Sécurité

La version Solaris 9 comprend les améliorations apportées à la sécurité indiquées ci-après.

Protocole IKE (Internet Key Exchange)

Le protocole IKE (Internet Key Exchange) automatise la gestion des clés pour IPsec. Il remplace l'affectation et le rafraîchissement manuels des clés sur un réseau IPv4, ce qui permet à l'administrateur de gérer davantage de réseaux sécurisés.

Les administrateurs système utilisent IPsec pour configurer des réseaux IPv4 sécurisés. Le démon in.iked assure la dérivation de la clé, l'authentification et la protection de l'authentification au démarrage. Il est configurable. L'administrateur effectue les paramétrages dans un fichier de configuration. Une fois les paramétrages effectués, aucun rafraîchissement manuel de la clé n'est nécessaire.

Pour de plus amples informations, consultez la rubrique “Internet Key Exchange” in System Administration Guide: IP Services.

Solaris Secure Shell

Secure Shell permet à l'utilisateur d'accéder à un hôte distant en toute sécurité via un réseau non sécurisé. Les transferts de données et les sessions réseau interactives sont protégées contre toute forme d'interception, de piratage ou d'attaques intermédiaires. Solaris 9 Secure Shell prend en charge les versions de protocole SSHv1 et SSHv2. Une authentification stricte utilisant la cryptographie à clé publique est fournie. Le système X Window et les autres services réseau peuvent être encapsulés en toute sécurité par le biais de connexions Secure Shell pour une protection supplémentaire.

Le serveur Secure Shell sshd prend en charge les requêtes de contrôle et de filtrage entrantes pour les services réseau. Le serveur peut être configuré de manière à consigner le nom d'hôte du client réalisant les requêtes entrantes et à optimiser ainsi la sécurité du réseau. sshd utilise le même mécanisme que l'utilitaire Tcp-wrappers 7.6 décrit dans la rubrique Freewares.

Pour de plus amples informations, reportez-vous aux pages de manuel sshd(1M), hosts_access(4) et hosts_options(4) ainsi qu'à la rubrique “Using Solaris Secure Shell (Tasks)” in System Administration Guide: Security Services.

Centre Kerberos de distribution des clés (KDC) et outils administratifs

Les administrateurs système peuvent améliorer la sécurité du système à l'aide de l'authentification Kerberos V5, de même que la confidentialité et de l'intégrité. NFS constitue un exemple d'application sécurisée par Kerberos V5.

La liste suivante illustre les nouvelles fonctions de Kerberos V5.

• Le serveur Kerberos V5 est constitué des composants suivants :

  • Le système d'administration principal (utilisateur) : il comprend un serveur centralisé pour l'administration locale ou distante des données de base et des politiques de sécurité. Le système possède un outil d'administration GUI (interface graphique utilisateur) et d'un outil CLI (interface de ligne de commande).

  • Le centre de répartition des clés (KDC) : il utilise les informations principales de la base de données créée par le serveur d'administration et émet des tickets pour les clients.

  • Le système de réplication de base de données principale : il duplique la base de données KDC sur un serveur de sauvegarde.

• L'interopérabilité du changement du mot de passe entre MIT et Microsoft Windows 2000 : les mots de passe Kerberos V5 peuvent à présent être modifiés depuis un client Solaris vers un serveur Kerberos MIT et Microsoft Windows 2000.

• Le DES ajusté : les opérations Kerberos V5 kernel DES ont été optimisées pour l'architecture Sun4u.

• Les communications chiffrées Kerberos sont désormais prises en charge dans le noyau de Solaris : un module de chiffrement prenant en charge les communications chiffrées Kerberos est disponible dans l'environnement d'exploitation Solaris 9. Auparavant, ce module était uniquement disponible sous la forme d'un kit de chiffrement Solaris sur CD ou de fichiers téléchargeables sur le Web.

• Les tickets sans adresse : les administrateurs système et les utilisateurs peuvent désormais spécifier des tickets identifiables. Cette option peut s'avérer nécessaire dans les environnements à multiconnexion et les environnements de réseau NAT.

• La prise en charge du vieillissement du mot de passe par Kerberos V5 PAM : le module pam_krb5 prend en charge le vieillissement du mot de passe défini pour chaque utilisateur principal.

Pour de plus amples informations, reportez-vous à la rubrique “Administering the Kerberos Database” in System Administration Guide: Security Services.

Client LDAP sécurisé

Solaris 9 comprend de nouvelles fonctions pour la sécurité basée sur le client LDAP. Une nouvelle bibliothèque LDAP fournit des mécanismes de cryptage SSL (TLS) et CRAM-MD5. Ces mécanismes permettent à l'utilisateur de déployer ses méthodes de chiffrement par le biais du câble qui relie les clients LDAP et le serveur LDAP.

Pour de plus amples informations concernant Sun ONE Directory Server 5.1 (anciennement iPlanet Directory Server 5.1), le serveur d'annuaire LDAP, consultez la rubrique Réseaux.

Modules de chiffrement pour IPsec et Kerberos

La version Solaris 9 inclut un chiffrement élevé pour IPsec et Kerberos. Auparavant, les modules de chiffrement étaient uniquement disponibles sous la forme d'un kit de chiffrement Solaris sur CD ou de fichiers téléchargeables sur le Web. Un certain nombre de ces algorithmes sont maintenant intégrés à l'environnement d'exploitation Solaris 9. Ils incluent une prise en charge de la confidentialité DES à 56 bits pour Kerberos, ainsi qu'une prise en charge DES à 56 bits et DES triple à 3 clés à 128 bits pour IPsec.

la prise en charge du chiffrement plus élevé est disponible dans le kit de chiffrement Solaris sur CD et dans les fichiers téléchargeables sur le Web IPsec prend en charge les standards de chiffrement AES (Advanced Encryption Standard) à 128, 192 ou 256 bits, ainsi que le chiffrement Blowfish de 32 à 448 bits par incrément de 8 bits.

Pour de plus amples informations sur la prise en charge d'IPsec, consultez la rubrique “IPsec (Overview)” in System Administration Guide: IP Services. Pour de plus amples informations sur la prise en charge de Kerberos, consultez la rubrique “Introduction to SEAM” in System Administration Guide: Security Services.

Architecture de sécurité IP pour IPv6

La plate-forme de sécurité IPsec a été optimisée dans Solaris 9 pour garantir la sécurité des datagrammes IPv6 acheminés entre les machines. Dans Solaris 9, seule l'utilisation des clés manuelles est prise en charge lors de l'utilisation de IPsec pour IPv6.

la plate-forme de sécurité IPsec pour IPv4 a été introduite dans Solaris 8. Le protocole IKE (Internet Key Exchange) est disponible pour IPv4.

Pour de plus amples informations, consultez la rubrique “IPsec (Overview)” in System Administration Guide: IP Services.

Améliorations apportées à RBAC (contrôle de l'accès basé sur le rôle)

Les bases de données RBAC peuvent être gérées par le biais de l'interface graphique Solaris Management Console. Les droits peuvent à présent être attribués par défaut dans le fichier policy.conf. Par ailleurs, ces droits peuvent désormais en contenir d'autres.

Pour de plus amples informations sur RBAC, consultez la rubrique “Role-Based Access Control (Overview)” in System Administration Guide: Security Services. Pour de plus amples informations sur Solaris Management Console, consultez la rubrique Outils d'administration système.

Options de sécurité de la connexion Xserver

De nouvelles options permettent aux administrateurs système de n'autoriser que les connexions cryptées avec le serveur Solaris X. Pour de plus amples informations, consultez la rubrique Fonctions de Solaris 9 destinées aux utilisateurs du bureau.

GSS-API (Generic Security Services Application Programming Interface)

L'interface GSS-API (Generic Security Services Application Programming Interface) est une plate-forme de sécurité permettant aux applications de protéger les données qu'elles transmettent. Elle leur fournit des services d'authentification, d'intégrité et de confidentialité et leur permet d'être entièrement génériques en matière de sécurité. Autrement dit, elles n'ont à vérifier ni la plate-forme sous-jacente (par exemple Solaris), ni le mécanisme de sécurité utilisé (par exemple Kerberos). Les applications qui utilisent l'interface GSS-API bénéficient ainsi d'une excellente portabilité.

Pour de plus amples informations, reportez-vous au document GSS-API Programming Guide.

Logiciel de sécurité supplémentaire

Pour de plus amples informations sur SunScreen^TM 3.2, un pare-feu, consultez la rubrique Logiciels supplémentaires.

Consultez également la rubrique Freewares pour de plus amples informations sur le freeware Tcp-wrappers 7.6 dans Solaris 9. Tcp-wrappers 7.6 est un petit programme démon qui contrôle et filtre les requêtes entrantes pour les services de réseau.