Ignorer les liens de navigation | |
Quitter l'aperu | |
Procédures de l'administrateur Oracle Solaris Trusted Extensions |
1. Concepts d'administration de Trusted Extensions
2. Outils d'administration de Trusted Extensions
3. Mise en route en tant qu'administrateur Trusted Extensions (tâches)
4. Exigences de sécurité sur un système Trusted Extensions (présentation)
5. Administration des exigences de sécurité dans Trusted Extensions (tâches)
6. Utilisateurs, droits et rôles dans Trusted Extensions (présentation)
7. Gestion des utilisateurs, des droits et des rôles dans Trusted Extensions (tâches)
8. Administration à distance dans Trusted Extensions (tâches)
9. Trusted Extensions et LDAP (présentation)
10. Gestion des zones dans Trusted Extensions (tâches)
11. Gestion et montage de fichiers dans Trusted Extensions (tâches)
12. Gestion de réseaux de confiance (présentation)
Paquets de données Trusted Extensions
Communications sur le réseau de confiance
Bases de données de configuration réseau dans Trusted Extensions
Commandes réseau dans Trusted Extensions
Attributs de sécurité du réseau de confiance
Attributs de sécurité réseau dans Trusted Extensions
Type d'hôte et nom du modèle dans les modèles de sécurité
Étiquette par défaut dans les modèles de sécurité
Domaine d'interprétation dans les modèles de sécurité
Plage d'étiquettes dans les modèles de sécurité
Ensemble d'étiquettes de sécurité dans les modèles de sécurité
Mécanisme de secours du réseau de confiance
Présentation du routage dans Trusted Extensions
Informations générales sur le routage
Entrées de la table de routage dans Trusted Extensions
Contrôles d'accréditation dans Trusted Extensions
Contrôles d'accréditation des sources
Administration du routage dans Trusted Extensions
Choix de routeurs dans Trusted Extensions
Passerelles dans Trusted Extensions
Commandes de routage dans Trusted Extensions
13. Gestion des réseaux dans Trusted Extensions (tâches)
14. Messagerie multiniveau dans Trusted Extensions (présentation)
15. Gestion de l'impression étiquetée (tâches)
16. Périphériques dans Trusted Extensions (présentation)
17. Gestion des périphériques pour Trusted Extensions (tâches)
18. Audit de Trusted Extensions (présentation)
19. Gestion des logiciels dans Trusted Extensions (tâches)
A. Guide de référence rapide pour l'administration de Trusted Extensions
Dans Trusted Extensions, les routes reliant les hôtes de différents réseaux doivent permettre le maintien de la sécurité à chaque étape de la transmission. Trusted Extensions ajoute des attributs de sécurité étendus aux protocoles de routage dans le SE Oracle Solaris. À la différence du SE Oracle Solaris, cette version de Trusted Extensions ne prend pas en charge le routage dynamique. Pour plus d'informations sur la spécification d'un routage statique, reportez-vous à l'option -p de la page de manuel route(1M).
Les passerelles et les routeurs acheminent des paquets. Dans cette section, les termes "passerelle" et "routeur" sont utilisés de façon interchangeable.
Pour les communications entre les hôtes d'un même sous-réseau, les contrôles d'accréditation sont effectuées au niveau des extrémités uniquement car aucun routeur n'est impliqué. Les vérifications de plage d'étiquettes s'effectuent au niveau de la source. Si l'hôte récepteur exécute Trusted Extensions, des vérifications de plage d'étiquettes sont également effectuées sur la destination.
Lorsque les hôtes source et de destination appartiennent à des sous-réseaux différents, le paquet est envoyé depuis l'hôte source vers une passerelle. La plage d'étiquettes de la destination et de la passerelle du premier saut sont vérifiées à la source lorsqu'une route est sélectionnée. La passerelle transmet le paquet vers le réseau auquel l'hôte de destination est connecté. Un paquet peut transiter par plusieurs passerelles avant d'atteindre la destination.
Sur les passerelles Trusted Extensions, les vérifications de plage d'étiquettes sont effectuées à certaines occasions. Un système Trusted Extensions qui achemine un paquet entre deux hôtes sans étiquette compare l'étiquette par défaut de l'hôte source à l'étiquette par défaut de l'hôte de destination. Lorsque les hôtes sans étiquette ont la même étiquette par défaut, le paquet est acheminé.
Chaque passerelle gère une liste des routes conduisant à toutes les destinations. Le routage Oracle Solaris standard fait des choix afin d'optimiser l'itinéraire. Trusted Extensions fournit un logiciel supplémentaire qui contrôle les exigences de sécurité s'imposant aux itinéraires choisis. Les choix Oracle Solaris qui ne répondent pas aux exigences de sécurité sont ignorés.
Dans Trusted Extensions, les entrées de la table de routage peuvent comprendre des attributs de sécurité. Les attributs de sécurité peuvent inclure un mot-clé cipso. Ils doivent également inclure une étiquette maximale, une étiquette minimale et un DOI.
Les attributs du modèle de sécurité de la passerelle sont utilisés pour les entrées n'incluant aucun attribut de sécurité.
Le logiciel Trusted Extensions détermine la conformité d'une route avec les exigences de sécurité. Le logiciel exécute une série de tests appelés contrôles d'accréditation sur l'hôte source, l'hôte de destination et les passerelles intermédiaires.
Remarque - Dans cette section, le contrôle d'accréditation effectué sur une plage d'étiquettes comprend également un contrôle sur un ensemble d'étiquettes de sécurité.
Le contrôle d'accréditation contrôle la plage d'étiquettes et les informations d'étiquette CIPSO. Les attributs de sécurité d'une route sont obtenus à partir de l'entrée de la table de routage ou du modèle de sécurité de la passerelle lorsque l'entrée ne comprend aucun attribut de sécurité.
Pour les communications entrantes, le logiciel Trusted Extensions obtient, dans la mesure du possible, directement les étiquettes à partir des paquets. L'obtention d'étiquettes à partir de paquets n'est possible que lorsque les messages sont envoyés à partir des systèmes prenant en charge l'étiquetage. Lorsque le paquet ne fournit pas d'étiquette, une étiquette par défaut est assignée au message à partir de fichiers de la base de données de gestion de réseaux de confiance. Ces étiquettes sont ensuite utilisées lors des contrôles d'accréditation. Trusted Extensions applique plusieurs contrôles aux messages sortants, aux messages transférés et aux messages entrants.
Les contrôles d'accréditation suivants sont effectués sur le processus d'envoi ou la zone d'envoi :
Pour toutes les destinations, l'étiquette des données doit être comprise dans la plage d'étiquettes du saut suivant de la route, c'est-à-dire du premier saut. En outre, l'étiquette doit être incluse dans les attributs de sécurité de la passerelle du premier saut.
Pour toutes les destinations, le DOI d'un paquet sortant doit correspondre au DOI de l'hôte de destination. Le DOI doit également correspondre au DOI de tous les sauts de la route, y compris au DOI de la passerelle du premier saut.
Lorsque l'hôte de destination est un hôte sans étiquette, l'une des conditions suivantes doit être satisfaite :
L'étiquette de l'hôte émetteur doit correspondre à l'étiquette par défaut de l'hôte de destination.
L'hôte émetteur est habilité à communiquer sous plusieurs étiquettes et l'étiquette de l'émetteur domine l'étiquette par défaut de la destination.
L'hôte émetteur est habilité à communiquer sous plusieurs étiquettes et l'étiquette de l'émetteur est ADMIN_LOW. En d'autres termes, l'expéditeur effectue ses envois à partir de la zone globale.
Remarque - Un contrôle du premier saut est effectué lorsqu'un message est envoyé depuis un hôte appartenant à un réseau vers un hôte appartenant à un autre réseau via une passerelle.
Sur un système de passerelle Trusted Extensions, les contrôles d'accréditation suivants sont effectués sur la passerelle du prochain saut :
Si le paquet entrant est sans étiquette, le paquet hérite de l'étiquette par défaut de l'hôte source issue de l'entrée tnrhdb. Dans le cas contraire, le paquet se voit affecter l'étiquette CIPSO spécifiée.
Les contrôles de transfert des paquets sont semblables aux contrôles d'accréditation des sources :
Pour toutes les destinations, l'étiquette de données doit être comprise dans la plage d'étiquettes du prochain saut. En outre, l'étiquette doit être incluse dans les attributs de sécurité de l'hôte du prochain saut.
Pour toutes les destinations, le DOI d'un paquet sortant doit correspondre au DOI de l'hôte de destination. Le DOI doit également correspondre au DOI de l'hôte du prochain saut.
L'étiquette d'un paquet sans étiquette doit correspondre à l'étiquette par défaut de l'hôte de destination.
L'étiquette d'un paquet CIPSO doit être comprise dans la plage d'étiquettes de l'hôte de destination.
Lorsqu'un hôte Trusted Extensions reçoit des données, le logiciel effectue les contrôles suivants :
Si le paquet entrant est sans étiquette, le paquet hérite de l'étiquette par défaut de l'hôte source issue de l'entrée tnrhdb. Sinon, l'étiquette CIPSO indiquée est affectée au paquet.
L'étiquette et le DOI du paquet doivent correspondre à l'étiquette et au DOI de la zone de destination ou du processus de destination. Un processus écoutant sur un port multiniveau constitue toutefois l'exception. Le processus d'écoute peut recevoir un paquet s'il est habilité à communiquer sous plusieurs étiquettes et qu'il se trouve dans la zone globale ou qu'il possède une étiquette qui domine l'étiquette du paquet.