Configurazione dei percorsi e controllo delle informazioni di rete in estensioni attendibili (Mappa attività)
La seguente mappa attività descrive le attività per configurare la rete e per verificare la configurazione.
|
Come configurare i percorsi con attributi di sicurezza
Prima di iniziare
è necessario essere nel ruolo di amministratore di sicurezza nella zona globale.
- Aggiungere ogni host di destinazione e gateway che si sta utilizzando per routepackets sulla rete attendibile.
Gli indirizzi vengono aggiunti al file /etc/hosts locale o al relativo equivalente sul server LDAP. Utilizzare lo strumento Computer e reti nella Console di gestione di Solaris. L’ambito File modifica il file / etc / hosts. LDAPscope modifica le voci sul server LDAP. Per i dettagli, vedere Come aggiungere host alla rete nota del sistema.
- Assegnare ogni host di destinazione, rete e gateway a un modello di sicurezza.
Gli indirizzi vengono aggiunti al file locale /etc/security/tsol/tnrhdb o al relativo equivalente sul server LDAP. Utilizzare lo strumento Modelli di sicurezza nella console SolarisManagement. Per i dettagli, vedere Come assegnare un modello di sicurezza a un host o a un gruppo di host.
- Imposta i percorsi.
In una finestra di terminale, utilizzare il comando Aggiungi percorso per specificare i percorsi.
La prima voce imposta un percorso predefinito. La voce specifica l’indirizzo di agateway, 192.168.113.1, da utilizzare quando non è definita alcuna rotta specifica per l’host o la destinazione del pacchetto.
# route add default 192.168.113.1 -static
Per i dettagli, vedere la pagina man di route(1M).
- Configura una o più voci di rete.
Utilizzare il flag-secattr per specificare gli attributi di sicurezza.
Nel seguente elenco di comandi, la seconda riga mostra un networkentry. La terza riga mostra una voce di rete con un intervallo di etichette da PUBBLICO a RISERVATO : SOLO PER USO INTERNO.
# route add default 192.168.113.36# route add -net 192.168.102.0 gateway-101# route add -net 192.168.101.0 gateway-102 \-secattr min_sl="PUBLIC",max_sl="CONFIDENTIAL : INTERNAL USE ONLY",doi=1
- Impostare una o più voci host.
La nuova quarta riga mostra una voce host per l’host a etichetta singola,gateway-pub. gateway-pub ha una gamma di etichette di pubblico a pubblico.
# route add default 192.168.113.36# route add -net 192.168.102.0 gateway-101# route add -net 192.168.101.0 gateway-102 \-secattr min_sl="PUBLIC",max_sl="CONFIDENTIAL : INTERNAL USE ONLY",doi=1# route add -host 192.168.101.3 gateway-pub \-secattr min_sl="PUBLIC",max_sl="PUBLIC",doi=1
Esempio 13-14 Aggiunta di un percorso con un’etichetta Intervallo di CONFIDENTIAL: USO INTERNO SOLO a CONFIDENTIAL : RESTRICTED
Il seguente comando route aggiunge alla tabella di routing gli host at192.168.115.0 con 192.168.118.39 come gateway. L’intervallo di etichette va da RISERVATO: solo PER USO INTERNO a RISERVATO: LIMITATO e il DOI è 1.
$ route add -net 192.168.115.0 192.168.118.39 \-secattr min_sl="CONFIDENTIAL : INTERNAL USE ONLY",max_sl="CONFIDENTIAL : RESTRICTED",doi=1
Il risultato degli host aggiunti viene mostrato con netstat-rR command.In il seguente estratto, gli altri percorsi sono sostituiti da ellissi (…).
$ netstat -rRn...192.168.115.0 192.168.118.39 UG 0 0 min_sl=CNF : INTERNAL USE ONLY,max_sl=CNF : RESTRICTED,DOI=1,CIPSO...
Come controllare la sintassi dei database di rete attendibili
Il comando tnchkdb controlla che la sintassi di ciascun database di rete sia accurata.La console di gestione Solaris esegue automaticamente questo comando quando si utilizza lo strumento Modelli di sicurezza o lo strumento Zone di rete attendibili. In genere, si esegue questo comando per verificare la sintassi dei file di database che si stanno configurando per un uso futuro.
Prima di iniziare
È necessario trovarsi nella zona globale in un ruolo che puòcontrollare le impostazioni di rete. Il ruolo di amministratore di sicurezza e il ruolo di amministratore di sistemapuò controllare queste impostazioni.
- In una finestra di terminale, eseguire il comando tnchkdb.
$ tnchkdb checking /etc/security/tsol/tnrhtp ...checking /etc/security/tsol/tnrhdb ...checking /etc/security/tsol/tnzonecfg ...
Esempio 13-15 Verifica della sintassi di un database di rete di prova
In questo esempio, l’amministratore di sicurezza sta testando un file di database di reteper un possibile utilizzo. Inizialmente, l’amministratore utilizza l’opzione sbagliata. I risultati del controllo sono stampati sulla riga per il file tnrhdb:
$ tnchkdb -h /opt/secfiles/trial.tnrhtpchecking /etc/security/tsol/tnrhtp ...checking /opt/secfiles/trial.tnrhtp ...line 12: Illegal name: min_sl=ADMIN_LOW;max_sl=ADMIN_HIGHline 14: Illegal name: min_sl=ADMIN_LOW;max_sl=ADMIN_HIGHchecking /etc/security/tsol/tnzonecfg ...
Quando l’amministratore della sicurezza controlla il file utilizzando l’opzione-t, il comando conferma che la sintassi del database tnrhtp di prova è precisa:
$ tnchkdb -t /opt/secfiles/trial.tnrhtpchecking /opt/secfiles/trial.tnrhtp ...checking /etc/security/tsol/tnrhdb ...checking /etc/security/tsol/tnzonecfg ...
Come confrontare le informazioni del database di rete attendibile con la cache del kernel
I database di rete potrebbero contenere informazioni che non sono memorizzate nella cache nel kernel. Questa procedura verifica che le informazioni siano identiche. Quando si utilizza la console di gestione Solaris per aggiornare la rete, la cache del kernel viene aggiornata con le informazioni del database di rete. Il comando tninfo è utile durante il test eper il debug.
Prima di iniziare
È necessario trovarsi nella zona globale in un ruolo che puòcontrollare le impostazioni di rete. Il ruolo di amministratore di sicurezza e il ruolo di amministratore di sistemapuò controllare queste impostazioni.
- In una finestra di terminale, eseguire il comando tninfo.
-
tninfo-h hostname visualizza l’indirizzo IP e il modello per l’host specificato.
-
tninfo-t templatename visualizza le seguenti informazioni:
template: template-namehost_type: either CIPSO or UNLABELEDdoi: 1min_sl: minimum-labelhex: minimum-hex-labelmax_sl: maximum-labelhex:maximum-hex-label
-
tninfo-m zone-name visualizza la configurazione della porta multilivello (MLP) di una zona.
-
Esempio 13-16 Visualizzazione di porte multilivello su un host
In questo esempio, un sistema è configurato con diverse zone etichettate. Allzones condividono lo stesso indirizzo IP. Alcune zone sono anche configurate conindirizzi specifici della zona. In questa configurazione, la porta TCP per la navigazione web, port8080, è un MLP su un’interfaccia condivisa nella zona pubblica. L’amministratore ha anche impostato telnet, porta TCP 23, per essere anMLP nella zona pubblica. Poiché questi due MLP sono su un’interfaccia condivisa, nessun’altra zona, inclusa la zona globale, può ricevere pacchetti sull’interfaccia condivisa sulle porte 8080 e 23.
Inoltre, la porta TCP per ssh, la porta 22, è una per-zoneMLP nella zona pubblica. Il servizio ssh della zona pubblica può ricevere qualsiasi pacchetto sull’indirizzo specifico della zona all’interno dell’intervallo di etichette dell’indirizzo.
Il seguente comando mostra gli MLP per la zona pubblica:
$ tninfo -m publicprivate: 22/tcpshared: 23/tcp;8080/tcp
Il seguente comando mostra gli MLP per la zona globale. Nota thatports 23 e 8080 non può essere MLPs nel global zone becausethe global zone condivide lo stesso indirizzo con il pubblico zona:
$ tninfo -m globalprivate: 111/tcp;111/udp;514/tcp;515/tcp;631/tcp;2049/tcp; 6000-6003/tcp;38672/tcp;60770/tcp;shared: 6000-6003/tcp
Come Sincronizzare la Cache del Kernel Con Fiducia Database di Rete
Quando il kernel non è stato aggiornato con rete di fiducia database di informazioni,sono disponibili diversi modi per aggiornare la cache del kernel. Solaris ManagementConsole esegue automaticamente questo comando quando si utilizzano i modelli di sicurezza per colorare lo strumento Zone di rete attendibili.
Prima di iniziare
è necessario essere nel ruolo di amministratore di sicurezza nella zona globale.
- Per sincronizzare la cache del kernel con i database di rete, eseguire uno dei seguenti comandi:
- Riavviare il servizio tnctl.
Attenzione: non utilizzare questo metodo sui sistemi che ottengono le informazioni attendibili di networkdatabase da un server LDAP. Le informazioni del database locale sovrascriverannole informazioni ottenute dal server LDAP.
$ svcadm restart svc:/network/tnctl
Questo comando legge tutte le informazioni dai database di rete attendibili locali inthe kernel.
- Aggiorna la cache del kernel per le voci aggiunte di recente.
$ tnctl -h hostname
Questo comando legge solo le informazioni dall’opzione scelta nelkernel. Per i dettagli sulle opzioni, vedere l’esempio 13-17 e la pagina di manuale tnctl(1M).
- Modificare il servizio tnd.
Nota: il servizio tnd è in esecuzione solo se è in esecuzione il servizio ldap.
- Modificare l’intervallo di polling tnd.
Questo non aggiorna la cache del kernel. Tuttavia, è possibile abbreviare l’intervallo di polling per aggiornare la cache del kernel più frequentemente. Per i dettagli, vedere l’esempio nella pagina man di tnd (1M).
- Aggiorna il tnd.
Questo comando SMF (Service Management Facility) attiva un aggiornamento immediato di thekernel con modifiche recenti ai database di rete attendibili.
$ svcadm refresh svc:/network/tnd
- Riavviare il tnd utilizzando SMF.
$ svcadm restart svc:/network/tnd
Attenzione-Evitare di eseguire il comando tnd per riavviare il tnd. Questo comando puòinterrompere le comunicazioni che stanno avendo successo.
- Modificare l’intervallo di polling tnd.
- Riavviare il servizio tnctl.
Esempio 13-17 Aggiornamento del Kernel con le ultime voci di tnrhdb
In questo esempio, l’amministratore ha aggiunto tre indirizzi al database localtnrhdb. Innanzitutto, l’amministratore ha rimosso la voce jolly 0.0.0.0.
$ tnctl -d -h 0.0.0.0:admin_low
Quindi, l’amministratore visualizza il formato delle ultime tre voci nel database/etc/security/tsol / tnrhdb:
$ tail /etc/security/tsol/tnrhdb#\:\:0:admin_low127.0.0.1:cipso#\:\:1:cipso192.168.103.5:admin_low192.168.103.0:cipso0.0.0.0/32:admin_low
Quindi, l’amministratore aggiorna la cache del kernel:
$ tnctl -h 192.168.103.5tnctl -h 192.168.103.0tnctl -h 0.0.0.0/32
Infine, l’amministratore verifica che la cache del kernel sia aggiornata. L’output per la prima voce è simile al seguente:
$ tninfo -h 192.168.103.5IP Address: 192.168.103.5Template: admin_low
Esempio 13-18 Aggiornamento delle informazioni di rete nel Kernel
In questo esempio, l’amministratore aggiorna la rete attendibile con un server publicprint, quindi verifica che le impostazioni del kernel siano corrette.
$ tnctl -h public-print-server$ tninfo -h public-print-serverIP Address: 192.168.103.55Template: PublicOnly$ tninfo -t PublicOnly==================================Remote Host Template Table Entries----------------------------------template: PublicOnlyhost_type: CIPSOdoi: 1min_sl: PUBLIChex: 0x0002-08-08max_sl: PUBLIChex: 0x0002-08-08