Ignorer les liens de navigation | |
Quitter l'aperu | |
Configuration et administration d'Oracle Solaris Trusted Extensions Oracle Solaris 11 Information Library (Français) |
Partie I Configuration initiale de Trusted Extensions
1. Planification de la sécurité pour Trusted Extensions
2. Déroulement de la configuration de Trusted Extensions
3. Ajout de la fonction Trusted Extensions à Oracle Solaris (tâches)
4. Configuration de Trusted Extensions (tâches)
5. Configuration de LDAP pour Trusted Extensions (tâches)
Partie II Administration de Trusted Extensions
6. Concepts d'administration de Trusted Extensions
7. Outils d'administration de Trusted Extensions
8. Exigences de sécurité sur un système Trusted Extensions (présentation)
9. Exécution de tâches courantes dans Trusted Extensions (tâches)
10. Utilisateurs, droits et rôles dans Trusted Extensions (présentation)
11. Gestion des utilisateurs, des droits et des rôles dans Trusted Extensions (tâches)
12. Administration à distance dans Trusted Extensions (tâches)
13. Gestion des zones dans Trusted Extensions (tâches)
14. Gestion et montage de fichiers dans Trusted Extensions (tâches)
15. Gestion de réseaux de confiance (présentation)
Paquets de données Trusted Extensions
Communications sur le réseau de confiance
Commandes réseau dans Trusted Extensions
Bases de données de configuration réseau dans Trusted Extensions
Attributs de sécurité du réseau de confiance
Attributs de sécurité réseau dans Trusted Extensions
Type d'hôte et nom du modèle dans les modèles de sécurité
Étiquette par défaut dans les modèles de sécurité
Domaine d'interprétation dans les modèles de sécurité
Mécanisme de secours du réseau de confiance
Présentation du routage dans Trusted Extensions
Informations générales sur le routage
Entrées de la table de routage dans Trusted Extensions
Contrôles d'accréditation dans Trusted Extensions
Contrôles d'accréditation des sources
Contrôles d'accréditation sur les passerelles
Contrôles d'accréditation des destinations
Administration du routage dans Trusted Extensions
Choix de routeurs dans Trusted Extensions
Passerelles dans Trusted Extensions
Commandes de routage dans Trusted Extensions
Administration d'IPsec avec étiquettes
Étiquettes pour les échanges protégés par IPsec
Extensions d'étiquettes pour les associations de sécurité IPsec
Extensions d'étiquettes pour IKE
Étiquettes et accréditation en IPsec mode tunnel
Protections relatives à la confidentialité et à l'intégrité à l'aide des extensions d'étiquettes
16. Gestion des réseaux dans Trusted Extensions (tâches)
17. Trusted Extensions et LDAP (présentation)
18. Messagerie multiniveau dans Trusted Extensions (présentation)
19. Gestion de l'impression étiquetée (tâches)
20. Périphériques dans Trusted Extensions (présentation)
21. Gestion des périphériques pour Trusted Extensions (tâches)
22. Audit de Trusted Extensions (présentation)
23. Gestion des logiciels dans Trusted Extensions (Référence)
A. Stratégie de sécurité du site
Création et gestion d'une stratégie de sécurité
Stratégie de sécurité du site et Trusted Extensions
Recommandations relatives à la sécurité informatique
Recommandations relatives à la sécurité physique
Recommandations relatives à la sécurité du personnel
Violations de sécurité courantes
Références de sécurité supplémentaires
B. Liste de contrôle de configuration pour Trusted Extensions
Liste de contrôle de configuration de Trusted Extensions
C. Guide de référence rapide pour l'administration de Trusted Extensions
Interfaces d'administration dans Trusted Extensions
Interfaces Oracle Solaris étendues par Trusted Extensions
Renforcement des paramètres de sécurité par défaut dans Trusted Extensions
Options limitées dans Trusted Extensions
D. Liste des pages de manuel Trusted Extensions
Pages de manuel Trusted Extensions par ordre alphabétique
Pages de manuel Oracle Solaris modifiées par Trusted Extensions
Un système Trusted Extensions est installé avec un ensemble de modèles de sécurité par défaut qui sont utilisés pour définir les propriétés d'étiquettes des hôtes distants. Dans Trusted Extensions, les hôtes étiquetés et les hôtes sans étiquette se trouvant sur le réseau se voient assigner des attributs de sécurité par le biais d'un modèle de sécurité. Les hôtes auxquels aucun modèle n'est assigné ne peuvent pas communiquer avec les hôtes configurés à l'aide de Trusted Extensions. Les modèles sont stockés localement.
Les hôtes peuvent être ajoutés à un modèle de sécurité par le biais de leur adresse IP ou dans le cadre d'une plage d'adresses IP. Pour plus d'informations, reportez-vous à la section Mécanisme de secours du réseau de confiance.
Chaque type d'hôte possède son propre ensemble d'attributs de sécurité obligatoires et facultatifs supplémentaires. Les attributs de sécurité suivants sont spécifiés dans les modèles de sécurité :
Type d'hôte : détermine si les paquets contiennent des étiquettes de sécurité CIPSO ou s'ils sont sans étiquette.
Étiquette par défaut : détermine le niveau de fiabilité de l'hôte sans étiquette. Les paquets envoyés par un hôte sans étiquette sont lus sous cette étiquette par le système ou la passerelle Trusted Extensions destinataire.
L'attribut Étiquette par défaut est spécifique au type d'hôte sans étiquette. Pour plus d'informations, reportez-vous à la section Étiquette par défaut dans les modèles de sécurité.
DOI : nombre entier, non nul et positif identifiant le domaine d'interprétation. Le DOI est utilisé pour indiquer quel ensemble de codages d'étiquettes s'applique à une communication réseau ou une entité réseau. Les étiquettes possédant des DOI différents sont disjointes, et ce même si elles sont identiques par ailleurs. Pour les hôtes sans étiquette, le DOI s'applique à l'étiquette par défaut. Dans Trusted Extensions, la valeur par défaut est 1.
Étiquette minimale : définit l'étiquette la plus basse de la plage d'accréditations d'étiquettes. Les hôtes et les passerelles du prochain saut ne reçoivent pas les paquets dont l'étiquette est inférieure à l'étiquette minimale spécifiée dans leur modèle.
Étiquette maximale : définit l'étiquette maximale de la page d'accréditations d'étiquettes. Les hôtes et les passerelles du prochain saut ne reçoivent pas les paquets dont l'étiquette est supérieure à l'étiquette maximale spécifiée dans leur modèle.
Ensemble d'étiquettes auxiliaires : facultatif. Spécifie un ensemble discret d'étiquettes de sécurité pour un modèle de sécurité. En plus de leur plage d'accréditations qui est déterminée par l'étiquette maximale et minimale, les hôtes assignés à un modèle incluant un ensemble d'étiquettes auxiliaires peuvent envoyer et recevoir des paquets correspondant à n'importe quelle étiquette de cet ensemble d'étiquettes. Le nombre maximal d'étiquettes auxiliaires pouvant être spécifié est de 4.
Trusted Extensions prend en charge deux types d'hôtes dans les bases de données du réseau de confiance et fournit deux modèles par défaut :
Type d'hôte CIPSO : destiné aux hôtes exécutant des systèmes d'exploitation de confiance. Trusted Extensions fournit le modèle nommé cipso pour ce type d'hôte.
Le protocole CIPSO (Common IP Security Option, option de sécurité IP commune) indique les étiquettes de sécurité transmises au champ des options d'IP. Les étiquettes CIPSO sont automatiquement déduites de l'étiquette des données. Le type de balise 1 permet de transmettre l'étiquette de sécurité CIPSO. Cette étiquette est ensuite utilisée pour effectuer des contrôles de sécurité au niveau de l'IP et pour étiqueter les données dans le paquet réseau.
Type d'hôte sans étiquette : destiné aux hôtes utilisant des protocoles de gestion de réseaux standard mais ne prenant pas en charge les options CIPSO. Trusted Extensions fournit le modèle nommé admin_low pour ce type d'hôte.
Ce type d'hôte est assigné aux hôtes exécutant le SE Oracle Solaris ou d'autres systèmes d'exploitation sans étiquette. Ce type d'hôte fournit une étiquette et une autorisation par défaut s'appliquant aux communications avec l'hôte sans étiquette. En outre, une plage d'étiquettes ou un ensemble d'étiquettes discrètes peuvent être spécifiées pour permettre l'envoi de paquets à une passerelle sans étiquette chargée d'en assurer le transfert.
Attention - Le modèle admin_low fournit un exemple pour la construction de modèles pour hôtes sans étiquettes à l'aide d'étiquettes spécifiques à un site. Le modèle admin_low est obligatoire pour installer Trusted Extensions, mais les paramètres de sécurité peuvent être trop peu contraignants pour les opérations courantes du système. Conservez les modèles fournis sans modification en vue de la maintenance du système et pour les besoins de l'assistance. |
Les modèles destinés aux types d'hôtes sans étiquette spécifient une étiquette par défaut. Cette étiquette permet de contrôler les communications avec les hôtes dont les systèmes d'exploitation ne prennent pas en compte les étiquettes, par exemple, les systèmes Oracle Solaris. L'étiquette par défaut qui est assignée reflète le niveau de confiance approprié pour l'hôte et ses utilisateurs.
Étant donné que les communications avec les hôtes sans étiquette sont essentiellement limitées à l'étiquette par défaut, ces hôtes sont également appelés hôtes à étiquette unique. La raison technique pour laquelle ces hôtes sont appelés "à étiquette unique" est que ces hôtes n'ont pas d'étiquette admin_high et admin_low.
Les organisations qui utilisent le même domaine d'interprétation (DOI) s'accordent entre elles pour interpréter de façon identique les informations d'étiquette et les autres attributs de sécurité. Lorsque Trusted Extensions effectue une comparaison d'étiquettes, un contrôle vérifie que les DOI sont identiques.
Un système Trusted Extensions applique sa stratégie concernant les étiquettes à une valeur de DOI. Toutes les zones d'un système Trusted Extensions doivent utiliser le même DOI. Un système Trusted Extensions ne fournit pas de gestion des exceptions sur les paquets reçus d'un système utilisant un autre DOI.
Si votre site utilise une valeur de DOI différente de la valeur par défaut, vous devez utiliser cette valeur dans chaque modèle de sécurité, comme décrit à la section Procédure de configuration du domaine d'interpretation.
Les attributs d'étiquette minimale et maximale sont utilisés pour définir la plage d'étiquettes des hôtes étiquetés et sans étiquette. Ces attributs sont utilisés pour effectuer les opérations suivantes :
Définition de la plage d'étiquettes pouvant être utilisée lors de la communication avec un hôte CIPSO distant
Pour qu'un paquet puisse être envoyé à un hôte de destination, il faut que son étiquette soit comprise dans la plage d'étiquettes assignée dans le modèle de sécurité de l'hôte.
Définition d'une plage d'étiquettes pour les paquets transférés par le biais d'une passerelle CIPSO ou d'une passerelle sans étiquette
La plage d'étiquettes peut être spécifiée dans le modèle destiné au type d'hôte sans étiquette. La plage d'étiquettes permet à l'hôte de transférer des paquets qui ne correspondent pas nécessairement à sa propre étiquette, mais dont l'étiquette est comprise dans une plage d'étiquettes spécifiée.
L'ensemble d'étiquettes auxiliaires, qui comprend quatre étiquettes discrètes au maximum, définit les étiquettes sous lesquelles l'hôte distant peut accepter, transférer ou envoyer des paquets. Cet attribut est facultatif. Par défaut, aucun ensemble d'étiquettes auxiliaire n'est défini.