JavaScript is required to for searching.
탐색 링크 건너뛰기
인쇄 보기 종료
Trusted Extensions 구성 및 관리     Oracle Solaris 11.1 Information Library (한국어)
search filter icon
search icon

문서 정보

머리말

제1부Trusted Extensions의 초기 구성

1.  Trusted Extensions의보안 계획

2.  Trusted Extensions용 로드맵 구성

3.  Oracle Solaris에 Trusted Extensions 기능 추가(작업)

4.  Trusted Extensions 구성(작업)

5.  Trusted Extensions에 대해 LDAP 구성(작업)

제2부Trusted Extensions 관리

6.  Trusted Extensions 관리 개념

7.  Trusted Extensions 관리 도구

8.  Trusted Extensions 시스템의 보안 요구 사항(개요)

9.  Trusted Extensions에서 일반 작업 수행

10.  Trusted Extensions의 사용자, 권한 및 역할(개요)

11.  Trusted Extensions에서 사용자, 권한 및 역할 관리(작업)

12.  Trusted Extensions에서 원격 관리(작업)

13.  Trusted Extensions에서 영역 관리

14.  Trusted Extensions에서 파일 관리 및 마운트

15.  신뢰할 수 있는 네트워킹(개요)

16.  Trusted Extensions에서 네트워크 관리(작업)

호스트 및 네트워크 레이블 지정(작업)

기존 보안 템플리트 보기(작업)

보안 템플리트를 보는 방법

사이트별 보안 템플리트가 필요한지 여부를 확인하는 방법

시스템의 알려진 네트워크에 호스트를 추가하는 방법

보안 템플리트 만들기(작업)

보안 템플리트를 만드는 방법

보안 템플리트에 호스트 추가(작업)

호스트를 보안 템플리트에 추가하는 방법

호스트 범위를 보안 템플리트에 추가하는 방법

신뢰할 수 있는 네트워크에 연결할 수 있는 호스트 제한(작업)

신뢰할 수 있는 네트워크에서 연결할 수 있는 호스트를 제한하는 방법

경로 및 다중 레벨 포트 구성(작업)

기본 경로를 추가하는 방법

영역에 대한 다중 레벨 포트를 만드는 방법

레이블이 있는 IPsec 구성(작업 맵)

다중 레벨 Trusted Extensions 네트워크에서 IPsec 보호를 적용하는 방법

신뢰할 수 없는 네트워크에서 터널을 구성하는 방법

신뢰할 수 있는 네트워크 문제 해결(작업 맵)

시스템의 인터페이스가 작동 중인지 확인하는 방법

Trusted Extensions 네트워크를 디버깅하는 방법

LDAP 서버에 대한 클라이언트 연결을 디버깅하는 방법

17.  Trusted Extensions 및 LDAP(개요)

18.  Trusted Extensions의 다중 레벨 메일(개요)

19.  레이블이 있는 인쇄 관리(작업)

20.  Trusted Extensions의 장치(개요)

21.  Trusted Extensions에 대한 장치 관리(작업)

22.  Trusted Extensions 감사(개요)

23.  Trusted Extensions에서 소프트웨어 관리

A.  사이트 보안 정책

보안 정책 생성 및 관리

사이트 보안 정책 및 Trusted Extensions

컴퓨터 보안 권장 사항

물리적 보안 권장 사항

담당자 보안 권한 사항

일반 보안 위반

추가 보안 참조

B.  Trusted Extensions 구성 점검 목록

Trusted Extensions 구성 점검 목록

C.  Trusted Extensions 관리에 대한 빠른 참조

Trusted Extensions의 관리 인터페이스

Trusted Extensions에서 확장된 Oracle Solaris 인터페이스

Trusted Extensions의 강화된 보안 기본값

Trusted Extensions의 제한된 옵션

D.  Trusted Extensions 매뉴얼 페이지 목록

Trusted Extensions 매뉴얼 페이지(사전순)

Trusted Extensions에서 수정된 Oracle Solaris 매뉴얼 페이지

용어집

색인

호스트 및 네트워크 레이블 지정(작업)

Trusted Extensions 시스템은 다른 호스트의 보안 속성을 정의한 후에만 해당 호스트에 연결할 수 있습니다. 원격 호스트는 유사한 보안 속성을 가질 수 있으므로 Trusted Extensions는 호스트를 추가할 수 있는 보안 템플리트를 제공합니다.

기존 보안 템플리트 보기(작업)

원격 호스트 및 네트워크에 레이블을 지정하기 전에 제공된 보안 템플리트를 읽고 원격 호스트 및 네트워크에 연결할 수 있는지 확인합니다. 지침은 다음을 참조하십시오.

보안 템플리트를 보는 방법

보안 템플리트의 목록 및 각 템플리트의 컨텐츠를 볼 수 있습니다. 이 절차에 나온 예는 기본 보안 템플리트입니다.

  1. 사용 가능한 보안 템플리트를 나열합니다.
    # tncfg list
       cipso
       admin_low
       adapt
       netif
  2. 나열된 템플리트의 컨텐츠를 봅니다.
    # tncfg -t cipso info
       name=cipso
       host_type=cipso
       doi=1
       min_label=ADMIN_LOW
       max_label=ADMIN_HIGH
       host=127.0.0.1/32

    위의 cipso 보안 템플리트에 있는 127.0.0.1/32 항목은 이 시스템을 레이블이 있는 시스템으로 식별합니다. 피어가 cipsohost_type을 사용하여 이 시스템을 피어의 원격 호스트 템플리트에 지정하면 두 시스템은 레이블이 있는 패킷을 교환할 수 있습니다.

    # tncfg -t admin_low info
       name=admin_low
       host_type=unlabeled
       doi=1
       def_label=ADMIN_LOW
       min_label=ADMIN_LOW
       max_label=ADMIN_HIGH
       host=0.0.0.0/0

    위의 admin_low 보안 템플리트에 있는 0.0.0.0/0 항목은 보안 템플리트에 명시적으로 지정되지 않은 모든 호스트가 이 시스템에 연결할 수 있도록 합니다. 이러한 호스트는 레이블이 없는 호스트로 인식됩니다.

    • 0.0.0.0/0 항목의 장점은 이 시스템이 부트 시 필요한 모든 호스트(서버 및 게이트웨이 등)를 찾을 수 있다는 점입니다.

    • 0.0.0.0/0 항목의 단점은 이 시스템의 네트워크에 있는 모든 호스트가 이 시스템에 연결할 수 있다는 점입니다. 이 시스템에 연결할 수 있는 호스트를 제한하려면 신뢰할 수 있는 네트워크에서 연결할 수 있는 호스트를 제한하는 방법을 참조하십시오.

    # tncfg -t adapt info
       name=adapt
       host_type=adapt
       doi=1
       min_label=ADMIN_LOW
       max_label=ADMIN_HIGH
       host=0.0.0.0/0

    adapt 템플리트는 적응형 호스트 즉, 기본 레이블을 가질 수 없는 신뢰할 수 없는 시스템을 식별합니다. 대신 이 시스템의 레이블은 수신하는 신뢰할 수 있는 시스템에서 지정합니다. 이 레이블은 레이블이 있는 시스템의 netif 템플리트에 지정된 패킷을 수신하는 IP 인터페이스의 기본 레이블에서 파생됩니다.

    # tncfg -t netif info
       name=netif
       host_type=netif
       doi=1
       def_label=ADMIN_LOW
       min_label=ADMIN_LOW
       max_label=ADMIN_HIGH
       host=127.0.0.1/32

    netif 템플리트는 원격 호스트가 아니라 신뢰할 수 있는 로컬 네트워크 인터페이스를 지정합니다. netif 템플리트의 기본 레이블은 IP 주소가 해당 템플리트의 호스트 주소와 일치하는 전용 네트워크 인터페이스가 있는 모든 영역의 레이블과 동일해야 합니다. 또한 일치하는 영역 인터페이스에 해당하는 하위 링크는 동일한 레이블을 공유하는 다른 영역에만 지정할 수 있습니다.

사이트별 보안 템플리트가 필요한지 여부를 확인하는 방법

시스템의 알려진 네트워크에 호스트를 추가하는 방법

호스트 및 호스트 그룹을 시스템의 /etc/hosts 파일에 추가하면 호스트가 시스템에 알려집니다. 알려진 호스트만 보안 템플리트에 추가할 수 있습니다.

시작하기 전에

전역 영역에서 root 역할을 가진 사용자입니다.

  1. 개별 호스트를 /etc/hosts 파일에 추가합니다.
    # pfedit /etc/hosts
    
    ...
    192.168.111.121   ahost
  2. 호스트 그룹을 /etc/hosts 파일에 추가합니다.
    # pfedit /etc/hosts
    
    ...
    192.168.111.0   111-network

보안 템플리트 만들기(작업)

이 절에는 다음 네트워크 구성에 대한 보안 템플리트를 만드는 것과 관련된 예 또는 포인터가 포함되어 있습니다.

특정 요구 사항을 해결하는 보안 템플리트의 다른 예는 보안 템플리트에 호스트 추가(작업)를 참조하십시오.

보안 템플리트를 만드는 방법

시작하기 전에

전역 영역에서 네트워크 보안을 수정할 수 있는 역할을 가진 사용자여야 합니다. 예를 들어, Information Security 또는 Network Security 권한 프로파일이 지정된 역할은 보안 값을 수정할 수 있습니다. 보안 관리자 역할에는 이러한 권한 프로파일이 포함됩니다.

  1. (옵션) ADMIN_HIGHADMIN_LOW 이외의 레이블에 대한 16진수 버전을 결정합니다.

    PUBLIC과 같은 레이블의 경우 레이블 문자열 또는 16진수 값 0x0002-08-08을 레이블 값으로 사용할 수 있습니다. tncfg 명령에서는 두 가지 형식을 허용합니다.

    # atohexlabel "confidential : internal use only"
    0x0004-08-48

    자세한 내용은 레이블에 해당하는 16진수를 얻는 방법을 참조하십시오.

  2. 기본 보안 템플리트를 변경하지 마십시오

    지원을 위해 기본 보안 템플리트를 삭제하지 마십시오.

  3. 보안 템플리트를 만듭니다.

    tncfg -t 명령은 새 템플리트를 만들 수 있는 3가지 방법을 제공합니다.

    • 처음부터 보안 템플리트를 만듭니다.

      대화식 모드로 tncfg 명령을 사용합니다. info 하위 명령은 기본적으로 제공되는 값을 표시합니다. Tab 키를 사용하여 부분 등록 정보 및 값을 완성합니다. exit를 입력하여 템플리트를 완성합니다.

      # tncfg -t newunlabeled
      tncfg:newunlabeled> info
         name=newunlabeled
         host_type=unlabeled
         doi=1
         def_label=ADMIN_LOW
         min_label=ADMIN_LOW
         max_label=ADMIN_HIGH
      tncfg:newunlabeled> set m<Tab>
      set max_label=" set min_label="
      tncfg:newunlabeled> set ma<Tab>
      tncfg:newunlabeled> set max_label=ADMIN_LOW
      ...
      tncfg:newunlabeled> commit
      tncfg:newunlabeled> exit

      명령줄에서 보안 템플리트에 대한 전체 속성 목록을 제공할 수도 있습니다. 세미콜론은 set 하위 명령을 구분합니다. 생략된 등록 정보는 기본값을 사용합니다.

      # tncfg -t newunlabeled set host_type=unlabeled;set doi=1; \
      set min_label=ADMIN_LOW;set max_label=ADMIN_LOW
    • 기존 보안 템플리트를 복사하여 수정합니다.
      # tncfg -t cipso
      tncfg:cipso> set name=newcipso
      tncfg:newcipso> info
      name=newcipso
      host_type=cipso
      doi=1
      min_label=ADMIN_LOW
      max_label=ADMIN_HIGH

      기존 보안 템플리트에 지정된 호스트는 새 템플리트에 복사되지 않습니다.

    • export 하위 명령이 만드는 템플리트 파일을 사용합니다.
      # tncfg -f unlab_1 -f template-file
      tncfg: unlab_1> set host_type=unlabeled
      ...
      # tncfg -f template-file

      가져올 소스 템플리트를 만드는 예는 tncfg(1M) 매뉴얼 페이지를 참조하십시오.

예 16-1 패킷을 하나의 레이블로 처리하는 게이트웨이에 대한 보안 템플리트 만들기

이 예에서 보안 관리자는 PUBLIC 레이블에서만 패킷을 전달할 수 있는 게이트웨이를 정의합니다.

# tncfg -t cipso_public
tncfg:cipso_public> set host_type=cipso
tncfg:cipso_public> set doi=1
tncfg:cipso_public> set min_label="public"
tncfg:cipso_public> set max_label="public"
tncfg:cipso_public> commit
tncfg:cipso_public> exit

그런 다음 보안 관리자는 게이트웨이 호스트를 보안 템플리트에 추가합니다. 추가는 예 16-3을 참조하십시오.

예 16-2 PUBLIC 레이블에서 레이블이 없는 보안 템플리트 만들기

이 예에서는 보안 관리자가 PUBLIC 레이블에서만 패킷을 전송 및 수신할 수 있는 신뢰할 수 없는 호스트에 대한 레이블이 없는 템플리트를 만듭니다. 이 템플리트는 Trusted Extensions 시스템에서 파일 시스템을 PUBLIC 레이블에 마운트해야 하는 호스트에 지정할 수 있습니다.

# tncfg -t public
tncfg:public> set host_type=unlabeled
tncfg:public> set doi=1
tncfg:public> set def_label="public"
tncfg:public> set min_sl="public"
tncfg:public> set max_sl="public"
tncfg:public> exit

그런 다음 보안 관리자는 호스트를 보안 템플리트에 추가합니다. 추가는 예 16-12을 참조하십시오.

보안 템플리트에 호스트 추가(작업)

이 절에는 보안 템플리트에 호스트를 추가하는 것에 대한 예 또는 포인터가 포함되어 있습니다. 불연속 IP 주소의 경우 호스트를 보안 템플리트에 추가하는 방법을 참조하십시오. 호스트 범위의 경우 호스트 범위를 보안 템플리트에 추가하는 방법을 참조하십시오.

이 절의 예에서는 다음과 같은 원격 호스트 레이블 지정을 보여 줍니다.

호스트를 보안 템플리트에 추가하는 방법

시작하기 전에

다음이 필요합니다.

  1. (옵션) 추가할 호스트 이름 또는 IP 주소에 연결할 수 있는지 확인합니다.

    이 예에서는 192.168.1.2에 연결할 수 있는지 확인합니다.

    # arp 192.168.1.2
    gateway-2.example.com (192.168.1.2) at 0:0:0:1:ad:cd

    arp 명령은 호스트가 시스템의 /etc/hosts 파일에 정의되어 있거나 DNS에서 확인할 수 있는지 확인합니다.

  2. 호스트 이름 또는 IP 주소를 보안 템플리트에 추가합니다.

    예를 들어, 192.168.1.2 IP 주소를 추가합니다.

    # tncfg -t cipso
    tncfg:cipso> add host=192.168.1.2

    이전에 다른 템플리트에 추가한 호스트를 추가하는 경우 보안 템플리트 지정을 바꾼다는 메시지가 나타납니다. 예를 들면 다음과 같습니다.

    # tncfg -t cipso
    tncfg:cipso> add host=192.168.1.2
    192.168.1.2 previously matched the admin_low template
    tncfg:cipso> info
    ...
    host=192.168.1.2/32
    tncfg:cipso> exit
  3. 변경된 보안 템플리트를 봅니다.

    예를 들어, 다음은 192.168.1.2 주소가 cipso 템플리트에 추가되었음을 보여줍니다.

    tncfg:cipso> info
    ...
       host=192.168.1.2/32

    /32의 접두어 길이는 주소가 정확함을 나타냅니다.

  4. 변경 작업을 계속하고 보안 템플리트를 종료합니다.
    tncfg:cipso> commit
    tncfg:cipso> exit

    호스트 항목을 제거하려면 예 16-11을 참조하십시오.

예 16-3 패킷을 하나의 레이블로 처리하는 게이트웨이 만들기

예 16-1에서 관리자는 PUBLIC 레이블에서만 패킷을 전달할 수 있는 게이트웨이를 정의하는 보안 템플리트를 만듭니다. 이 예에서 보안 관리자는 게이트웨이 호스트의 IP 주소를 확인할 수 있는지 확인합니다.

# arp 192.168.131.75
gateway-1.example.com (192.168.131.75) at 0:0:0:1:ab:cd

arp 명령은 호스트가 시스템의 /etc/hosts 파일에 정의되어 있거나 DNS에서 확인할 수 있는지 확인합니다.

그런 다음 관리자는 gateway-1 호스트를 보안 템플리트에 추가합니다.

# tncfg -t cipso_public
tncfg:cipso_public> add host=192.168.131.75
tncfg:cipso_public> exit

시스템은 즉시 gateway-1을 통해 public 패킷을 송수신할 수 있습니다.

예 16-4 레이블이 있는 패킷을 경로 지정하는 레이블이 없는 라우터 만들기

라우터에서 명시적으로 레이블을 지원하지 않더라도 모든 IP 라우터는 CALIPSO 또는 CIPSO 레이블로 메시지를 전달할 수 있습니다. 이러한 레이블이 없는 라우터에는 대개 라우터 관리를 위한 라우터 연결을 처리해야 하는 레벨을 정의하기 위한 기본 레이블이 필요합니다. 이 예에서 보안 관리자는 어느 레이블에서나 트래픽을 전달할 수 있는 라우터를 만들지만, 라우터와의 모든 직접 통신은 기본 레이블인 PUBLIC에서 처리됩니다.

보안 관리자는 처음부터 템플리트를 만듭니다.

# tncfg -t unl_public_router
tncfg:unl_public_router> set host_type=unlabeled
tncfg:unl_public_router> set doi=1
tncfg:unl_public_router> set def_label="PUBLIC"
tncfg:unl_public_router> set min_label=ADMIN_LOW
tncfg:unl_public_router> set max_label=ADMIN_HIGH
tncfg:unl_public_router> exit

그런 다음 관리자는 라우터를 보안 템플리트에 추가합니다.

# tncfg -t unl_public_router
tncfg:unl_public_router> add host=192.168.131.82
tncfg:unl_public_router> exit

시스템을 즉시 router-1을 통해 모든 레이블에서 패킷을 송수신할 수 있습니다.

예 16-5 제한된 레이블 범위를 사용하여 게이트웨이 만들기

이 예에서 보안 관리자는 패킷을 좁은 레이블 범위로 제한하는 게이트웨이를 만들고 게이트웨이를 추가합니다.

# arp 192.168.131.78
gateway-ir.example.com (192.168.131.78) at 0:0:0:3:ab:cd
# tncfg -t cipso_iuo_rstrct
tncfg:cipso_iuo_rstrct> set host_type=cipso
tncfg:cipso_iuo_rstrct> set doi=1
tncfg:cipso_iuo_rstrct> set min_label=0x0004-08-48
tncfg:cipso_iuo_rstrct> set max_label=0x0004-08-78
tncfg:cipso_iuo_rstrct> add host=192.168.131.78
tncfg:cipso_iuo_rstrct> exit

시스템은 즉시 gateway-ir을 통해 internalrestricted 레이블이 지정된 패킷을 송수신할 수 있습니다.

예 16-6 고유의 레이블에서 호스트 만들기

이 예에서 보안 관리자는 confidential : internal use onlyconfidential : restricted의 두 가지 레이블만 인식하는 보안 템플리트를 만듭니다. 기타 모든 트래픽은 거부됩니다.

먼저 보안 관리자는 각 호스트의 IP 주소를 확인할 수 있는지 확인합니다.

# arp 192.168.132.21
host-auxset1.example.com (192.168.132.21) at 0:0:0:4:ab:cd
# arp 192.168.132.22
host-auxset2.example.com (192.168.132.22) at 0:0:0:5:ab:cd
# arp 192.168.132.23
host-auxset3.example.com (192.168.132.23) at 0:0:0:6:ab:cd
# arp 192.168.132.24
host-auxset4.example.com (192.168.132.24) at 0:0:0:7:ab:cd

그런 다음 관리자는 레이블을 정확하게 입력해야 합니다. 소프트웨어는 대소문자의 레이블 및 짧은 이름의 레이블을 인식하지만 공백이 부정확한 레이블은 인식하지 못합니다. 예를 들어 cnf :restricted 레이블은 유효한 레이블이 아닙니다.

# tncfg -t cipso_int_and_rst
tncfg:cipso_int_and_rst> set host_type=cipso
tncfg:cipso_int_and_rst> set doi=1
tncfg:cipso_int_and_rst> set min_label="cnf : internal use only"
tncfg:cipso_int_and_rst> set max_label="cnf : internal use only"
tncfg:cipso_int_and_rst> set aux_label="cnf : restricted"
tncfg:cipso_int_and_rst> exit

그런 다음 관리자는 접두어 길이를 사용하여 IP 주소 범위를 보안 템플리트에 지정합니다.

# tncfg -t cipso_int_rstrct
tncfg:cipso_int_rstrct> set host=192.168.132.0/24

예 16-7 개발자에 대한 레이블이 있는 호스트 만들기

이 예에서 보안 관리자는 cipso_sandbox 템플리트를 만듭니다. 이 보안 템플리트는 신뢰할 수 있는 소프트웨어의 개발자가 사용하는 시스템에 지정됩니다. SANDBOX 레이블은 네트워크의 다른 레이블과 떨어져 있으므로 개발자 테스트는 다른 레이블이 있는 호스트에 영향을 주지 않습니다.

# tncfg -t cipso_sandbox
tncfg:cipso_sandbox> set host_type=cipso
tncfg:cipso_sandbox> set doi=1
tncfg:cipso_sandbox> set min_sl="SBX"
tncfg:cipso_sandbox> set max_sl="SBX"
tncfg:cipso_sandbox> add host=196.168.129.102
tncfg:cipso_sandbox> add host=196.168.129.129
tncfg:cipso_sandbox> exit

196.168.129.102196.168.129.129 시스템을 사용하는 개발자는 SANDBOX 레이블에서 서로 통신할 수 있습니다.

예 16-8 netif 호스트에 대한 보안 템플리트 만들기

이 예에서 보안 관리자는 netif 보안 템플리트를 만듭니다. 이 템플리트는 IP 주소 10.121.10.3을 호스트하는 레이블이 있는 네트워크 인터페이스에 지정됩니다. 이 지정으로 Trusted Extensions IP 모듈은 adaptive 호스트에서 도달하는 모든 수신 패킷에 기본 레이블 PUBLIC을 추가합니다.

# tncfg -t netif_public
tncfg:netif_public> set host_type=netif
tncfg:netif_public> set doi=1
tncfg:netif_public> set def_label="PUBLIC"
tncfg:netif_public> add host=10.121.10.3
tncfg:netif_public> commit
tncfg:netif_public> exit

예 16-9 적응형 호스트에 대한 보안 템플리트 만들기

이 예에서 보안 관리자는 미리 계획합니다. 관리자는 공개 정보를 보유하는 네트워크와 내부 정보를 보유하는 네트워크에 대해 서로 다른 서브넷을 만듭니다. 그런 다음 관리자는 두 개의 adapt 호스트를 정의합니다. 공용 서브넷의 시스템에는 PUBLIC 레이블이 지정됩니다. 내부 네트워크의 시스템에는 IUO 레이블이 지정됩니다. 이 네트워크는 미리 계획되므로 각 네트워크는 특정 레이블의 정보를 보유하고 전송합니다. 또 다른 장점은 패킷이 예상된 인터페이스에서 배달되지 않는 경우 네트워크를 쉽게 디버그할 수 있다는 것입니다.

# tncfg -t adpub_192_168_10
tncfg:adapt_public> set host_type=adapt
tncfg:adapt_public> set doi=1
tncfg:adapt_public> set min_label="public"
tncfg:adapt_public> set max_label="public"
tncfg:adapt_public> add host=192.168.10.0
tncfg:adapt_public> commit
tncfg:adapt_public> exit
# tncfg -t adiuo_192_168_20
tncfg:adapt_public> set host_type=adapt
tncfg:adapt_public> set doi=1
tncfg:adapt_public> set min_label="iuo"
tncfg:adapt_public> set max_label="iuo"
tncfg:adapt_public> add host=192.168.20.0
tncfg:adapt_public> commit
tncfg:adapt_public> exit

예 16-10 레이블이 있는 멀티캐스트 메시지 보내기

레이블이 있는 동종 LAN에서 관리자는 PUBLIC 레이블의 패킷을 보내는 데 사용할 수 있는 멀티캐스트 주소를 선택합니다.

# tncfg -t cipso_public
tncfg:cipso_public> add host=224.4.4.4
tncfg:cipso_public> exit

예 16-11 보안 템플리트에서 여러 호스트 제거

이 예에서 보안 관리자는 cipso 보안 템플리트에서 여러 호스트를 제거합니다. 관리자는 info 하위 명령을 사용하여 호스트를 표시한 다음 remove를 입력하고 4개의 host= 항목을 복사하여 붙여 넣습니다.

# tncfg -t cipso info
   name=cipso
   host_type=cipso
   doi=1
   min_label=ADMIN_LOW
   max_label=ADMIN_HIGH
   host=127.0.0.1/32
   host=192.168.1.2/32
   host=192.168.113.0/24
   host=192.168.113.100/25
   host=2001:a08:3903:200::0/56
# tncfg -t cipso
tncfg:cipso> remove host=192.168.1.2/32
tncfg:cipso> remove host=192.168.113.0/24
tncfg:cipso> remove host=192.168.113.100/25
tncfg:cipso> remove host=2001:a08:3903:200::0/56
tncfg:cipso> info
...
   max_label=ADMIN_HIGH
   host=127.0.0.1/32
   host=192.168.75.0/24

호스트를 제거한 후 관리자는 변경 사항을 커밋하고 보안 템플리트를 종료합니다.

tncfg:cipso> commit
tncfg:cipso> exit
#

호스트 범위를 보안 템플리트에 추가하는 방법

시작하기 전에

요구 사항은 호스트를 보안 템플리트에 추가하는 방법을 참조하십시오.

  1. 보안 템플리트를 서브넷에 지정하려면 서브넷 주소를 템플리트에 추가합니다.

    예를 들어 두 IPv4 서브넷을 cipso 템플리트에 추가한 다음 보안 템플리트를 표시합니다.

    # tncfg -t cipso
    tncfg:cipso> add host=192.168.75.0
    tncfg:cipso> add host=192.168.113.0
    tncfg:cipso> info
    ...
    host=192.168.75.0/24
    host=192.168.113.0/24
    tncfg:cipso> exit

    /24의 접두어 길이는 .0으로 끝나는 주소가 서브넷임을 나타냅니다.


    주 - 이전에 다른 템플리트에 추가한 호스트 범위를 추가하는 경우 보안 템플리트 지정을 바꾼다는 메시지가 나타납니다.


    # tncfg -t cipso
    tncfg:cipso> add host=192.168.113.100/25
    192.168.113.100/25 previously matched the admin_low template
  2. 보안 템플리트를 주소 범위에 지정하려면 IP 주소 및 접두어 길이를 지정합니다.

    다음 예에서 /25 접두어 길이에는 192.168.113.0에서 192.168.113.127 사이의 연속 IPv4 주소가 포함됩니다. 주소에는 192.168.113.100이 포함됩니다.

    # tncfg -t cipso
    tncfg:cipso> add host=192.168.113.100/25
    tncfg:cipso> exit

    다음 예에서 /56 접두어 길이에는 2001:a08:3903:200::0에서 2001:a08:3903:2ff:ffff:ffff:ffff:ffff 사이의 연속 IPv6 주소가 포함됩니다. 주소에는 2001:a08:3903:201:20e:cff:fe08:58c가 포함됩니다.

    # tncfg -t cipso
    tncfg:cipso> add host=2001:a08:3903:200::0/56
    tncfg:cipso> info
    ...
    host=2001:a08:3903:200::0/56
    tncfg:cipso> exit
    • 주소에서 :200을 생략하는 등과 같이 항목을 잘못 입력하면 다음과 같은 메시지가 표시됩니다.

      # tncfg -t cipso
      tncfg:cipso> add host=2001:a08:3903::0/56
      Invalid host: 2001:a08:3903::0/56
    • 이전에 다른 템플리트에 추가한 호스트를 추가하는 경우 보안 템플리트 지정을 바꾼다는 메시지가 나타납니다. 예를 들면 다음과 같습니다.

      # tncfg -t cipso
      tncfg:cipso> add host=192.168.113.100/32
      192.168.113.100/32 previously matched the admin_low template
      tncfg:cipso> info
      ...
      host=192.168.113.100/32
      tncfg:cipso> exit

      신뢰할 수 있는 네트워크 폴백 방식에 설명된 대로 Trusted Extensions 폴백 방식은 이 명시적 지정이 이전 지정을 대체하도록 합니다.

예 16-12 PUBLIC 레이블에서 레이블이 없는 하위 네트워크 만들기

예 16-2에서 관리자는 신뢰할 수 없는 호스트에 PUBLIC 레이블을 지정하는 보안 템플리트를 만듭니다. 이 예에서 보안 관리자는 하위 네트워크를 PUBLIC 레이블에 지정합니다. 지정하는 시스템의 사용자는 이 부네트워크의 호스트에서 PUBLIC 영역으로 파일 시스템을 마운트할 수 있습니다.

# tncfg -t public
tncfg:public> add host=10.10.0.0/16
tncfg:public> exit

하위 네트워크는 즉시 PUBLIC 레이블에서 연결할 수 있습니다.

신뢰할 수 있는 네트워크에 연결할 수 있는 호스트 제한(작업)

이 절에서는 네트워크에 연결할 수 있는 호스트를 제한하여 네트워크를 보호합니다.

신뢰할 수 있는 네트워크에서 연결할 수 있는 호스트를 제한하는 방법

다음은 임의의 레이블이 없는 호스트가 레이블이 있는 호스트에 연결하지 못하게 하는 절차입니다. Trusted Extensions가 설치되면 admin_low 기본 보안 템플리트가 네트워크의 모든 호스트를 정의합니다. 이 절차를 사용하여 레이블이 없는 특정 호스트를 열거합니다.

각 시스템의 로컬 신뢰할 수 있는 네트워크 값은 부트 시 네트워크에 연결하는 데 사용됩니다. 기본적으로 cipso 템플리트가 제공되지 않은 모든 호스트는 admin_low 템플리트로 정의됩니다. 이 템플리트는 다르게 정의되지 않은 모든 원격 호스트(0.0.0.0/0)을 기본 레이블 admin_low의 레이블이 없는 시스템이 되도록 지정합니다.


주의

주의 - 기본 admin_low 템플리트는 Trusted Extensions 네트워크에서 보안상 위험할 수 있습니다. 사이트 보안에 강력한 보호가 요구되는 경우 보안 관리자는 시스템이 설치된 후 0.0.0.0/0 와일드카드 항목을 제거할 수 있습니다. 항목은 시스템이 부트 시 연결하는 모든 호스트에 대한 항목으로 바뀌어야 합니다.

예를 들어, 0.0.0.0/0 와일드카드 항목이 제거된 후 DNS 서버, 홈 디렉토리 서버, 감사 서버, 브로드캐스트/멀티캐스트 주소 및 라우터가 템플리트에 명시적으로 추가되어야 합니다.

응용 프로그램이 처음에 호스트 주소 0.0.0.0/32의 클라이언트를 인식하는 경우 admin_low 템플리트에 0.0.0.0/32 호스트 항목을 추가해야 합니다. 예를 들어 잠재적 Sun Ray 클라이언트에서 초기 연결 요청을 받으려면 Sun Ray 서버에 다음 항목을 포함해야 합니다. 그러면 서버에서 클라이언트를 인식할 때 클라이언트에 IP 주소가 제공되고 레이블이 있는 클라이언트로 연결됩니다.


시작하기 전에

전역 영역에서 보안 관리자 역할을 가진 사용자여야 합니다.

부트 시 연결해야 하는 모든 호스트는 /etc/hosts 파일에 있어야 합니다.

  1. 부트 시 연결해야 하는 모든 레이블이 없는 호스트에 admin_low 템플리트를 추가합니다.
    • 부트 시 연결해야 하는 각 레이블이 없는 호스트를 포함합니다.

    • Trusted Extensions를 실행하지 않는 모든 온-링크 라우터를 포함합니다. 이 라우터를 통해 이 시스템이 통신해야 합니다.

    • 0.0.0.0/0 지정을 제거합니다.

  2. 호스트를 cipso 템플리트에 추가합니다.

    부팅 시 연결해야 하는 각 레이블이 있는 호스트를 추가합니다.

    • Trusted Extensions를 실행하는 모든 온-링크 라우터를 포함합니다. 이 라우터를 통해 이 시스템이 통신해야 합니다.

    • 모든 네트워크 인터페이스가 템플리트에 지정되었는지 확인합니다.

    • 브로드캐스트 주소를 포함합니다.

    • 부트 시 연결해야 하는 레이블이 있는 호스트의 범위를 포함합니다.

    샘플 데이터베이스는 예 16-14를 참조하십시오.

  3. 호스트 지정에서 시스템 부팅을 허용하는지 확인합니다.

예 16-13 0.0.0.0/0 IP 주소의 레이블 변경

이 예에서 관리자는 공용 게이트웨이 시스템을 만듭니다. 관리자는 0.0.0.0/0 호스트 항목을 admin_low 템플리트에서 제거하고 0.0.0.0/0 호스트 항목을 레이블이 없는 public 템플리트에 추가합니다. 그러면 시스템은 다른 보안 템플리트에 명시적으로 지정되지 않은 모든 시스템을 public 보안 템플리트의 보안 속성을 가진 레이블이 없는 시스템으로 인식합니다.

# tncfg -t admin_low info
tncfg:admin_low> remove host=0.0.0.0Wildcard address
tncfg:admin_low> exit
# tncfg -t public
tncfg:public> set host_type=unlabeled
tncfg:public> set doi=1
tncfg:public> set def_label="public"
tncfg:public> set min_sl="public"
tncfg:public> set max_sl="public"
tncfg:public> add host=0.0.0.0Wildcard address
tncfg:public> exit

예 16-14 부트 시 Trusted Extensions 시스템에서 연결할 시스템 열거

다음 예에서 관리자는 두 네트워크 인터페이스를 사용하여 Trusted Extensions 시스템의 신뢰할 수 있는 네트워크를 구성합니다. 시스템은 다른 네트워크 및 라우터와 통신합니다. 원격 호스트는 cipso, admin_low 또는 public의 세 템플리트 중 하나에 지정됩니다. 다음 명령은 주석 처리됩니다.

# tncfg -t cipso
tncfg:admin_low> add host=127.0.0.1Loopback address
tncfg:admin_low> add host=192.168.112.111Interface 1 of this host
tncfg:admin_low> add host=192.168.113.111Interface 2 of this host
tncfg:admin_low> add host=192.168.113.6File server
tncfg:admin_low> add host=192.168.112.255Subnet broadcast address
tncfg:admin_low> add host=192.168.113.255Subnet broadcast address
tncfg:admin_low> add host=192.168.113.1Router
tncfg:admin_low> add host=192.168.117.0/24Another Trusted Extensions network
tncfg:admin_low> exit
# tncfg -t public
tncfg:public> add host=192.168.112.12Specific network router
tncfg:public> add host=192.168.113.12Specific network router
tncfg:public> add host=224.0.0.2Multicast address
tncfg:admin_low> exit
# tncfg -t admin_low
tncfg:admin_low> add host=255.255.255.255Broadcast address
tncfg:admin_low> exit

부트 시 연결할 호스트를 지정한 후 관리자는 0.0.0.0/0 항목을 admin_low 템플리트에서 제거합니다.

# tncfg -t admin_low
tncfg:admin_low> remove host=0.0.0.0
tncfg:admin_low> exit

예 16-15 호스트 주소 0.0.0.0/32를 유효한 초기 주소로 만들기

이 예에서 보안 관리자는 응용 프로그램 서버가 잠재 클라이언트의 초기 연결 요청을 수락하도록 구성합니다.

관리자는 서버의 신뢰할 수 있는 네트워크를 구성합니다. 서버 및 클라이언트 항목은 주석 처리됩니다.

# tncfg -t cipso info
   name=cipso
   host_type=cipso
   doi=1
   min_label=ADMIN_LOW
   max_label=ADMIN_HIGH
   host=127.0.0.1/32
   host=192.168.128.1/32 Application server address
   host=192.168.128.0/24 Application's client network
Other addresses to be contacted at boot time
# tncfg -t admin_low info
   name=cipso
   host_type=cipso
   doi=1
   def_label=ADMIN_LOW
   min_label=ADMIN_LOW
   max_label=ADMIN_HIGH
   host=192.168.128.0/24 Application's client network
   host=0.0.0.0/0 Wildcard address
Other addresses to be contacted at boot time

이 테스트 단계가 성공한 후 관리자는 기본 와일드카드 주소 0.0.0.0/0을 제거하고 변경 사항을 커밋한 다음 특정 주소를 추가하여 구성을 잠급니다.

# tncfg -t admin_low info
tncfg:admin_low> remove host=0.0.0.0
tncfg:admin_low> commit
tncfg:admin_low> add host=0.0.0.0/32For initial client contact
tncfg:admin_low> exit

최종 admin_low 구성은 다음과 유사하게 나타납니다.

# tncfg -t admin_low
   name=cipso
   host_type=cipso
   doi=1
   def_label=ADMIN_LOW
   min_label=ADMIN_LOW
   max_label=ADMIN_HIGH
   192.168.128.0/24 Application's client network
   host=0.0.0.0/32 For initial client contact
Other addresses to be contacted at boot time

0.0.0.0/32 항목은 응용 프로그램의 클라이언트만 응용 프로그램 서버에 연결할 수 있도록 허용합니다.

예 16-16 레이블이 있는 Sun Ray 서버에 대한 유효한 초기 주소 구성

이 예에서 보안 관리자는 잠재적 클라이언트의 초기 연결 요청을 수락할 Sun Ray 서버를 구성합니다. 서버는 개인 토폴로지와 Sun Ray 서버 기본값을 사용합니다.

# utadm -a net0

그런 다음 관리자는 서버의 신뢰할 수 있는 네트워크를 구성합니다. 서버 및 클라이언트 항목은 주석 처리됩니다.

# tncfg -t cipso info
   name=cipso
   host_type=cipso
   doi=1
   min_label=ADMIN_LOW
   max_label=ADMIN_HIGH
   host=127.0.0.1/32
   host=192.168.128.1/32 Sun Ray server address
   host=192.168.128.0/24 Sun Ray client network
Other addresses to be contacted at boot time
# tncfg -t admin_low info
   name=cipso
   host_type=cipso
   doi=1
   def_label=ADMIN_LOW
   min_label=ADMIN_LOW
   max_label=ADMIN_HIGH
   host=192.168.128.0/24 Sun Ray client network
   host=0.0.0.0/0 Wildcard address
Other addresses to be contacted at boot time

이 테스트 단계가 성공한 후 관리자는 기본 와일드카드 주소 0.0.0.0/0을 제거하고 변경 사항을 커밋한 다음 특정 주소를 추가하여 구성을 잠급니다.

# tncfg -t admin_low info
tncfg:admin_low> remove host=0.0.0.0
tncfg:admin_low> commit
tncfg:admin_low> add host=0.0.0.0/32For initial client contact
tncfg:admin_low> exit

최종 admin_low 구성은 다음과 유사하게 나타납니다.

# tncfg -t admin_low
   name=cipso
   host_type=cipso
   doi=1
   def_label=ADMIN_LOW
   min_label=ADMIN_LOW
   max_label=ADMIN_HIGH
   192.168.128.0/24 Sun Ray client network
   host=0.0.0.0/32 For initial client contact
Other addresses to be contacted at boot time

0.0.0.0/32 항목은 Sun Ray 클라이언트만 서버에 연결할 수 있게 합니다.