탐색 링크 건너뛰기 | |
인쇄 보기 종료 | |
Oracle Solaris Trusted Extensions 관리자 절차 Oracle Solaris 10 8/11 Information Library (한국어) |
3. Trusted Extensions 관리자로 시작하기(작업)
4. Trusted Extensions 시스템의 보안 요구 사항(개요)
5. Trusted Extensions의 보안 요구 사항 관리(작업)
6. Trusted Extensions의 사용자, 권한 및 역할(개요)
7. Trusted Extensions에서 사용자, 권한 및 역할 관리(작업)
8. Trusted Extensions에서 원격 관리(작업)
9. Trusted Extensions 및 LDAP(개요)
10. Trusted Extensions에서 영역 관리(작업)
11. Trusted Extensions에서 파일 관리 및 마운트(작업)
Trusted Extensions의 네트워크 보안 속성
Trusted Extensions의 라우팅 테이블 항목
13. Trusted Extensions에서 네트워크 관리(작업)
14. Trusted Extensions의 다중 레벨 메일(개요)
16. Trusted Extensions의 장치(개요)
17. Trusted Extensions에 대한 장치 관리(작업)
19. Trusted Extensions에서 소프트웨어 관리(작업)
A. Trusted Extensions 관리에 대한 빠른 참조
Trusted Extensions는 영역, 호스트 및 네트워크에 보안 속성을 할당합니다. 이러한 속성은 네트워크에 다음과 같은 보안 기능이 적용되도록 합니다.
네트워크 통신에서 데이터의 레이블이 적절히 지정됩니다.
로컬 네트워크를 통해 데이터를 보내거나 받을 때 그리고 파일 시스템을 마운트할 때 MAC(필수 액세스 제어) 규칙이 적용됩니다.
원거리 네트워크로 데이터를 라우팅할 때 MAC 규칙이 적용됩니다.
영역으로 데이터를 라우팅할 때 MAC 규칙이 적용됩니다.
Trusted Extensions에서 네트워크 패킷은 MAC로 보호됩니다. 레이블은 MAC 결정에 사용됩니다. 민감도 레이블에 따라 데이터의 레이블이 명시적 또는 암시적으로 지정됩니다. 레이블에는 ID 필드, 분류 또는 "레벨" 필드 및 구획 또는 "범주" 필드가 있습니다. 데이터는 승인 검사를 통과해야 합니다. 이 검사에서는 레이블이 올바른 형식이고 받는 호스트의 승인 범위 내에 있는지 확인합니다. 받는 호스트의 승인 범위 내에 있는 올바른 형식의 패킷은 액세스가 승인됩니다.
신뢰할 수 있는 시스템 간에 교환되는 IP 패킷의 레이블을 지정할 수 있습니다. Trusted Extensions는 CIPSO(Commercial IP Security Option) 레이블을 지원합니다. 패킷의 CIPSO 레이블은 IP 패킷을 분류, 분리 및 라우팅하는 데 사용됩니다. 라우팅 결정에서는 데이터의 민감도 레이블을 대상 레이블과 비교합니다.
일반적으로 신뢰할 수 있는 네트워크에서 레이블은 전송 호스트에 의해 생성되고 받는 호스트에 의해 처리됩니다. 또한 신뢰할 수 있는 라우터는 신뢰할 수 있는 네트워크에서 패킷을 전달하는 동안 레이블을 추가하거나 제거할 수 있습니다. 민감도 레이블은 전송하기 전에 CIPSO 레이블에 매핑됩니다. CIPSO 레이블은 IP 패킷에 포함됩니다. 일반적으로 패킷을 보낸 사람과 받는 사람은 동일한 레이블에서 작업합니다.
신뢰할 수 있는 네트워킹 소프트웨어는 주체(프로세스)와 객체(데이터)가 서로 다른 호스트에 있는 경우 Trusted Extensions 보안 정책이 적용되도록 합니다. Trusted Extensions 네트워킹은 분산된 응용 프로그램 전체에서 MAC를 유지합니다.
Trusted Extensions 데이터 패킷은 CIPSO 레이블 옵션을 포함합니다. IPv4 또는 IPv6 네트워크를 통해 데이터 패킷을 보낼 수 있습니다.
표준 IPv4 형식에서는 IPv4 헤더와 옵션, TCP, UDP 또는 SCTP 헤더, 실제 데이터의 순서로 표시됩니다. Trusted Extensions 버전의 IPv4 패킷에서는 보안 속성에 대한 IP 헤더에 CIPSO 옵션을 사용합니다.
표준 IPv6 형식에서는 IPv6 헤더와 확장, TCP, UDP 또는 SCTP 헤더, 실제 데이터의 순서로 표시됩니다. Trusted Extensions IPv6 패킷에는 확장이 있는 헤더에 다중 레벨 보안 옵션이 포함되어 있습니다.
Trusted Extensions는 신뢰할 수 있는 네트워크에서 레이블이 있는 호스트와 레이블이 없는 호스트를 지원합니다. LDAP은 완벽하게 지원되는 이름 지정 서비스입니다. 다양한 명령과 GUI를 사용하여 네트워크를 관리할 수 있습니다.
Trusted Extensions 소프트웨어를 실행하는 시스템은 Trusted Extensions 호스트와 다음 유형의 시스템 간 네트워크 통신을 지원합니다.
Trusted Extensions를 실행 중인 다른 시스템
보안 속성을 인식하지 않지만 TCP/IP를 지원하는 운영 체제를 실행 중인 시스템(예: Oracle Solaris 시스템), 기타 UNIX 시스템, Microsoft Windows 및 Macintosh OS 시스템
CIPSO 레이블을 인식하는 다른 신뢰할 수 있는 운영 체제를 실행 중인 시스템
Oracle Solaris OS에서와 마찬가지로 이름 지정 서비스를 통해 Trusted Extensions 네트워크 통신과 서비스를 관리할 수 있습니다. Trusted Extensions는 Oracle Solaris 네트워크 인터페이스에 다음과 같은 인터페이스를 추가합니다.
Trusted Extensions는 세 가지 네트워크 구성 데이터베이스인 tnzonecfg, tnrhdb 및 tnrhtp를 추가합니다. 자세한 내용은 Trusted Extensions의 네트워크 구성 데이터베이스를 참조하십시오.
Trusted Extensions 버전의 이름 지정 서비스 전환 파일인 nsswitch.conf에는 tnrhtp 및 tnrhdb 데이터베이스에 대한 항목이 포함되어 있습니다. 이 항목을 각 사이트의 구성에 맞게 수정할 수 있습니다.
Trusted Extensions는 LDAP 이름 지정 서비스를 사용하여 호스트, 네트워크 및 사용자를 정의하는 구성 파일을 중앙에서 관리합니다. LDAP 이름 지정 서비스의 신뢰할 수 있는 네트워크 데이터베이스에 대한 기본 nsswitch.conf 항목은 다음과 같습니다.
# Trusted Extensions tnrhtp: files ldap tnrhdb: files ldap
Oracle Directory Server Enterprise Edition의 LDAP 이름 지정 서비스는 Trusted Extensions에서 완벽하게 지원되는 유일한 이름 지정 서비스입니다. Trusted Extensions로 구성된 시스템에서 LDAP 사용에 대한 자세한 내용은 9 장Trusted Extensions 및 LDAP(개요)를 참조하십시오.
Trusted Extensions는 Solaris Management Console에 도구를 추가합니다. 콘솔은 영역, 호스트 및 네트워크를 중앙에서 관리하는 데 사용됩니다. Solaris Management Console 도구에 네트워크 도구가 설명되어 있습니다.
Oracle Solaris Trusted Extensions 구성 설명서에서는 네트워크를 구성할 때 영역과 호스트를 정의하는 방법에 대해 설명합니다. 자세한 내용은 13 장Trusted Extensions에서 네트워크 관리(작업)를 참조하십시오.
Trusted Extensions는 신뢰할 수 있는 네트워킹을 관리하는 명령을 추가합니다. 또한 Trusted Extensions는 Oracle Solaris 네트워크 명령에 대한 옵션을 추가합니다. 이러한 명령에 대한 자세한 내용은 Trusted Extensions의 네트워크 명령을 참조하십시오.
Trusted Extensions는 네트워크 구성 데이터베이스를 커널로 로드합니다. 이러한 데이터베이스는 호스트 간에 데이터를 전송할 때 승인 검사에 사용됩니다.
tnzonecfg – 이 로컬 데이터베이스는 보안과 관련된 영역 속성을 저장합니다. 각 영역에 대한 속성은 영역 레이블과 단일 레벨 및 다중 레벨 호스트에 대한 영역의 액세스 권한을 지정합니다. 다른 속성은 ping과 같은 제어 메시지에 대한 응답을 처리합니다. 영역에 대한 레이블은 label_encodings 파일에 정의되어 있습니다. 자세한 내용은 label_encodings(4) 및 smtnzonecfg(1M) 매뉴얼 페이지를 참조하십시오. 다중 레벨 포트에 대한 자세한 내용은 영역 및 다중 레벨 포트를 참조하십시오.
tnrhtp – 이 데이터베이스는 호스트 및 게이트웨이의 보안 속성을 설명하는 템플리트를 저장합니다. tnrhtp는 로컬 데이터베이스거나 LDAP 서버에 저장할 수 있습니다. 호스트와 게이트웨이는 트래픽을 전송할 때 대상 호스트와 다음 홉 게이트웨이의 속성을 사용하여 MAC를 적용합니다. 트래픽을 받을 때는 보낸 사람의 속성을 사용합니다. 보안 속성에 대한 자세한 내용은 신뢰할 수 있는 네트워크 보안 속성을 참조하십시오. 자세한 내용은 smtnrhtp(1M) 매뉴얼 페이지를 참조하십시오.
tnrhdb – 이 데이터베이스는 통신이 허용된 모든 호스트에 해당하는 IP 주소와 네트워크 접두어(폴백 메커니즘)를 저장합니다. tnrhdb는 로컬 데이터베이스거나 LDAP 서버에 저장할 수 있습니다. 각 호스트 또는 네트워크 접두어에는 tnrhtp 데이터베이스의 보안 템플리트가 할당됩니다. 템플리트의 속성은 할당된 호스트의 속성을 정의합니다. 자세한 내용은 smtnrhdb(1M) 매뉴얼 페이지를 참조하십시오.
Trusted Extensions에서 이러한 데이터베이스를 처리하도록 Solaris Management Console이 확장되었습니다. 자세한 내용은 Solaris Management Console 도구를 참조하십시오.
Trusted Extensions는 신뢰할 수 있는 네트워킹을 관리하는 다음 명령을 추가합니다.
tnchkdb – 이 명령은 신뢰할 수 있는 네트워크 데이터베이스의 정확성을 확인하는 데 사용됩니다. tnchkdb 명령은 보안 템플리트(tnrhtp), 보안 템플리트 할당(tnrhdb) 또는 영역 구성(tnzonecfg)을 변경할 때마다 사용됩니다. 데이터베이스가 수정되면 Solaris Management Console 도구에서 이 명령을 자동으로 실행합니다. 자세한 내용은 tnchkdb(1M) 매뉴얼 페이지를 참조하십시오.
tnctl – 이 명령을 사용하여 커널에서 신뢰할 수 있는 네트워크 정보를 업데이트할 수 있습니다. tnctl은 시스템 서비스이기도 합니다. svcadm restart /network/tnctl 명령으로 다시 시작하면 로컬 시스템의 신뢰할 수 있는 네트워크 데이터베이스에서 커널 캐시를 새로 고쳐집니다. Files(파일) 범위 내에서 데이터베이스가 수정되면 Solaris Management Console 도구에서 이 명령을 자동으로 실행합니다. 자세한 내용은 tnctl(1M) 매뉴얼 페이지를 참조하십시오.
tnd – 이 데몬은 LDAP 디렉토리 및 로컬 파일에서 tnrhdb 및 tnrhtp 정보를 끌어옵니다. nsswitch.conf 파일 내의 순서에 따라 이름 지정 서비스에서 정보가 로드됩니다. 부팅하는 동안 svc:/network/tnd 서비스에 의해 tnd 데몬이 시작됩니다. 이 서비스는 svc:/network/ldap/client에 종속됩니다.
tnd 명령은 폴링 간격을 변경하거나 디버깅하는 데도 사용될 수 있습니다. 자세한 내용은 tnd(1M) 매뉴얼 페이지를 참조하십시오.
tninfo – 이 명령은 신뢰할 수 있는 네트워크 커널 캐시의 현재 상태에 대한 세부 정보를 표시합니다. 호스트 이름, 영역 또는 보안 템플리트별로 출력을 필터링할 수 있습니다. 자세한 내용은 tninfo(1M) 매뉴얼 페이지를 참조하십시오.
Trusted Extensions는 다음 Oracle Solaris 네트워크 명령에 옵션을 추가합니다.
ifconfig – 이 명령에 대한 all-zones 인터페이스 플래그는 지정된 인터페이스를 시스템의 모든 영역에서 사용할 수 있게 합니다. 데이터에 연결된 레이블에 따라 데이터를 전달할 적절한 영역이 결정됩니다. 자세한 내용은 ifconfig(1M) 매뉴얼 페이지를 참조하십시오.
netstat – -R 옵션은 Oracle Solaris netstat 사용을 확장하여 라우팅 테이블 항목 및 다중 레벨 소켓에 대한 보안 속성 등의 Trusted Extensions 관련 정보를 표시합니다. 확장된 보안 속성에는 소켓이 한 영역에 특정한지 아니면 여러 영역에서 사용 가능한지와 피어의 레이블이 포함됩니다. 자세한 내용은 netstat(1M) 매뉴얼 페이지를 참조하십시오.
route – -secattr 옵션은 Oracle Solaris route 사용을 확장하여 경로의 보안 속성을 표시합니다. 옵션 값의 형식은 다음과 같습니다.
min_sl=label,max_sl=label,doi=integer,cipso
cipso 키워드는 선택 사항이며 기본적으로 설정됩니다. 자세한 내용은 route(1M) 매뉴얼 페이지를 참조하십시오.
snoop – Oracle Solaris OS에서와 마찬가지로 이 명령에 대한 -v 옵션을 사용하여 IP 헤더를 자세히 표시할 수 있습니다. Trusted Extensions에서는 헤더에 레이블 정보가 포함됩니다.
Trusted Extensions에서 네트워크 관리는 보안 템플리트를 기반으로 합니다. 보안 템플리트는 공통 프로토콜과 동일한 보안 속성을 사용하는 호스트 세트에 대해 설명합니다.
보안 속성은 템플리트를 통해 호스트 시스템과 라우터 시스템 모두에 관리용으로 할당됩니다. 보안 관리자는 템플리트를 관리하고 시스템에 할당합니다. 시스템에 할당된 템플리트가 없는 경우 해당 시스템과 통신할 수 없습니다.
템플리트마다 이름이 있으며 다음을 포함합니다.
Unlabeled(레이블 없는) 또는 CIPSO 호스트 유형. 네트워크 통신에 사용되는 프로토콜은 템플리트의 호스트 유형에 의해 결정됩니다.
호스트 유형은 CIPSO 옵션의 사용 여부를 결정하는 데 사용되며 MAC에 영향을 줍니다. 자세한 내용은 보안 템플리트의 호스트 유형 및 템플리트 이름을 참조하십시오.
각 호스트 유형에 적용되는 보안 속성 세트.
호스트 유형 및 보안 속성에 대한 자세한 내용은 Trusted Extensions의 네트워크 보안 속성을 참조하십시오.