認可チェック

トラステッドネットワークソフトウェアは、認可検査を実行して、発信元ホスト、宛先ホスト、そこに設定されるルートの各セキュリティ属性を比較します。セキュリティ属性 (認可範囲と指定された CIPSO または RIPSO ラベル情報) は、ホストの tnrhdb または tnrhtp ファイルのエントリから取得されます。ルートのセキュリティ属性 (SRI) は、ルーティングテーブル内のそのルートの拡張メトリックから取得されます。ルートの拡張メトリックが指定されていない場合は、最初のホップのゲートウェイホストのエントリのセキュリティ属性が検査されます。

ルータ上では、転送されるべきパケットに RIPSO または CIPSO ラベルがあり、パケットの IP オプション部のラベルが使用されているときにのみ認可チェックが行われます。パケットに CIPSO ラベルがあれば、その機密ラベルは、入出力インタフェースのラベル範囲と比較されます。その機密ラベルは、次のホップのゲートウェイのラベル範囲とも比較されます。

送信メッセージにおける MAC の実施

送信側ホストでは、次の認可検査が行われます。

• 送信されるパケットの機密ラベルが、次の条件を満たしていること

  • 宛先ホストの認可範囲内である

  • 発信元ホストのネットワークインタフェースの認可範囲内である

• パケットに CIPSO ラベルが含まれる場合は、その DOI が宛先ホストの DOI とルートの拡張メトリックの DOI と一致すること。ルートの拡張メトリックが指定されていない場合は、DOI が最初のホップのゲートウェイの DOI と一致すること

• パケットに RIPSO ラベルが含まれる場合は、その RIPSO ラベルと PAF フラグが、宛先ホストおよびルートの拡張メトリックの RIPSO ラベル、PAF フラグと一致すること。ルートの拡張メトリックが指定されていない場合は、RIPSO ラベルと PAF フラグが、最初のホップのゲートウェイのものと一致すること

• 宛先ホストが MSIX ホストとして指定されている場合は、送信されるパケットの機密ラベルが宛先ホストの認可範囲内であり、ルートの拡張メトリックに MSIX 属性が含まれていること。ルートの拡張メトリックが指定されていない場合は、最初のホップのゲートウェイのホストタイプが MSIX として指定されており、パケットのラベルが最初のホップのゲートウェイ用に指定された認可範囲内であること

最初のホップの検査は、あるネットワークのホストから別のネットワークのホストにゲートウェイを介してメッセージが送信される場合に行われます。

転送メッセージにおける MAC 検査

Trusted Solaris ゲートウェイでは、次のホップとネットワークインタフェースの認可検査が実行されます。

パケットに CIPSO ラベル情報が含まれる場合は、転送されるパケットで以下の条件が満たされなければなりません。

• ルートの拡張メトリックに CIPSO オプションが含まれていること。ルートの拡張メトリックが指定されていない場合は、次のホップのゲートウェイのエントリが、次のいずれかで定義されていること

  • CIPSO 型ホスト

  • CIPSO IP ラベルの sun_tsol 型ホスト

  • CIPSO IP ラベルの tsix 型ホスト

• パケットの CIPSO ラベルが、ルートの拡張メトリックから取得した認可範囲内であること。または、ルートの拡張メトリックが指定されていない場合は、パケットの CIPSO ラベルが、次のホップのゲートウェイのエントリに指定された認可範囲内であること

• 送信インタフェースのネットワークデータベースエントリに指定された CIPSO DOI が、パケットの DOI と一致すること

パケットに RIPSO ラベル情報が含まれる場合は、転送されるパケットで以下の条件が満たされなければなりません。

• ルートの拡張メトリックに RIPSO オプションが含まれていること。ルートの拡張メトリックが指定されていない場合は、次のホップのゲートウェイのエントリが、次のいずれかで定義されていること

  • RIPSO 型ホスト

  • RIPSO IP ラベルの tsol 型ホスト

  • RIPSO IP ラベルの tsix 型ホスト

• パケットの RIPSO ラベルと PAF が、ルートの拡張メトリックに定義された RIPSO ラベルと RIPSO PAF と一致すること。または、ルートの拡張メトリックが指定されていない場合は、パケットの RIPSO ラベルと RIPSO PAF が、次のホップのゲートウェイのエントリに指定された RIPSO ラベルと RIPSO PAF と一致すること

メッセージの機密ラベルがどの宛先ホスト、ゲートウェイ、またはネットワークインタフェースについても、それらの認可範囲として指定された最下位および最上位ラベルの中に含まれない場合、そのメッセージはドロップされます。

着信メッセージにおける MAC の実施

受信側ホストでは、次の検査が行われます。

• 受信するパケットの機密ラベルが、次の条件を満たしていること

  • 発信元ホストのトラステッドネットワークデータベースのエントリに指定された認可範囲内である

  • データを受信するネットワークインタフェースのトラステッドネットワークデータベースに指定された認可範囲内であること

• パケットに CIPSO ラベルが含まれる場合は、その DOI が、受信側ホストのトラステッドネットワークデータベースのエントリに指定された DOI と一致すること

• パケットに RIPSO ラベルが含まれる場合は、その RIPSO ラベルと PAF フラグが、受信側ホストのトラステッドネットワークデータベースのエントリに指定された RIPSO ラベルと PAF フラグと一致すること

受信の場合、Trusted Solaris ネットワークソフトウェアは、可能な限り機密ラベルと他のセキュリティ属性をパケット自体から取得します。ただし、これが問題なく行えるのは、メッセージが Trusted Solaris システムで認識可能な形式のラベルと必要な属性をサポートしているシステムから送信される場合だけです。多くの場合、パケットはラベルを認識しないホストや、認識可能なラベルを送信しないホストから送られてきます。そしてまた、パケットに必要な属性が完全に含まれていない場合もあります。

すべての必要なセキュリティ属性をパケットから取得できない場合は、不足している属性がトラステッドネットワークデータベースからメッセージに割り当てられます。ホストのエントリから取得不能な属性は、メッセージが経由してきたインタフェースに適用される、トラステッドネットワークインタフェースのデータベースのエントリに指定された属性によって補われます。