遠隔ホストテンプレートを構築する

始める前に

ネットワークセキュリティーを修正できる役割で、大域ゾーンにいる必要があります。たとえば、Information Security または Network Security の権利プロファイルを割り当てられた役割は、セキュリティー設定を修正することができます。セキュリティー管理者役割には、これらのプロファイルが含まれています。

1. Solaris 管理コンソールで、「セキュリティーテンプレート」ツールを開きます。

   詳細な手順については、「トラステッドネットワーキングのツールを開く」を参照してください。

2. 「コンピュータとネットワーク」の下の「セキュリティーテンプレート」をダブルクリックします。

   既存のテンプレートは、「表示」区画に表示されます。これらのテンプレートには、このシステムが接続できるホストのセキュリティー属性が記述されています。このようなホストには、Trusted Extensions を実行している CIPSO ホストや、ラベルなしホストがあります。

3. cipso テンプレートを調べます。

   このテンプレートがすでに割り当てられているホストとネットワークを表示します。

4. admin_low テンプレートを調べます。

   このテンプレートがすでに割り当てられているホストとネットワークを表示します。

5. テンプレートを作成します。

   用意されているテンプレートで、このシステムと通信できるホストに関する記述が不十分な場合、「アクション」メニューから「テンプレートの追加」を選択します。

   詳細はオンラインヘルプを参照してください。ホストをテンプレートに割り当てる前に、サイトで必要なテンプレートをすべて作成します。

6. (省略可能) デフォルトのテンプレートでない既存のテンプレートを修正します。

   テンプレートをダブルクリックします。詳細はオンラインヘルプを参照してください。割り当てられているホストまたはネットワークを変更することができます。

例 13–1 異なる DOI 値を持つセキュリティーテンプレートの作成

この例では、セキュリティー管理者のネットワークに、1 以外の値を持つ DOI が含まれています。最初にシステムを構成したチームは、『Oracle Solaris Trusted Extensions 構成ガイド』の「解釈ドメインの構成」を完了しています。

最初に、セキュリティー管理者が /etc/system ファイルに含まれる DOI の値を確認します。

# grep doi /etc/system
set default_doi = 4

次に、「セキュリティーテンプレート」ツールで、管理者がテンプレートを作成するたびに、doi の値が 4 に設定されます。例 13–2 で説明されているシングルラベルシステムの場合、セキュリティー管理者は次のテンプレートを作成します。

template: CIPSO_PUBLIC
host_type: CIPSO
doi: 4
min_sl: PUBLIC
max_sl: PUBLIC

例 13–2 シングルラベルを持つセキュリティーテンプレートの作成

この例では、セキュリティー管理者が、シングルラベル PUBLIC でのみパケットを通過させることのできるゲートウェイを作成します。管理者は、Solaris 管理コンソールの「セキュリティーテンプレート」ツールを使用して、テンプレートを作成し、ゲートウェイホストをテンプレートに割り当てます。

最初に、ゲートウェイホストと IP アドレスが、「コンピュータとネットワーク」ツールに追加されます。

gateway-1
192.168.131.75

次に、テンプレートが「セキュリティーテンプレート」ツールで作成されます。  テンプレート内の値は次のとおりです。

template: CIPSO_PUBLIC
host_type: CIPSO
doi: 1
min_sl: PUBLIC
max_sl: PUBLIC

ツールで、PUBLIC の 16 進値 0X0002-08-08 が提供されます。

最後に、gateway-1 のホストは、その名前と IP アドレスでテンプレートに割り当てられます。

gateway-1
192.168.131.75

ローカルホストで、tnrhtp エントリが次のようになります。

cipso_public:host_type=cipso;doi=1;min_sl=0X0002-08-08;max_sl=0X0002-08-08;

ローカルホストで、tnrhdb エントリが次のようになります。

# gateway-1
192.168.131.75:cipso_public

例 13–3 ラベルなしルーター用のセキュリティーテンプレートの作成

IP ルーターは、明示的にラベルをサポートしていない場合でも、CIPSO ラベルの付いたメッセージを転送することができます。このようなラベルなしルーターには、ルーターへの接続 (多くの場合ルーター管理のため) を処理するレベルを定義するデフォルトラベルが必要です。この例では、セキュリティー管理者が、任意のラベルでトラフィックを転送できるルーターを作成しますが、ルーターとの直接の通信はデフォルトラベル PUBLIC で処理されます。

Solaris 管理コンソールで、管理者がテンプレートを作成し、ゲートウェイホストをテンプレートに割り当てます。

最初に、ルーターとその IP アドレスが、「コンピュータとネットワーク」ツールに追加されます。

router-1
192.168.131.82

次に、テンプレートが「セキュリティーテンプレート」ツールで作成されます。テンプレート内の値は次のとおりです。

Template Name: UNL_PUBLIC
Host Type: UNLABELED
DOI: 1
Default Label: PUBLIC
Minimum Label: ADMIN_LOW
Maximum Label: ADMIN_HIGH

ツールで、ラベルの 16 進値が提供されます。

最後に、router-1 のルーターは、その名前と IP アドレスでテンプレートに割り当てられます。

router-1
192.168.131.82

例 13–4 制限されたラベル範囲を持つセキュリティーテンプレートの作成

この例では、セキュリティー管理者が、パケットを狭いラベル範囲に制限するゲートウェイを作成します。Solaris 管理コンソールで、管理者がテンプレートを作成し、ゲートウェイホストをテンプレートに割り当てます。

最初に、ホストとその IP アドレスが、「コンピュータとネットワーク」ツールに追加されます。

gateway-ir
192.168.131.78

次に、テンプレートが「セキュリティーテンプレート」ツールで作成されます。テンプレート内の値は次のとおりです。

Template Name: CIPSO_IUO_RSTRCT
Host Type: CIPSO
DOI: 1
Minimum Label: CONFIDENTIAL : INTERNAL USE ONLY
Maximum Label: CONFIDENTIAL : RESTRICTED

ツールで、ラベルの 16 進値が提供されます。

最後に、gateway-ir のゲートウェイは、その名前と IP アドレスでテンプレートに割り当てられます。

gateway-ir
192.168.131.78

例 13–5 セキュリティーラベルセットを持つセキュリティーテンプレートの作成

この例では、セキュリティー管理者が、2 つのラベルのみを認識するセキュリティーテンプレートを作成します。Solaris 管理コンソールで、管理者がテンプレートを作成し、ゲートウェイホストをテンプレートに割り当てます。

最初に、このテンプレートを使用する各ホストと IP アドレスが、「コンピュータとネットワーク」ツールに追加されます。

host-slset1
192.168.132.21

host-slset2
192.168.132.22

host-slset3
192.168.132.23

host-slset4
192.168.132.24

次に、テンプレートが「セキュリティーテンプレート」ツールで作成されます。テンプレート内の値は次のとおりです。

Template Name: CIPSO_PUB_RSTRCT
Host Type: CIPSO
DOI: 1
Minimum Label: PUBLIC
Maximum Label: CONFIDENTIAL : RESTRICTED
SL Set: PUBLIC, CONFIDENTIAL : RESTRICTED

ツールで、ラベルの 16 進値が提供されます。

最後に、IP アドレスの範囲をテンプレートに割り当てるには、「ワイルドカード」ボタンと接頭辞を使用します。

192.168.132.0/17

例 13–6 ラベル PUBLIC でのラベルなしテンプレートの作成

この例では、セキュリティー管理者が、Solaris システムのサブネットワークにトラステッドネットワークで PUBLIC ラベルを付けることができるようにします。テンプレートには次の値があります。

Template Name: public
Host Type: Unlabeled
Default Label: Public
Minimum Label: Public
Maximum Label: Public
DOI: 1

Wildcard Entry: 10.10.0.0
Prefix: 16

10.10.0.0 サブネットワーク上のすべてのシステムは、PUBLIC ラベルで処理されます。

例 13–7 開発者用のラベル付きテンプレートの作成

この例では、セキュリティー管理者が SANDBOX テンプレートを作成します。このテンプレートは、トラステッドソフトウェアの開発者が使うシステムに割り当てられます。このテンプレートを割り当てられた 2 つのシステムでは、ラベル付きプログラムを作成およびテストします。ただし、そのテストでほかのラベル付きシステムが影響を受けることはありません。SANDBOX ラベルはネットワーク上のほかのラベルから独立しているからです。

Template Name: cipso_sandbox
Host Type: CIPSO
Minimum Label: SANDBOX
Maximum Label: SANDBOX
DOI: 1

Hostname: DevMachine1
IP Address: 196.168.129.129

Hostname: DevMachine2
IP Address: 196.168.129.102

これらのシステムを使用する開発者は、SANDBOX ラベルで相互に通信できます。