test

Solaris 10 5/09 の概要

セキュリティーの機能拡張

Solaris 10 5/09 リリースでは、次のセキュリティー機能と拡張機能が追加されました。

IPsec キー管理開発者向けの NAT トラバーサル

Solaris 10 5/09 リリースには、IPsec NAT (Network Address Translator) トラバーサルエンドポイントとして機能するユーザーデータグラムプロトコル (UDP) ソケット用の公開 API が含まれています。

UDP_NAT_T_ENDPOINT ソケットオプションを有効にすると、UDP トラフィックの送信トラフィックには先頭に 4 バイトの 0 セキュリティーパラメータインデックス (SPI) 値が付加され、受信トラフィックの 0 SPI は取り除かれます。0 以外の SPI を持つこのようなソケット宛の受信トラフィックは、ESP の UDP カプセル化解除のために IPsec のカプセル化セキュリティーペイロード (ESP) に自動的に転送されます。ESP の UDP カプセル化は、IPsec セキュリティーアソシエーション (SA) のプロパティーによって決定されます。

この機能により、IPsec キー管理ソフトウェアの開発者は、NAT デバイスを通過できるキー管理プロトコルを作成することができます。iked(1M) の Solaris IKE デーモンではこの機能が使用され、このようなソケットは pfiles(1M) コマンドを使用して表示されます。

IPsec アルゴリズムの強化

Solaris 10 5/09 リリースでは、IPsec と IKE に次のアルゴリズムが導入されています。

SunSSH と OpenSSL PKCS#11 エンジンのサポート

この機能により、SunSSH サーバーとクライアントは、OpenSSL PKCS#11 エンジンを介して Solaris 暗号化フレームワークを使用できます。SunSSH は暗号化フレームワークを使用して、データ転送速度にとって重要な対称暗号化アルゴリズムのハードウェア暗号化の高速化を行います。この機能は、n2cp(7D) 暗号化ドライバを使用する UltraSPARC® T2 プロセッサプラットフォームを対象としています。

ncp(7D) ドライバは対称暗号化アルゴリズムをサポートしていないため、UltraSPARC T1 プロセッサプラットフォームはこの機能の影響を受けません。ハードウェア暗号化プラグインを使用しないプラットフォームは、UseOpenSSLEngine オプションに設定されている値にかかわらず、この機能の影響を受けません。UseOpenSSLEngine オプションのデフォルト値はオンに設定されています。サーバーとクライアントの SSH 構成ファイルを更新する必要はありません。

SunSSH は、Sun Crypto Accelerator 6000 ボードのソフトウェアバージョン 1.1 に次のパッチをインストールして使用するようにしてください。

注 –

Sun Crypto Accelerator 6000 ボードのソフトウェアバージョン 1.0 にはパッチが用意されていません。この問題を回避するには、サーバー側とクライアント側の両方で、暗号化方式オプションのキーワードから AES カウンタモードを削除してください。

詳細は、ssh_config(4) および sshd_config(4) のマニュアルページを参照してください。