| 탐색 링크 건너뛰기 | |
| 인쇄 보기 종료 | |
|
Trusted Extensions 구성 및 관리 Oracle Solaris 11 Information Library (한국어) |
| 탐색 링크 건너뛰기 | |
| 인쇄 보기 종료 | |
|
|
Trusted Extensions 구성 및 관리 Oracle Solaris 11 Information Library (한국어) |
3. Oracle Solaris에 Trusted Extensions 기능 추가(작업)
5. Trusted Extensions에 대해 LDAP 구성(작업)
8. Trusted Extensions 시스템의 보안 요구 사항(개요)
9. Trusted Extensions에서 일반 작업 수행(작업)
10. Trusted Extensions의 사용자, 권한 및 역할(개요)
11. Trusted Extensions에서 사용자, 권한 및 역할 관리(작업)
12. Trusted Extensions에서 원격 관리(작업)
13. Trusted Extensions에서 영역 관리(작업)
14. Trusted Extensions에서 파일 관리 및 마운트(작업)
Trusted Extensions의 네트워크 구성 데이터베이스
Trusted Extensions의 네트워크 보안 속성
16. Trusted Extensions에서 네트워크 관리(작업)
17. Trusted Extensions 및 LDAP(개요)
18. Trusted Extensions의 다중 레벨 메일(개요)
20. Trusted Extensions의 장치(개요)
21. Trusted Extensions에 대한 장치 관리(작업)
23. Trusted Extensions에서 소프트웨어 관리(참조)
사이트 보안 정책 및 Trusted Extensions
B. Trusted Extensions 구성 검사 목록
C. Trusted Extensions 관리에 대한 빠른 참조
Trusted Extensions에서 확장된 Oracle Solaris 인터페이스
Trusted Extensions의 강화된 보안 기본값
D. Trusted Extensions 매뉴얼 페이지 목록
Trusted Extensions 매뉴얼 페이지(사전순)
Trusted Extensions에서는 서로 다른 네트워크에 있는 호스트 간의 라우팅 시 각 전송 단계에서 보안이 유지되어야 합니다. Trusted Extensions는 Oracle Solaris OS의 라우팅 프로토콜에 확장된 보안 속성을 추가합니다. Oracle Solaris와 달리 Trusted Extensions는 동적 라우팅을 지원하지 않습니다. 정적 라우팅 지정에 대한 자세한 내용은 route(1M) 매뉴얼 페이지의 -p 옵션을 참조하십시오.
게이트웨이와 라우터는 패킷을 라우팅합니다. 이 항목에서는 용어 "게이트웨이"와 "라우터"가 같은 의미로 사용됩니다.
동일한 서브넷에 있는 호스트 간 통신에서는 라우터가 사용되지 않으므로 끝점에서만 승인 검사가 수행됩니다. 레이블 범위 검사는 소스에서 수행됩니다. 받는 호스트에서 Trusted Extensions 소프트웨어를 실행 중인 경우 대상에서도 레이블 범위 검사가 수행됩니다.
소스 호스트와 대상 호스트가 서로 다른 서브넷에 있는 경우 패킷은 소스 호스트에서 게이트웨이로 전송됩니다. 대상과 첫 번째 홉 게이트웨이의 레이블 범위는 경로 선택 시 소스에서 검사됩니다. 게이트웨이는 대상 호스트가 연결되는 네트워크에 패킷을 전달합니다. 패킷은 대상에 도달하기 전에 여러 게이트웨이를 통과할 수 있습니다.
Trusted Extensions 게이트웨이에서는 특정한 경우에만 레이블 범위 검사가 수행됩니다. 레이블이 없는 두 호스트 사이에서 패킷을 라우팅하는 Trusted Extensions 시스템은 소스 호스트의 기본 레이블을 대상 호스트의 기본 레이블과 비교합니다. 레이블이 없는 호스트가 기본 레이블을 공유하는 경우 패킷이 라우팅됩니다.
각 게이트웨이는 모든 대상에 대한 경로 목록을 유지합니다. 표준 Oracle Solaris 라우팅은 경로를 최적화하는 선택 사항을 만듭니다. Trusted Extensions는 경로 선택 사항에 적용되는 보안 요구 사항을 검사하는 추가 소프트웨어를 제공합니다. 보안 요구 사항을 충족하지 않는 Oracle Solaris 선택 사항은 건너뜁니다.
Trusted Extensions의 라우팅 테이블 항목은 보안 속성을 통합할 수 있습니다. 보안 속성은 cipso 키워드를 포함할 수 있으며 최대 레이블, 최소 레이블 및 DOI를 포함해야 합니다.
항목에서 보안 속성을 제공하지 않는 경우 게이트웨이의 보안 템플리트에 있는 속성이 사용됩니다.
Trusted Extensions 소프트웨어에서는 보안을 위해 경로의 적합성을 결정합니다. 이 소프트웨어는 소스 호스트, 대상 호스트 및 중간 게이트웨이에서 승인 검사라는 일련의 테스트를 실행합니다.
주 - 다음 설명에서 레이블 범위에 대한 승인 검사는 보조 레이블 집합에 대한 검사를 의미하기도 합니다.
승인 검사에서는 레이블 범위와 CIPSO 레이블 정보를 확인합니다. 경로에 대한 보안 속성은 라우팅 테이블 항목에서 가져오며, 항목에 보안 속성이 없는 경우 게이트웨이의 보안 템플리트에서 가져오기도 합니다.
받는 통신의 경우 Trusted Extensions 소프트웨어에서는 가능하면 패킷 자체에서 레이블을 가져옵니다. 레이블을 지원하는 호스트에서 메시지를 보내는 경우에만 패킷에서 레이블을 가져올 수 있습니다. 패킷에서 레이블을 사용할 수 없는 경우 보안 템플리트의 메시지에 기본 레이블이 지정됩니다. 그러면 승인 검사 중에 이러한 레이블이 사용됩니다. Trusted Extensions는 나가는 메시지, 전달된 메시지 및 받는 메시지에 대해 여러 가지 검사를 수행합니다.
보내는 프로세스 또는 보내는 영역에서 다음과 같은 승인 검사가 수행됩니다.
모든 대상에 대해 나가는 패킷의 DOI가 대상 호스트의 DOI와 일치해야 합니다. 또한 DOI가 첫 번째 홉 게이트웨이를 포함하여 경로를 따라 모든 홉의 DOI와 일치해야 합니다.
모든 대상에 대해 나가는 패킷의 레이블이 경로의 다음 홉 즉, 첫 번째 홉의 레이블 범위 내에 있어야 합니다. 또한 레이블이 첫 번째 홉 게이트웨이의 보안 속성에 포함되어야 합니다.
대상 호스트가 레이블이 없는 호스트인 경우 다음 조건 중 하나를 충족해야 합니다.
보내는 호스트의 레이블이 대상 호스트의 기본 레이블과 일치해야 합니다.
보내는 호스트가 교차 레이블 통신을 수행할 권한이 있고 보낸 사람의 레이블이 대상의 기본 레이블을 지배합니다.
보내는 호스트에 레이블 간 통신을 수행할 권한이 있고 보낸 사람의 레이블이 ADMIN_LOW입니다. 즉, 보낸 사람이 전역 영역에서 보내고 있습니다.
주 - 게이트웨이를 통해 한 네트워크의 호스트에서 다른 네트워크의 호스트로 메시지를 보낼 때 첫 번째 홉 검사가 수행됩니다.
Trusted Extensions 게이트웨이 시스템에서 다음 홉 게이트웨이에 대해 다음과 같은 승인 검사가 수행됩니다.
받는 패킷에 레이블이 없는 경우 해당 패킷은 보안 템플리트에서 소스 호스트의 기본 레이블을 상속합니다. 그렇지 않으면, 표시된 CIPSO 레이블을 받습니다.
패킷 전달 검사는 소스 승인과 비슷하게 진행됩니다.
모든 대상에 대해 나가는 패킷의 DOI가 대상 호스트의 DOI와 일치해야 합니다. 또한 DOI가 다음 홉 호스트의 DOI와 일치해야 합니다.
모든 대상에 대해 나가는 패킷의 레이블이 다음 홉의 레이블 범위 내에 있어야 합니다. 또한 레이블이 다음 홉 호스트의 보안 속성에 포함되어야 합니다.
레이블이 없는 패킷의 레이블이 대상 호스트의 기본 레이블과 일치해야 합니다.
CIPSO 패킷의 레이블이 대상 호스트의 레이블 범위 내에 있어야 합니다.
Trusted Extensions 시스템에서 데이터를 받으면 소프트웨어에서 다음과 같은 검사를 수행합니다.
받는 패킷에 레이블이 없는 경우 해당 패킷은 보안 템플리트에서 소스 호스트의 기본 레이블을 상속합니다. 그렇지 않으면, 표시된 CIPSO 레이블을 받습니다.
패킷의 레이블과 DOI가 대상 영역 또는 대상 프로세스의 레이블 및 DOI와 일치해야 합니다. 프로세스가 다중 레벨 포트에서 수신 대기하는 경우는 예외입니다. 수신 프로세스에 레이블 간 통신을 수행할 권한이 있고, 프로세스가 전역 영역 내에 있거나 프로세스에 패킷의 레이블을 지배하는 레이블이 있는 경우 프로세스에서 패킷을 받을 수 있습니다.
|