跳过导航链接 | |
退出打印视图 | |
Trusted Extensions 配置和管理 Oracle Solaris 11 Information Library (简体中文) |
第 1 部分Trusted Extensions 的初始配置
3. 将 Trusted Extensions 功能添加到 Oracle Solaris(任务)
5. 为 Trusted Extensions 配置 LDAP(任务)
8. Trusted Extensions 系统上的安全要求(概述)
9. 执行 Trusted Extensions 中的常见任务(任务)
10. Trusted Extensions 中的用户、权限和角色(概述)
11. 在 Trusted Extensions 中管理用户、权限和角色(任务)
12. Trusted Extensions 中的远程管理(任务)
13. 在 Trusted Extensions 中管理区域(任务)
14. 在 Trusted Extensions 中管理和挂载文件(任务)
16. 在 Trusted Extensions 中管理网络(任务)
17. Trusted Extensions 和 LDAP(概述)
18. Trusted Extensions 中的多级别邮件(概述)
20. Trusted Extensions 中的设备(概述)
21. 管理 Trusted Extensions 的设备(任务)
23. Trusted Extensions 中的软件管理(参考)
由 Trusted Extensions 扩展的 Oracle Solaris 接口
Trusted Extensions 中更为严厉的安全缺省值
按字母顺序排列的 Trusted Extensions 手册页
Trusted Extensions 系统可以使用 IPsec 来保护有标签网络包。可以使用显式或隐式 Trusted Extensions 标签发送 IPsec 包。使用 CIPSO IP 选项将显式发送标签,使用有标签 IPsec 安全关联 (security association, SA) 将隐式发送标签。此外,具有其他隐式标签的 IPsec 加密包可以通过无标签网络进行传送。
有关一般 IPsec 概念和配置过程,请参见《Oracle Solaris 管理:IP 服务》中的第 III 部分, "IP 安全性"。有关 Trusted Extensions 对 IPsec 过程的修改,请参见配置有标签 IPsec(任务列表)。
Trusted Extensions 系统上的所有通信(包括受 IPsec 保护的通信)都必须满足安全标签认可检查。Trusted Extensions 认可检查中介绍了这些检查。
来自有标签区域中应用程序的 IPsec 包上的必须通过这些检查的标签为内标签 (inner label)、线标签 (wire label)和密钥管理标签 (key management label):
内标签 (Inner label)-应用 IPsec AH 或 ESP 头之前未加密消息数据的标签。正在使用 SO_MAC_EXEMPT 套接字选项 (MAC-exempt) 或 multilevel port, MLP(多级别端口)功能时,此标签可能会不同于应用程序安全标签。选择受标签约束的安全关联 (security association, SA) 和 IKE 规则时,IPsec 和 IKE 将使用此内标签 (inner label)。
缺省情况下,该内标签 (inner label) 与应用程序安全标签相同。通常,两端的应用程序具有相同的标签。但是,对于 MAC-exempt 或 MLP 通信,可能不会满足此条件。IPsec 配置设置可以定义通过网络传递内标签 (inner label) 的方式,即,它们可以定义线标签 (wire label)。IPsec 配置设置无法定义内标签 (inner label) 的值。
线标签 (Wire label)-应用 IPsec AH 或 ESP 头之后加密消息数据的标签。线标签 (wire label) 可能不同于内标签 (inner label),具体取决于 IKE 和 IPsec 配置文件。
密钥管理标签-无论触发协商的应用程序消息的标签为何,两个节点之间的所有 IKE 协商都在单个标签受到控制。IKE 协商的标签根据每 IKE 规则在 /etc/inet/ike/config 文件中进行定义。
在 Trusted Extensions 系统上使用 IPsec 标签扩展,以将标签与在安全关联 (security association, SA) 内传输的通信相关联。缺省情况下,IPsec 不使用标签扩展,因此将忽略标签。无论 Trusted Extensions 标签为何,两个系统之间的所有通信都将流经单个 SA。
使用标签扩展,您可以执行以下操作:
配置可用于每个 Trusted Extensions 标签的不同 IPsec SA。此配置有效地提供其他机制,用于传递在两个多级别系统之间进行的通信的标签。
为不同于未加密形式文本的 IPsec 加密消息文本指定线标签 (on-the-wire label)。此配置支持通过安全性较低的网络传输加密的机密数据。
在 IP 包中隐藏对 CIPSO IP 选项的使用。通过此配置,有标签通信可以遍历 CIPSO 无感知网络或 CIPSO 不友好网络。
可以指定是自动通过 IKE(如IKE 的标签扩展中所述)还是手动通过 ipseckey 命令来使用标签扩展。有关标签扩展功能的详细信息,请参见 ipseckey(1M) 手册页。
使用标签扩展时,传出通信的 SA 选择将内部敏感标签包括为匹配项的一部分。传入通信的安全标签由已接收包的 SA 的安全标签定义。
Trusted Extensions 系统上的 IKE 支持与可识别标签的对等方协商 SA 的标签。在 /etc/inet/ike/config 文件中使用以下关键字可控制此机制:
label_aware-允许 in.iked 守护进程使用 Trusted Extensions 标签接口并与对等方协商标签。
single_label-指明对等方不支持协商 SA 的标签。
multi_label-指明对等方支持协商 SA 的标签。IKE 为 IKE 在两个节点之间的通信中遇到的每个附加标签创建一个新的 SA。
wire_label inner-使 in.iked 守护进程创建有标签 SA,其中线标签 (wire label) 与内标签 (inner label) 相同。该守护进程正在与 cipso 对等方协商时,密钥管理标签为 ADMIN_LOW。该守护进程正在与无标签对等方协商时,密钥管理标签为该对等方的缺省标签。遵循常规 Trusted Extensions 规则以在传输包中包含 CIPSO IP 选项。
wire_label label -使 in.iked 守护进程创建有标签 SA,其中线标签 (wire label) 设置为 label,而不管内标签 (inner label) 的值为何。in.iked 守护进程在指定标签执行密钥管理协商。遵循常规 Trusted Extensions 规则以在传输包中包含 CIPSO IP 选项。
wire_label none label-导致产生类似于 wire_label label 的行为,但对 SA 下的传输 IKE 包和数据包隐藏 CIPSO IP 选项。
有关更多信息,请参见 ike.config(4) 手册页。
应用程序数据包受到通道模式下的 IPsec 保护时,这些数据包包含多个 IP 头。
IKE 协议的 IP 头包含与应用程序数据包的外部 IP 头相同的源和目标地址对。
Trusted Extensions 将内部 IP 头地址用于内标签 (inner label) 认可检查。Trusted Extensions 使用外部 IP 头地址来执行网线标签和密钥管理标签检查。有关认可检查的信息,请参见Trusted Extensions 认可检查。
下表说明了 IPsec 保密性和完整性保护如何应用于具有各种标签扩展配置的安全标签。
|
注 - 如果可识别 CIPSO 的路由器在消息通过网络传输时去除或添加 CIPSO IP 选项,则您无法使用 IPsec AH 完整性保护来保护 CIPSO IP 选项。对 CIPSO IP 选项所做的任何修改将使消息无效,并导致受 AH 保护的包在目标处丢弃。