configurando rotas e verificando informações de rede em Extensões confiáveis (mapa de Tarefas)
o seguinte mapa de Tarefas descreve tarefas para configurar a rede e verificar a configuração.
|
Como Configurar Rotas Com Atributos de Segurança
Antes de Começar
Você deve ser a função Administrador de Segurança global da zona.
- adicione cada host e gateway de destino que você está usando para routepackets pela rede confiável.
os endereços são adicionados ao arquivo local/etc / hosts ou ao itsequivalent no servidor LDAP. Use a ferramenta computadores e redes no console de Gerenciamento do Polaris. O escopo dos arquivos modifica o arquivo/etc / hosts. O LDAPscope modifica as entradas no servidor LDAP. Para obter detalhes, consulte Como adicionar Hosts à rede conhecida do sistema.
- atribua cada host, rede e gateway de destino a um modelo de segurança.
os endereços são adicionados ao arquivo local /etc/security/tsol/tnrhdb ou ao itsequivalent no servidor LDAP. Use a ferramenta modelos de segurança no Console SolarisManagement. Para obter detalhes, consulte Como atribuir um modelo de segurança a um Host ou a um grupo de Hosts.
- configurar as rotas.
em uma janela de terminal, use o comando route add para especificar rotas.
a primeira entrada configura uma rota padrão. A entrada especifica o endereço do agateway, 192.168.113.1, para usar quando nenhuma rota específica é definida para o host ou o destino do pacote.
# route add default 192.168.113.1 -static
para obter detalhes, consulte a página manual da rota (1m).
- configurar uma ou mais entradas de rede.
Use o sinalizador-secattr para especificar atributos de segurança.
na seguinte lista de comandos, a segunda linha mostra uma networkentry. A terceira linha mostra uma entrada de rede com uma faixa de rotularde público para confidencial: uso interno apenas.
# route add default 192.168.113.36# route add -net 192.168.102.0 gateway-101# route add -net 192.168.101.0 gateway-102 \-secattr min_sl="PUBLIC",max_sl="CONFIDENTIAL : INTERNAL USE ONLY",doi=1
- Configure uma ou mais entradas de host.
a nova quarta linha mostra uma entrada de host para o host de rótulo único,gateway-pub. gateway-pub tem uma gama de rótulo de público para público.
# route add default 192.168.113.36# route add -net 192.168.102.0 gateway-101# route add -net 192.168.101.0 gateway-102 \-secattr min_sl="PUBLIC",max_sl="CONFIDENTIAL : INTERNAL USE ONLY",doi=1# route add -host 192.168.101.3 gateway-pub \-secattr min_sl="PUBLIC",max_sl="PUBLIC",doi=1
exemplo 13-14 adicionando uma rota com um intervalo de rótulo de Confidencial: uso interno apenas para confidencial : Restrito
o seguinte comando de rota adiciona à tabela de roteamento os hosts at192.168.115.0 com 192.168.118.39 como seu gateway. O intervalo de rótulo é de Confidencial: uso interno apenas para confidencial: restrito , e o DOI é 1.
$ route add -net 192.168.115.0 192.168.118.39 \-secattr min_sl="CONFIDENTIAL : INTERNAL USE ONLY",max_sl="CONFIDENTIAL : RESTRICTED",doi=1
o resultado dos hosts adicionados é mostrado com o netstat-rR command.In o trecho a seguir, as outras rotas são substituídas por elipses (…).
$ netstat -rRn...192.168.115.0 192.168.118.39 UG 0 0 min_sl=CNF : INTERNAL USE ONLY,max_sl=CNF : RESTRICTED,DOI=1,CIPSO...
Como verificar a sintaxe de bancos de dados de rede confiáveis
o comando tnchkdb verifica se a sintaxe de cada banco de dados de rede é precisa.O console de Gerenciamento do Solaris executa esse comando automaticamente quando você usa a ferramenta modelos de segurança ou a ferramenta zonas de rede confiáveis. Normalmente, você executaeste comando para verificar a sintaxe dos arquivos de banco de dados que você está configurandopara uso futuro.
Antes de começar
você deve estar na zona global em uma função que pode verificar as configurações de rede. A função de administrador de segurança e a função de administrador do Sistemapode verificar essas configurações.
- em uma janela de terminal, execute o comando tnchkdb.
$ tnchkdb checking /etc/security/tsol/tnrhtp ...checking /etc/security/tsol/tnrhdb ...checking /etc/security/tsol/tnzonecfg ...
exemplo 13-15 testando a sintaxe de um banco de dados de rede de teste
neste exemplo, o administrador de segurança está testando um arquivo de banco de dados de rede para Possível Uso. Inicialmente, o administrador usa a opção errada. O resultsof a seleção são impressos na linha para o arquivo tnrhdb:
$ tnchkdb -h /opt/secfiles/trial.tnrhtpchecking /etc/security/tsol/tnrhtp ...checking /opt/secfiles/trial.tnrhtp ...line 12: Illegal name: min_sl=ADMIN_LOW;max_sl=ADMIN_HIGHline 14: Illegal name: min_sl=ADMIN_LOW;max_sl=ADMIN_HIGHchecking /etc/security/tsol/tnzonecfg ...
Quando o administrador de segurança verifica o arquivo usando a opção-t,o comando confirma que a sintaxe do julgamento tnrhtp banco de dados isaccurate:
$ tnchkdb -t /opt/secfiles/trial.tnrhtpchecking /opt/secfiles/trial.tnrhtp ...checking /etc/security/tsol/tnrhdb ...checking /etc/security/tsol/tnzonecfg ...
como comparar informações de banco de dados de rede confiável com o Cache do Kernel
os bancos de dados de rede podem conter informações que não estão armazenadas em cache no thekernel. Este procedimento verifica se as informações são idênticas. Quando você usa o console de gerenciamento Solaris para atualizar a rede, o cache do kernel é atualizado com informações do banco de dados de rede. O comando tninfo é útil durante o teste epara depuração.
Antes de começar
você deve estar na zona global em uma função que pode verificar as configurações de rede. A função de administrador de segurança e a função de administrador do Sistemapode verificar essas configurações.
- em uma janela de terminal, execute o comando tninfo.
-
tninfo – h hostname exibe o endereço IP e o modelo para o host especificado.
-
tninfo -t templatename exibe as seguintes informações:
template: template-namehost_type: either CIPSO or UNLABELEDdoi: 1min_sl: minimum-labelhex: minimum-hex-labelmax_sl: maximum-labelhex:maximum-hex-label
-
tninfo -m zona-nome-exibe o multinível porta (MLP), a configuração de uma zona.
-
exemplo 13-16 exibindo portas multiníveis em um Host
neste exemplo, um sistema é configurado com várias zonas rotuladas. Allzones compartilham o mesmo endereço IP. Algumas zonas também são configuradas comendereços específicos da zona. Nesta configuração, a porta TCP para navegação na web, port8080, é um MLP em uma interface compartilhada na zona pública. Theadministrator também configurou telnet, porta TCP 23, para ser anMLP na zona pública. Como esses dois MLPs estão na interface ashared, nenhuma outra zona, incluindo a zona global, pode receber pacotes EMA interface compartilhada nas portas 8080 e 23.
além disso, a porta TCP para ssh, Porta 22, é um per-zoneMLP na zona pública. O serviço ssh da zona pública pode receberqualquer pacote em seu endereço específico da zona dentro do intervalo de rótulo do endereço.
o seguinte comando mostra os MLPs para a zona pública:
$ tninfo -m publicprivate: 22/tcpshared: 23/tcp;8080/tcp
o comando a seguir mostra os MLPs para a zona global. Nota thatports 23 e 8080 não pode ser MLPs no global da zona becausethe global da zona compartilha o mesmo endereço com a zona de público:
$ tninfo -m globalprivate: 111/tcp;111/udp;514/tcp;515/tcp;631/tcp;2049/tcp; 6000-6003/tcp;38672/tcp;60770/tcp;shared: 6000-6003/tcp
Como Sincronizar o Cache de Kernel Com Rede Confiável Bases de dados
Quando o kernel não tiver sido atualizado com confiança a rede de informações do banco de dados,você tem várias maneiras para atualizar o cache de kernel. O Solaris ManagementConsole executa este comando automaticamente quando você usa a ferramenta Security Templates ou a ferramenta Trusted Network Zones.
Antes de começar
você deve estar na função de administrador de segurança na zona global.
- para sincronizar o Cache do kernel com bancos de dados de rede, execute um dos seguintes comandos:
- reinicie o serviço tnctl.
cuidado – não use esse método em sistemas que obtenham suas informações confiáveis do networkdatabase de um servidor LDAP. As informações do banco de dados local substituiriam as informações obtidas no servidor LDAP.
$ svcadm restart svc:/network/tnctl
este comando lê todas as informações dos bancos de dados de rede confiáveis locais Emo kernel.
- atualize o cache do kernel para suas entradas adicionadas recentemente.
$ tnctl -h hostname
este comando lê apenas as informações da opção escolhida em thekernel. Para obter detalhes sobre as opções, consulte o exemplo 13-17 e a página de manual tnctl(1m).
- modifique o serviço tnd.
Nota-O serviço tnd está sendo executado somente se o serviço ldap estiver em execução.
- altere o intervalo de votação tnd.
isso não atualiza o cache do kernel. No entanto, você pode encurtar o intervalo de polling para atualizar o cache do kernel com mais frequência. Para detalhes, veja o exemplo na página de manual tnd(1m).
- atualize o tnd.
este comando Service Management Facility (SMF) aciona uma atualização imediata do thekernel com alterações recentes em bancos de dados de rede confiáveis.
$ svcadm refresh svc:/network/tnd
- reinicie o tnd usando SMF.
$ svcadm restart svc:/network/tnd
cuidado-evite executar o comando tnd para reiniciar o tnd. Este comando pode interromper as comunicações que estão sendo bem-sucedidas no momento.
- altere o intervalo de votação tnd.
- reinicie o serviço tnctl.
Exemplo 13-17 Atualizando o Kernel Com a Sua mais Recente tnrhdb Entradas
neste exemplo, o administrador o tenha adicionado três endereços para o localtnrhdb banco de dados. Primeiro, o administrador removeu a entrada curinga 0.0.0.0.
$ tnctl -d -h 0.0.0.0:admin_low
em Seguida, o administrador visualiza o formato do final de três entradas no /etc/security/tsol/tnrhdb banco de dados:
$ tail /etc/security/tsol/tnrhdb#\:\:0:admin_low127.0.0.1:cipso#\:\:1:cipso192.168.103.5:admin_low192.168.103.0:cipso0.0.0.0/32:admin_low
em Seguida, o administrador atualiza o cache de kernel:
$ tnctl -h 192.168.103.5tnctl -h 192.168.103.0tnctl -h 0.0.0.0/32
finalmente, o administrador verifica se o cache do kernel está atualizado. O outputfor a primeira entrada é semelhante à seguinte:
$ tninfo -h 192.168.103.5IP Address: 192.168.103.5Template: admin_low
Exemplo 13-18 Atualização de Informações de Rede no Kernel
neste exemplo, o administrador de atualizações de rede confiável com um publicprint server e, em seguida, verifica que o kernel configurações estão corretas.
$ tnctl -h public-print-server$ tninfo -h public-print-serverIP Address: 192.168.103.55Template: PublicOnly$ tninfo -t PublicOnly==================================Remote Host Template Table Entries----------------------------------template: PublicOnlyhost_type: CIPSOdoi: 1min_sl: PUBLIChex: 0x0002-08-08max_sl: PUBLIChex: 0x0002-08-08