Mécanisme de secours du réseau de confiance

Une adresse IP hôte peut être ajoutée à un modèle de sécurité de manière directe ou indirecte. L'affectation directe ajoute l'adresse IP d'un hôte. L'affectation indirecte ajoute une plage d'adresses IP incluant celle de l'hôte. Pour trouver un hôte donné, le logiciel du réseau de confiance recherche d'abord l'adresse IP correspondante. Si le logiciel ne trouve pas d'entrée spécifique pour l'hôte, il recherche le "préfixe de bits correspondants le plus long". Vous pouvez attribuer indirectement un hôte à un modèle de sécurité lorsque l'adresse IP de l'hôte est comprise dans le "préfixe de bits correspondants le plus long" d'une adresse IP dont la longueur du préfixe est prédéfinie.

Dans IPv4, vous pouvez effectuer une assignation indirecte via un sous-réseau. Lorsque vous créez une assignation indirecte en utilisant 4, 3, 2 ou 1 zéro final (0) octets, le logiciel calcule respectivement des longueurs de préfixe de 0, 8, 16 ou 24. Pour consulter des exemples, reportez-vous au Tableau 15-1.

Vous pouvez également définir une longueur de préfixe fixe en ajoutant une barre oblique (/) suivie du nombre de bits fixes. La longueur de préfixe des adresses réseau IPv4 peut être comprise entre 1 et 32. La longueur de préfixe des adresses réseau IPv6 peut être comprise entre 1 et 128.

Le tableau qui suit fournit des exemples d'adresses de secours et d'adresses d'hôtes. Si une adresse d'un ensemble d'adresses de secours est assignée directement, le mécanisme de secours n'est pas utilisé pour cette adresse.

Tableau 15-1 Entrées du mécanisme de secours et de l'adresse hôte Trusted Extensions

Version IP	Entrée hôte pour `host_type=cipso`	Adresses IP couvertes
IPv4	192.168.118.57 192.168.118.57/32	192.168.118.57 `/32` définit une longueur de préfixe fixe de 32 bits.
	192.168.118.128/26	De `192.168.118.0` à `192.168.118.63`
	192.168.118.0 192.168.118.0/24	Toutes les adresses du sous-réseau `192.168.118.`.
	192.168.0.0/24	Toutes les adresses du sous-réseau `192.168.0.`.
	192.168.0.0 192.168.0.0/16	Toutes les adresses du sous-réseau `192.168.`.
	192.0.0.0 192.0.0.0/8	Toutes les adresses du sous-réseau `192.`.
	192.168.118.0/32	Adresse hôte `192.168.118.0`. N'est pas une plage d'adresses.
	192.168.0.0/32	Adresse hôte `192.168.0.0`. N'est pas une plage d'adresses.
	192.0.0.0/32	Adresse hôte `192.0.0.0`. N'est pas une plage d'adresses.
	0.0.0.0/32	Adresse hôte `0.0.0.0`. N'est pas une plage d'adresses.
	0.0.0.0	Toutes les adresses de tous les réseaux
IPv6	2001\:DB8\:22\:5000\:\:21f7	2001:DB8:22:5000::21f7
	2001\:DB8\:22\:5000\:\:0/52	De `2001:DB8:22:5000::0` à `2001:DB8:22:5fff:ffff:ffff:ffff:ffff`
	0\:\:0/0	Toutes les adresses de tous les réseaux

Notez que l'adresse 0.0.0.0/32 correspond à l'adresse spécifique 0.0.0.0. En ajoutant l'entrée 0.0.0.0/32 au modèle de sécurité sans étiquette d'un système, vous permettez à des hôtes possédant l'adresse spécifique 0.0.0.0 de contacter le système. Par exemple, les clients DHCP contactent le serveur DHCP en tant que 0.0.0.0 avant que le serveur ne fournisse une adresse IP aux clients.

Pour créer une entrée tnrhdb pour une application servant des clients DHCP, reportez-vous à l'Exemple 16-16. Le réseau 0.0.0.0:admin_low est l'entrée par défaut dans le modèle d'hôte non étiqueté admin_low. Les problèmes de sécurité susceptibles de requérir un changement de cette valeur par défaut sont répertoriés dans la section Procédure de limitation des hôtes pouvant être contactés sur le réseau de confiance.

Pour plus d'informations sur les longueurs de préfixe dans les adresses IPv4 et IPv6, reportez-vous à la section Choix du format d’adressage IP du réseau du manuel Administration d’Oracle Solaris : Services IP et IPv6 Addressing Overview du manuel System Administration Guide: IP Services.

Ignorer les liens de navigation
Quitter l'aperu
	Configuration et administration d'Oracle Solaris Trusted Extensions Oracle Solaris 11 Information Library (Français)