Configuración de rutas y Comprobación de Información de red en Extensiones de Confianza (Mapa de tareas)
El siguiente mapa de tareas describe las tareas para configurar la red y verificar la configuración.
|
Cómo Configurar Rutas Con Atributos de seguridad
Antes de comenzar
Debe estar en el rol de Administrador de seguridad en la zona global.
- Agregue cada host de destino y puerta de enlace que esté utilizando para paquetes de rutas a través de la red de confianza.
Las direcciones se agregan al archivo local /etc/hosts, o a su equivalente en el servidor LDAP. Utilice la herramienta Ordenadores y redes de la Consola de administración Solaris. El ámbito Files modifica el archivo/etc / hosts. El LDAPscope modifica las entradas en el servidor LDAP. Para obtener más información, consulte Cómo agregar Hosts a la Red Conocida del Sistema.
- Asigne cada host de destino, red y puerta de enlace a una plantilla de seguridad.
Las direcciones se agregan al archivo local /etc/security/tsol/tnrhdb, o a su equivalente en el servidor LDAP. Utilice la herramienta Plantillas de seguridad en la consola SolarisManagement. Para obtener más información, consulte Cómo asignar una plantilla de seguridad a un Host o grupo de Hosts.
- Configure las rutas.
En una ventana de terminal, utilice el comando agregar ruta para especificar rutas.
La primera entrada establece una ruta predeterminada. La entrada especifica la dirección de agateway, 192.168.113.1, para usar cuando no se define una ruta específica para el host o el destino del paquete.
# route add default 192.168.113.1 -static
Para obtener más información, consulte la página de manual de route(1M).
- Configure una o más entradas de red.
Utilice el indicador-secattr para especificar atributos de seguridad.
En la siguiente lista de comandos, la segunda línea muestra una entrada de red. La tercera línea muestra una entrada de red con un rango de etiquetas de PÚBLICO a CONFIDENCIAL: SOLO USO INTERNO.
# route add default 192.168.113.36# route add -net 192.168.102.0 gateway-101# route add -net 192.168.101.0 gateway-102 \-secattr min_sl="PUBLIC",max_sl="CONFIDENTIAL : INTERNAL USE ONLY",doi=1
- Configure una o más entradas de host.
La nueva cuarta línea muestra una entrada de host para el host de etiqueta única,gateway-pub. gateway-pub tiene una gama de etiquetas de PÚBLICO a PÚBLICO.
# route add default 192.168.113.36# route add -net 192.168.102.0 gateway-101# route add -net 192.168.101.0 gateway-102 \-secattr min_sl="PUBLIC",max_sl="CONFIDENTIAL : INTERNAL USE ONLY",doi=1# route add -host 192.168.101.3 gateway-pub \-secattr min_sl="PUBLIC",max_sl="PUBLIC",doi=1
Ejemplo 13-14 Adición de una Ruta Con un Rango de Etiquetas de CONFIDENCIAL: USO INTERNO SOLO a CONFIDENCIAL : RESTRINGIDO
El siguiente comando de ruta agrega a la tabla de enrutamiento los hosts at192.168.115.0 con 192.168.118.39 como puerta de enlace. El rango de etiquetas va desde CONFIDENCIAL : SOLO USO INTERNO hasta CONFIDENCIAL: RESTRINGIDO, y el DOI es 1.
$ route add -net 192.168.115.0 192.168.118.39 \-secattr min_sl="CONFIDENTIAL : INTERNAL USE ONLY",max_sl="CONFIDENTIAL : RESTRICTED",doi=1
El resultado de los hosts añadidos se muestra con el netstat-rR command.In el siguiente extracto, las otras rutas se sustituyen por elipses (…).
$ netstat -rRn...192.168.115.0 192.168.118.39 UG 0 0 min_sl=CNF : INTERNAL USE ONLY,max_sl=CNF : RESTRICTED,DOI=1,CIPSO...
Cómo Comprobar la sintaxis de las bases de datos de Red de confianza
El comando tnchkdb comprueba que la sintaxis de cada base de datos de red sea precisa.La Consola de administración Solaris ejecuta este comando automáticamente cuando se utiliza la herramienta Plantillas de seguridad o la herramienta Zonas de red de confianza. Normalmente, ejecuta este comando para comprobar la sintaxis de los archivos de base de datos que está configurando para su uso futuro.
Antes de comenzar
Debe estar en la zona global en un rol que pueda verificar la configuración de red. El rol de Administrador de Seguridad y el rol de Administrador del sistema pueden comprobar estos ajustes.
- En una ventana de terminal, ejecute el comando tnchkdb.
$ tnchkdb checking /etc/security/tsol/tnrhtp ...checking /etc/security/tsol/tnrhdb ...checking /etc/security/tsol/tnzonecfg ...
Ejemplo 13-15 Prueba de la sintaxis de una base de datos de Red de prueba
En este ejemplo, el administrador de seguridad está probando un archivo de base de datos de red para su posible uso. Inicialmente, el administrador utiliza la opción incorrecta. Los resultados de la comprobación se imprimen en la línea del archivo tnrhdb:
$ tnchkdb -h /opt/secfiles/trial.tnrhtpchecking /etc/security/tsol/tnrhtp ...checking /opt/secfiles/trial.tnrhtp ...line 12: Illegal name: min_sl=ADMIN_LOW;max_sl=ADMIN_HIGHline 14: Illegal name: min_sl=ADMIN_LOW;max_sl=ADMIN_HIGHchecking /etc/security/tsol/tnzonecfg ...
Cuando el administrador de seguridad comprueba el archivo mediante la opción-t, el comando confirma que la sintaxis de la base de datos tnrhtp de prueba es exacta:
$ tnchkdb -t /opt/secfiles/trial.tnrhtpchecking /opt/secfiles/trial.tnrhtp ...checking /etc/security/tsol/tnrhdb ...checking /etc/security/tsol/tnzonecfg ...
Cómo Comparar la Información de Base de Datos de Red de Confianza Con la Caché del Núcleo
Las bases de datos de red pueden contener información que no se almacena en caché en el servidor. Este procedimiento comprueba que la información es idéntica. Cuando utiliza la consola de administración Solaris para actualizar la red, la caché del núcleo se actualiza con información de la base de datos de la red. El comando tninfo es útil durante las pruebas y para la depuración.
Antes de comenzar
Debe estar en la zona global en un rol que pueda verificar la configuración de red. El rol de Administrador de Seguridad y el rol de Administrador del sistema pueden comprobar estos ajustes.
- En una ventana de terminal, ejecute el comando tninfo.
-
tninfo-h hostname muestra la dirección IP y la plantilla para el host especificado.
-
tninfo-t templatename muestra la siguiente información:
template: template-namehost_type: either CIPSO or UNLABELEDdoi: 1min_sl: minimum-labelhex: minimum-hex-labelmax_sl: maximum-labelhex:maximum-hex-label
-
tninfo-m zone-name muestra la configuración de puertos multinivel (MLP) de una zona.
-
Ejemplo 13-16 Visualización de puertos multinivel en un Host
En este ejemplo, un sistema está configurado con varias zonas etiquetadas. Todas las zonas comparten la misma dirección IP. Algunas zonas también están configuradas con direcciones específicas de zona. En esta configuración, el puerto TCP para la navegación web, port8080, es un MLP en una interfaz compartida en la zona pública. El administrador también ha configurado telnet, puerto TCP 23, para ser anMLP en la zona pública. Debido a que estos dos MLP están en una interfaz compartida, ninguna otra zona, incluida la zona global, puede recibir paquetes en la interfaz compartida en los puertos 8080 y 23.
Además, el puerto TCP para ssh, el puerto 22, es un MPP por zona en la zona pública. El servicio ssh de la zona pública puede recibir cualquier paquete en su dirección específica de la zona dentro del rango de etiquetas de la dirección.
El siguiente comando muestra los MLPs para la zona pública:
$ tninfo -m publicprivate: 22/tcpshared: 23/tcp;8080/tcp
El siguiente comando muestra los MLPs de la zona global. Tenga en cuenta que los puertos 23 y 8080 no pueden ser MLP en la zona global porque la zona global comparte la misma dirección con la zona pública:
$ tninfo -m globalprivate: 111/tcp;111/udp;514/tcp;515/tcp;631/tcp;2049/tcp; 6000-6003/tcp;38672/tcp;60770/tcp;shared: 6000-6003/tcp
Cómo sincronizar la Caché del Núcleo Con Bases de Datos de Red de confianza
Cuando el núcleo no se ha actualizado con información de base de datos de red de confianza,tiene varias formas de actualizar la caché del núcleo. La consola de Administración de Solaris ejecuta este comando automáticamente cuando se utiliza la herramienta Plantillas de seguridad o la herramienta Zonas de red de confianza.
Antes de comenzar
Debe estar en el rol de Administrador de seguridad en la zona global.
- Para sincronizar la caché del núcleo con las bases de datos de red, ejecute uno de los siguientes comandos:
- Reinicie el servicio tnctl.
Precaución: No utilice este método en sistemas que obtengan su información de base de datos de red de confianza de un servidor LDAP. La información de la base de datos local sobrescribiría la información que se obtiene del servidor LDAP.
$ svcadm restart svc:/network/tnctl
Este comando lee toda la información de las bases de datos de la red local de confianza en el núcleo.
- Actualice la caché del núcleo para sus entradas añadidas recientemente.
$ tnctl -h hostname
Este comando lee solo la información de la opción elegida en el servidor. Para obtener más información sobre las opciones, consulte el ejemplo 13-17 y la página de manual de tnctl(1M).
- Modifique el servicio tnd.
Nota: El servicio tnd se ejecuta solo si se ejecuta el servicio ldap.
- Cambie el intervalo de sondeo tnd.
Esto no actualiza la caché del núcleo. Sin embargo, puede acortar el intervalo de seguimiento para actualizar la caché del núcleo con más frecuencia. Para más detalles, vea el ejemplo en la página de manual de tnd(1M).
- Actualice el tnd.
Este comando de Instalación de Administración de servicios (SMF) activa una actualización inmediata del servidor con cambios recientes en las bases de datos de red de confianza.
$ svcadm refresh svc:/network/tnd
- Reinicie el tnd usando SMF.
$ svcadm restart svc:/network/tnd
Precaución: Evite ejecutar el comando tnd para reiniciar el tnd. Este comando puede interrumpir las comunicaciones que están teniendo éxito actualmente.
- Cambie el intervalo de sondeo tnd.
- Reinicie el servicio tnctl.
Ejemplo 13-17 Actualización del Núcleo Con Sus Últimas Entradas tnrhdb
En este ejemplo, el administrador ha agregado tres direcciones a la base de datos localtnrhdb. En primer lugar, el administrador eliminó la entrada comodín 0.0.0.0.
$ tnctl -d -h 0.0.0.0:admin_low
A continuación, el administrador visualiza el formato de las tres entradas finales en la base de datos /etc/security/tsol/tnrhdb:
$ tail /etc/security/tsol/tnrhdb#\:\:0:admin_low127.0.0.1:cipso#\:\:1:cipso192.168.103.5:admin_low192.168.103.0:cipso0.0.0.0/32:admin_low
A continuación, el administrador actualiza la caché del núcleo:
$ tnctl -h 192.168.103.5tnctl -h 192.168.103.0tnctl -h 0.0.0.0/32
Finalmente, el administrador verifica que la caché del núcleo esté actualizada. El resultado de la primera entrada es similar al siguiente:
$ tninfo -h 192.168.103.5IP Address: 192.168.103.5Template: admin_low
Ejemplo 13-18 Actualización de la información de red en el Núcleo
En este ejemplo, el administrador actualiza la red de confianza con un servidor de impresión pública y, a continuación, comprueba que la configuración del núcleo sea correcta.
$ tnctl -h public-print-server$ tninfo -h public-print-serverIP Address: 192.168.103.55Template: PublicOnly$ tninfo -t PublicOnly==================================Remote Host Template Table Entries----------------------------------template: PublicOnlyhost_type: CIPSOdoi: 1min_sl: PUBLIChex: 0x0002-08-08max_sl: PUBLIChex: 0x0002-08-08