ナビゲーションリンクをスキップ | |
印刷ビューの終了 | |
Trusted Extensions 構成と管理 Oracle Solaris 11 Information Library (日本語) |
パート I Trusted Extensions の初期構成
1. Trusted Extensions のセキュリティー計画
2. Trusted Extensions の構成ロードマップ
3. Oracle Solaris への Trusted Extensions 機能の追加 (手順)
4. Trusted Extensions の構成 (手順)
5. Trusted Extensions のための LDAP の構成 (手順)
8. Trusted Extensions システムのセキュリティー要件 (概要)
9. Trusted Extensions での一般的なタスクの実行 (手順)
10. Trusted Extensions でのユーザー、権利、および役割 (概要)
11. Trusted Extensions でのユーザー、権利、役割の管理 (手順)
12. Trusted Extensions での遠隔管理 (手順)
13. Trusted Extensions でのゾーンの管理 (手順)
14. Trusted Extensions でのファイルの管理とマウント (手順)
16. Trusted Extensions でのネットワークの管理 (手順)
サイト固有のセキュリティーテンプレートが必要かどうかを判断する
トラステッドネットワークのトラブルシューティング (作業マップ)
Trusted Extensions ネットワークをデバッグする
17. Trusted Extensions と LDAP (概要)
18. Trusted Extensions でのマルチレベルメール (概要)
20. Trusted Extensions のデバイス (概要)
21. Trusted Extensions でのデバイス管理 (手順)
22. Trusted Extensions での監査 (概要)
23. Trusted Extensions のソフトウェア管理 (リファレンス)
サイトのセキュリティーポリシーと Trusted Extensions
B. Trusted Extensions の構成チェックリスト
Trusted Extensions を構成するためのチェックリスト
Trusted Extensions による Oracle Solaris インタフェースの拡張
Trusted Extensions の厳密なセキュリティーデフォルト
Trusted Extensions で制限されるオプション
D. Trusted Extensions マニュアルページのリスト
Trusted Extensions マニュアルページ (アルファベット順)
この作業マップでは、IPsec 保護にラベルを追加するために使用されるタスクについて説明します。
|
この手順では、次の条件に対応できるように、2 つの Trusted Extensions システムで IPsec を構成します。
2 つのシステム enigma と partym は、マルチレベルネットワーク内で動作しているマルチレベル Trusted Extensions システムです。
アプリケーションデータは暗号化され、ネットワーク内での承認されていない変更から保護されます。
データのセキュリティーラベルは、enigma システムと partym システム間のパス上にあるマルチレベルルーターやセキュリティーデバイスで使用される CIPSO IP オプションの形で可視となります。
enigma と partym の間で交換されるセキュリティーラベルは、承認されていない変更から保護されます。
始める前に
大域ゾーンで root 役割になっています。
「ホストおよびネットワークへのラベル付け (作業マップ)」の手順に従います。CIPSO ホストタイプのテンプレートを使用します。
手順については、『Oracle Solaris の管理: IP サービス』の「IPsec で 2 つのシステム間のトラフィックを保護するには」を参照してください。鍵管理については、次の手順で説明するように IKE を使用します。
『Oracle Solaris の管理: IP サービス』の「事前共有鍵により IKE を構成する方法」の手順に従ったあと、ike/config ファイルを次のように変更します。
結果となるファイルは次のようになります。ラベルの追加箇所が強調表示されています。
### ike/config file on enigma, 192.168.116.16 ## Global parameters # ## Use IKE to exchange security labels. label_aware # ## Defaults that individual rules can override. p1_xform { auth_method preshared oakley_group 5 auth_alg sha encr_alg 3des } p2_pfs 2 # ## The rule to communicate with partym # Label must be unique { label "enigma-partym" local_addr 192.168.116.16 remote_addr 192.168.13.213 multi_label wire_label inner p1_xform { auth_method preshared oakley_group 5 auth_alg sha1 encr_alg aes } p2_pfs 5 }
### ike/config file on partym, 192.168.13.213 ## Global Parameters # ## Use IKE to exchange security labels. label_aware # p1_xform { auth_method preshared oakley_group 5 auth_alg sha encr_alg 3des } p2_pfs 2 ## The rule to communicate with enigma # Label must be unique { label "partym-enigma" local_addr 192.168.13.213 remote_addr 192.168.116.16 multi_label wire_label inner p1_xform { auth_method preshared oakley_group 5 auth_alg sha1 encr_alg aes } p2_pfs 5 }
認証を処理する方法として、/etc/inet/ipsecinit.conf ファイルで auth_algs の代わりに encr_auth_algs を使用します。ESP 認証は、IP ヘッダーや IP オプションを保護しませんが、ESP ヘッダーのあとの情報をすべて認証します。
{laddr enigma raddr partym} ipsec {encr_algs any encr_auth_algs any sa shared}
注 - 証明書で保護されたシステムにラベルを追加することもできます。Trusted Extensions システムでは、公開鍵証明書は大域ゾーンで管理されます。『Oracle Solaris の管理: IP サービス』の「公開鍵証明書による IKE の構成」の手順を実行したあと、ike/config ファイルを同じように変更します。
この手順では、公開ネットワーク上で 2 つの Trusted Extensions VPN ゲートウェイシステムの間で IPsec トンネルを構成します。この手順で使用する例は、『Oracle Solaris の管理: IP サービス』の「IPsec で VPN を保護するタスクのためのネットワークトポロジの説明」の図に示された構成に基づいています。
この図に次の変更を行ったものと仮定します。
10 サブネットは、マルチレベルトラステッドネットワークです。CIPSO IP オプションのセキュリティーラベルは、これらの LAN 上で可視となります。
192.168 サブネットは、PUBLIC ラベルで動作するシングルラベルの信頼できないネットワークです。これらのネットワークは CIPSO IP オプションをサポートしません。
euro-vpn と calif-vpn との間のラベル付きトラフィックは、承認されていない変更から保護されます。
始める前に
大域ゾーンで root 役割になっています。
CIPSO ホストタイプのテンプレートを使用します。デフォルトのラベル範囲、ADMIN_LOW から ADMIN_HIGH を維持します。
ラベルなしホストタイプのテンプレートを使用します。デフォルトラベルを PUBLIC に設定します。デフォルトのラベル範囲、ADMIN_LOW から ADMIN_HIGH を維持します。
デフォルトのラベル範囲を維持します。
『Oracle Solaris の管理: IP サービス』の「トンネルモードの IPsec で VPN を保護する方法」の手順に従います。鍵管理については、次の手順で説明するように IKE を使用します。
『Oracle Solaris の管理: IP サービス』の「事前共有鍵により IKE を構成する方法」の手順に従ったあと、ike/config ファイルを次のように変更します。
結果となるファイルは次のようになります。ラベルの追加箇所が強調表示されています。
### ike/config file on euro-vpn, 192.168.116.16 ## Global parameters # ## Use IKE to exchange security labels. label_aware # ## Defaults that individual rules can override. p1_xform { auth_method preshared oakley_group 5 auth_alg sha encr_alg 3des } p2_pfs 2 # ## The rule to communicate with calif-vpn # Label must be unique { label "eurovpn-califvpn" local_addr 192.168.116.16 remote_addr 192.168.13.213 multi_label wire_label none PUBLIC p1_xform { auth_method preshared oakley_group 5 auth_alg sha1 encr_alg aes } p2_pfs 5 }
### ike/config file on calif-vpn, 192.168.13.213 ## Global Parameters # ## Use IKE to exchange security labels. label_aware # p1_xform { auth_method preshared oakley_group 5 auth_alg sha encr_alg 3des } p2_pfs 2 ## The rule to communicate with euro-vpn # Label must be unique { label "califvpn-eurovpn" local_addr 192.168.13.213 remote_addr 192.168.116.16 multi_label wire_label none PUBLIC p1_xform { auth_method preshared oakley_group 5 auth_alg sha1 encr_alg aes } p2_pfs 5 }
注 - 証明書で保護されたシステムにラベルを追加することもできます。『Oracle Solaris の管理: IP サービス』の「公開鍵証明書による IKE の構成」の手順を実行したあと、ike/config ファイルを同じように変更します。