Trusted Extensions のネットワークセキュリティー属性

Trusted Extensions には、セキュリティーテンプレートのデフォルトのセットがインストールされています。ホストにテンプレートを割り当てると、テンプレートのセキュリティー値がホストに適用されます。Trusted Extensions では、ネットワーク上のラベルなしホストとラベル付きホストの両方に、テンプレートによってセキュリティー属性が割り当てられます。セキュリティーテンプレートが割り当てられていないホストとは通信できません。テンプレートは、ローカルに保存したり、Oracle Directory Server Enterprise Edition の LDAP ネームサービスに保存することができます。

テンプレートはホストに直接または間接的に割り当てることができます。直接割り当てでは、テンプレートを特定の IP アドレスに割り当てます。間接割り当てでは、ホストを含むネットワークアドレスにテンプレートを割り当てます。セキュリティーテンプレートがないホストは、Trusted Extensions が構成されたホストと通信できません。直接割り当てと間接割り当てについては、「トラステッドネットワーク代替メカニズム」を参照してください。

テンプレートは、Solaris 管理コンソールの「セキュリティーテンプレート」ツールを使用して修正または作成することができます。「セキュリティーテンプレート」ツールは、テンプレートの必要なフィールドへの入力を実施します。どのフィールドが必要かは、ホストタイプに基づきます。

各ホストタイプには、必須および任意のセキュリティー属性の独自セットがあります。セキュリティーテンプレートで、次のセキュリティー属性を指定します。

• ホストタイプ – パケットに CIPSO セキュリティーラベルを付けるか、ラベルを付けないかを定義します。

• デフォルトラベル – ラベルなしホストの信頼レベルを定義します。ラベルなしホストから送信されたパケットは、受信側の Trusted Extensions ホストまたはゲートウェイにより、このラベルで読み取られます。

  「デフォルトラベル」属性は、ラベルなしホストタイプに固有です。詳細は、smtnrhtp(1M) のマニュアルページと、次のセクションを参照してください。

• DOI – 解釈のドメインを識別するゼロ以外の正の整数です。DOI は、ネットワーク通信またはネットワークエンティティーに適用するラベルエンコーディングのセットを識別するために使用されます。DOI が異なるラベル同士は、その他の設定が同じでも無関係です。ラベルなしホストでは、DOI はデフォルトラベルに適用されます。Trusted Extensions では、デフォルト値は 1 です。

• 最小ラベル – ラベル認可範囲の下限を定義します。ホストおよび次のホップのゲートウェイは、テンプレートで指定された最小ラベルより下位レベルのパケットを受信しません。

• 最大ラベル – ラベル認可範囲の上限を定義します。ホストおよび次のホップのゲートウェイは、テンプレートで指定された最大ラベルを超えるパケットを受信しません。

• セキュリティーラベルセット – オプションです。セキュリティーテンプレート用のセキュリティーラベルの不連続なセットを指定します。セキュリティーラベルセットが指定されたテンプレートに割り当てられたホストは、最大ラベルと最小ラベルで決定される認可範囲に加え、ラベルセット内のいずれかのラベルに一致するパケットも送受信できます。指定できる最大のラベル数は 4 です。

セキュリティーテンプレートのホストタイプとテンプレート名

Trusted Extensions は、トラステッドネットワークデータベースで 2 種類のホストタイプをサポートし、2 つのデフォルトテンプレートを提供します。

• CIPSO ホストタイプ – トラステッドオペレーティングシステムを実行するホストに使用します。Trusted Extensions は、このホストタイプに対して cipso という名前のテンプレートを提供します。

  Common IP Security Option (CIPSO) プロトコルは、IP オプションフィールドで渡すセキュリティーラベルを指定するために使用されます。CIPSO ラベルは、データのラベルから自動的に派生します。CIPSO セキュリティーラベルの受け渡しには、タグタイプ 1 が使用されます。続いてこのラベルは、IP レベルでセキュリティー検査を行い、ネットワークパケットのデータにラベルを付けるために使用されます。

• ラベルなしホストタイプ - 標準ネットワークプロトコルを使用し、CIPSO オプションをサポートしないホストに使用します。Trusted Extensions は、このホストタイプに対して admin_low という名前のテンプレートを提供します。

  このホストタイプは、Oracle Solaris OS またはほかのラベルなしオペレーティングシステムを実行するホストに割り当てられます。このホストタイプは、ラベルなしホストとの通信に適用するデフォルトラベルとデフォルト認可上限を提供します。また、ラベル範囲または一連の不連続ラベルを指定して、ラベルなしゲートウェイへの転送用パケットの送信を許可できます。

---

注意 - admin_low テンプレートは、ラベルなしテンプレートをサイト固有のラベルで構築する例を提供します。Trusted Extensions のインストールには admin_low テンプレートが必要ですが、通常のシステム操作に対してセキュリティー設定が適切でない場合があります。システム保守やサポート上の理由により、提供されているテンプレートは変更を加えずそのまま保持してください。

---

セキュリティーテンプレートのデフォルトラベル

ラベルなしホストタイプのテンプレートでは、デフォルトラベルが指定されます。このラベルは、Oracle Solaris システムなど、ラベルを認識しないオペレーティングシステムを実行しているホストとの通信を制御するために使用します。割り当てられるデフォルトラベルは、ホストとそのユーザーに適切な信頼レベルを反映します。

ラベルなしホストとの通信は原則的にデフォルトラベルのみに限定されるため、これらのホストは「シングルラベルのホスト」とも呼ばれます。

セキュリティーテンプレートの解釈のドメイン

同じ DOI (解釈のドメイン) を使用する組織は、ラベル情報やその他のセキュリティー属性を同じ方法で解釈します。Trusted Extensions がラベルの比較を行う場合、DOI が同じであるかどうかが確認されます。

Trusted Extensions システムでは、1 つの DOI 値に対してラベルポリシーを適用します。Trusted Extensions システムのすべてのゾーンは、同じ DOI で動作する必要があります。Trusted Extensions システムでは、異なる DOI を使用するシステムから受信されるパケットに対する例外処理を用意していません。

サイトでデフォルト値と異なる DOI 値を使用する場合は、その値を /etc/system ファイルに追加し、各セキュリティーテンプレートの DOI 値を変更する必要があります。初期手順については、『Trusted Extensions Configuration Guide』の「Configure the Domain of Interpretation」を参照してください。各セキュリティーテンプレートで DOI を構成する場合は、例 13-1 を参照してください。

セキュリティーテンプレートのラベル範囲

「最小ラベル」および「最大ラベル」属性は、ラベル付きホストおよびラベルなしホストのラベル範囲を決定するために使用されます。これらの属性は、次の処理に使用されます。

• リモート CIPSO ホストと通信するときに使用できるラベル範囲を設定する

  パケットを宛先ホストに送信するには、パケットのラベルが、宛先ホストのセキュリティーテンプレートでホストに割り当てられたラベル範囲内にある必要があります。

• CIPSO ゲートウェイまたはラベルなしゲートウェイを通して転送されるパケットのラベル範囲を設定する

  ラベルなしホストタイプのラベル範囲はテンプレートで指定できます。ラベル範囲を使用すると、ホストは、指定のラベル範囲内にあるパケットであれば、ホストのラベルにあるものではなくても転送できます。

セキュリティーテンプレートのセキュリティーラベルセット

セキュリティーラベルセットは、リモートホストでパケットを受信、転送、または送信できる不連続なラベルを、最大で 4 つ定義します。この属性はオプションです。デフォルトでは、セキュリティーラベルセットは定義されていません。