Trusted Extensions의 네트워크 보안 속성

Trusted Extensions는 기본 보안 템플리트 세트와 함께 설치됩니다. 템플리트가 호스트에 할당되면 템플리트의 보안 값이 호스트에 적용됩니다. Trusted Extensions에서는 템플리트를 통해 네트워크의 레이블이 없는 호스트와 레이블이 있는 호스트 모두에 보안 속성이 할당됩니다. 보안 템플리트가 할당되지 않은 호스트에는 연결할 수 없습니다. 템플리트는 로컬로 저장하거나 Oracle Directory Server Enterprise Edition의 LDAP 이름 지정 서비스에 저장할 수 있습니다.

템플리트를 호스트에 직접 또는 간접적으로 할당할 수 있습니다. 직접 할당에서는 템플리트를 특정 IP 주소에 할당합니다. 간접 할당에서는 호스트가 포함된 네트워크 주소에 템플리트를 할당합니다. 보안 템플리트가 없는 호스트는 Trusted Extensions로 구성된 호스트와 통신할 수 없습니다. 직접 할당과 간접 할당에 대한 자세한 내용은 신뢰할 수 있는 네트워크 폴백 메커니즘을 참조하십시오.

Solaris Management Console의 Security Templates(보안 템플리트) 도구를 사용하여 템플리트를 수정하거나 만듭니다. Security Templates(보안 템플리트) 도구는 템플리트의 필수 필드를 모두 작성하도록 합니다. 필수 필드는 호스트 유형을 기반으로 합니다.

호스트 유형마다 추가 필수 및 선택적 보안 속성이 있습니다. 보안 템플리트에서 지정되는 보안 속성은 다음과 같습니다.

• 호스트 유형 – CIPSO 보안 레이블을 사용하여 패킷의 레이블을 지정할지 아니면 레이블을 아예 지정하지 않을지 여부를 정의합니다.

• 기본 레이블 – 레이블이 없는 호스트의 신뢰 수준을 정의합니다. 레이블이 없는 호스트에서 보내는 패킷은 받는 Trusted Extensions 호스트 또는 게이트웨이가 이 레이블에서 읽습니다.

  기본 레이블 속성은 레이블이 없는 호스트 유형에만 한정됩니다. 자세한 내용은 smtnrhtp(1M) 매뉴얼 페이지와 다음 섹션을 참조하십시오.

• DOI – DOI를 식별하는 0이 아닌 양의 정수입니다. DOI는 네트워크 통신 또는 네트워크 엔티티에 적용되는 레이블 인코딩 세트를 나타내는 데 사용됩니다. 다른 항목이 동일하더라도 DOI가 다른 레이블은 서로 분리됩니다. 레이블이 없는 호스트의 경우 DOI가 기본 레이블에 적용됩니다. Trusted Extensions에서 기본값은 1입니다.

• 최소 레이블 – 레이블 승인 범위의 하한을 정의합니다. 호스트 및 다음 홉 게이트웨이가 템플리트에 지정된 최소 레이블보다 낮은 패킷을 받지 않습니다.

• 최대 레이블 – 레이블 승인 범위의 상한을 정의합니다. 호스트 및 다음 홉 게이트웨이가 템플리트에 지정된 최대 레이블보다 높은 패킷을 받지 않습니다.

• 보안 레이블 세트 – 선택 사항입니다. 보안 템플리트에 대해 별개의 보안 레이블 세트를 지정합니다. 최대 레이블과 최소 레이블에 의해 결정되는 승인 범위 이외에 보안 레이블 세트를 통해 템플리트에 할당되는 호스트는 레이블 세트의 레이블 중 하나와 일치하는 패킷을 보내고 받을 수 있습니다. 지정할 수 있는 최대 레이블 수는 4개입니다.

보안 템플리트의 호스트 유형 및 템플리트 이름

Trusted Extensions는 신뢰할 수 있는 네트워크 데이터베이스에서 두 가지 호스트 유형을 지원하고 두 개의 기본 템플리트를 제공합니다.

• CIPSO 호스트 유형 – 신뢰할 수 있는 운영 체제를 실행하는 호스트용입니다. Trusted Extensions는 이 호스트 유형에 대해 cipso 템플리트를 제공합니다.

  CIPSO(Common IP Security Option) 프로토콜은 IP 옵션 필드로 전달되는 보안 레이블을 지정하는 데 사용됩니다. CIPSO 레이블은 데이터 레이블에서 자동으로 파생됩니다. 태그 유형 1은 CIPSO 보안 레이블을 전달하는 데 사용됩니다. 그런 다음 이 레이블은 IP 수준에서 보안 검사를 수행하고 네트워크 패킷에서 데이터의 레이블을 지정하는 데 사용됩니다.

• 레이블이 없는 호스트 유형 - 표준 네트워킹 프로토콜을 사용하지만 CIPSO 옵션을 지원하지 않는 호스트용입니다. Trusted Extensions는 이 호스트 유형에 대해 admin_low 템플리트를 제공합니다.

  이 호스트 유형은 Oracle Solaris OS 또는 레이블이 없는 다른 운영 체제를 실행하는 호스트에 할당됩니다. 이 호스트 유형은 레이블이 없는 호스트와의 통신에 적용할 기본 클리어런스와 기본 레이블을 제공합니다. 또한 패킷을 레이블이 없는 게이트웨이로 보내서 전달할 수 있도록 레이블 범위나 개별 레이블 세트를 지정할 수 있습니다.

---

주의 - admin_low 템플리트는 사이트별 레이블로 레이블이 없는 템플리트를 구성하는 예를 제공합니다. admin_low 템플리트는 Trusted Extensions를 설치하는 데 필요하지만 보안 설정은 일반 시스템 작업에 적합하지 않을 수 있습니다. 시스템 유지 보수 및 지원을 위해 제공된 템플리트를 수정하지 않고 그대로 유지하십시오.

---

보안 템플리트의 기본 레이블

레이블이 없는 호스트 유형에 대한 템플리트는 기본 레이블을 지정합니다. 이 레이블은 운영 체제에서 레이블을 인식하지 못하는 호스트(예: Oracle Solaris 시스템)와의 통신을 제어하는 데 사용됩니다. 할당되는 기본 레이블은 호스트와 해당 사용자에 적합한 신뢰 수준을 반영합니다.

레이블이 없는 호스트와의 통신은 기본 레이블로 제한되기 때문에 이러한 호스트를 단일 레이블 호스트라고도 합니다.

보안 템플리트의 DOI

동일한 DOI(Domain of Interpretation)를 사용하는 조직 간에는 레이블 정보와 기타 보안 속성을 동일한 방법으로 해석한다는 동의가 있습니다. Trusted Extensions에서 레이블 비교를 수행할 때 DOI가 같은지 여부를 검사합니다.

Trusted Extensions 시스템에서는 하나의 DOI 값에 레이블 정책을 적용합니다. Trusted Extensions 시스템의 모든 영역이 동일한 DOI에서 작동해야 합니다. Trusted Extensions 시스템은 다른 DOI를 사용하는 시스템에서 받은 패킷에 대한 예외 처리를 제공하지 않습니다.

사이트에서 기본값과 다른 DOI 값을 사용하는 경우 이 값을 /etc/system 파일에 추가하고 모든 보안 템플리트에서 값을 변경해야 합니다. 초기 절차는 Oracle Solaris Trusted Extensions 구성 설명서의 DOI(Domain of Interpretation) 구성을 참조하십시오. 모든 보안 템플리트에서 DOI를 구성하려면 예 13-1을 참조하십시오.

보안 템플리트의 레이블 범위

최소 레이블 및 최대 레이블 속성은 레이블이 있는 호스트와 레이블이 없는 호스트에 대한 레이블 범위를 설정하는 데 사용됩니다. 이러한 속성을 사용하여 다음을 수행할 수 있습니다.

• 원격 CIPSO 호스트와 통신할 때 사용할 수 있는 레이블 범위 설정

  패킷을 대상 호스트로 보내려면 패킷의 레이블이 해당 호스트에 대한 보안 템플리트에서 대상 호스트에 할당된 레이블 범위에 속해야 합니다.

• CIPSO 게이트웨이 또는 레이블이 없는 게이트웨이를 통해 전달되는 패킷에 대한 레이블 범위 설정

  레이블이 없는 호스트 유형에 대한 템플리트에 레이블 범위를 지정할 수 있습니다. 레이블 범위를 사용하면 호스트에서 호스트 레이블에 없어도 되지만 지정된 레이블 범위 내에 있는 패킷을 전달할 수 있습니다.

보안 템플리트의 보안 레이블 세트

보안 레이블 세트는 원격 호스트에서 패킷을 수락, 전달 또는 전송할 수 있는 4개 이하의 개별 레이블을 정의합니다. 이 속성은 선택 사항입니다. 기본적으로 보안 레이블 세트는 정의되어 있지 않습니다.