test

Nuove funzioni dell'ambiente operativo Solaris 9

Miglioramenti alla sicurezza

Descrizione  

Data di rilascio  

Protocollo IKE (Internet Key Exchange)

Il protocollo IKE (Internet Key Exchange) automatizza la gestione delle chiavi per IPsec. IKE permette di evitare l'assegnazione e l'aggiornamento manuale delle chiavi nelle reti IPv4, permettendo agli amministratori di gestire un maggior numero di reti sicure.

IPsec viene usato per configurare reti IPv4 sicure. Il daemon in.iked gestisce la derivazione, l'autenticazione e la protezione delle chiavi nella fase di boot. Il daemon può essere configurato mediante l'assegnazione dei parametri richiesti in un apposito file di configurazione. Dopo l'assegnazione dei parametri, non è richiesto alcun aggiornamento manuale delle chiavi.

Per maggiori informazioni, vedere la sezione "Internet Key Exchange" in System Administration Guide: IP Services.

Solaris 9  

Shell sicure di Solaris

Le shell sicure permettono di accedere con sicurezza agli host remoti anche attraverso reti non protette. I trasferimenti di dati e le sessioni di rete interattive vengono protette dalle intrusioni e dagli attacchi in punti intermedi. La shell sicura di Solaris 9 supporta i protocolli SSHv1 e SSHv2. L'autenticazione è fornita mediante un sistema di crittografia a chiave pubblica. Per rafforzare ulteriormente la protezione è possibile incanalare i servizi X-windows e gli altri servizi di rete attraverso connessioni basate sulla shell sicura. 

Il server della shell sicura sshd supporta il monitoraggio e il filtro delle richieste di servizi di rete. Il server può essere configurato in modo da registrare il nome host dei client che effettuano le richieste, migliorando in questo modo la sicurezza della rete. sshd usa lo stesso meccanismo usato dall'utility Tcp-wrappers 7.6 descritta in "Freeware".

Per altre informazioni, vedere le pagine man sshd(1M), hosts_access(4) e hosts_options(4).

Solaris 9 

KDC (Key Distribution Center) e tool di amministrazione Kerberos

Le funzioni di autenticazione, riservatezza e integrità di Kerberos V5 permettono di rafforzare la sicurezza dei sistemi. NFS è un esempio di applicazione che viene protetta con Kerberos V5. 

Qui di seguito sono elencate le nuove funzioni di Kerberos V5.

  • Server Kerberos V5 - Il server include i seguenti componenti:

    • Sistema di amministrazione dei nomi principali (utenti) - Include un server centralizzato per l'amministrazione locale e remota dei nomi principali e dei criteri di sicurezza.

      Le funzioni di amministrazione sono disponibili sia attraverso un'interfaccia grafica che dalla riga di comando.

    • Key Distribution Center (KDC) - Il KDC utilizza le informazioni del database dei nomi principali create dal server di amministrazione ed emette i ticket per i client.

    • Sistema di replicazione del database dei nomi principali - Permette di duplicare il database KDC su un server di backup.

  • Interoperabilità per la modifica delle password MIT e Microsoft Windows 2000 - Le password di Kerberos V5 possono ora essere modificate da un client Solaris su un server MIT Kerberos e Windows 2000.

  • DES ottimizzato - Le operazioni DES del kernel Kerberos V5 sono state ottimizzate per i sistemi Sun4u.

  • Comunicazioni cifrate Kerberos supportate nella versione standard di Solaris - In Solaris 9, è disponibile un modulo di crittografia che supporta le comunicazioni cifrate di Kerberos. In precedenza, il modulo di crittografia era disponibile solo nel CD-ROM Solaris Encryption Kit (disponibile anche come download dal Web).

  • Ticket senza indirizzi - Gli amministratori di sistema e gli utenti possono ora specificare ticket senza indirizzo. Questa possibilità può essere necessaria negli ambienti di rete NAT e multihome.

  • Il modulo PAM di Kerberos V5 supporta la funzione di aging delle password - Il modulo pam_krb5 supporta l'aging delle password impostato nel KDC per ogni nome principale.

Per maggiori informazioni, vedere la sezione "Administering the Kerberos Database" in System Administration Guide: Security Services.

Solaris 9 

Client LDAP sicuro

Solaris 9 include nuove funzioni per la sicurezza dei client LDAP. Una nuova libreria LDAP fornisce meccanismi di cifratura SSL (TLS) e CRAM-MD5. Questi meccanismi permettono di installare vari metodi di codifica sulla rete cablata tra i client e il server LDAP.  

Per maggiori informazioni su iPlanet Directory Server 5.1, il server di directory LDAP, vedere "Funzionalità di rete".

Solaris 9 

Moduli di crittografia per IPsec e Kerberos

Solaris 9 include un sistema di crittografia con lunghezza massima delle chiavi di 128 bit. In precedenza, i moduli di crittografia erano disponibili solo nel CD-ROM Solaris Encryption Kit (disponibile anche come download dal Web). Molti di questi algoritmi sono ora inclusi in Solaris 9. Tra questi il supporto per la privacy DES a 56 bit e il supporto DES a 56 bit e Triple-DES a tre chiavi per IPsec.  

Nota -

Solaris 9 supporta anche sistemi di crittografia di oltre 128 bit con IPsec tramite il CD-ROM Solaris Encryption Kit (scaricabile anche dal Web). IPsec supporta gli standard AES (Advanced Encryption Standard) a 128 bit, 192 bit o 256 bit e gli standard Blowfish da 32 bit a 448 bit (in incrementi di 8 bit).

Per informazioni sul supporto di IPsec, vedere la sezione "IPsec (Overview)" in System Administration Guide: IP Services. Per informazioni sul supporto di Kerberos, vedere la sezione "Introduction to SEAM" in System Administration Guide: Security Services.

Solaris 9 

Architettura di sicurezza IP per IPv6

Il framework di sicurezza IPsec è stato migliorato in Solaris 9 per abilitare i datagrammi IPv6 sicuri tra i sistemi. In Solaris 9 è supportato solo l'utilizzo delle chiavi manuali con IPsec per IPv6. 

Nota -

Il framework di sicurezza IPsec per IPv4 è stato introdotto in Solaris 8. Il protocollo IKE (Internet Key Exchange) è disponibile per IPv4.

Per altre informazioni, vedere la sezione "IPsec (Overview)" in System Administration Guide: IP Services.

Solaris 9 

Controllo degli accessi basato sui ruoli (RBAC)

I database RBAC possono essere gestiti dall'interfaccia grafica della Solaris Management Console. È possibile assegnare i diritti come impostazioni predefinite nel file policy.conf. Inoltre, i diritti possono contenere a loro volta altri diritti. Per maggiori informazioni, vedere "Controllo degli accessi basato sui ruoli".

Vedere anche la sezione "Role-Based Access Control (Overview)" in System Administration Guide: Security Services.

Solaris 8 1/01 

Opzioni di sicurezza nelle connessioni a Xserver

Nuove opzioni permettono agli amministratori di sistema di abilitare solo le connessioni cifrate al server X di Solaris. Per maggiori informazioni, vedere "Funzioni del server X".

Solaris 9 

GSS-API (Generic Security Services Application Programming Interface)

La GSS-API (Generic Security Services Application Programming Interface) è un framework di sicurezza che permette alle applicazioni di proteggere i dati trasmessi. La GSS-API fornisce servizi di autenticazione, integrità e riservatezza alle applicazioni. L'interfaccia permette alle applicazioni di adottare criteri di sicurezza del tutto generici. In altre parole, non è necessario che le applicazioni controllino la piattaforma sottostante (ad esempio la piattaforma Solaris) o il meccanismo di sicurezza utilizzato (ad esempio Kerberos). Ciò comporta una notevole semplificazione del porting per le applicazioni che utilizzano la GSS-API.

Per maggiori informazioni, vedere il manuale GSS-API Programming Guide.

Solaris 8 6/00 

Altri software di protezione

Per informazioni sul firewall SunScreen TM 3.2, vedere "Software aggiuntivi".

Vedere anche "Freeware" per informazioni sul freeware Tcp-wrappers 7.6 incluso in Solaris 9. Il software Tcp-wrappers 7.6 contiene piccoli programmi daemon che monitorizzano e filtrano le richieste di servizi di rete.

Solaris 9