セキュリティ属性がパケットにどのように追加されるのかを理解しておくことは、さまざまな種類のホストを定義したり、トラステッドネットワークデータベースにおいて、セキュリティ属性を指定したりする方法を理解するための必要条件となります。また、ここに説明する内容は、トラステッドルーティングを設定する上でも重要になります。
最上位レベルのネットワークパケットは、次の図に示すような形式になります。
表 9-3 パケットの形式Ethernet ヘッダー | IP ヘッダー [IP オプション] | TCP または UDP ヘッダー | データ | Ethernet トレーラ |
ネットワーク通信には、TCP/IP と UDP/IP のどちらも使用できます。トラステッドネットワークデータベースのエントリで、ホストタイプとして sun_tsol または tsix を指定すると、トラステッドネットワークソフトウェアによって、TCP または UDP ヘッダーの後、すなわちデータの前に「security attribute modulation protocol (SAMP)」ヘッダーが挿入されます。ホストタイプが sun_tsol または tsix に指定された場合のパケットは、次の図のような形式になります。
表 9-4 TSIX および Trusted Solaris のパケット形式Ethernet ヘッダー | IP ヘッダー [IP オプション] | TCP または UDP ヘッダー | SAMP ヘッダー | データ | Ethernet トレーラ |
SAMP ヘッダーには、属性がバイナリ形式かトークン形式かを指定する属性ヘッダーなどの、パケットのセキュリティ属性が入ります。SAMP ヘッダーがルーティングに使用されることはありません。
IP ヘッダーの IP オプションフィールド (表 9-4 の [IP オプション] 部) には、RIPSO または CIPSO のどちらかのラベルとオプションが入り、トラステッドルーティングに使用されます。Trusted Solaris ホストでは、宛先ホストの tnrhdb と tnrhtp エントリを構成して、送信パケットの IP オプションフィールドに CIPSO または RIPSO のどちらかのラベル情報をセットできるようになっています。サポートされている CIPSO オプションには、CIPSO ホスト用のタグタイプ 1 と、MSIX ホスト用のタグタイプ 3 の 2 種類があります。「パケットの CIPSO ラベル」、「パケットの RIPSO ラベル」、「トラステッドネットワークデータベースにおけるエントリの作成」を参照してください。
そのホストに割り当てられたトラステッドネットワークテンプレートのエントリが、次の条件のいずれかを満たしている場合、トラステッドネットワークソフトウェアは、送信パケットの IP オプションに、CIPSO ラベルと CIPSO DOI (domain of interpretation) 番号をセットします。一方、着信パケットでは、IP オプションにセットされた CIPSO ラベルと DOI を調べます。
cipso
ホストタイプとして割り当てていること
msix
ホストタイプとして割り当てていること
sun_tsol
ホストタイプとして割り当て、IP ラベル型を CIPSO に設定していること
tsix
ホストタイプとして割り当て、IP ラベル型を CIPSO に設定していること
テンプレートの IP ラベルフィールドが CIPSO に設定されていたり、リモートホストタイプが cipso
に設定されている場合は、タグタイプ 1 が使用されます。リモートホストタイプが msix
の場合は、CIPSO タグタイプの 3 が使用されます。
送信パケットで搬送される CIPSO ラベルは、トラステッドネットワークソフトウェアによって、データに対応する実際の機密ラベルから取得されます。場合によっては、Trusted Solaris の機密ラベルが CIPSO ラベルと直接一致することもあります。たとえば、機密ラベル CONFIDENTIAL が、CIPSO ラベル CONFIDENTIAL と一致します。しかし、大半の Trusted Solaris の機密ラベルは、CIPSO ラベルに直接対応しません。
トラステッドルーティングを設定するために CIPSO ラベルを使用したり、ホストタイプが cipso
のホストとの通信を希望するサイトでは、CIPSO ラベルにうまく割り当てることができるよう、セキュリティ管理者が前もってサイトのラベルの構成案を立てておくことをお勧めします。
CIPSO DOI (domain of interpretation) も指定する必要があります。このとき、次のホストがみな同じ CIPSO DOI を共有するようにします。
送信側ホスト
メッセージが経由するすべてのゲートウェイ
宛先ホスト
機密ラベルと CIPSO ラベル間でマッピングを行うには、格付け値は 255 以下である必要があります。すべてのコンパートメントビット番号は 239 以下である必要があります。
デフォルトでは、CIPSO ラベルに割り当てられないほど大きな機密ラベルで送られてきたメッセージは、破棄するようになっています。
表 9-5 CIPSO ラベルにマッピングされるラベルの構成要素の制限構成要素 | 値 (この値以下) |
---|---|
格付け値 | 255 |
コンパートメント番号 | 239 |
ADMIN_HIGH
ラベルは上記表に示された制限を超えるため、デフォルトでは、ADMIN_HIGH
ラベル付きのパケットは破棄されます。ADMIN_HIGH
ラベルをネットワークインタフェース経由で送信する必要がある場合、関連するすべてのマシン上で tsol_admin_high_to_cipso
カーネルフラグを 1 に設定します。このフラグは、セキュリティ管理者役割が /etc/system ファイルで設定できます。したがって、パケットが ADMIN_HIGH
機密ラベルを持つとき、そのラベルは、格付け値が 255 で、0 から 239 までのすべてのコンパートメントビットがオンの状態で CIPSO ラベルにマッピングされます。
ADMIN_HIGH
ラベルがマッピングされるようにフラグが設定されている場合、格付け値が 255 で、0 から 239 までのすべてのコンパートメントビットがオンであるラベルがユーザー認可範囲内に存在しないことを確認してください。そうしなければ、マッピング後、このようなユーザーラベルは ADMIN_HIGH
と区別が付かなくなります。すべてのラベルがマッピング可能であることを保証するために、コンパートメント番号が 239 を超えるユーザーラベルが存在しないことを確認します。
そのホストに割り当てられたトラステッドネットワークテンプレートのエントリが、次の条件のいずれかを満たしている場合、トラステッドネットワークソフトウェアは、送信パケットの IP オプションに RIPSO ラベルをセットします。一方、ホストからの着信パケットでは、IP オプションにセットされた RIPSO ラベルを調べます。
ripso
型ホストとして割り当てていること
sun_tsol 型ホストとして割り当て、IP 型ラベルを RIPSO に指定していること
tsix
型ホストとして割り当て、IP 型ラベルを RIPSO に指定していること
送信パケットの RIPSO ラベルは、管理上の目的で定義されます。セキュリティ管理者役割は、tnrhtp データベース内で格付けを「RIPSO 送信クラス (RIPSO Send Class)」フィールドに、コンパートメントまたは保護許可フラグ (PAF
) を「RIPSO 送信 PAF (RIPSO Send PAF)」フィールドに指定します。
次の表はRIPSOA ラベルでサポートされている送信用の格付けを示しています。
表 9-6 RIPSO ラベルでサポートされている格付けRIPSO ラベルでサポートされている格付け |
---|
Top_Secret |
Secret |
Confidential |
Unclassified |
「RIPSO 送信 PAF (RIPSO Send PAF)」と「RIPSO 戻り PAF (RIPSO Return PAF)」フィールドは、表 9-7 に示す保護許可フラグ (PAF) を参照します。「RIPSO 送信 PAF (RIPSO Send PAF)」 フィールドに設定された PAF は、コンパートメント名と同様に、RIPSO ラベル内で格付けと共に使用されます (例 : Top_Secret SCI)。「RIPSO 戻り PAF (RIPSO Return PAF)」フィールドに指定された PAF は、ICMP メッセージのラベル付けで使用されます。このメッセージは、RIPSO ラベルの着信パケットに対するエラー応答として作成されるものです。ICMP メッセージで返送される格付けは、パケットの RIPSO の格付けと同じものが使用されます。
表 9-7 「RIPSO 送信 PAF (RIPSO Send PAF)」 または「RIPSO 戻り PAF (RIPSO Return PAF)」フィールドに設定される保護許可フラグ保護許可フラグ(RIPSO ラベルでサポートされている格付けで設定されるか、RIPSO エラーとして設定される) |
---|
GENSER |
SIOP-ESI |
SCI |
NSA |
DOE |