ナビゲーションリンクをスキップ | |
印刷ビューの終了 | |
Trusted Extensions 構成と管理 Oracle Solaris 11.1 Information Library (日本語) |
パート I Trusted Extensions の初期構成
1. Trusted Extensions のセキュリティー計画
2. Trusted Extensions の構成ロードマップ
3. Oracle Solaris への Trusted Extensions 機能の追加 (タスク)
4. Trusted Extensions の構成 (タスク)
5. Trusted Extensions のための LDAP の構成 (タスク)
8. Trusted Extensions システムのセキュリティー要件 (概要)
9. Trusted Extensions での一般的なタスクの実行
10. Trusted Extensions でのユーザー、権利、および役割 (概要)
11. Trusted Extensions でのユーザー、権利、役割の管理 (タスク)
12. Trusted Extensions でのリモート管理 (タスク)
13. Trusted Extensions でのゾーンの管理
14. Trusted Extensions でのファイルの管理とマウント
Trusted Extensions のマルチキャストパケット
Trusted Extensions のネットワークコマンド
Trusted Extensions のネットワーク構成データベース
Trusted Extensions のネットワークセキュリティー属性
Trusted Extensions のルーティングテーブルエントリ
16. Trusted Extensions でのネットワークの管理 (タスク)
17. Trusted Extensions と LDAP (概要)
18. Trusted Extensions でのマルチレベルメール (概要)
20. Trusted Extensions のデバイス (概要)
21. Trusted Extensions でのデバイス管理 (タスク)
22. Trusted Extensions での監査 (概要)
23. Trusted Extensions のソフトウェア管理
サイトのセキュリティーポリシーと Trusted Extensions
B. Trusted Extensions の構成チェックリスト
Trusted Extensions を構成するためのチェックリスト
Trusted Extensions による Oracle Solaris インタフェースの拡張
Trusted Extensions の厳密なセキュリティーデフォルト
Trusted Extensions で制限されるオプション
D. Trusted Extensions マニュアルページのリスト
Trusted Extensions マニュアルページ (アルファベット順)
Trusted Extensions は、ネットワーク間通信のルーティングを、複数の方法でサポートしています。サイトのセキュリティーポリシーで要求されるレベルのセキュリティーを実現する経路を設定できます。
たとえば、サイトではローカルネットワークの外部の通信をシングルラベルに制限できます。このラベルは、公開情報に適用します。UNCLASSIFIED や PUBLIC などのラベルで公開情報を表すことができます。この制限を実現するには、これらのサイトで、外部ネットワークに接続されているゲートウェイのネットワークインタフェースを、シングルラベルテンプレートに追加します。TCP/IP とルーティングの詳細は、次のマニュアルを参照してください。
Trusted Extensions ホストは、信頼度のもっとも高いルーターとして動作します。ほかの種類のルーターは、Trusted Extensions のセキュリティー属性を認識するとは限りません。管理アクションを行わないと、MAC セキュリティー保護を提供しないルーターを経由してパケットが送信される可能性があります。
ラベル付きルーターは、パケットの IP オプションセクションに正しい種類の情報が見つからなかった場合、パケットを破棄します。たとえば、ラベル付きルーターは、必要なラベル付きオプションが IP オプションに見つからない場合、または IP オプションの DOI が宛先の認可と一致しない場合に、パケットを破棄します。
Trusted Extensions ソフトウェアを実行していないほかの種類のルーターを構成して、ラベル付きオプションを含むパケットを通過させたり破棄させたりできます。Trusted Extensions など、ラベルを認識するゲートウェイのみが、CALIPSO または CIPSO IP オプションの内容を使用して、MAC を実施できます。
トラステッドルーティングをサポートするために、Trusted Extensions セキュリティー属性を含むようにルーティングテーブルが拡張されます。属性については、「Trusted Extensions のルーティングテーブルエントリ」を参照してください。Trusted Extensions では、ルーティングテーブルのエントリを管理者が手動で作成する、静的ルーティングがサポートされます。詳しくは、route(1M) のマニュアルページの -p オプションを参照してください。
ルーティングソフトウェアは、ルーティングテーブルで宛先ホストへの送信経路を探します。ホストが明示的に定義されていない場合、ルーティングソフトウェアは、ホストが配置されているサブネットのエントリを探します。ホストとサブネットのどちらも定義されていない場合、デフォルトゲートウェイが定義されていれば、ホストはデフォルトゲートウェイにパケットを送信します。複数のデフォルトゲートウェイを定義可能で、それぞれが同等に扱われます。
このリリースの Trusted Extensions では、セキュリティー管理者は経路を手動で設定し、条件が変更されたときに手動でルーティングテーブルを変更します。たとえば、多くのサイトは外部との通信を単一のゲートウェイで行なっています。この場合、ネットワーク上の各ホストで、単一のゲートウェイを「デフォルト」として静的に定義できます。
Trusted Extensions のルーティングの例は次のとおりです。図と表では、ホスト 1 とホスト 2 の間で可能な 3 つの送信経路を示しています。
図 15-1 一般的な Trusted Extensions 経路とルーティングテーブルのエントリ
|
送信経路 #1 は、CONFIDENTIAL から SECRET のラベル範囲のパケットを伝送できます。
送信経路 #2 は、ADMIN_LOW から ADMIN_HIGH の範囲のパケットを伝送できます。
送信経路 #3 には、ルーティング情報が指定されていません。したがって、そのセキュリティー属性は、ゲートウェイ 5 のセキュリティーテンプレートから派生します。
ラベルやソケットの拡張されたセキュリティー属性を表示するために、Trusted Extensions では次の Oracle Solaris のネットワークコマンドが修正されています。
netstat -rR コマンドは、ルーティングテーブルのエントリにあるセキュリティー属性を表示します。
netstat -aR コマンドは、ソケットのセキュリティー属性を表示します。
route -p コマンドに add または delete オプションを指定すると、ルーティングテーブルエントリが変更されます。
詳しくは、netstat(1M) と route(1M) のマニュアルページを参照してください。
Trusted Extensions には、ルーティングテーブルエントリを変更するためのインタフェースとして、次のものが用意されています。
txzonemgr GUI は、インタフェースにデフォルトの経路を割り当てる場合に使用できます。
add または delete オプション付きの route -p コマンドは、ルーティングテーブルエントリを変更する場合に使用できます。
例については、「デフォルトルートを追加する」を参照してください。