwenden Sie diese Methode nicht auf Systemen, die ihre vertrauenswürdigen Networkdatabase-Informationen von einem LDAP-Server beziehen. Die lokalen Datenbankinformationen würden die Informationen überschreiben, die vom LDAP-Server abgerufen werden.

$ svcadm restart svc:/network/tnctl

Dieser Befehl liest alle Informationen aus den lokalen vertrauenswürdigen Netzwerkdatenbanken in den Kernel.

Aktualisieren Sie den Kernel-Cache für Ihre kürzlich hinzugefügten Einträge.
```
$ tnctl -h hostname
```
Dieser Befehl liest nur die Informationen der gewählten Option in den Kernel ein. Einzelheiten zu den Optionen finden Sie in Beispiel 13-17 und der Manpage tnctl(1M).
Ändern Sie den tnd-Dienst.

Hinweis – Der tnd-Dienst wird nur ausgeführt, wenn der LDAP-Dienst ausgeführt wird.
- Ändern Sie das tnd-Abfrageintervall.
  Dadurch wird der Kernel-Cache nicht aktualisiert. Sie können das Pollintervall jedoch verkürzen, um den Kernel-Cache häufiger zu aktualisieren. Einzelheiten finden Sie im Beispiel in der Manpage tnd(1M).
- Aktualisieren Sie die tnd.
  Dieser SMF-Befehl (Service Management Facility) löst eine sofortige Aktualisierung von thekernel mit den letzten Änderungen an vertrauenswürdigen Netzwerkdatenbanken aus.
```
$ svcadm refresh svc:/network/tnd
```
- Starten Sie den tnd mit SMF neu.
```
$ svcadm restart svc:/network/tnd
```
  Vorsicht – Vermeiden Sie es, den Befehl tnd auszuführen, um den tnd neu zu starten. Dieser Befehl Kannkommunikationen unterbrechen, die derzeit erfolgreich sind.

Beispiel 13-17 Aktualisieren des Kernels mit den neuesten tnrhdb-Einträgen

In diesem Beispiel hat der Administrator der localtnrhdb-Datenbank drei Adressen hinzugefügt. Zuerst entfernte der Administrator den Platzhaltereintrag 0.0.0.0.

$ tnctl -d -h 0.0.0.0:admin_low

Anschließend zeigt der Administrator das Format der letzten drei Einträge in der Datenbank /etc/security/tsol/tnrhdb an:

$ tail /etc/security/tsol/tnrhdb#\:\:0:admin_low127.0.0.1:cipso#\:\:1:cipso192.168.103.5:admin_low192.168.103.0:cipso0.0.0.0/32:admin_low

Anschließend aktualisiert der Administrator den Kernel-Cache:

$ tnctl -h 192.168.103.5tnctl -h 192.168.103.0tnctl -h 0.0.0.0/32

Schließlich überprüft der Administrator, ob der Kernel-Cache aktualisiert wurde. Die Ausgabe für den ersten Eintrag ähnelt der folgenden:

$ tninfo -h 192.168.103.5IP Address: 192.168.103.5Template: admin_low

Beispiel 13-18 Aktualisieren von Netzwerkinformationen im Kernel

In diesem Beispiel aktualisiert der Administrator das vertrauenswürdige Netzwerk mit einem öffentlichen Dns-Server und überprüft dann, ob die Kerneleinstellungen korrekt sind.

$ tnctl -h public-print-server$ tninfo -h public-print-serverIP Address: 192.168.103.55Template: PublicOnly$ tninfo -t PublicOnly==================================Remote Host Template Table Entries----------------------------------template: PublicOnlyhost_type: CIPSOdoi: 1min_sl: PUBLIChex: 0x0002-08-08max_sl: PUBLIChex: 0x0002-08-08

UAC Blog

Konfigurieren von Routen und Überprüfen von Netzwerkinformationen in vertrauenswürdigen Erweiterungen (Task Map) – Oracle Solaris Trusted Extensions Administrator’s Procedures