Konfigurowanie tras i Sprawdzanie informacji o sieci w zaufanych rozszerzeniach (Mapa Zadań) – procedury administratora Oracle Solaris Trusted Extensions

Konfigurowanie tras i Sprawdzanie informacji o sieci w zaufanych rozszerzeniach (Mapa Zadań)

poniższa Mapa zadań opisuje zadania związane z konfiguracją sieci i jej poprawą.

zadanie
opis
instrukcje
Konfiguracja tras statycznych.
ręcznie opisuje najlepszą trasę z onehost do innego hosta.
sprawdź dokładność baz danych sieci lokalnych.
używa polecenia thetnchkdb do sprawdzania poprawności składniowej lokalnych baz danych sieci.
porównuj wpisy sieciowej bazy danych z wpisami w pamięci podręcznej jądra.
używa polecenia thetninfo do określenia, czy pamięć podręczna jądra została zaktualizowana o najnowsze informacje z bazy danych.
Synchronizacja pamięci podręcznej jądra z sieciowymi bazami danych.
używa polecenia tnctl do aktualizacji pamięci podręcznej jądra z aktualnymi informacjami o sieciowej bazie danych w uruchomionym systemie.

jak skonfigurować trasy z atrybutami zabezpieczeń

przed rozpoczęciem

musisz być w roli administratora bezpieczeństwa w strefie globalnej.

  1. Dodaj każdy host docelowy i bramę, których używasz do routepacketów w zaufanej sieci.

    adresy są dodawane do lokalnego pliku /etc/hosts lub do jego odpowiednika na serwerze LDAP. Użyj narzędzia Komputery i sieci w konsoli zarządzania Solaris. Zakres plików modyfikuje plik/etc / hosts. LDAPscope modyfikuje wpisy na serwerze LDAP. Aby uzyskać szczegółowe informacje, zobacz Jak dodać hosty do znanej sieci systemu.

  2. przypisuj każdy host docelowy, Sieć i bramę do szablonu zabezpieczeń.

    adresy są dodawane do lokalnego pliku /etc/security/tsol/tnrhdb lub do jego odpowiednika na serwerze LDAP. Użyj narzędzia Szablony zabezpieczeń w konsoli SolarisManagement. Aby uzyskać szczegółowe informacje, zobacz Jak przypisać szablon zabezpieczeń do hosta lub grupy hostów.

  3. Ustaw trasy.

    w oknie terminala użyj polecenia route add, aby określić trasy.

    pierwszy wpis Ustawia domyślną trasę. Wpis określa adres agateway, 192.168.113.1, do użycia, gdy nie jest zdefiniowana żadna konkretna trasa dla hosta lub miejsca docelowego pakietu.

    # route add default 192.168.113.1 -static

    szczegółowe informacje można znaleźć na stronie podręcznika trasa(1M).

  4. Skonfiguruj jeden lub więcej wpisów sieci.

    Użyj flagi-secattr, aby określić atrybuty zabezpieczeń.

    na poniższej liście poleceń, druga linia pokazuje sieć. Trzecia linia pokazuje wpis sieciowy z zakresem etykiet PUBLIC do CONFIDENTIAL: tylko do użytku wewnętrznego.

    # route add default 192.168.113.36# route add -net 192.168.102.0 gateway-101# route add -net 192.168.101.0 gateway-102 \-secattr min_sl="PUBLIC",max_sl="CONFIDENTIAL : INTERNAL USE ONLY",doi=1
  5. Skonfiguruj jeden lub więcej wpisów hosta.

    Nowa czwarta linia pokazuje wpis hosta dla hosta z jedną etykietą, gateway-pub. gateway-pub ma zasięg etykiety publicznej do publicznej.

    # route add default 192.168.113.36# route add -net 192.168.102.0 gateway-101# route add -net 192.168.101.0 gateway-102 \-secattr min_sl="PUBLIC",max_sl="CONFIDENTIAL : INTERNAL USE ONLY",doi=1# route add -host 192.168.101.3 gateway-pub \-secattr min_sl="PUBLIC",max_sl="PUBLIC",doi=1

przykład 13-14 dodawanie trasy z zakresem etykiet poufnych: użycie wewnętrzne tylko do poufnych : RESTRICTED

poniższe polecenie route dodaje do tabeli routingu hosty at192.168. 115. 0 z bramką 192.168.118.39. Zakres etykiet wynosi od CONFIDENTIAL: INTERNAL USE only do CONFIDENTIAL: RESTRICTED, a DOI wynosi 1.

$ route add -net 192.168.115.0 192.168.118.39 \-secattr min_sl="CONFIDENTIAL : INTERNAL USE ONLY",max_sl="CONFIDENTIAL : RESTRICTED",doi=1

wynik dodanych hostów jest wyświetlany za pomocą netstat-RR command.In w poniższym fragmencie pozostałe trasy zostały zastąpione przez elipsy (…).

$ netstat -rRn...192.168.115.0 192.168.118.39 UG 0 0 min_sl=CNF : INTERNAL USE ONLY,max_sl=CNF : RESTRICTED,DOI=1,CIPSO...

Jak sprawdzić składnię zaufanych sieciowych baz danych

polecenie tnchkdb sprawdza, czy składnia każdej sieciowej bazy danych jest poprawna.Konsola zarządzania Solaris uruchamia to polecenie automatycznie, gdy używasz narzędzia szablony bezpieczeństwa lub narzędzia zaufane strefy sieciowe. Zazwyczaj uruchamiasz to polecenie, aby sprawdzić składnię plików bazodanowych, które konfigurujesz do przyszłego użycia.

przed rozpoczęciem

musisz być w strefie globalnej w roli, która może sprawdzić ustawienia sieciowe. Rola administratora bezpieczeństwa i administratora systemu mogą sprawdzić te ustawienia.

  • w oknie terminala uruchom polecenie tnchkdb. 
    $ tnchkdb checking /etc/security/tsol/tnrhtp ...checking /etc/security/tsol/tnrhdb ...checking /etc/security/tsol/tnzonecfg ...

przykład 13-15 testowanie składni sieciowej bazy danych w wersji próbnej

w tym przykładzie administrator Bezpieczeństwa testuje plik sieciowej bazy danych w celu ewentualnego wykorzystania. Początkowo administrator używa niewłaściwej opcji. Wyniki kontroli są drukowane na linii dla pliku tnrhdb:

$ tnchkdb -h /opt/secfiles/trial.tnrhtpchecking /etc/security/tsol/tnrhtp ...checking /opt/secfiles/trial.tnrhtp ...line 12: Illegal name: min_sl=ADMIN_LOW;max_sl=ADMIN_HIGHline 14: Illegal name: min_sl=ADMIN_LOW;max_sl=ADMIN_HIGHchecking /etc/security/tsol/tnzonecfg ...

gdy administrator Bezpieczeństwa sprawdza plik za pomocą opcji-t, polecenie potwierdza, że składnia testowej bazy danych tnrhtp jest poprawna:

$ tnchkdb -t /opt/secfiles/trial.tnrhtpchecking /opt/secfiles/trial.tnrhtp ...checking /etc/security/tsol/tnrhdb ...checking /etc/security/tsol/tnzonecfg ...

jak porównać Informacje o zaufanej sieciowej bazie danych z pamięcią podręczną Jądra

sieciowe bazy danych mogą zawierać informacje, które nie są buforowane w sieci. Procedura ta sprawdza, czy informacje są identyczne. Gdy używasz konsoli zarządzania Solaris do aktualizacji sieci, pamięć podręczna jądra jest aktualizowana o informacje o sieciowej bazie danych. Polecenie tninfo jest przydatne podczas testowania i do debugowania.

przed rozpoczęciem

musisz być w strefie globalnej w roli, która może sprawdzić ustawienia sieciowe. Rola administratora bezpieczeństwa i administratora systemu mogą sprawdzić te ustawienia.

  • w oknie terminala uruchom polecenie tninfo.

    • tninfo-H hostname wyświetla adres IP i szablon dla podanego hosta.

    • tninfo-t templatename wyświetla następujące informacje:

      template: template-namehost_type: either CIPSO or UNLABELEDdoi: 1min_sl: minimum-labelhex: minimum-hex-labelmax_sl: maximum-labelhex:maximum-hex-label

    • tninfo-m zone-name wyświetla konfigurację wielopoziomowego portu (MLP)strefy.

przykład 13-16 wyświetlanie wielopoziomowych portów na hoście

w tym przykładzie system jest skonfigurowany z kilkoma oznaczonymi strefami. Wszystkie strefy mają ten sam adres IP. Niektóre strefy są również skonfigurowane z adresami specyficznymi dla strefy. W tej konfiguracji port TCP do przeglądania stron internetowych, port8080, jest MLP na współdzielonym interfejsie w strefie publicznej. Administrator skonfigurował również telnet, port TCP 23, jako anMLP w strefie publicznej. Ze względu na to, że te dwa MlP znajdują się na interfejsie współdzielonym, żadna inna strefa, w tym Strefa globalna, nie może odbierać pakietów na współdzielonym interfejsie na portach 8080 i 23.

ponadto port TCP dla ssh, port 22, jest per-zoneMLP w strefie publicznej. Usługa SSH strefy publicznej może odbierać dowolne pakiety na adres specyficzny dla danej strefy w zakresie etykiet adresu.

poniższe polecenie pokazuje MLPs dla strefy publicznej:

$ tninfo -m publicprivate: 22/tcpshared: 23/tcp;8080/tcp

poniższe polecenie pokazuje MLPs dla strefy globalnej. Należy pamiętać, że porty 23 i 8080 nie mogą być MLPs w strefie globalnej, ponieważ strefa globalna ma ten sam adres ze strefą publiczną:

$ tninfo -m globalprivate: 111/tcp;111/udp;514/tcp;515/tcp;631/tcp;2049/tcp; 6000-6003/tcp;38672/tcp;60770/tcp;shared: 6000-6003/tcp

Jak zsynchronizować pamięć podręczną jądra z zaufanymi sieciowymi bazami danych

gdy jądro nie zostało zaktualizowane informacjami o zaufanej sieciowej bazie danych, istnieje kilka sposobów aktualizacji pamięci podręcznej jądra. Solaris ManagementConsole uruchamia to polecenie automatycznie, gdy używasz narzędzia Szablony zabezpieczeń lub narzędzia zaufane strefy sieciowe.

przed rozpoczęciem

musisz być w roli administratora bezpieczeństwa w strefie globalnej.

  • aby zsynchronizować pamięć podręczną jądra z sieciowymi bazami danych, uruchom jedno z następujących poleceń:
    • Uruchom ponownie usługę tnctl.
      Uwaga

      uwaga-nie należy stosować tej metody na systemach, które uzyskują informacje o zaufanej bazie danych sieci z serwera LDAP. Informacje z lokalnej bazy danych nadpisywałyby informacje uzyskane z serwera LDAP.

      		 
      $ svcadm restart svc:/network/tnctl

      to polecenie odczytuje wszystkie informacje z lokalnych zaufanych sieciowych baz danych do jądra.

    • zaktualizuj pamięć podręczną jądra dla ostatnio dodanych wpisów. 
      $ tnctl -h hostname

      polecenie to odczytuje do katalogu tylko informacje z wybranej opcji. Aby uzyskać szczegółowe informacje na temat opcji, zobacz przykład 13-17 i stronę podręcznika tnctl(1m).

    • zmodyfikuj usługę tnd.

      Uwaga-usługa tnd jest uruchomiona tylko wtedy, gdy uruchomiona jest usługa ldap.

      • Zmień interwał sondowania tnd.

        to nie aktualizuje pamięci podręcznej jądra. Można jednak skrócić interwał pobierania, aby częściej aktualizować pamięć podręczną jądra. Aby uzyskać szczegółowe informacje, patrz przykład na stronie podręcznika tnd(1m).

      • polecenie Service Management Facility (SMF) uruchamia natychmiastową aktualizację bazy danych o ostatnich zmianach w zaufanych bazach danych sieci.

        $ svcadm refresh svc:/network/tnd
      • Uruchom ponownie tnd za pomocą SMF. 
        $ svcadm restart svc:/network/tnd
        Uwaga

        Uwaga-unikaj uruchamiania polecenia tnd w celu ponownego uruchomienia tnd. To polecenie może zakłócić komunikację, która obecnie się powiedzie.

przykład 13-17 Aktualizacja jądra z najnowszymi wpisami tnrhdb

w tym przykładzie administrator dodał trzy adresy do bazy danych localtnrhdb. Najpierw administrator usunął wpis wieloznaczny 0.0.0.0.

$ tnctl -d -h 0.0.0.0:admin_low

następnie administrator wyświetla format trzech ostatnich wpisów w bazie danych /etc/security/tsol/tnrhdb:

$ tail /etc/security/tsol/tnrhdb#\:\:0:admin_low127.0.0.1:cipso#\:\:1:cipso192.168.103.5:admin_low192.168.103.0:cipso0.0.0.0/32:admin_low

następnie administrator aktualizuje pamięć podręczną jądra:

$ tnctl -h 192.168.103.5tnctl -h 192.168.103.0tnctl -h 0.0.0.0/32

wreszcie administrator sprawdza, czy pamięć podręczna jądra jest zaktualizowana. Wynik pierwszego wejścia jest podobny do następującego:

$ tninfo -h 192.168.103.5IP Address: 192.168.103.5Template: admin_low

przykład 13-18 aktualizowanie informacji o sieci w jądrze

w tym przykładzie administrator aktualizuje zaufaną sieć za pomocą serwera publicprint, a następnie sprawdza, czy ustawienia jądra są poprawne.

$ tnctl -h public-print-server$ tninfo -h public-print-serverIP Address: 192.168.103.55Template: PublicOnly$ tninfo -t PublicOnly==================================Remote Host Template Table Entries----------------------------------template: PublicOnlyhost_type: CIPSOdoi: 1min_sl: PUBLIChex: 0x0002-08-08max_sl: PUBLIChex: 0x0002-08-08

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany.