test

Nouveautés de l'environnement d'exploitation Solaris 9

Amélioration de la sécurité

Description des fonctions  

Date d'introduction  

Protocole IKE (Internet Key Exchange)

Internet Key Exchange (IKE) automatise la gestion des clés pour IPsec. IKE remplace l'affectation et le rafraîchissement manuels des clés sur un réseau IPv4, ce qui permet à l'administrateur de gérer davantage de réseaux sécurisés. 

Les administrateurs système utilisent IPsec pour configurer des réseaux IPv4 sécurisés. Le démon in.iked assure la dérivation de la clé, l'authentification et la protection de l'authentification au démarrage. Il est configurable. L'administrateur effectue les paramétrages dans un fichier de configuration. Une fois les paramétrages effectués, aucun rafraîchissement manuel de la clé n'est nécessaire.

Pour de plus amples informations, consultez la section "Internet Key Exchange" in System Administration Guide: IP Services.

Solaris 9  

Solaris Secure Shell

Secure Shell permet à l'utilisateur d'accéder à un hôte distant en toute sécurité via un réseau non sécurisé. Les transferts de données et les sessions réseau interactives sont protégés contre toute forme d'interception, de piratage ou d'attaques intermédiaires. Solaris 9 Secure Shell prend en charge les versions de protocole SSHv1 et SSHv2. Une authentification stricte utilisant la cryptographie à clé publique est fournie. Le système X Window et les autres services réseau peuvent être encapsulés en toute sécurité par le biais de connexions Secure Shell pour une protection supplémentaire. 

Le serveur Secure Shell, sshd, prend en charge les requêtes de contrôle et de filtrage entrantes pour les services réseau. Le serveur peut être configuré de manière à consigner le nom d'hôte du client réalisant les requêtes entrantes, et à optimiser ainsi la sécurité réseau. sshd utilise le même mécanisme que l'utilitaire Tcp-wrappers 7.6, décrit dans la section "Gratuiciel".

Pour de plus amples informations, reportez-vous aux pages sshd(1M), hosts_access(4), et hosts_options(4) du manuel.

Solaris 9 

Centre Kerberos de distribution des clés (KDC) et outils administratifs

Les administrateurs système peuvent améliorer la sécurité du système à l'aide de l'authentification Kerberos V5, de même que la confidentialité et l'intégrité. NFS constitue un exemple d'application sécurisée par Kerberos V5. 

La liste suivante illustre les nouvelles fonctions de Kerberos V5.

  • Serveur Kerberos V5 : le serveur comprend les composantes suivantes :

    • Le système d'administration principal (utilisateur) : comprend un serveur centralisé pour l'administration locale ou distante des données de base et des politiques de sécurité.

      Le système comprend une administration par interface utilisateur graphique et une autre par CTI.

    • Le centre de répartition des clés (KDC) : utilise les informations principales de la base de données créée par le serveur d'administration et émet des tickets pour les clients.

    • Le système de réplication de base de données principale : duplique la base de données KDC sur un serveur de sauvegarde.

  • L'interopérabilité du changement du mot de passe entre MIT and Microsoft Windows 2000 : les mots de passe Kerberos V5 peuvent à présent être modifiés depuis un client Solaris vers un serveur Kerberos MIT et Windows 2000.

  • Le DES ajusté : les opérations Kerberos V5 kernel DES ont été optimisées pour les systèmes Sun4u.

  • Les communications chiffrées Kerberos sont désormais prises en charge au coeur de Solaris - dans la version Solaris 9, un module de chiffrement prenant en charge les communications chiffrées Kerberos est disponible dans l'environnement d'exploitation Solaris. Auparavant, ce module de chiffrement était uniquement disponible sous la forme d'un kit de chiffrement Solaris sur CD-ROM ou de fichiers teléchargeables sur le Web.

  • Les tickets sans adresse : les administrateurs système et les utilisateurs peuvent désormais spécifier des tickets identifiables. Cette option peut s'avérer nécessaire dans les environnements à multiconnexion et dans les environnements de réseau NAT.

  • La prise en charge du vieillissement du mot de passe par Kerberos V5 PAM : le module pam_krb5 prend en charge le vieillissement du mot de passe défini pour chaque utilisateur principal.

Pour de plus amples informations, consultez la section "Administering the Kerberos Database" in System Administration Guide: Security Services.

Solaris 9 

Client LDAP sécurisé

Solaris 9 comprend de nouvelles fonctions pour la sécurité basée sur le client LDAP. Une nouvelle bibliothèque LDAP fournit des mécanismes de chiffrement SSL (TLS) et CRAM-MD5. Ces mécanismes de chiffrement permettent à l'utilisateur de déployer ses méthodes de chiffrement par le biais du câble entre les clients LDAP et le serveur LDAP.  

Pour de plus amples informations concernant iPlanet Directory Server 5.1, le serveur d'annuaires LDAP, consultez "Réseau".

Solaris 9 

Modules de chiffrement pour IPsec et Kerberos

Le chiffrement inclus dans la version Solaris 9 est un chiffrement dont la clé peut atteindre une longueur maximum de 128 bits. Auparavant, ce module de chiffrement était uniquement disponible sous la forme d'un kit de chiffrement Solaris sur CD-ROM ou de fichiers teléchargeables sur le Web. Un certain nombre de ces algorithmes sont maintenant compris dans l'environnement d'exploitation Solaris 9. Ils incluent une prise en charge de la confidentialité DES à 56 bits pour Kerberos, ainsi qu'une prise en charge DES à 56 bits et DES triple à 3 clés pour IPsec.  

Remarque :

La prise en charge du chiffrement supérieur à 128 bits avec IPsec est également incluse dans la version Solaris 9, dans le kit de chiffrement Solaris sur CD-ROM et dans les fichiers téléchargeables sur le Web. IPsec prend en charge les standards de chiffrement AES (Advanced Encryption Standard ) à 128 bits, 192 bits ou 256 bits, ainsi que le chiffrement Blowfish allant de 32 bits à 448 bits (dans des augmentations de 8- bits).

Pour de plus amples informations sur la prise en charge de IPsec, reportez-vous au chapitre "IPsec (Overview)" in System Administration Guide: IP Services. Pour de plus amples informations sur la prise en charge de Kerberos, reportez-vous au chapitre "Introduction to SEAM" in System Administration Guide: Security Services.

Solaris 9 

Architecture de sécurité IP pour IPv6

La plate-forme de sécurité IPsec a été optimisée dans la version Solaris 9 pour garantir la sécurité des datagrammes acheminés entre les machines. Dans la version de Solaris 9, seule l'utilisation de clés manuelles est prise en charge lors de l'utilisation de IPsec pour IPv6. 

Remarque :

La plate-forme de sécurité IPsec pour IPv4 a été introduite dans la version Solaris 8. Le protocole IKE (Internet Key Exchange) est disponible pour IPv4.

Pour de plus amples informations, reportez-vous au paragraphe "IPsec (Overview)" in System Administration Guide: IP Services.

Solaris 9 

Amélioration de RBAC (Role-Based Access Control)

Les bases de données RBAC peuvent être gérées par le biais de l'interface graphique Solaris Management Console. Les droits peuvent ensuite être affectés par défaut dans le fichier policy.conf. Par ailleurs, ces droits peuvent désormais en contenir d'autres. Pour en savoir plus sur le RBAC, consultez la section "RBAC".

Pour de plus amples informations, reportez-vous à la section "Role-Based Access Control (Overview)" in System Administration Guide: Security Services.

Solaris 8 1/01 

Options de sécurité de la connexion Xserver

De nouvelles options permettent aux administrateurs système de n'autoriser que les connexions chiffrées avec le serveur Solaris X. Pour de plus amples informations, consultez la section "Fonctions Xserver".

Solaris 9 

GSS-API (Generic Security Services Application Programming Interface)

L'interface GSS-API (Generic Security Services Application Programming Interface) est une plate-forme de sécurité permettant aux applications de protéger les données qu'elles transmettent. Elle fournit aux applications des services d'authentification, d'intégrité et de confidentialité. Cette interface permet à ces applications d'être totalement génériques en ce qui concerne la sécurité. Autrement dit, elles n'ont pas à vérifier la plate-forme sous-jacente (par exemple Solaris) ou le mécanisme de sécurité utilisé (par exemple Kerberos). Ainsi, les applications qui utilisent l'interface GSS-API bénéficient d'une excellente portabilité. 

Pour de plus amples informations, consultez le GSS-API Programming Guide.

Solaris 8 6/00 

Logiciel de sécurité supplémentaire

Pour de plus amples informations concernant SunScreen TM 3.2, un produit firewall, consultez la section "Logiciels supplémentaires".

Consultez également la section "Gratuiciel" pour de plus amples informations concernant le gratuiciel Tcp-wrappers 7.6 dans la version Solaris 9. Tcp-wrappers 7.6 est un petit programme démon qui contrôle et filtre les requêtes entrantes pour les services de réseau.

Solaris 9