Ignorer les liens de navigation | |
Quitter l'aperu | |
Configuration et administration de Trusted Extensions Oracle Solaris 11.1 Information Library (Français) |
Partie I Configuration initiale de Trusted Extensions
1. Planification de la sécurité pour Trusted Extensions
2. Déroulement de la configuration de Trusted Extensions
3. Ajout de la fonction Trusted Extensions à Oracle Solaris (tâches)
4. Configuration de Trusted Extensions (tâches)
5. Configuration de LDAP pour Trusted Extensions (tâches)
Partie II Administration de Trusted Extensions
6. Concepts d'administration de Trusted Extensions
7. Outils d'administration de Trusted Extensions
8. Exigences de sécurité sur un système Trusted Extensions (présentation)
9. Exécution de tâches courantes dans Trusted Extensions
10. Utilisateurs, droits et rôles dans Trusted Extensions (présentation)
11. Gestion des utilisateurs, des droits et des rôles dans Trusted Extensions (tâches)
12. Administration à distance dans Trusted Extensions (tâches)
13. Gestion des zones dans Trusted Extensions
14. Gestion et montage de fichiers dans Trusted Extensions
15. Gestion de réseaux de confiance (présentation)
Paquets de données Trusted Extensions
Paquets de multidiffusion Trusted Extensions
Communications sur le réseau de confiance
Commandes réseau dans Trusted Extensions
Bases de données de configuration réseau dans Trusted Extensions
Attributs de sécurité du réseau de confiance
Attributs de sécurité réseau dans Trusted Extensions
Type d'hôte et nom du modèle dans les modèles de sécurité
Etiquette par défaut dans les modèles de sécurité
Domaine d'interprétation dans les modèles de sécurité
Mécanisme de secours du réseau de confiance
Présentation du routage dans Trusted Extensions
Informations générales sur le routage
Entrées de la table de routage dans Trusted Extensions
Contrôles d'accréditation dans Trusted Extensions
Contrôles d'accréditation des sources
Contrôles d'accréditation sur les passerelles
Contrôles d'accréditation des destinations
Administration du routage dans Trusted Extensions
Choix de routeurs dans Trusted Extensions
Passerelles dans Trusted Extensions
Commandes de routage dans Trusted Extensions
Administration d'IPsec avec étiquettes
Etiquettes pour les échanges protégés par IPsec
Extensions d'étiquettes pour les associations de sécurité IPsec
Extensions d'étiquettes pour IKE
Etiquettes et accréditation en IPsec mode tunnel
Protections relatives à la confidentialité et à l'intégrité à l'aide des extensions d'étiquettes
16. Gestion des réseaux dans Trusted Extensions (tâches)
17. Trusted Extensions et LDAP (présentation)
18. Messagerie multiniveau dans Trusted Extensions (présentation)
19. Gestion de l'impression étiquetée (tâches)
20. Périphériques dans Trusted Extensions (présentation)
21. Gestion des périphériques pour Trusted Extensions (tâches)
22. Audit de Trusted Extensions (présentation)
23. Gestion des logiciels dans Trusted Extensions
A. Stratégie de sécurité du site
Création et gestion d'une stratégie de sécurité
Stratégie de sécurité du site et Trusted Extensions
Recommandations relatives à la sécurité informatique
Recommandations relatives à la sécurité physique
Recommandations relatives à la sécurité du personnel
Violations de sécurité courantes
Références de sécurité supplémentaires
B. Liste de contrôle de configuration pour Trusted Extensions
Liste de contrôle de configuration de Trusted Extensions
C. Guide de référence rapide pour l'administration de Trusted Extensions
Interfaces d'administration dans Trusted Extensions
Interfaces Oracle Solaris étendues par Trusted Extensions
Renforcement des paramètres de sécurité par défaut dans Trusted Extensions
Options limitées dans Trusted Extensions
D. Liste des pages de manuel Trusted Extensions
Pages de manuel Trusted Extensions par ordre alphabétique
Pages de manuel Oracle Solaris modifiées par Trusted Extensions
Un système Trusted Extensions est installé avec un ensemble de modèles de sécurité par défaut qui sont utilisés pour définir les propriétés d'étiquettes des hôtes distants. Dans Trusted Extensions, les hôtes étiquetés et les hôtes sans étiquette se trouvant sur le réseau se voient assigner des attributs de sécurité par le biais d'un modèle de sécurité. Les hôtes auxquels aucun modèle n'est assigné ne peuvent pas communiquer avec les hôtes configurés à l'aide de Trusted Extensions. Les modèles sont stockés localement.
Les hôtes peuvent être ajoutés à un modèle de sécurité par le biais de leur adresse IP ou dans le cadre d'une plage d'adresses IP. Pour plus d'informations, reportez-vous à la section Mécanisme de secours du réseau de confiance.
Chaque type d'hôte possède son propre ensemble d'attributs de sécurité obligatoires et facultatifs supplémentaires. Les attributs de sécurité suivants sont spécifiés dans les modèles de sécurité :
Type d'hôte : détermine si les paquets possèdent des étiquettes de sécurité CALIPSO ou CIPSO ou s'ils sont sans étiquette.
Etiquette par défaut : détermine le niveau de fiabilité de l'hôte sans étiquette. Les paquets envoyés par un hôte sans étiquette sont lus sous cette étiquette par le système ou la passerelle Trusted Extensions destinataire.
L'attribut Etiquette par défaut est spécifique au type d'hôte sans étiquette. Pour plus d'informations, reportez-vous à la section Etiquette par défaut dans les modèles de sécurité.
DOI : nombre entier, non nul et positif identifiant le domaine d'interprétation. Le DOI est utilisé pour indiquer quel ensemble de codages d'étiquettes s'applique à une communication réseau ou une entité réseau. Les étiquettes possédant des DOI différents sont disjointes, et ce même si elles sont identiques par ailleurs. Pour les hôtes sans étiquette, le DOI s'applique à l'étiquette par défaut. Dans Trusted Extensions, la valeur par défaut est 1.
Etiquette minimale : définit l'étiquette la plus basse de la plage d'accréditations d'étiquettes. Les hôtes et les passerelles du prochain saut ne reçoivent pas les paquets dont l'étiquette est inférieure à l'étiquette minimale spécifiée dans leur modèle.
Etiquette maximale : définit l'étiquette maximale de la page d'accréditations d'étiquettes. Les hôtes et les passerelles du prochain saut ne reçoivent pas les paquets dont l'étiquette est supérieure à l'étiquette maximale spécifiée dans leur modèle.
Ensemble d'étiquettes auxiliaires : facultatif. Spécifie un ensemble discret d'étiquettes de sécurité pour un modèle de sécurité. En plus de leur plage d'accréditations qui est déterminée par l'étiquette maximale et minimale, les hôtes assignés à un modèle incluant un ensemble d'étiquettes auxiliaires peuvent envoyer et recevoir des paquets correspondant à n'importe quelle étiquette de cet ensemble d'étiquettes. Le nombre maximal d'étiquettes auxiliaires pouvant être spécifié est de 4.
Trusted Extensions prend en charge quatre types d'hôte dans les bases de données du réseau de confiance et fournit quatre modèles par défaut :
Type d'hôte cipso : destiné aux hôtes exécutant des systèmes d'exploitation de confiance étiquetés. Ce type d'hôte prend en charge les étiquettes CALIPSO et CIPSO.
Pour IPv6, le protocole CALIPSO est utilisé pour indiquer les étiquettes de sécurité transmises au champ des options IP. Pour IPv4, le protocole CIPSO est utilisé. Les étiquettes dans les en-têtes CALIPSO et CIPSO sont automatiquement dérivées de l'étiquette des données. Cette étiquette est ensuite utilisée pour effectuer des contrôles de sécurité au niveau de l'IP et pour étiqueter les paquets réseau.
Type d'hôte unlabeled : destiné aux hôtes utilisant des protocoles de gestion de réseaux standard mais ne prenant pas en charge les options étiquetées. Trusted Extensions fournit le modèle nommé admin_low pour ce type d'hôte.
Ce type d'hôte est assigné aux hôtes exécutant le SE Oracle Solaris ou d'autres systèmes d'exploitation sans étiquette. Ce type d'hôte fournit une étiquette par défaut s'appliquant aux communications avec l'hôte sans étiquette. En outre, une plage d'étiquettes ou un ensemble d'étiquettes discrètes peuvent être spécifiées pour permettre l'envoi de paquets à une passerelle sans étiquette chargée d'en assurer le transfert.
Type d'hôte adaptive : destiné aux sous-réseaux d'hôtes qui ne sont pas étiquetés, mais qui envoient des paquets à une interface réseau spécifique sur un système étiqueté. Le système étiqueté applique son étiquette par défaut d'interface réseau aux paquets entrants.
Ce type d'hôte est assigné aux hôtes exécutant le SE Oracle Solaris ou d'autres systèmes d'exploitation sans étiquette et qui doivent envoyer des données vers un système étiqueté. Ce type d'hôte ne fournit pas une étiquette par défaut. L'étiquette de la communication est dérivée de l'interface réseau étiquetée du système de réception. Ce type d'hôte est assigné aux systèmes de noeud de fin, pas aux passerelles.
Le type d'hôte adaptive offre une certaine flexibilité pour la planification et la mise à l'échelle d'un réseau de confiance. Les administrateurs peuvent développer le réseau avec de nouveaux systèmes sans étiquette sans qu'il soit nécessaire de connaître la nouvelle étiquette par défaut du système à l'avance. Lorsqu'un hôte adaptive est configuré pour envoyer des paquets à une interface réseau étiquetée sur un hôte netif, l'étiquette par défaut de l'interface sur cet hôte netif assigne l'étiquette appropriée aux paquets entrants.
Type d'hôte netif : destiné aux noms d'hôtes des interfaces qui reçoivent des paquets sur une interface réseau spécifique à partir d'hôtes adaptive. Ce type d'hôte est assigné aux interfaces sur les systèmes Trusted Extensions. L'étiquette par défaut de l'interface netif est appliquée aux paquets entrants.
Attention - Le modèle admin_low fournit un exemple pour la construction de modèles pour hôtes sans étiquettes à l'aide d'étiquettes spécifiques à un site. Le modèle admin_low est obligatoire pour installer Trusted Extensions, mais les paramètres de sécurité peuvent être trop peu contraignants pour les opérations courantes du système. Conservez les modèles fournis sans modification en vue de la maintenance du système et pour les besoins de l'assistance. |
Les modèles destinés aux types d'hôte unlabeled et netif spécifient une étiquette par défaut. Cette étiquette permet de contrôler les communications avec les hôtes dont les systèmes d'exploitation ne prennent pas en compte les étiquettes, par exemple, les systèmes Oracle Solaris. L'étiquette par défaut qui est assignée reflète le niveau de confiance approprié pour l'hôte et ses utilisateurs.
Etant donné que les communications avec les hôtes sans étiquette sont essentiellement limitées à l'étiquette par défaut, ces hôtes sont également appelés hôtes à étiquette unique. La raison technique pour laquelle ces hôtes sont appelés "à étiquette unique" est que ces hôtes n'ont pas d'étiquette admin_high et admin_low.
Les organisations qui utilisent le même domaine d'interprétation (DOI) s'accordent entre elles pour interpréter de façon identique les informations d'étiquette et les autres attributs de sécurité. Lorsque Trusted Extensions effectue une comparaison d'étiquettes, un contrôle vérifie que les DOI sont identiques.
Un système Trusted Extensions applique sa stratégie concernant les étiquettes à une valeur de DOI. Toutes les zones d'un système Trusted Extensions doivent utiliser le même DOI. Un système Trusted Extensions ne fournit pas de gestion des exceptions sur les paquets reçus d'un système utilisant un autre DOI.
Si votre site utilise une valeur de DOI différente de la valeur par défaut, vous devez utiliser cette valeur dans chaque modèle de sécurité, comme décrit à la section Configuration d'un autre domaine d'interprétation.
Les attributs d'étiquette minimale et maximale sont utilisés pour définir la plage d'étiquettes des hôtes étiquetés et sans étiquette. Ces attributs sont utilisés pour effectuer les opérations suivantes :
Pour définir la plage d'étiquettes qui peut être utilisée lorsqu'un hôte communique avec un hôte étiqueté distant
Pour qu'un paquet puisse être envoyé à un hôte de destination, il faut que son étiquette soit comprise dans la plage d'étiquettes assignée dans le modèle de sécurité de l'hôte.
Pour définir une plage d'étiquettes pour les paquets transférés par le biais d'une passerelle étiquetée ou d'une passerelle sans étiquette
La plage d'étiquettes peut être spécifiée dans le modèle destiné au type d'hôte sans étiquette. La plage d'étiquettes permet à l'hôte de transférer des paquets qui ne correspondent pas nécessairement à sa propre étiquette, mais dont l'étiquette est comprise dans une plage d'étiquettes spécifiée.
L'ensemble d'étiquettes auxiliaires, qui comprend quatre étiquettes discrètes au maximum, définit les étiquettes sous lesquelles l'hôte distant peut accepter, transférer ou envoyer des paquets. Cet attribut est facultatif. Par défaut, aucun ensemble d'étiquettes auxiliaire n'est défini.