| ナビゲーションリンクをスキップ | |
| 印刷ビューの終了 | |
|
Trusted Extensions 構成と管理 Oracle Solaris 11 Information Library (日本語) |
| ナビゲーションリンクをスキップ | |
| 印刷ビューの終了 | |
|
|
Trusted Extensions 構成と管理 Oracle Solaris 11 Information Library (日本語) |
パート I Trusted Extensions の初期構成
1. Trusted Extensions のセキュリティー計画
2. Trusted Extensions の構成ロードマップ
3. Oracle Solaris への Trusted Extensions 機能の追加 (手順)
4. Trusted Extensions の構成 (手順)
5. Trusted Extensions のための LDAP の構成 (手順)
8. Trusted Extensions システムのセキュリティー要件 (概要)
9. Trusted Extensions での一般的なタスクの実行 (手順)
10. Trusted Extensions でのユーザー、権利、および役割 (概要)
11. Trusted Extensions でのユーザー、権利、役割の管理 (手順)
12. Trusted Extensions での遠隔管理 (手順)
13. Trusted Extensions でのゾーンの管理 (手順)
14. Trusted Extensions でのファイルの管理とマウント (手順)
Trusted Extensions のネットワークコマンド
Trusted Extensions のネットワーク構成データベース
Trusted Extensions のネットワークセキュリティー属性
Trusted Extensions の経路指定テーブルエントリ
16. Trusted Extensions でのネットワークの管理 (手順)
17. Trusted Extensions と LDAP (概要)
18. Trusted Extensions でのマルチレベルメール (概要)
20. Trusted Extensions のデバイス (概要)
21. Trusted Extensions でのデバイス管理 (手順)
22. Trusted Extensions での監査 (概要)
23. Trusted Extensions のソフトウェア管理 (リファレンス)
サイトのセキュリティーポリシーと Trusted Extensions
B. Trusted Extensions の構成チェックリスト
Trusted Extensions を構成するためのチェックリスト
Trusted Extensions による Oracle Solaris インタフェースの拡張
Trusted Extensions の厳密なセキュリティーデフォルト
Trusted Extensions で制限されるオプション
D. Trusted Extensions マニュアルページのリスト
Trusted Extensions マニュアルページ (アルファベット順)
Trusted Extensions は、ネットワーク間通信の経路指定を、複数の方法でサポートしています。サイトのセキュリティーポリシーで要求されるレベルのセキュリティーを実現する経路を設定できます。
たとえば、サイトではローカルネットワークの外部の通信をシングルラベルに制限できます。このラベルは、公開情報に適用します。UNCLASSIFIED や PUBLIC などのラベルで公開情報を表すことができます。この制限を実現するには、これらのサイトで、外部ネットワークに接続されているゲートウェイのネットワークインタフェースを、シングルラベルテンプレートに追加します。TCP/IP と経路指定の詳細は、次のマニュアルを参照してください。
Trusted Extensions ホストは、信頼度のもっとも高いルーターとして動作します。ほかの種類のルーターは、Trusted Extensions のセキュリティー属性を認識するとは限りません。管理アクションを行わないと、MAC セキュリティー保護を提供しないルーターを経由してパケットが送信される可能性があります。
CIPSO ルーターは、パケットの IP オプションセクションに正しい種類の情報が見つからなかった場合、パケットを破棄します。たとえば、CIPSO ルーターは、必要な CIPSO オプションが IP オプションに見つからない場合、または IP オプションの DOI が宛先の認可と一致しない場合に、パケットを破棄します。
Trusted Extensions ソフトウェアを実行していないほかの種類のルーターを構成して、CIPSO オプションを含むパケットを通過させたり破棄させたりできます。Trusted Extensions などが提供する CIPSO を認識するゲートウェイのみが、CIPSO IP オプションの内容を使用して、MAC を実施できます。
トラステッド経路指定をサポートするために、Trusted Extensions セキュリティー属性を含むように経路指定テーブルが拡張されます。属性については、「Trusted Extensions の経路指定テーブルエントリ」を参照してください。Trusted Extensions では、経路指定テーブルのエントリを管理者が手動で作成する、静的経路指定がサポートされます。詳しくは、route(1M) のマニュアルページの -p オプションを参照してください。
経路指定ソフトウェアは、経路指定テーブルで宛先ホストへの送信経路を探します。ホストが明示的に定義されていない場合、経路指定ソフトウェアは、ホストが配置されているサブネットのエントリを探します。ホストとサブネットのどちらも定義されていない場合、デフォルトゲートウェイが定義されていれば、ホストはデフォルトゲートウェイにパケットを送信します。複数のデフォルトゲートウェイを定義可能で、それぞれが同等に扱われます。
このリリースの Trusted Extensions では、セキュリティー管理者は経路を手動で設定し、条件が変更されたときに手動で経路指定テーブルを変更します。たとえば、多くのサイトは外部との通信を単一のゲートウェイで行なっています。この場合、ネットワーク上の各ホストで、単一のゲートウェイを「デフォルト」として静的に定義できます。
Trusted Extensions の経路指定の例は次のとおりです。図と表では、ホスト 1 とホスト 2 の間で可能な 3 つの送信経路を示しています。
図 15-1 一般的な Trusted Extensions 経路と経路指定テーブルのエントリ
|
送信経路 #1 は、CONFIDENTIAL から SECRET のラベル範囲のパケットを伝送できます。
送信経路 #2 は、ADMIN_LOW から ADMIN_HIGH の範囲のパケットを伝送できます。
送信経路 #3 には、経路指定情報が指定されていません。したがって、そのセキュリティー属性は、ゲートウェイ 5 のセキュリティーテンプレートから派生します。
ラベルやソケットの拡張されたセキュリティー属性を表示するために、Trusted Extensions では次の Oracle Solaris のネットワークコマンドが修正されています。
netstat -rR コマンドは、経路指定テーブルのエントリにあるセキュリティー属性を表示します。
netstat -aR コマンドは、ソケットのセキュリティー属性を表示します。
route -p コマンドに add または delete オプションを指定すると、経路指定テーブルエントリが変更されます。
詳しくは、netstat(1M) と route(1M) のマニュアルページを参照してください。
Trusted Extensions には、経路指定テーブルエントリを変更するためのインタフェースとして、次のものが用意されています。
txzonemgr GUI は、インタフェースにデフォルトの経路を割り当てる場合に使用できます。
add または delete オプション付きの route -p コマンドは、経路指定テーブルエントリを変更する場合に使用できます。
例については、「デフォルト経路を追加する」を参照してください。
|