Ignorer les liens de navigation | |
Quitter l'aperu | |
Procédures de l'administrateur Oracle Solaris Trusted Extensions |
1. Concepts d'administration de Trusted Extensions
2. Outils d'administration de Trusted Extensions
3. Mise en route en tant qu'administrateur Trusted Extensions (tâches)
4. Exigences de sécurité sur un système Trusted Extensions (présentation)
5. Administration des exigences de sécurité dans Trusted Extensions (tâches)
6. Utilisateurs, droits et rôles dans Trusted Extensions (présentation)
7. Gestion des utilisateurs, des droits et des rôles dans Trusted Extensions (tâches)
8. Administration à distance dans Trusted Extensions (tâches)
9. Trusted Extensions et LDAP (présentation)
10. Gestion des zones dans Trusted Extensions (tâches)
11. Gestion et montage de fichiers dans Trusted Extensions (tâches)
12. Gestion de réseaux de confiance (présentation)
Paquets de données Trusted Extensions
Communications sur le réseau de confiance
Bases de données de configuration réseau dans Trusted Extensions
Commandes réseau dans Trusted Extensions
Attributs de sécurité du réseau de confiance
Attributs de sécurité réseau dans Trusted Extensions
Type d'hôte et nom du modèle dans les modèles de sécurité
Étiquette par défaut dans les modèles de sécurité
Domaine d'interprétation dans les modèles de sécurité
Plage d'étiquettes dans les modèles de sécurité
Ensemble d'étiquettes de sécurité dans les modèles de sécurité
Mécanisme de secours du réseau de confiance
Présentation du routage dans Trusted Extensions
Informations générales sur le routage
Entrées de la table de routage dans Trusted Extensions
Contrôles d'accréditation dans Trusted Extensions
Contrôles d'accréditation des sources
Contrôles d'accréditation sur les passerelles
Contrôles d'accréditation des destinations
Administration du routage dans Trusted Extensions
Choix de routeurs dans Trusted Extensions
Passerelles dans Trusted Extensions
Commandes de routage dans Trusted Extensions
13. Gestion des réseaux dans Trusted Extensions (tâches)
14. Messagerie multiniveau dans Trusted Extensions (présentation)
15. Gestion de l'impression étiquetée (tâches)
16. Périphériques dans Trusted Extensions (présentation)
17. Gestion des périphériques pour Trusted Extensions (tâches)
18. Audit de Trusted Extensions (présentation)
19. Gestion des logiciels dans Trusted Extensions (tâches)
A. Guide de référence rapide pour l'administration de Trusted Extensions
Trusted Extensions est installé avec un ensemble de modèles de sécurité par défaut. Lorsqu'un modèle est assigné à un hôte, les valeurs de sécurité du modèle sont appliquées à l'hôte. Dans Trusted Extensions, les hôtes étiquetés et les hôtes sans étiquette se trouvant sur le réseau se voient assigner des attributs de sécurité par le biais d'un modèle. Les hôtes auxquels aucun modèle de sécurité ne peuvent pas être atteints. Les modèles peuvent être stockés localement ou dans le service de nommage LDAP du Oracle Directory Server Enterprise Edition.
Les modèles peuvent être assignés à un hôte directement ou indirectement. L'assignation directe assigne un modèle à une adresse IP donnée. L'assignation indirecte assigne un modèle à une adresse réseau incluant l'hôte. Les hôtes sans modèle de sécurité ne peuvent pas communiquer avec les hôtes configurés à l'aide de Trusted Extensions. Pour plus d'informations sur l'assignation directe et indirecte, reportez-vous à la section Mécanisme de secours du réseau de confiance.
Les modèles sont modifiés ou créés à l'aide de l'outil Modèles de sécurité dans la Console de gestion Solaris. L'outil Modèles de sécurité impose le renseignement des champs obligatoires dans les modèles. Le caractère obligatoire d'un champ dépend du type d'hôte.
Chaque type d'hôte possède son propre ensemble d'attributs de sécurité obligatoires et facultatifs supplémentaires. Les attributs de sécurité suivants sont spécifiés dans les modèles de sécurité :
Type d'hôte : détermine si les paquets contiennent des étiquettes de sécurité CIPSO ou s'ils sont sans étiquette.
Étiquette par défaut : détermine le niveau de fiabilité de l'hôte sans étiquette. Les paquets envoyés par un hôte sans étiquette sont lus sous cette étiquette par l'hôte ou la passerelle Trusted Extensions destinataire.
L'attribut Étiquette par défaut est spécifique au type d'hôte sans étiquette. Pour plus d'informations, reportez-vous à la page de manuel smtnrhtp(1M) et aux sections suivantes.
DOI : nombre entier, non nul et positif identifiant le domaine d'interprétation. Le DOI est utilisé pour indiquer quel ensemble de codages d'étiquettes s'applique à une communication réseau ou une entité réseau. Les étiquettes possédant des DOI différents sont disjointes, et ce même si elles sont identiques par ailleurs. Pour les hôtes sans étiquette, le DOI s'applique à l'étiquette par défaut. Dans Trusted Extensions, la valeur par défaut est 1.
Étiquette minimale : définit l'étiquette la plus basse de la plage d'accréditations d'étiquettes. Les hôtes et les passerelles du prochain saut ne reçoivent pas les paquets dont l'étiquette est inférieure à l'étiquette minimale spécifiée dans leur modèle.
Étiquette maximale : définit l'étiquette maximale de la page d'accréditations d'étiquettes. Les hôtes et les passerelles du prochain saut ne reçoivent pas les paquets dont l'étiquette est supérieure à l'étiquette maximale spécifiée dans leur modèle.
Ensemble d'étiquettes de sécurité : facultatif. Spécifie un ensemble discret d'étiquettes de sécurité pour un modèle de sécurité. En plus de leur plage d'accréditations qui est déterminée par l'étiquette maximale et minimale, les hôtes assignés à un modèle incluant un ensemble d'étiquettes de sécurité peuvent envoyer et recevoir des paquets correspondant à n'importe quelle étiquette de cet ensemble d'étiquettes. Le nombre maximal d'étiquettes pouvant être spécifié est de 4.
Trusted Extensions prend en charge deux types d'hôtes dans les bases de données du réseau de confiance et fournit deux modèles par défaut :
Type d'hôte CIPSO : destiné aux hôtes exécutant des systèmes d'exploitation de confiance. Trusted Extensions fournit le modèle nommé cipso pour ce type d'hôte.
Le protocole CIPSO (Common IP Security Option, option de sécurité IP commune) indique les étiquettes de sécurité transmises au champ des options d'IP. Les étiquettes CIPSO sont automatiquement déduites de l'étiquette des données. Le type de balise 1 permet de transmettre l'étiquette de sécurité CIPSO. Cette étiquette est ensuite utilisée pour effectuer des contrôles de sécurité au niveau de l'IP et pour étiqueter les données dans le paquet réseau.
Type d'hôte sans étiquette : destiné aux hôtes utilisant des protocoles de gestion de réseaux standard mais ne prenant pas en charge les options CIPSO. Trusted Extensions fournit le modèle nommé admin_low pour ce type d'hôte.
Ce type d'hôte est assigné aux hôtes exécutant le SE Oracle Solaris ou d'autres systèmes d'exploitation sans étiquette. Ce type d'hôte fournit une étiquette et une autorisation par défaut s'appliquant aux communications avec l'hôte sans étiquette. En outre, une plage d'étiquettes ou un ensemble d'étiquettes discrètes peuvent être spécifiées pour permettre l'envoi de paquets à une passerelle sans étiquette chargée d'en assurer le transfert.
Attention - Le modèle admin_low fournit un exemple pour la construction de modèles pour hôtes sans étiquettes à l'aide d'étiquettes spécifiques à un site. Le modèle admin_low est obligatoire pour installer Trusted Extensions, mais les paramètres de sécurité peuvent ne pas être appropriés pour les opérations courantes du système. Conservez les modèles fournis sans modification en vue de la maintenance du système et pour les besoins de l'assistance. |
Les modèles destinés aux types d'hôtes sans étiquette spécifient une étiquette par défaut. Cette étiquette permet de contrôler les communications avec les hôtes dont le système d'exploitation ne prennent pas en compte les étiquettes, par exemple, les systèmes Oracle Solaris. L'étiquette par défaut qui est assignée reflète le niveau de confiance approprié pour l'hôte et ses utilisateurs.
Étant donné que les communications avec les hôtes sans étiquette sont essentiellement limitées à l'étiquette par défaut, ces hôtes sont également appelés hôtes à étiquette unique.
Les organisations qui utilisent le même domaine d'interprétation (DOI) s'accordent entre elles pour interpréter de façon identique les informations d'étiquette et les autres attributs de sécurité. Lorsque Trusted Extensions effectue une comparaison d'étiquettes, un contrôle vérifie que les DOI sont identiques.
Un système Trusted Extensions applique sa stratégie concernant les étiquettes à une valeur de DOI. Toutes les zones d'un système Trusted Extensions doivent utiliser le même DOI. Un système Trusted Extensions ne fournit pas de gestion des exceptions sur les paquets reçus d'un système utilisant un autre DOI.
Si votre site utilise une valeur DOI différente de la valeur par défaut, vous devez ajouter cette valeur au fichier /etc/system et modifier la valeur dans chaque modèle de sécurité. Pour connaître la procédure initiale, reportez-vous à la section Configuration du domaine d’interprétation du Guide de configuration d’Oracle Solaris Trusted Extensions. Pour configurer le DOI dans chaque modèle de sécurité, consultez l'Exemple 13-1.
Les attributs d'étiquette minimale et maximale sont utilisés pour définir la plage d'étiquettes des hôtes étiquetés et sans étiquette. Ces attributs sont utilisés pour effectuer les opérations suivantes :
Définition de la plage d'étiquettes pouvant être utilisée lors de la communication avec un hôte CIPSO distant
Pour qu'un paquet puisse être envoyé à un hôte de destination, il faut que son étiquette soit comprise dans la plage d'étiquettes assignée à l'hôte de destination dans le modèle de sécurité de cet hôte.
Définition d'une plage d'étiquettes pour les paquets transférés par le biais d'une passerelle CIPSO ou d'une passerelle sans étiquette
La plage d'étiquettes peut être spécifiée dans le modèle destiné au type d'hôte sans étiquette. La plage d'étiquettes permet à l'hôte de transférer des paquets qui ne correspondent pas nécessairement à sa propre étiquette, mais dont l'étiquette est comprise dans une plage d'étiquettes spécifiée.
L'ensemble d'étiquettes de sécurité, qui comprend quatre étiquettes discrètes au maximum, définit les étiquettes sous lesquelles l'hôte distant peut accepter, transférer ou envoyer des paquets. Cet attribut est facultatif. Par défaut, aucun ensemble d'étiquettes de sécurité n'est défini.