このセクションでは、ネットワークに到達できるホストを制限することにより、ネットワークを保護します。
ブート時に接続するシステムを指定することにより、セキュリティーを向上させます。使用例 43を参照してください。
アプリケーションサーバーを構成して、リモートクライアントからの初期接続を受け入れます。使用例 45を参照してください。
ラベル付きの Sun Ray サーバーを構成して、リモートクライアントからの初期接続を受け入れます。使用例 46を参照してください。
この手順では、任意のラベルなしホストによる接続から、ラベル付きホストを保護します。Trusted Extensions をインストールすると、admin_low デフォルトセキュリティーテンプレート内にネットワーク上のすべてのホストが定義されています。この手順を使って、特定のラベルなしホストを列挙します。
各システム上のローカルのトラステッドネットワーク値は、ブート時のネットワーク接続に使用されます。デフォルトでは、cipso テンプレートで提供されない各ホストは admin_low テンプレートで定義されます。このテンプレートは、ほかで定義されていない各リモートホスト (0.0.0.0/0) を、admin_low のデフォルトラベルでラベルなしシステムとして割り当てます。
始める前に
大域ゾーンでセキュリティー管理者役割になります。
ブート時に接続されるすべてのホストは、/etc/hosts ファイル内に存在している必要があります。
ブート時に接続する必要のあるすべてのラベルなしホストを含めます。
このシステムが通信時に経由する必要のある、Trusted Extensions を実行していないオンリンクルーターをすべて追加します。
0.0.0.0/0 の割り当てを削除します。
ブート時に接続する必要のある各ラベル付きホストを追加します。
このシステムが通信時に経由する必要のある、Trusted Extensions を実行しているオンリンクルーターをすべて追加します。
すべてのネットワークインタフェースがテンプレートに割り当てられていることを確認します。
ブロードキャストアドレスを追加します。
ブート時に接続する必要のあるラベル付きホストの範囲を含めます。
サンプルデータベースについては、使用例 44を参照してください。
この例では、管理者は公共ゲートウェイシステムを作成します。管理者は、admin_low テンプレートから 0.0.0.0/0 ホストエントリを削除し、ラベルなし public テンプレートに 0.0.0.0/0 ホストエントリを追加します。システムは、別のセキュリティーテンプレートに明示的に割り当てられていないすべてのホストを、public セキュリティーテンプレートのセキュリティー属性を持つラベルなしシステムとして認識するようになります。
# tncfg -t admin_low info
tncfg:admin_low> remove host=0.0.0.0ワイルドカードアドレス
tncfg:admin_low> exit
# tncfg -t public
tncfg:public> set host_type=unlabeled
tncfg:public> set doi=1
tncfg:public> set def_label="public"
tncfg:public> set min_sl="public"
tncfg:public> set max_sl="public"
tncfg:public> add host=0.0.0.0ワイルドカードアドレス
tncfg:public> exit
使用例 44 Trusted Extensions システムがブート時に接続するシステムの列挙
この例では、管理者は 2 つのネットワークインタフェースを備えた Trusted Extensions システムのトラステッドネットワークを構成します。システムは、ほかのネットワークおよびルーターと通信します。リモートホストは、3 つのテンプレート cipso、admin_low、public のいずれかに割り当てられます。次のコマンドには注釈を付けています。
# tncfg -t cipso tncfg:admin_low> add host=127.0.0.1ループバックアドレス tncfg:admin_low> add host=192.168.112.111このホストのインタフェース 1 tncfg:admin_low> add host=192.168.113.111このホストのインタフェース 2 tncfg:admin_low> add host=192.168.113.6ファイルサーバー tncfg:admin_low> add host=192.168.112.255サブネットのブロードキャストアドレス tncfg:admin_low> add host=192.168.113.255サブネットのブロードキャストアドレス tncfg:admin_low> add host=192.168.113.1ルーター tncfg:admin_low> add host=192.168.117.0/24別の Trusted Extensions ネットワーク tncfg:admin_low> exit
# tncfg -t public tncfg:public> add host=192.168.112.12特定のネットワークルーター tncfg:public> add host=192.168.113.12特定のネットワークルーター tncfg:public> add host=224.0.0.2マルチキャストアドレス tncfg:admin_low> exit
# tncfg -t admin_low
tncfg:admin_low> add host=255.255.255.255ブロードキャストアドレス
tncfg:admin_low> exit
管理者は、ブート時に接続するホストを指定し終わると、admin_low テンプレートから 0.0.0.0/0 エントリを削除します。
# tncfg -t admin_low tncfg:admin_low> remove host=0.0.0.0 tncfg:admin_low> exit使用例 45 ホストアドレス 0.0.0.0/32 を有効な初期アドレスにする
この例では、セキュリティー管理者はアプリケーションサーバーを構成して、潜在的なクライアントからの初期接続要求を受け入れます。
管理者は、サーバーのトラステッドネットワークを構成します。サーバーとクライアントのエントリには注釈を付けています。
# tncfg -t cipso info name=cipso host_type=cipso doi=1 min_label=ADMIN_LOW max_label=ADMIN_HIGH host=127.0.0.1/32 host=192.168.128.1/32 アプリケーションサーバーのアドレス host=192.168.128.0/24 アプリケーションのクライアントネットワーク ブート時に接続するほかのアドレス
# tncfg -t admin_low info name=cipso host_type=cipso doi=1 def_label=ADMIN_LOW min_label=ADMIN_LOW max_label=ADMIN_HIGH host=192.168.128.0/24 アプリケーションのクライアントネットワーク host=0.0.0.0/0 ワイルドカードアドレス ブート時に接続するほかのアドレス
テストがこの段階まで成功すると、管理者は構成をロックダウンするために、デフォルトのワイルドカードアドレス 0.0.0.0/0 を削除して変更をコミットしたあと、特定のアドレスを追加します。
# tncfg -t admin_low info
tncfg:admin_low> remove host=0.0.0.0
tncfg:admin_low> commit
tncfg:admin_low> add host=0.0.0.0/32最初のクライアント接続用
tncfg:admin_low> exit
admin_low の最終的な構成は、次のようになります。
# tncfg -t admin_low name=cipso host_type=cipso doi=1 def_label=ADMIN_LOW min_label=ADMIN_LOW max_label=ADMIN_HIGH 192.168.128.0/24 アプリケーションのクライアントネットワーク host=0.0.0.0/32 最初のクライアント接続用 ブート時に接続するほかのアドレス
0.0.0.0/32 エントリは、アプリケーションのクライアントのみがアプリケーションサーバーに到達できるようにします。
使用例 46 ラベル付き Sun Ray サーバーの有効な初期アドレスの構成この例では、セキュリティー管理者は Sun Ray サーバーを構成して、潜在的なクライアントからの初期接続要求を受け入れます。サーバーは非公開トポロジと Sun Ray サーバーのデフォルトを使用しています。
# utadm -a net0
次に、管理者はサーバーのトラステッドネットワークを構成します。サーバーとクライアントのエントリには注釈を付けています。
# tncfg -t cipso info name=cipso host_type=cipso doi=1 min_label=ADMIN_LOW max_label=ADMIN_HIGH host=127.0.0.1/32 host=192.168.128.1/32 Sun Ray サーバーのアドレス host=192.168.128.0/24 Sun Ray クライアントネットワーク ブート時に接続するほかのアドレス
# tncfg -t admin_low info name=cipso host_type=cipso doi=1 def_label=ADMIN_LOW min_label=ADMIN_LOW max_label=ADMIN_HIGH host=192.168.128.0/24 Sun Ray クライアントネットワーク host=0.0.0.0/0 ワイルドカードアドレス ブート時に接続するほかのアドレス
テストがこの段階まで成功すると、管理者は構成をロックダウンするために、デフォルトのワイルドカードアドレス 0.0.0.0/0 を削除して変更をコミットしたあと、特定のアドレスを追加します。
# tncfg -t admin_low info
tncfg:admin_low> remove host=0.0.0.0
tncfg:admin_low> commit
tncfg:admin_low> add host=0.0.0.0/32最初のクライアント接続用
tncfg:admin_low> exit
admin_low の最終的な構成は、次のようになります。
# tncfg -t admin_low name=cipso host_type=cipso doi=1 def_label=ADMIN_LOW min_label=ADMIN_LOW max_label=ADMIN_HIGH 192.168.128.0/24 Sun Ray クライアントネットワーク host=0.0.0.0/32 最初のクライアント接続用 ブート時に接続するほかのアドレス
0.0.0.0/32 エントリは、Sun Ray クライアントのみがサーバーに到達できるようにします。