ラベル付き IPsec の構成 (作業マップ)

この作業マップでは、IPsec 保護にラベルを追加するために使用されるタスクについて説明します。

作業	説明	参照先
IPsec を Trusted Extensions とともに使用します。	IPsec 保護にラベルを追加します。	「マルチレベル Trusted Extensions ネットワークで IPsec 保護を適用する」
信頼できないネットワーク上で、IPsec を Trusted Extensions とともに使用します。	信頼できないネットワーク上でラベル付き IPsec パケットをトンネリングします。	「信頼できないネットワーク上でトンネルを構成する」

マルチレベル Trusted Extensions ネットワークで IPsec 保護を適用する

この手順では、次の条件に対応できるように、2 つの Trusted Extensions システムで IPsec を構成します。

2 つのシステム enigma と partym は、マルチレベルネットワーク内で動作しているマルチレベル Trusted Extensions システムです。
アプリケーションデータは暗号化され、ネットワーク内での承認されていない変更から保護されます。
データのセキュリティーラベルは、enigma システムと partym システム間のパス上にあるマルチレベルルーターやセキュリティーデバイスで使用される CIPSO IP オプションの形で可視となります。
enigma と partym の間で交換されるセキュリティーラベルは、承認されていない変更から保護されます。

始める前に

大域ゾーンで root 役割になっています。

enigma ホストと partym ホストを CIPSO セキュリティーテンプレートに追加します。
「ホストおよびネットワークへのラベル付け (作業マップ)」の手順に従います。CIPSO ホストタイプのテンプレートを使用します。
enigma システムと partym システムで IPsec を構成します。
手順については、『Oracle Solaris の管理: IP サービス』の「IPsec で 2 つのシステム間のトラフィックを保護するには」を参照してください。鍵管理については、次の手順で説明するように IKE を使用します。

IKE ネゴシエーションにラベルを追加します。

『Oracle Solaris の管理: IP サービス』の「事前共有鍵により IKE を構成する方法」の手順に従ったあと、ike/config ファイルを次のように変更します。

enigma システムの /etc/inet/ike/config ファイルにキーワード label_aware、multi_label、および wire_label inner を追加します。

結果となるファイルは次のようになります。ラベルの追加箇所が強調表示されています。

    ### ike/config file on enigma, 192.168.116.16
    ## Global parameters
    #
## Use IKE to exchange security labels.
    label_aware
  #
        ## Defaults that individual rules can override.
    p1_xform
          { auth_method preshared oakley_group 5 auth_alg sha encr_alg 3des }
    p2_pfs 2
    #
  ## The rule to communicate with partym
      # Label must be unique
    { label "enigma-partym"
          local_addr 192.168.116.16
          remote_addr 192.168.13.213
          multi_label
          wire_label inner
          p1_xform
           { auth_method preshared oakley_group 5 auth_alg sha1 encr_alg aes }
          p2_pfs 5
    }

partym システムの ike/config ファイルにも同じキーワードを追加します。

    ### ike/config file on partym, 192.168.13.213
    ## Global Parameters
    #
## Use IKE to exchange security labels.
    label_aware
    #
        p1_xform
          { auth_method preshared oakley_group 5 auth_alg sha encr_alg 3des }
    p2_pfs 2
    ## The rule to communicate with enigma
    # Label must be unique
    { label "partym-enigma"
          local_addr 192.168.13.213
          remote_addr 192.168.116.16
          multi_label
          wire_label inner
    p1_xform
           { auth_method preshared oakley_group 5 auth_alg sha1 encr_alg aes }
        p2_pfs 5
    }

CIPSO IP オプションの AH 保護がネットワーク上で使用できない場合は、ESP 認証を使用します。
認証を処理する方法として、/etc/inet/ipsecinit.conf ファイルで auth_algs の代わりに encr_auth_algs を使用します。ESP 認証は、IP ヘッダーや IP オプションを保護しませんが、ESP ヘッダーのあとの情報をすべて認証します。
```
{laddr enigma raddr partym} ipsec {encr_algs any encr_auth_algs any sa shared}
```
注 - 証明書で保護されたシステムにラベルを追加することもできます。Trusted Extensions システムでは、公開鍵証明書は大域ゾーンで管理されます。『Oracle Solaris の管理: IP サービス』の「公開鍵証明書による IKE の構成」の手順を実行したあと、ike/config ファイルを同じように変更します。

信頼できないネットワーク上でトンネルを構成する

この手順では、公開ネットワーク上で 2 つの Trusted Extensions VPN ゲートウェイシステムの間で IPsec トンネルを構成します。この手順で使用する例は、『Oracle Solaris の管理: IP サービス』の「IPsec で VPN を保護するタスクのためのネットワークトポロジの説明」の図に示された構成に基づいています。

この図に次の変更を行ったものと仮定します。

10 サブネットは、マルチレベルトラステッドネットワークです。CIPSO IP オプションのセキュリティーラベルは、これらの LAN 上で可視となります。
192.168 サブネットは、PUBLIC ラベルで動作するシングルラベルの信頼できないネットワークです。これらのネットワークは CIPSO IP オプションをサポートしません。
euro-vpn と calif-vpn との間のラベル付きトラフィックは、承認されていない変更から保護されます。

始める前に

大域ゾーンで root 役割になっています。

「ホストおよびネットワークへのラベル付け (作業マップ)」の手順に従って次の定義を行います。
1. 10.0.0.0/8 IP アドレスをラベル付きセキュリティーテンプレートに追加します。
  CIPSO ホストタイプのテンプレートを使用します。デフォルトのラベル範囲、ADMIN_LOW から ADMIN_HIGH を維持します。
2. 192.168.0.0/16 IP アドレスをラベルなしセキュリティーテンプレートにラベル PUBLIC で追加します。
  ラベルなしホストタイプのテンプレートを使用します。デフォルトラベルを PUBLIC に設定します。デフォルトのラベル範囲、ADMIN_LOW から ADMIN_HIGH を維持します。
3. Calif-vpn と Euro-vpn のインターネット側アドレス 192.168.13.213 と 192.168.116.16 を、CIPSO テンプレートに追加します。
  デフォルトのラベル範囲を維持します。
IPsec トンネルを作成します。
『Oracle Solaris の管理: IP サービス』の「トンネルモードの IPsec で VPN を保護する方法」の手順に従います。鍵管理については、次の手順で説明するように IKE を使用します。

IKE ネゴシエーションにラベルを追加します。

『Oracle Solaris の管理: IP サービス』の「事前共有鍵により IKE を構成する方法」の手順に従ったあと、ike/config ファイルを次のように変更します。

euro-vpn システムの /etc/inet/ike/config ファイルにキーワード label_aware、multi_label、および wire_label none PUBLIC を追加します。

結果となるファイルは次のようになります。ラベルの追加箇所が強調表示されています。

        ### ike/config file on euro-vpn, 192.168.116.16
    ## Global parameters
    #
## Use IKE to exchange security labels.
    label_aware
    #
        ## Defaults that individual rules can override.
    p1_xform
          { auth_method preshared oakley_group 5 auth_alg sha encr_alg 3des }
    p2_pfs 2
    #
   ## The rule to communicate with calif-vpn
       # Label must be unique
    { label "eurovpn-califvpn"
          local_addr 192.168.116.16
          remote_addr 192.168.13.213
          multi_label
          wire_label none PUBLIC
          p1_xform
           { auth_method preshared oakley_group 5 auth_alg sha1 encr_alg aes }
          p2_pfs 5
        }

calif-vpn システムの ike/config ファイルにも同じキーワードを追加します。

    ### ike/config file on calif-vpn, 192.168.13.213
    ## Global Parameters
    #
## Use IKE to exchange security labels.
    label_aware
    #
        p1_xform
          { auth_method preshared oakley_group 5 auth_alg sha encr_alg 3des }
    p2_pfs 2
    ## The rule to communicate with euro-vpn
    # Label must be unique
    { label "califvpn-eurovpn"
          local_addr 192.168.13.213
          remote_addr 192.168.116.16
          multi_label
          wire_label none PUBLIC
    p1_xform
           { auth_method preshared oakley_group 5 auth_alg sha1 encr_alg aes }
        p2_pfs 5
    }

注 - 証明書で保護されたシステムにラベルを追加することもできます。『Oracle Solaris の管理: IP サービス』の「公開鍵証明書による IKE の構成」の手順を実行したあと、ike/config ファイルを同じように変更します。

ナビゲーションリンクをスキップ
印刷ビューの終了
	Trusted Extensions 構成と管理 Oracle Solaris 11 Information Library (日本語)