セキュリティの機能拡張 (Solaris 9 12/02 オペレーティング環境の概要)

Solaris 9 12/02 オペレーティング環境の概要

セキュリティの機能拡張

説明
インターネットキー交換 (IKE) プロトコルインターネットキー交換 (Internet Key Exchange、IKE) は、Ipsec のキー管理を自動化します。IKE によって、IPv4 ネットワークでは手動によるキー割り当てと再読み込みが不要になります。このため、管理者は、セキュリティ保護された多数のネットワークを管理できるようになりました。システム管理者は、Ipsec を使用してセキュリティ保護された IPv4 ネットワークを設定します。`in.iked` デーモンは、ブート時にキーの導出、認証、および認証保護を行います。このデーモンは構成可能です。管理者は、構成ファイルにパラメータを設定します。パラメータを設定したあとは、キーを手動で再読み込みする必要はありません。詳細は、『Solaris のシステム管理 (IP サービス)』の「インターネットキー交換」を参照してください。
Solaris Secure Shell Secure Shell を使用すると、セキュリティ保護されていないネットワークを介した場合でも、リモートホストに安全にアクセスすることができます。データ転送および対話型ユーザーネットワークのセッションは、盗聴、セッションの乗っ取り、中継サイトを利用した攻撃から保護されます。Solaris 9 Secure Shell は、SSHv1 および SSHv2 プロトコルバージョンをサポートしています。これにより、公開鍵暗号方式を使用する強力な認証が提供されます。X ウィンドウシステムとその他のネットワークサービスは、補助的な保護のために Secure Shell 接続で安全にトンネリングすることができます。 Secure Shell サーバーである `sshd` は、受信したネットワークサービスの要求の監視およびフィルタ処理をサポートします。要求を発信したクライアントホスト名をログに記録するようにサーバーを構成できるため、それによってネットワークセキュリティ機能が向上します。`sshd` は、フリーウェアに記載されている `Tcp-wrappers 7.6` ユーティリティで使用するのと同じメカニズムを使用します。詳細は、`sshd(1M)`、`hosts_access(4)`、および `hosts_options(4)` のマニュアルページを参照してください。また、『Solaris のシステム管理 (セキュリティサービス)』の「Secure Shell の使用」も参照してください。
Kerberos Key Distribution Center (KDC) と管理ツールシステム管理者は、Kerberos V5 の認証、機密性、および整合性を利用してシステムのセキュリティを向上させることができます。NFS は、Kerberos V5 でセキュリティ保護されたアプリケーションの一例です。以下のリストに、Kerberos V5 の新機能を示します。 Kerberos V5 Server – このサーバーには以下のコンポーネントが含まれています。ユーザー (主体) 管理システム – 主体データベースとセキュリティポリシーのローカル / リモート管理のための一元化されたサーバーが含まれる。このシステムには、GUI 管理ツールと CLI 管理ツールの両方が含まれる Key Distribution Center (KDC) – 管理サーバーによって作成された主体データベース情報を使用して、クライアントにチケットを発行する主体データベース複製システム – KDC データベースをバックアップサーバーに複製する MIT と Microsoft Windows 2000 のパスワードの相互運用性の変更 – Kerberos V5 パスワードは、Solaris クライアントから MIT Kerberos サーバーおよび Microsoft Windows 2000 に変更できるようになりました。チューニングされた DES – Kerberos V5 カーネルの DES 操作が Sun4u アーキテクチャ用にカスタマイズされました。 Solaris コアとともにサポートされるようになった Kerberos 暗号化通信 – Kerberos 暗号化通信をサポートする暗号化モジュールを Solaris 9 オペレーティング環境で使用できます。以前は、暗号化モジュールは Solaris Encryption Kit CD-ROM または Web ダウンロードからしか入手できませんでした。アドレスなしチケット – システム管理者とユーザーがアドレスなしチケットを指定できるようになりました。この機能は、マルチホームの NAT ネットワーク環境で必要になることがあります。 Kerberos V5 PAM モジュールによるパスワード存続期間決定のサポート – `pam_krb5` モジュールは、KDC でのパスワード存続期間決定をユーザー (主体) ごとに設定します。詳細は、『Solaris のシステム管理 (セキュリティサービス)』の「Kerberos データベースの管理」を参照してください。
セキュリティ保護された LDAP クライアント Solaris 9 リリースでは、LDAP クライアントベースのセキュリティの新機能が追加されました。新しい LDAP ライブラリは、SSL (TLS) および CRAM-MD5 暗号化メカニズムを備えています。ユーザーはこれらの暗号化メカニズムを使用して、LDAP クライアントと LDAP サーバー間の回線を介した暗号化を導入することができます。 Sun ONE Directory Server 5.1 (旧名称は iPlanet Directory Server 5.1) は、LDAP ディレクトリサーバーです。このサーバーの詳細は、ネットワーク関連機能を参照してください。
IPsec および Kerberos の暗号化モジュール Solaris 9 リリースでは、最大キー長が 128 ビットの暗号化がサポートされるようになりました。Solaris 9 リリースより前のリリースでは、暗号化モジュールは Solaris Encryption Kit CD-ROM または Web ダウンロードからしか入手できませんでした。現在、Solaris 9 オペレーティング環境には、これらの多数のアルゴリズムがあります。これらのアルゴリズムには、Kerberos 用の 56 ビット DES 機密性サポートと、IPsec 用の 56 ビット DES および 3-key Triple-DES サポートが含まれています。注 - Solaris Encryption Kit CD-ROM または Web ダウンロードを利用することにより、IPsec を使った 128 ビットより大きい暗号化もサポートされます。IPsec は、128 ビット、192 ビット、または 256 ビットの Advanced Encryption Standard (AES) と、32 ビットから 448 ビットまでの Blowfish (8 ビット増分) をサポートします。 IPsec サポートの詳細は、『Solaris のシステム管理 (IP サービス)』の「IPsec (概要)」を参照してください。 Kerberos サポートの詳細は、『Solaris のシステム管理 (セキュリティサービス)』の「SEAM について」を参照してください。
IPv6 の IP セキュリティアーキテクチャ Solaris 9 リリースでは、IPsec セキュリティフレームワークが拡張され、マシン間でセキュリティ保護された IPv6 ダイアグラムを使用できるようになりました。Solaris 9 リリースでは、IPv6 の IPsec を使用するときは手動によるキーの管理のみがサポートされています。注 - IPv4 の IPsec セキュリティフレームワークは、Solaris 8 リリースで導入されました。IPv4 の場合はインターネットキー交換 (IKE) プロトコルを使用できます。詳細は、『Solaris のシステム管理 (IP サービス)』の「IPsec (概要)」を参照してください。
役割によるアクセス制御 (RBAC) の機能向上役割によるアクセス制御 (Role-Based Access Control、RBAC) データベースが、Solaris Management Console グラフィカルインタフェースで管理できるようになりました。権利は、デフォルトで `policy.conf` ファイルで割り当てることができます。さらに、権利には他の権利を入れることができます。 RBAC の詳細は、『Solaris のシステム管理 (セキュリティサービス)』の「役割によるアクセス制御 (手順)」を参照してください。Solaris Management Console の詳細は、システム管理ツールを参照してください。
Xserver のセキュリティオプション新しいオプションにより、システム管理者が Solaris X サーバーに暗号化された接続のみを許可できるようになりました。詳細は、デスクトップユーザーを対象にした Solaris 9 の機能を参照してください。
Generic Security Services Application Programming Interface (GSS-API) GSS-API (Generic Security Services Application Programming Interface) は、セキュリティのフレームワークです。GSS-API を使用すると、アプリケーションは転送データを保護できます。GSS-API は認証、整合性、および機密性のサービスをアプリケーションに提供します。このインタフェースを使用すると、各アプリケーションはセキュリティに関して全般的に「汎用」になります。アプリケーションは、実際に使用されているプラットフォーム (Solaris プラットフォームなど) やセキュリティ機構 (Kerberos など) を調べる必要がありません。これは、GSS-API を使用するアプリケーションの移植性が高くなることを意味します。詳細は、『GSS-API のプログラミング』を参照してください。
その他のセキュリティソフトウェアファイアウォール製品である SunScreen ^TM 3.2 の詳細は、追加ソフトウェアを参照してください。また、Solaris 9 リリースの `Tcp-wrappers 7.6` フリーウェアの詳細は、フリーウェアを参照してください。 `Tcp-wrappers 7.6` は、受信したネットワークサービスの要求を監視およびフィルタ処理する、小さいデーモンプログラムです。

説明

インターネットキー交換 (IKE) プロトコル

インターネットキー交換 (Internet Key Exchange、IKE) は、Ipsec のキー管理を自動化します。IKE によって、IPv4 ネットワークでは手動によるキー割り当てと再読み込みが不要になります。このため、管理者は、セキュリティ保護された多数のネットワークを管理できるようになりました。

システム管理者は、Ipsec を使用してセキュリティ保護された IPv4 ネットワークを設定します。in.iked デーモンは、ブート時にキーの導出、認証、および認証保護を行います。このデーモンは構成可能です。管理者は、構成ファイルにパラメータを設定します。パラメータを設定したあとは、キーを手動で再読み込みする必要はありません。

詳細は、『Solaris のシステム管理 (IP サービス)』の「インターネットキー交換」を参照してください。

Solaris Secure Shell

Secure Shell を使用すると、セキュリティ保護されていないネットワークを介した場合でも、リモートホストに安全にアクセスすることができます。データ転送および対話型ユーザーネットワークのセッションは、盗聴、セッションの乗っ取り、中継サイトを利用した攻撃から保護されます。Solaris 9 Secure Shell は、SSHv1 および SSHv2 プロトコルバージョンをサポートしています。これにより、公開鍵暗号方式を使用する強力な認証が提供されます。X ウィンドウシステムとその他のネットワークサービスは、補助的な保護のために Secure Shell 接続で安全にトンネリングすることができます。

Secure Shell サーバーである sshd は、受信したネットワークサービスの要求の監視およびフィルタ処理をサポートします。要求を発信したクライアントホスト名をログに記録するようにサーバーを構成できるため、それによってネットワークセキュリティ機能が向上します。sshd は、フリーウェアに記載されている Tcp-wrappers 7.6 ユーティリティで使用するのと同じメカニズムを使用します。

詳細は、sshd(1M)、hosts_access(4)、および hosts_options(4) のマニュアルページを参照してください。また、『Solaris のシステム管理 (セキュリティサービス)』の「Secure Shell の使用」も参照してください。

Kerberos Key Distribution Center (KDC) と管理ツール

システム管理者は、Kerberos V5 の認証、機密性、および整合性を利用してシステムのセキュリティを向上させることができます。NFS は、Kerberos V5 でセキュリティ保護されたアプリケーションの一例です。

以下のリストに、Kerberos V5 の新機能を示します。

Kerberos V5 Server – このサーバーには以下のコンポーネントが含まれています。
- ユーザー (主体) 管理システム – 主体データベースとセキュリティポリシーのローカル / リモート管理のための一元化されたサーバーが含まれる。このシステムには、GUI 管理ツールと CLI 管理ツールの両方が含まれる
- Key Distribution Center (KDC) – 管理サーバーによって作成された主体データベース情報を使用して、クライアントにチケットを発行する
- 主体データベース複製システム – KDC データベースをバックアップサーバーに複製する
MIT と Microsoft Windows 2000 のパスワードの相互運用性の変更 – Kerberos V5 パスワードは、Solaris クライアントから MIT Kerberos サーバーおよび Microsoft Windows 2000 に変更できるようになりました。
チューニングされた DES – Kerberos V5 カーネルの DES 操作が Sun4u アーキテクチャ用にカスタマイズされました。
Solaris コアとともにサポートされるようになった Kerberos 暗号化通信 – Kerberos 暗号化通信をサポートする暗号化モジュールを Solaris 9 オペレーティング環境で使用できます。以前は、暗号化モジュールは Solaris Encryption Kit CD-ROM または Web ダウンロードからしか入手できませんでした。
アドレスなしチケット – システム管理者とユーザーがアドレスなしチケットを指定できるようになりました。この機能は、マルチホームの NAT ネットワーク環境で必要になることがあります。
Kerberos V5 PAM モジュールによるパスワード存続期間決定のサポート – pam_krb5 モジュールは、KDC でのパスワード存続期間決定をユーザー (主体) ごとに設定します。

詳細は、『Solaris のシステム管理 (セキュリティサービス)』の「Kerberos データベースの管理」を参照してください。

セキュリティ保護された LDAP クライアント

Solaris 9 リリースでは、LDAP クライアントベースのセキュリティの新機能が追加されました。新しい LDAP ライブラリは、SSL (TLS) および CRAM-MD5 暗号化メカニズムを備えています。ユーザーはこれらの暗号化メカニズムを使用して、LDAP クライアントと LDAP サーバー間の回線を介した暗号化を導入することができます。

Sun ONE Directory Server 5.1 (旧名称は iPlanet Directory Server 5.1) は、LDAP ディレクトリサーバーです。このサーバーの詳細は、ネットワーク関連機能を参照してください。

IPsec および Kerberos の暗号化モジュール

Solaris 9 リリースでは、最大キー長が 128 ビットの暗号化がサポートされるようになりました。Solaris 9 リリースより前のリリースでは、暗号化モジュールは Solaris Encryption Kit CD-ROM または Web ダウンロードからしか入手できませんでした。現在、Solaris 9 オペレーティング環境には、これらの多数のアルゴリズムがあります。これらのアルゴリズムには、Kerberos 用の 56 ビット DES 機密性サポートと、IPsec 用の 56 ビット DES および 3-key Triple-DES サポートが含まれています。

注 -

Solaris Encryption Kit CD-ROM または Web ダウンロードを利用することにより、IPsec を使った 128 ビットより大きい暗号化もサポートされます。IPsec は、128 ビット、192 ビット、または 256 ビットの Advanced Encryption Standard (AES) と、32 ビットから 448 ビットまでの Blowfish (8 ビット増分) をサポートします。

IPsec サポートの詳細は、『Solaris のシステム管理 (IP サービス)』の「IPsec (概要)」を参照してください。 Kerberos サポートの詳細は、『Solaris のシステム管理 (セキュリティサービス)』の「SEAM について」を参照してください。

IPv6 の IP セキュリティアーキテクチャ

Solaris 9 リリースでは、IPsec セキュリティフレームワークが拡張され、マシン間でセキュリティ保護された IPv6 ダイアグラムを使用できるようになりました。Solaris 9 リリースでは、IPv6 の IPsec を使用するときは手動によるキーの管理のみがサポートされています。

注 -

IPv4 の IPsec セキュリティフレームワークは、Solaris 8 リリースで導入されました。IPv4 の場合はインターネットキー交換 (IKE) プロトコルを使用できます。

詳細は、『Solaris のシステム管理 (IP サービス)』の「IPsec (概要)」を参照してください。

役割によるアクセス制御 (RBAC) の機能向上

役割によるアクセス制御 (Role-Based Access Control、RBAC) データベースが、Solaris Management Console グラフィカルインタフェースで管理できるようになりました。権利は、デフォルトで policy.conf ファイルで割り当てることができます。さらに、権利には他の権利を入れることができます。

RBAC の詳細は、『Solaris のシステム管理 (セキュリティサービス)』の「役割によるアクセス制御 (手順)」を参照してください。Solaris Management Console の詳細は、システム管理ツールを参照してください。

Xserver のセキュリティオプション

新しいオプションにより、システム管理者が Solaris X サーバーに暗号化された接続のみを許可できるようになりました。詳細は、デスクトップユーザーを対象にした Solaris 9 の機能を参照してください。

Generic Security Services Application Programming Interface (GSS-API)

GSS-API (Generic Security Services Application Programming Interface) は、セキュリティのフレームワークです。GSS-API を使用すると、アプリケーションは転送データを保護できます。GSS-API は認証、整合性、および機密性のサービスをアプリケーションに提供します。このインタフェースを使用すると、各アプリケーションはセキュリティに関して全般的に「汎用」になります。アプリケーションは、実際に使用されているプラットフォーム (Solaris プラットフォームなど) やセキュリティ機構 (Kerberos など) を調べる必要がありません。これは、GSS-API を使用するアプリケーションの移植性が高くなることを意味します。

詳細は、『GSS-API のプログラミング』を参照してください。

その他のセキュリティソフトウェア

ファイアウォール製品である SunScreen ^TM 3.2 の詳細は、追加ソフトウェアを参照してください。

また、Solaris 9 リリースの Tcp-wrappers 7.6 フリーウェアの詳細は、フリーウェアを参照してください。 Tcp-wrappers 7.6 は、受信したネットワークサービスの要求を監視およびフィルタ処理する、小さいデーモンプログラムです。