Trusted Extensions에서 경로 구성 및 네트워크 정보 확인(작업 맵)

다음 작업 맵에서는 네트워크를 구성하고 구성을 확인하는 작업을 설명합니다.

작업	설명	수행 방법
정적 경로를 구성합니다.	호스트 간의 가장 적절한 경로를 수동으로 설명합니다.	보안 속성으로 경로를 구성하는 방법
로컬 네트워크 데이터베이스의 정확성을 확인합니다.	`tnchkdb` 명령을 사용하여 로컬 네트워크 데이터베이스의 구문 유효성을 확인합니다.	신뢰할 수 있는 네트워크 데이터베이스의 구문을 확인하는 방법
네트워크 데이터베이스 항목을 커널 캐시의 항목과 비교합니다.	`tninfo` 명령을 사용하여 커널 캐시가 최신 데이터베이스 정보로 업데이트되었는지 여부를 확인합니다.	신뢰할 수 있는 네트워크 데이터베이스 정보를 커널 캐시와 비교하는 방법
커널 캐시를 네트워크 데이터베이스와 동기화합니다.	`tnctl` 명령을 사용하여 실행 중인 시스템의 최신 네트워크 데이터베이스 정보로 커널 캐시를 업데이트합니다.	커널 캐시를 신뢰할 수 있는 네트워크 데이터베이스와 동기화하는 방법

보안 속성으로 경로를 구성하는 방법

시작하기 전에

전역 영역에서 보안 관리자 역할을 가진 사용자여야 합니다.

신뢰할 수 있는 네트워크를 통한 패킷 라우팅에 사용하고 있는 모든 대상 호스트 및 게이트웨이를 추가합니다.
주소는 로컬 /etc/hosts 파일 또는 LDAP 서버의 해당 파일에 추가됩니다. Solaris Management Console의 Computers and Networks(컴퓨터 및 네트워크) 도구를 사용합니다. Files(파일) 범위는 /etc/hosts 파일을 수정합니다. LDAP 범위는 LDAP 서버의 항목을 수정합니다. 자세한 내용은 시스템의 알려진 네트워크에 호스트를 추가하는 방법을 참조하십시오.
각 대상 호스트, 네트워크 및 게이트웨이를 보안 템플리트에 할당합니다.
주소는 로컬 /etc/security/tsol/tnrhdb 파일 또는 LDAP 서버의 해당 파일에 추가됩니다. Solaris Management Console의 Security Templates(보안 템플리트) 도구를 사용합니다. 자세한 내용은 호스트 또는 호스트 그룹에 보안 템플리트를 할당하는 방법을 참조하십시오.
경로를 설정합니다.
터미널 창에서 route add 명령을 사용하여 경로를 지정합니다.
첫 번째 항목은 기본 경로를 설정합니다. 항목은 호스트 또는 패킷의 대상에 대해 정의된 특정 경로가 없을 때 사용할 게이트웨이의 주소로 192.168.113.1을 지정합니다.
```
# route add default 192.168.113.1 -static
```
자세한 내용은 route(1M) 매뉴얼 페이지를 참조하십시오.
하나 이상의 네트워크 항목을 설정합니다.
-secattr 플래그를 사용하여 보안 속성을 지정합니다.
다음 명령 목록에서 두 번째 줄은 네트워크 항목을 나타냅니다. 세 번째 줄은 레이블 범위가 PUBLIC ~ CONFIDENTIAL : INTERNAL USE ONLY인 네트워크 항목을 나타냅니다.
```
# route add default 192.168.113.36
# route add -net 192.168.102.0 gateway-101
# route add -net 192.168.101.0 gateway-102 \
-secattr min_sl=“PUBLIC”,max_sl=”CONFIDENTIAL : INTERNAL USE ONLY”,doi=1
```

하나 이상의 호스트 항목을 설정합니다.

새로운 네 번째 줄은 단일 레이블 호스트인 gateway-pub에 대한 호스트 항목을 나타냅니다. gateway-pub의 레이블 범위는 PUBLIC ~ PUBLIC입니다.

# route add default 192.168.113.36
# route add -net 192.168.102.0 gateway-101
# route add -net 192.168.101.0 gateway-102 \
-secattr min_sl="PUBLIC",max_sl="CONFIDENTIAL : INTERNAL USE ONLY",doi=1
# route add -host 192.168.101.3 gateway-pub \
-secattr min_sl="PUBLIC",max_sl="PUBLIC",doi=1

예 13-14 레이블 범위가 CONFIDENTIAL : INTERNAL USE ONLY ~ CONFIDENTIAL : RESTRICTED인 경로 추가

다음 route 명령은 192.168.115.0 및 192.168.118.39의 호스트를 라우팅 테이블에 게이트웨이로 추가합니다. 레이블 범위는 CONFIDENTIAL : INTERNAL USE ONLY ~ CONFIDENTIAL : RESTRICTED이며, DOI는 1입니다.

$ route add -net 192.168.115.0 192.168.118.39 \
-secattr min_sl="CONFIDENTIAL : INTERNAL USE ONLY",max_sl="CONFIDENTIAL : RESTRICTED",doi=1

추가된 호스트의 결과는 netstat -rR 명령으로 표시됩니다. 다음 발췌 부분에서 기타 경로는 말줄임표(...)로 바뀌었습니다.

$ netstat -rRn
...
192.168.115.0        192.168.118.39        UG       0      0  
        min_sl=CNF : INTERNAL USE ONLY,max_sl=CNF : RESTRICTED,DOI=1,CIPSO
...

신뢰할 수 있는 네트워크 데이터베이스의 구문을 확인하는 방법

tnchkdb 명령은 각 네트워크 데이터베이스의 구문이 정확한지 검사합니다. Solaris Management Console에서는 Security Templates(보안 템플리트) 도구나 Trusted Network Zones(신뢰할 수 있는 네트워크 영역) 도구를 사용할 때 이 명령을 자동으로 실행합니다. 일반적으로 이 명령을 실행하여 나중에 사용하도록 구성하는 데이터베이스 파일의 구문을 검사합니다.

시작하기 전에

전역 영역에서 네트워크 설정을 확인할 수 있는 역할을 가진 사용자여야 합니다. 보안 관리자 역할 및 시스템 관리자 역할이 이러한 설정을 확인할 수 있습니다.

터미널 창에서 tnchkdb 명령을 실행합니다.

$ tnchkdb [-h tnrhdb-path] [-t tnrhtp-path] [-z tnzonecfg-path]
checking /etc/security/tsol/tnrhtp ...
checking /etc/security/tsol/tnrhdb ...
checking /etc/security/tsol/tnzonecfg ...

예 13-15 시험 네트워크 데이터베이스의 구문 테스트

이 예에서 보안 관리자는 네트워크 데이터베이스 파일의 사용 가능성을 테스트합니다. 처음에 관리자는 잘못된 옵션을 사용합니다. 확인 결과는 tnrhdb 파일에 대한 줄에 출력됩니다.

$ tnchkdb -h /opt/secfiles/trial.tnrhtp
checking /etc/security/tsol/tnrhtp ...
checking /opt/secfiles/trial.tnrhtp ...
line 12: Illegal name: min_sl=ADMIN_LOW;max_sl=ADMIN_HIGH
line 14: Illegal name: min_sl=ADMIN_LOW;max_sl=ADMIN_HIGH
checking /etc/security/tsol/tnzonecfg ...

보안 관리자가 -t 옵션을 사용하여 파일을 검사할 때 명령은 시험 tnrhtp 데이터베이스의 구문이 정확한지 확인합니다.

$ tnchkdb -t /opt/secfiles/trial.tnrhtp
checking /opt/secfiles/trial.tnrhtp ...
checking /etc/security/tsol/tnrhdb ...
checking /etc/security/tsol/tnzonecfg ...

신뢰할 수 있는 네트워크 데이터베이스 정보를 커널 캐시와 비교하는 방법

네트워크 데이터베이스에는 커널에 캐시되지 않은 정보가 포함될 수 있습니다. 이 절차에서는 정보가 동일한지 확인합니다. Solaris Management Console을 사용하여 네트워크를 업데이트하면 커널 캐시가 네트워크 데이터베이스 정보로 업데이트됩니다. tninfo 명령은 테스트 및 디버깅에 유용하게 사용할 수 있습니다.

시작하기 전에

터미널 창에서 tninfo 명령을 실행합니다.
- tninfo -h hostname은 지정된 호스트에 대한 IP 주소와 템플리트를 표시합니다.
- tninfo -t templatename은 다음 정보를 표시합니다.
```
template: template-name
host_type: either CIPSO or UNLABELED
doi: 1
min_sl: minimum-label
hex: minimum-hex-label
max_sl: maximum-label
hex:maximum-hex-label
```
- tninfo -m zone-name은 영역의 다중 레벨 포트(MLP) 구성을 표시합니다.

예 13-16 호스트의 다중 레벨 포트 표시

이 예에서 시스템은 레이블이 있는 여러 영역으로 구성되어 있습니다. 모든 영역은 동일한 IP 주소를 공유합니다. 또한 일부 영역은 영역별 주소로 구성되어 있습니다. 이 구성에서 웹 브라우징을 위한 TCP 포트인 8080 포트는 공용 영역의 공유 인터페이스에서 MLP입니다. 또한 관리자는 telnet용 TCP 포트 23이 공용 영역에서 MLP가 되도록 설정했습니다. 이러한 두 MLP는 공유 인터페이스에 있으므로 전역 영역을 비롯한 다른 영역에서는 공유 인터페이스의 8080 및 23 포트에서 패킷을 받을 수 없습니다.

또한 ssh에 대한 TCP 포트인 22 포트는 공용 영역에서 영역별 MLP입니다. 공용 영역의 ssh 서비스는 주소의 레이블 범위 내에 있는 영역별 주소에서 패킷을 수신할 수 있습니다.

다음 명령은 공용 영역에 대한 MLP를 보여줍니다.

$ tninfo -m public
private: 22/tcp
shared:  23/tcp;8080/tcp

다음 명령은 전역 영역에 대한 MLP를 보여줍니다. 전역 영역은 공용 영역과 동일한 주소를 공유하므로 23 및 8080 포트는 전역 영역에서 MLP가 될 수 없습니다.

$ tninfo -m global
private: 111/tcp;111/udp;514/tcp;515/tcp;631/tcp;2049/tcp;
         6000-6003/tcp;38672/tcp;60770/tcp;
shared:  6000-6003/tcp

커널 캐시를 신뢰할 수 있는 네트워크 데이터베이스와 동기화하는 방법

커널이 신뢰할 수 있는 네트워크 데이터베이스 정보로 업데이트되지 않은 경우 커널 캐시를 업데이트할 수 있는 몇 가지 방법이 있습니다. Solaris Management Console에서는 Security Templates(보안 템플리트) 도구나 Trusted Network Zones(신뢰할 수 있는 네트워크 영역) 도구를 사용할 때 이 명령을 자동으로 실행합니다.

시작하기 전에

전역 영역에서 보안 관리자 역할을 가진 사용자여야 합니다.

커널 캐시를 네트워크 데이터베이스와 동기화하려면 다음 명령 중 하나를 실행합니다.

tnctl 서비스를 재시작합니다.

주의 - LDAP 서버에서 신뢰할 수 있는 네트워크 데이터베이스 정보를 가져오는 시스템에서는 이 방법을 사용하지 마십시오. 로컬 데이터베이스 정보가 LDAP 서버에서 가져온 정보를 덮어씁니다.

$ svcadm restart svc:/network/tnctl

이 명령은 신뢰할 수 있는 로컬 네트워크 데이터베이스의 모든 정보를 커널로 읽어옵니다.

최근에 추가된 항목에 대한 커널 캐시를 업데이트합니다.
```
$ tnctl -h hostname
```
이 명령은 선택한 옵션의 정보만 커널로 읽어옵니다. 옵션에 대한 자세한 내용은 예 13-17 및 tnctl(1M) 매뉴얼 페이지를 참조하십시오.
tnd 서비스를 수정합니다.
주 - tnd 서비스는 ldap 서비스가 실행 중인 경우에만 실행됩니다.
- tnd 폴링 간격을 변경합니다.
  이로 인해 커널 캐시가 업데이트되지는 않습니다. 그러나 폴링 간격을 줄여서 커널 캐시를 더 자주 업데이트할 수 있습니다. 자세한 내용은 tnd(1M) 매뉴얼 페이지의 예를 참조하십시오.
- tnd를 새로 고칩니다.
  이 SMF(서비스 관리 기능) 명령은 신뢰할 수 있는 네트워크 데이터베이스에 대한 최근 변경 사항으로 커널 즉시 업데이트를 트리거합니다.
```
$ svcadm refresh svc:/network/tnd
```
- SMF를 사용하여 tnd를 재시작합니다.
```
$ svcadm restart svc:/network/tnd
```
  주의 - tnd 재시작을 위해 tnd 명령을 실행하지는 마십시오. 이 명령으로 인해 현재 진행 중인 통신이 중단될 수 있습니다.

예 13-17 최신 tnrhdb 항목으로 커널 업데이트

이 예에서 관리자는 3개의 주소를 로컬 tnrhdb 데이터베이스에 추가했습니다. 먼저 관리자는 0.0.0.0 와일드카드 항목을 제거했습니다.

$ tnctl -d -h 0.0.0.0:admin_low

그런 다음 관리자는 /etc/security/tsol/tnrhdb 데이터베이스에 있는 최종 3개 항목의 형식을 봅니다.

$ tail /etc/security/tsol/tnrhdb
#\:\:0:admin_low
127.0.0.1:cipso
#\:\:1:cipso
192.168.103.5:admin_low
192.168.103.0:cipso
0.0.0.0/32:admin_low

그런 다음 관리자는 커널 캐시를 업데이트합니다.

$ tnctl -h 192.168.103.5
tnctl -h 192.168.103.0
tnctl -h 0.0.0.0/32

마지막으로 관리자는 커널 캐시가 업데이트되었는지 확인합니다. 첫 번째 항목에 대한 출력은 다음과 유사합니다.

$ tninfo -h 192.168.103.5
IP Address: 192.168.103.5
Template: admin_low

예 13-18 커널에서 네트워크 정보 업데이트

이 예에서 관리자는 신뢰할 수 있는 네트워크를 공용 인쇄 서버로 업데이트한 다음 커널 설정이 올바른지 확인합니다.

$ tnctl -h public-print-server
$ tninfo -h public-print-server
IP Address: 192.168.103.55
Template: PublicOnly
$ tninfo -t PublicOnly
==================================
Remote Host Template Table Entries
----------------------------------
template: PublicOnly
host_type: CIPSO
doi: 1
min_sl: PUBLIC
hex: 0x0002-08-08
max_sl: PUBLIC
hex: 0x0002-08-08

탐색 링크 건너뛰기
인쇄 보기 종료
	Oracle Solaris Trusted Extensions 관리자 절차 Oracle Solaris 10 8/11 Information Library (한국어)