reittien määrittäminen ja verkon tietojen tarkistaminen luotetuissa laajennuksissa (Tehtäväkartta)
seuraavassa tehtäväkartassa kuvataan tehtävät, joilla määritetään verkko ja tarkistetaan määritykset.
|
kuinka määrittää reitit, joiden tietoturva-attribuutit ovat
ennen kuin aloitat
, sinun on oltava turvallisuusvalvojan roolissa maailmanlaajuisella vyöhykkeellä.
- Lisää kaikki kohdehostajat ja yhdyskäytävät, joita käytät routepaketteihin luotetun verkon yli.
osoitteet lisätään paikalliseen / etc / hosts-tiedostoon tai sen vastaavaan LDAP-palvelimeen. Käytä tietokoneet ja verkot-työkalua theSolaris Management Consolessa. Tiedostojen laajuus muuttaa/etc / hosts-tiedostoa. LDAPscope muokkaa LDAP-palvelimen merkintöjä. Lisätietoja on ohjeaiheessa isäntien lisääminen järjestelmän tunnettuun verkkoon.
- Määritä jokainen kohdeis-isäntä, verkko ja yhdyskäytävä tietoturvamalliin.
osoitteet lisätään paikalliseen / etc/security/tsol / tnrhdb-tiedostoon tai sen vastaavaan LDAP-palvelimeen. Käytä SolarisManagement-konsolin Tietoturvamallinnustyökalua. Lisätietoja on ohjeaiheessa tietoturvamallin määrittäminen isännälle tai Isäntäryhmälle.
- muodostaneet reitit.
päätteikkunassa voit määrittää reitit reitinlisäys-komennolla.
ensimmäinen merkintä määrittää oletusreitin. Merkinnässä ilmoitetaan agatewayn osoite 192.168.113.1, jota käytetään silloin, kun vastaanottajalle tai paketin määränpäälle ei ole määritelty mitään tiettyä reittiä.
# route add default 192.168.113.1 -static
tarkemmat tiedot löytyvät reitti (1M) – miessivulta.
- Perustaa yhden tai useamman verkkomerkinnän.
käytä-secattr-lippua turvatekijöiden määrittämiseen.
seuraavassa käskyluettelossa toisella rivillä näkyy verkko. Kolmas rivi näyttää verkkosisällön merkinnällä range of PUBLIC to CONFIDENTIAL: INTERNAL USE ONLY.
# route add default 192.168.113.36# route add -net 192.168.102.0 gateway-101# route add -net 192.168.101.0 gateway-102 \-secattr min_sl="PUBLIC",max_sl="CONFIDENTIAL : INTERNAL USE ONLY",doi=1
- määritä yksi tai useampi isäntä merkinnät.
uudella neljännellä rivillä näkyy yhden merkin isäntä,gateway-pub. gateway-pubissa on yleisövalikoima.
# route add default 192.168.113.36# route add -net 192.168.102.0 gateway-101# route add -net 192.168.101.0 gateway-102 \-secattr min_sl="PUBLIC",max_sl="CONFIDENTIAL : INTERNAL USE ONLY",doi=1# route add -host 192.168.101.3 gateway-pub \-secattr min_sl="PUBLIC",max_sl="PUBLIC",doi=1
esimerkki 13-14 lisäämällä reitti, jonka etiketin vaihteluväli on luottamuksellinen: sisäinen käyttö vain luottamukselliseen : Rajoitettu
seuraava reittikomento lisää reititystaulukkoon isännät osoitteeseen 192.168. 115. 0 ja yhdyskäytäväksi 192.168.118.39. Etikettialue on CONFIDENTIAL: INTERNAL USE only CONFIDENTIAL: RESTRICTED, ja Doi on 1.
$ route add -net 192.168.115.0 192.168.118.39 \-secattr min_sl="CONFIDENTIAL : INTERNAL USE ONLY",max_sl="CONFIDENTIAL : RESTRICTED",doi=1
lisättyjen isäntien tulos näkyy netstat-rR: llä command.In seuraavassa otteessa muut reitit korvataan ellipseillä (…).
$ netstat -rRn...192.168.115.0 192.168.118.39 UG 0 0 min_sl=CNF : INTERNAL USE ONLY,max_sl=CNF : RESTRICTED,DOI=1,CIPSO...
luotettujen Verkkotietokantojen syntaksin tarkistaminen
tnchkdb-komento tarkistaa, että kunkin Verkkotietokannan syntaksi on tarkka.Solaris – hallintakonsoli suorittaa tämän komennon automaattisesti, kun käytät turva-Mallipohjatyökalua tai Luotetut verkkoalueet-työkalua. Tyypillisesti, suoritat tämän komennon tarkistaa syntaksi tietokantatiedostot, joita olet konfiguroimassa tulevaa käyttöä varten.
ennen kuin aloitat
sinun täytyy olla globaalilla vyöhykkeellä roolissa, joka voi tarkistaa verkkoasetukset. Turvallisuusvalvojan rooli ja järjestelmänvalvojan rolecan tarkistaa nämä asetukset.
- suorita pääteikkunassa tnchkdb-komento.
$ tnchkdb checking /etc/security/tsol/tnrhtp ...checking /etc/security/tsol/tnrhdb ...checking /etc/security/tsol/tnzonecfg ...
esimerkki 13-15 Testing the Syntax of a Trial Network Database
in this example, the security administrator is testing a network database file for possible use. Aluksi ylläpitäjä käyttää väärää vaihtoehtoa. Tarkastuksen tulokset tulostetaan tnrhdb-tiedoston riville:
$ tnchkdb -h /opt/secfiles/trial.tnrhtpchecking /etc/security/tsol/tnrhtp ...checking /opt/secfiles/trial.tnrhtp ...line 12: Illegal name: min_sl=ADMIN_LOW;max_sl=ADMIN_HIGHline 14: Illegal name: min_sl=ADMIN_LOW;max_sl=ADMIN_HIGHchecking /etc/security/tsol/tnzonecfg ...
kun tietoturvavalvoja tarkistaa tiedoston-t-valitsimella, komento vahvistaa, että trial tnrhtp-tietokannan syntaksi on accurate:
$ tnchkdb -t /opt/secfiles/trial.tnrhtpchecking /opt/secfiles/trial.tnrhtp ...checking /etc/security/tsol/tnrhdb ...checking /etc/security/tsol/tnzonecfg ...
luotettavan verkon tietokannan tietojen vertaaminen ytimen välimuistiin
verkon tietokannat saattavat sisältää tietoja, joita ei ole välimuistissa kernelissä. Tällä menettelyllä varmistetaan, että tiedot ovat samat. Kun käytät Solaris-hallintakonsolia verkon päivittämiseen, ytimen välimuisti päivitetään verkon tietokantatiedoilla. Tninfo-komento on hyödyllinen testauksen ja vianetsinnän aikana.
ennen kuin aloitat
sinun täytyy olla globaalilla vyöhykkeellä roolissa, joka voi tarkistaa verkkoasetukset. Turvallisuusvalvojan rooli ja järjestelmänvalvojan rolecan tarkistaa nämä asetukset.
- suorita pääteikkunassa tninfo-komento.
-
tninfo-h-konenimi näyttää määritetyn palvelimen IP-osoitteen ja mallin.
-
tninfo-t templatename näyttää seuraavat tiedot:
template: template-namehost_type: either CIPSO or UNLABELEDdoi: 1min_sl: minimum-labelhex: minimum-hex-labelmax_sl: maximum-labelhex:maximum-hex-label
-
tninfo-m zone-nimi näyttää monitasoportin (MLP) kokoonpanon vyöhykkeen.
-
esimerkki 13-16 näyttämällä Monitasoportteja palvelimella
tässä esimerkissä järjestelmä on määritetty usealla merkityllä vyöhykkeellä. Kaikilla on sama IP-osoite. Jotkut alueet on myös konfiguroitu aluekohtaisten osoitteiden avulla. Tässä määrityksessä TCP-portti verkkoselailuun, port8080, on MLP julkisella vyöhykkeellä jaetussa käyttöliittymässä. Hallinto on myös perustanut telnetin, TCP-portin 23, olemaan anmlp julkisella vyöhykkeellä. Koska nämä kaksi MLP: tä ovat ashared-käyttöliittymässä, mikään muu vyöhyke, mukaan lukien globaali vyöhyke, ei voi vastaanottaa paketteja jaetussa rajapinnassa porteissa 8080 ja 23.
lisäksi ssh: n TCP-portti, portti 22, on per-zoneMLP julkisella vyöhykkeellä. Julkisen vyöhykkeen ssh-palvelu voi vastaanottaa minkä tahansa paketin sen vyöhykekohtaiseen osoitteeseen osoitteen etikettialueella.
seuraava komento näyttää MLPs-arvot julkiselle alueelle:
$ tninfo -m publicprivate: 22/tcpshared: 23/tcp;8080/tcp
seuraava komento näyttää MLPs global zone. Huomaa, että satamat 23 ja 8080 eivät voi olla MLP-alueita maailmanlaajuisella vyöhykkeellä, koska maailmanlaajuisella vyöhykkeellä on sama osoite kuin yleisellä vyöhykkeellä.:
$ tninfo -m globalprivate: 111/tcp;111/udp;514/tcp;515/tcp;631/tcp;2049/tcp; 6000-6003/tcp;38672/tcp;60770/tcp;shared: 6000-6003/tcp
kuinka synkronoida ytimen välimuisti luotettujen Verkkotietokantojen kanssa
kun ydintä ei ole päivitetty luotettujen verkon tietokantojen tiedoilla,on useita tapoja päivittää ytimen välimuisti. Solaris ManagementConsole suorittaa tämän komennon automaattisesti, kun käytät Suojausmalleja tai luotettuja Verkkovyöhykkeitä.
ennen kuin aloitat
sinun täytyy olla turvallisuusvalvojan roolissa globaalilla vyöhykkeellä.
- synkronoidaksesi ytimen välimuistin verkkotietokantojen kanssa, suorita jokin seuraavista komennoista:
- Käynnistä Tnctl-palvelu uudelleen.
Varoitus-Älä käytä tätä menetelmää järjestelmissä, jotka saavat luotettu verkkodatabase tiedot LDAP-palvelimelta. Paikallisen tietokannan tiedot korvaisivat LDAP-palvelimelta saatavat tiedot.
$ svcadm restart svc:/network/tnctl
tämä komento lukee kaikki paikallisen luotetun verkon tietokantojen tiedot ytimeen.
- Päivitä äskettäin lisättyjen tietueiden ytimen välimuisti.
$ tnctl -h hostname
tämä komento lukee vain valitun vaihtoehdon tiedot kerneliin. Lisätietoja vaihtoehdoista, katso esimerkki 13-17 ja tnctl (1m) manpage.
- muokkaa tnd-palvelua.
huomaa-tnd-palvelu on käynnissä vain, jos ldap-palvelu on käynnissä.
- muuta tnd: n äänestysväliä.
tämä ei päivitä ytimen välimuistia. Kuitenkin, voit lyhentää thepolling aikaväli päivittää ytimen välimuisti useammin. Lisätietoja on tnd: n(1M) man-sivulla olevassa esimerkissä.
- Päivitä tnd.
tämä SMF (Service Management Facility) – komento käynnistää välittömästi thekernelin päivityksen, kun luotettuihin verkkotietokantoihin on tehty viime aikoina muutoksia.
$ svcadm refresh svc:/network/tnd
- Käynnistä tnd uudelleen käyttämällä SMF.
$ svcadm restart svc:/network/tnd
Varoitus-Vältä TND-komennon ajamista käynnistääksesi tnd: n uudelleen. Tämä komento voi häiritä viestintää, joka tällä hetkellä onnistuu.
- muuta tnd: n äänestysväliä.
- Käynnistä Tnctl-palvelu uudelleen.
esimerkki 13-17 Ytimen päivittäminen uusimmilla tnrhdb-merkinnöillä
tässä esimerkissä ylläpitäjä on lisännyt kolme osoitetta localtnrhdb-tietokantaan. Ensin ylläpitäjä poisti 0.0.0.0-jokerimerkin merkinnän.
$ tnctl -d -h 0.0.0.0:admin_low
sitten ylläpitäjä tarkastelee kolmen viimeisen merkinnän muotoa /etc / security / tsol/tnrhdb-tietokannassa:
$ tail /etc/security/tsol/tnrhdb#\:\:0:admin_low127.0.0.1:cipso#\:\:1:cipso192.168.103.5:admin_low192.168.103.0:cipso0.0.0.0/32:admin_low
sitten, järjestelmänvalvoja päivittää ytimen välimuisti:
$ tnctl -h 192.168.103.5tnctl -h 192.168.103.0tnctl -h 0.0.0.0/32
lopuksi ylläpitäjä tarkistaa, että ytimen välimuisti on päivitetty. Ensimmäisen merkinnän ulostulo on samanlainen kuin seuraavat:
$ tninfo -h 192.168.103.5IP Address: 192.168.103.5Template: admin_low
esimerkki 13-18 verkon tietojen päivittäminen ytimessä
tässä esimerkissä järjestelmänvalvoja päivittää luotetun verkon publicprint-palvelimella ja tarkistaa sitten, että ytimen asetukset ovat oikein.
$ tnctl -h public-print-server$ tninfo -h public-print-serverIP Address: 192.168.103.55Template: PublicOnly$ tninfo -t PublicOnly==================================Remote Host Template Table Entries----------------------------------template: PublicOnlyhost_type: CIPSOdoi: 1min_sl: PUBLIChex: 0x0002-08-08max_sl: PUBLIChex: 0x0002-08-08