Trusted Solaris ネットワークの概要

この節では、ネットワークに関する次のトピックについて説明します。

• 同機種システムネットワーク

• 異機種システム混在ネットワーク

• ホストの種類

• ネットワーク構成データベース

• 関連サブシステム

• データの転送方法

同機種システムネットワーク

同機種システムネットワークは、管理と保護がもっとも簡単な構成です。同機種システムネットワーク構成では、すべてのワークステーションが Trusted Solaris 7 オペレーティング環境を使用し、同じセキュリティ属性セット (機密ラベル、情報ラベルなど) を持つ同じ NIS+ マスターサーバーを使用します。NIS+ マスターのサービスを受ける一般的な同機種システムネットワークは、次の図に示すような構成になります。同機種システムネットワークのホストは、同じセキュリティドメインに属するものとみなされます。

図 5-1 同機種システムネットワーク

ワークステーションは、ネットワークインタフェースと呼ばれる物理コネクタでネットワークに接続されます。各ネットワークインタフェースの認可範囲は、最上位機密ラベルによって上限を、最下位機密ラベルによって下限を定義されています。インタフェースを介して送受信される情報の機密度は、この認可範囲によって制御されます。

異機種システム混在ネットワーク

Trusted Solaris ネットワークには、別のネットワークプロトコルを実行するホストも接続できます。異機種システム混在構成には、同機種システム構成よりも厳重な保護が必要になります。したがって、セキュリティポリシーで、異なるプロトコルのホストから受信するデータの処理方法を指定する必要があります。次の図は、一般的な異機種システム混在ネットワークと、Trusted Solaris ネットワークで通信可能なプロトコルを示しています。

図 5-2 異機種システム混在ネットワーク

ホストタイプ

Trusted Solaris ワークステーションが、他の Trusted Solaris ワークステーションや別のデータプロトコルを使用するホストからデータを受け入れる方法を理解するには、標準 Solaris のデータパケットフォーマット (図 5-3 (a))と Trusted Solaris のフォーマット (図 5-3 (b)) とを比較してみるのが良いでしょう。

図 5-3 データパケットフォーマットの比較

標準フォーマットは、3 つのヘッダーと、データ領域 1 つ、トレーラ 1 つで構成されています。Trusted Solaris フォーマットにも同じフィールドがありますが、特に次のような特長が備わっています。

• 「IP オプション」フィールドに、RIPSO (Revised Internet Protocol Security Option) ラベルまたは CIPSO (Common Internet Protocol Security Option) ラベルを格納する。サポートされている CIPSO オプションには、CIPSO ホスト用のタグタイプ 1 と、MSIX ホスト用のタグタイプ 3 の 2 種類があります。

• セッション管理プロトコルとバージョンを識別する SAMP (Security Attribute Modulation Protocol) ヘッダーが含まれる

• 属性タイプがバイナリ形式とトークン形式のどちらで送信されるのかを示す、属性ヘッダーが含まれる。Trusted Solaris ではバイナリ形式しか使用しませんが、トークン形式を使用するプロトコルからもデータを受信できます。

• セキュリティ属性が含まれる

Trusted Solaris では、ネットワーキングプロトコルに応じてホストの種類が分類されるため、データを正確に転送できます。ホストの種類は次のように分類されます。

• sun_tsol - Trusted Solaris 2.5 を稼動するワークステーション。プロトコルのセキュリティ属性はバイナリ形式で表現される。Trusted Solaris ホストは、IP オプションが RIPSO または CIPSO のデータの受け渡しが可能

• ラベルなし - セキュリティ属性を認識しないホスト

• tsix - TSIX (RE) 1.1 (Trusted Systems Information eXchange for Restricted Environments standard) をサポートしているホスト。バイナリデータの代わりにトークン (32 ビットの任意の数値) を使用してセキュリティ属性を表現するほかは、Trusted Solaris ホストと同じフォーマット (図 5-3) を使用する。トークンは、セキュリティ属性トークンマッピングプロトコル (SATMP) を使用する

• msix - MSIX 1.0 規格をサポートしているホスト。Trusted Solaris 1.2 ネットワークで使用する

• cipso - CIPSO に準拠するホスト。CIPSO でサポートされるセキュリティ属性は、CIPSO DOI (domain of interpretation) のみ

• ripso - IETF RFC 1108 の記述どおり、RIPSO に準拠するホスト。SunOS CMW は、RIPSO ラベルに設定された管理セットをサポートして、特定のホストに送信されるネットワークパケットに適用させる。RFC の仕様に完全に合致したものではないが、RIPSO ラベルが必要な場合には十分有用

---

注 -

tsix、msix、cipso、ripso の各ホストの種類は、Trusted Solaris 以外のトラステッドなオペレーティング環境を使用するホストとして分類されます。ラベルなしのホストの種類は、標準のネットワーキングプロトコルを使用し、セキュリティ属性を使用しないホストとして分類されます。

---

ネットワーク構成データベースを自分のサイトに合わせて構成するときは、すべてのホストに対し、ネットワーク上で通信可能なワークステーションを指定します。また、上記のホストの種類で分類されたデフォルトのセキュリティ属性値を使用してテンプレートを設定します。これについては次の節で説明します。

ネットワーク構成データベース

外部との通信を実現するには、ホスト情報、ネットワークインタフェース情報、デフォルトのセキュリティ属性情報を保持するためのデータベースを設定します。次の 3 種類のネットワーク構成データベースを使用することができます。

• tnrhdb

• tnrhtp

• tnidb

これらのデータベースはカーネルに読み込まれ、データがホストからホストに転送される際の認可チェックに使用されます。データベースの管理にはデータベースマネージャを使用します。Trusted Solaris では、NIS+ を使用して tnrhddb データベースと tnrhtp データベースを集中管理します。tnidb データベースだけは、各ホストで個別に管理されます。ネットワークデータベースを管理できるのは、セキュリティ管理者とスーパーユーザーだけです。データベースマネージャにアクセスするには、フロントパネルの CDE アプリケーションマネージャのアイコンをクリックします。データベースマネージャのアイコンは、「アプリケーション・マネージャ (Application Manager)」ウィンドウの「Solstice アプリケーション (Solstice_Apps)」フォルダアイコンから表示できます。「データベースマネージャ (Database Manager)」アイコンをクリックすると、「データベースマネージャ: 読み込み (Database Manager : Load)」ダイアログボックスが現れ、データベースを選択するためのスクロールリストが表示されます。

tnrhdb データベース

tnrhdb(4) データベースには、ネットワーク上のワークステーションと通信可能なすべてのホストのIP アドレスと、それらのホストに (tnrhtp から) 割り当てられたテンプレートが保持されます。また、代替機構の一部として、デフォルト値も保持されます (次の図を参照)。IP アドレスの右端のバイトに 0 を代入すると、これがワイルドカードとして機能し、0 以外のデフォルト部が一致する IP アドレスを持った、リストに表示されていないホストすべてを表します。ただし、代替機構はサブネットマスクには適用されません。

図 5-4 IP アドレスの代替機構

データベースマネージャで tnrhdb データベースを選択して読み込むと、データベースマネージャのメインウィンドウに tnrhdb データベースの内容が表示され、リモートホストの IP アドレスと、そのホストとの通信に使用するテンプレートを確認できます。tnrhdb データベースを編集するためには、「編集 (Edit)」メニューから「追加 (Add)」を選択するか、IP アドレスを指定した後「変更 (Modify)」を選択して、適切なダイアログボックスを表示します。次の図に示すのは、データベースマネージャの「読み込み (Load)」ウィンドウ、tnrhdb データベースが表示されたメインウィンドウ、「編集 (Edit)」メニューから表示される 2 種類のダイアログボックスです。

図 5-5 tnrhdb データベース用のデータベースマネージャのウィンドウ

tnrhtp データベース

tnrhtp(4) データベースには、ソースホストに割り当てるセキュリティ属性値を含むテンプレートが保持されます。同機種システムネットワークでは 1 種類のテンプレートしか必要ありませんが、異機種システムネットワークになると、ホストタイプに応じて別々のテンプレートが必要になります。テンプレートに含まれる属性は、着信データに属性が欠如している場合のデフォルト属性として使用されるほか、発信データの宛先情報も提供します。対応付けられるセキュリティ属性は、テンプレートに指定されたホストタイプに依存します。tnrhtp に保持されるセキュリティ属性には、次のものがあります。

• 機密ラベル

• 認可上限

• 情報ラベル

• UID

• GID

• 許容された特権

• 強制された特権

• 最下位 SL と最上位 SL - 認可範囲を定義する

• IP ラベル - IP ラベルの種類 (RIPSO、CIPSO、ラベルなし) を識別する

• RIPSO ラベル

• RIPSO エラー - ICMP エラーメッセージに RIPSO ラベルが含まれているときに使用される保護許可フラグ

• CIPSO DOI - CIPSO ラベルのパケットで使用されるホストの DOI (Domain of Interpretation) を識別する

• 監査 UID

• 監査マスク

• 監査端末 ID

• 監査セッション ID

テンプレートの ip_label フィールドが「cipso」に設定されている場合、または、リモートホストタイプが「cipso」である場合は、タグタイプ 1 が使用されます。リモートホストタイプが MSIX の場合は、タグタイプ 3 が使用されます。ただし、どの属性も特定のタイプのホストだけに適用されます。表 5-1 は、適用されるセキュリティ属性をホストタイプ別に示しています。

表 5-1 ホストタイプ別セキュリティ属性

ホストタイプ	セキュリティ属性
ラベルなし	機密ラベル、情報ラベル、認可上限、UID、GID、強制された特権、監査 UID、監査マスク、監査端末 ID、監査セッション ID、(ゲートウェイホストの最下位 SL と最上位 SL)
sun_tsol	許容された特権、最下位 SL と最上位 SL、IP ラベル、RIPSO ラベル、RIPSO エラー、CIPSO DOI、監査 UID、監査マスク、監査端末 ID、監査セッション ID
ripso	機密ラベル、情報ラベル、認可上限、UID、GID、強制された特権、RIPSO ラベル、RIPSO エラー、監査 UID、監査マスク、監査端末 ID、監査セッション ID、(ゲートウェイホストの最下位 SL と最上位 SL)
cipso	認可上限、情報ラベル、UID、GID、強制された特権、最下位 SL と最上位 SL、CIPSO DOI、監査 UID、監査マスク、監査端末 ID、監査セッション ID
tsix	機密ラベル、情報ラベル、認可上限、UID、GID、許容された特権、強制された特権、最下位 SL と最上位 SL、IP ラベル、RIPSO ラベル、RIPSO エラー、CIPSO DOI、監査 UID、監査マスク、監査端末 ID、監査セッション ID
msix	機密ラベル、情報ラベル、認可上限、UID、GID、最下位 SL と最上位 SL、監査 UID、監査マスク、監査端末 ID、監査セッション ID

データベースマネージャから tnrhtp データベースを選択して読み込むと、データベースマネージャのメインウィンドウに tnrhtp データベースの内容が表示され、各リモートホストのテンプレート名と、それに対応付けられたデフォルト属性値を確認できます。tnrhtp データベースを編集するためには、「編集 (Edit)」メニューから「追加 (Add)」を選択するか、テンプレートを指定してから「変更 (Modify)」を選択します。次の図に示すようなダイアログボックスが表示されます。

図 5-6 リモートホストテンプレートの追加時に表示されるデータベースマネージャのダイアログボックス (tnrhtp 用)

ダイアログボックスは、次の 4 つの領域に分かれています。

• テンプレート名とホストタイプ - テンプレートを識別する領域「ホストタイプ (Host Type)」メニューから、そのテンプレートを適用するホストの種類を選択できます。

• 認可範囲 - 「最下位 SL (Minimum SL)」と「最上位 SL (Maximum SL)」の両フィールドテンプレートの認可範囲を確定できます。このフィールドには、機密ラベル、情報ラベル、認可上限などのフィールドと、ラベルビルダーのダイアログボックスを表示するためのボタンがあります。

• 着信情報の属性 - 着信情報に適用するユーザー ID、機密ラベル、情報ラベル、認可上限、強制された特権と許容された特権を設定する領域「強制された特権 (Forced Privileges)」ボタン、「許容された特権 (Allowed Privileges)」ボタンをクリックすると、特権を選択するダイアログボックスが表示されます。

• 発信情報の属性 - 発信情報に適用する IP ラベルタイプ、RIPSO 戻りクラス、RIPSO 送信クラス、RIPSO 戻り PAF、CIPSO ドメインを設定する「I.P. ラベルの型 (IP Label Type)」フィールドにはオプションメニューがあり、「なし (None)」、「RIPSO」、「CIPSO」のうちいずれかを選択できます。このフィールドを「CIPSO」に設定すると (またはホストタイプが CIPSO の場合は)、データパケットの IP オプションのフィールドに CIPSO のタグタイプ 1 が使用されます。ホストタイプが MSIX の場合は、CIPSO のタグタイプ 2 が使用されます。「RIPSO 送信クラス (RIPSO Send Class)」フィールドのオプションメニューからは、送信される RIPSO ラベルの格付け要素として、「なし (None)」、「TOP SECRET」、「SECRET」、「CONFIDENTIAL」、「UNCLASSIFIED」、「16 進数 (Hex)」を選択できます。「16 進数 (Hex)」を選択すると、16進数を直接入力できるダイアログボックスが表示されます。「RIPSO 送信 PAF (RIPSO Send PAF)」フィールドでは、送信される RIPSO ラベルの保護許可フラグ要素として、「なし (None)」、「GENSER」、「SIOP_ESI」、「SCI」、「NSA」、「DOE」、「16 進数 (Hex)」を選択できます。「RIPSO 戻り PAF (RIPSO Return PAF)」フィールドでは、「なし (None)」、「GENSER」、「SIOP_ESI」、「SCI」、「NSA」、「DOE」、「16 進数 (Hex)」のオプションメニューから、エラーフラグを選択できます。

tnidb データベース

tnidb(4) データベースは、各ホストのローカルデータベースです。ここには、ホストのネットワークインタフェースとその認可範囲、機密ラベル、認可上限、実効 UID (実効 GID)、強制された特権の各デフォルト値が保持されます。ただし、tnidb の値よりtnrhtp のデフォルト値の方が優先されます。

データベースマネージャから tnidb データベースを選択して読み込むと、データベースマネージャのメインウィンドウに tnidb データベースの内容が表示され、ネットワークインタフェース、そのインタフェースの認可範囲、対応するデフォルトのセキュリティ属性を確認できます。tnidb データベースを編集するには、「編集 (Edit)」メニューの「追加 (Add)」を選択するか、ネットワークインタフェースを指定した後「変更 (Modify)」を選択して、それぞれのダイアログボックスを表示します。次の図は、tnidb データベースのメインウィンドウと「追加 (Add)」ダイアログボックスを示しています。「最下位 SL (Minimum SL)」ボタンと「最上位 SL (Maximum SL)」ボタンは認可範囲の定義に使用され、クリックするとラベルビルダーのダイアログボックスが表示されます。「機密ラベル (Sensitivity Label)」ボタン、「認可上限 (Clearance)」ボタンからも、ラベルビルダーが表示されます。「強制された特権 (Forced Privileges)」ボタンをクリックすると、特権を選択するダイアログボックスが表示されます。「ユーザー ID (User ID)」フィールド、「グループ ID (Group ID)」フィールドには、そのネットワークインタフェースに適用するデフォルトの ID を指定します。

図 5-7 ネットワークインタフェース情報の追加時に表示されるデータベースマネージャのメインウィンドウと「追加 (Add)」ダイアログボックス (tnidb 用)

関連サブシステム

Trusted Solaris 2.5.1 のトラステッド NFS 機能により、Trusted Solaris ホストと異種ホスト間でのマウントが可能になりました。転送されたデータは MAC と DAC によって保護され、欠落したセキュリティ属性がある場合は、tnrhtp データベースや tnidb データベースから取得することができます。詳細は、「Solaris ネットワークコマンドとの相違点」を参照してください。