ナビゲーションリンクをスキップ | |
印刷ビューの終了 | |
Trusted Extensions 構成と管理 Oracle Solaris 11 Information Library (日本語) |
パート I Trusted Extensions の初期構成
1. Trusted Extensions のセキュリティー計画
2. Trusted Extensions の構成ロードマップ
3. Oracle Solaris への Trusted Extensions 機能の追加 (手順)
4. Trusted Extensions の構成 (手順)
5. Trusted Extensions のための LDAP の構成 (手順)
8. Trusted Extensions システムのセキュリティー要件 (概要)
9. Trusted Extensions での一般的なタスクの実行 (手順)
10. Trusted Extensions でのユーザー、権利、および役割 (概要)
11. Trusted Extensions でのユーザー、権利、役割の管理 (手順)
12. Trusted Extensions での遠隔管理 (手順)
13. Trusted Extensions でのゾーンの管理 (手順)
14. Trusted Extensions でのファイルの管理とマウント (手順)
Trusted Extensions のネットワークコマンド
Trusted Extensions のネットワーク構成データベース
Trusted Extensions のネットワークセキュリティー属性
Trusted Extensions の経路指定テーブルエントリ
16. Trusted Extensions でのネットワークの管理 (手順)
17. Trusted Extensions と LDAP (概要)
18. Trusted Extensions でのマルチレベルメール (概要)
20. Trusted Extensions のデバイス (概要)
21. Trusted Extensions でのデバイス管理 (手順)
22. Trusted Extensions での監査 (概要)
23. Trusted Extensions のソフトウェア管理 (リファレンス)
サイトのセキュリティーポリシーと Trusted Extensions
B. Trusted Extensions の構成チェックリスト
Trusted Extensions を構成するためのチェックリスト
Trusted Extensions による Oracle Solaris インタフェースの拡張
Trusted Extensions の厳密なセキュリティーデフォルト
Trusted Extensions で制限されるオプション
D. Trusted Extensions マニュアルページのリスト
Trusted Extensions マニュアルページ (アルファベット順)
Trusted Extensions システムは、ラベル付きネットワークパケットを IPsec で保護できます。IPsec パケットの送信時には、明示的または暗黙的な Trusted Extensions ラベルを付加できます。ラベルを明示的に送信する場合は CIPSO IP オプションを使用し、暗黙的に送信する場合はラベル付き IPsec セキュリティーアソシエーション (SA) を使用します。さらに、さまざまな暗黙的ラベルを持つ IPsec 暗号化パケットは、ラベルなしネットワーク上でトンネリングさせることができます。
IPsec の一般的な概念や構成手順については、『Oracle Solaris の管理: IP サービス』のパート III「IP セキュリティー」を参照してください。Trusted Extensions での IPsec 手順の変更点については、「ラベル付き IPsec の構成 (作業マップ)」を参照してください。
Trusted Extensions システムでのすべての通信は、IPsec で保護された通信も含め、セキュリティーラベルの認可検査に合格する必要があります。これらの検査については、「Trusted Extensions の認可検査」で説明しています。
これらの検査をパスする必要のある、ラベル付きゾーン内のアプリケーションからの IPsec パケットのラベルは、内部ラベル、ワイヤーラベル、および鍵管理ラベルです。
内部ラベル – IPsec の AH または ESP ヘッダーが適用される前の暗号化されていないメッセージデータのラベル。SO_MAC_EXEMPT ソケットオプション (MAC-exempt) またはマルチレベルポート (MLP) 機能を使用する場合、このラベルはアプリケーションセキュリティーラベルと異なる可能性があります。ラベルによって制約されるセキュリティーアソシエーション (SA) と IKE 規則を選択した場合、IPsec と IKE でこの内部ラベルが使用されます。
デフォルトでは、内部ラベルはアプリケーションセキュリティーラベルと同じになります。通常、両端のアプリケーションのラベルは同じになります。ただし、MAC-exempt または MLP 通信ではこの条件が成立しない可能性があります。IPsec 構成設定では、内部ラベルをネットワーク経由でどのようにして伝達するかを定義できます。つまり、この設定ではワイヤーラベルを定義できます。IPsec 構成設定では、内部ラベルの値は定義できません。
ワイヤーラベル – IPsec の AH または ESP ヘッダーが適用されたあとの暗号化されたメッセージデータのラベル。IKE および IPsec 構成ファイルの内容によっては、ワイヤーラベルは内部ラベルと異なる可能性があります。
鍵管理ラベル – 2 つのノード間のすべての IKE ネゴシエーションは、ネゴシエーションを起動したアプリケーションメッセージのラベルにかかわらず、シングルラベルで制御されます。IKE ネゴシエーションのラベルは、/etc/inet/ike/config ファイル内で IKE 規則ごとに定義されます。
IPsec のラベル拡張は、Trusted Extensions システム上で、セキュリティーアソシエーション (SA) の内側で伝送されるトラフィックにラベルを関連付けるために使用されます。デフォルトでは、IPsec ではラベル拡張が使用されないため、ラベルは無視されます。2 つのシステム間のトラフィックはすべて、Trusted Extensions のラベルにかかわらず、ある単一の SA 内を流れます。
ラベル拡張を使用すると次のことが行えます。
各 Trusted Extensions ラベルで使用するための IPsec SA を個別に構成する。この構成は事実上、2 つのマルチレベルシステム間を行き来するトラフィックのラベルを伝達するための追加メカニズムを提供します。
暗号化されていない形式のテキストとは異なる IPsec 暗号化メッセージのテキストのための、ワイヤー上のラベルを指定する。この構成は、安全性の低いネットワーク経由での暗号化された機密データの伝送をサポートします。
IP パケット内での CIPSO IP オプションの使用を抑制する。この構成では、ラベル付きのトラフィックが、CIPSO を認識しないネットワークや CIPSO 非対応のネットワーク内を移動できます。
ラベル拡張を使用するかどうかの指定は、「IKE 用のラベル拡張」での説明に従って IKE 経由で自動的に行うことも、ipseckey コマンドを使用して手動で行うこともできます。ラベル拡張機能の詳細については、ipseckey(1M) のマニュアルページを参照してください。
ラベル拡張を使用する場合、アウトバウンドトラフィックの SA 選択には、内部機密ラベルがその一致の一部として含まれます。インバウンドトラフィックのセキュリティーラベルは、受信パケットの SA のセキュリティーラベルによって定義されます。
Trusted Extensions システムの IKE では、ラベルを認識するピアとの SA 用ラベルのネゴシエーションがサポートされています。このメカニズムを制御するには、/etc/inet/ike/config ファイル内で次のキーワードを使用します。
label_aware – in.iked デーモンによる Trusted Extensions ラベルインタフェースの使用と、ピアとのラベルのネゴシエーションを可能にします。
single_label – ピアが SA 用ラベルのネゴシエーションをサポートしないことを示します。
multi_label – ピアが SA 用ラベルのネゴシエーションをサポートすることを示します。IKE は、2 つのノード間のトラフィック内で新しいラベルを検出するたびに、新しい SA を作成します。
wire_label inner – ワイヤーラベルが内部ラベルと同じであるようなラベル付き SA を、in.iked デーモンに作成させます。デーモンが cipso ピアとネゴシエーションを行う場合の鍵管理ラベルは、ADMIN_LOW になります。デーモンがラベルなしピアとネゴシエーションを行う場合の鍵管理ラベルは、そのピアのデフォルトラベルになります。伝送パケットに CIPSO IP オプションを追加する際には、通常の Trusted Extensions 規則に従います。
wire_label label – 内部ラベルの値にかかわらず、ワイヤーラベルが label に設定されたラベル付き SA を in.iked デーモンに作成させます。in.iked デーモンは、指定されたラベルで鍵管理のネゴシエーションを実行します。伝送パケットに CIPSO IP オプションを追加する際には、通常の Trusted Extensions 規則に従います。
wire_label none label – wire_label label に似た動作になりますが、SA の下で伝送される IKE パケットやデータパケットで CIPSO IP オプションが抑制される点が異なります。
詳細は、ike.config(4) のマニュアルページを参照してください。
アプリケーションのデータパケットがトンネルモードの IPsec によって保護される場合、パケットには複数の IP ヘッダーが含まれます。
IKE プロトコルの IP ヘッダーには、アプリケーションデータパケットの外部 IP ヘッダーと同じ発信元アドレスと宛先アドレスのペアが含まれます。
Trusted Extensions は、内部 IP ヘッダーのアドレスを使用して内部ラベルの認可検査を行います。Trusted Extensions は、外部 IP ヘッダーのアドレスを使用してワイヤーラベルと鍵管理ラベルの検査を実行します。認可検査については、「Trusted Extensions の認可検査」を参照してください。
次の表では、ラベル拡張のさまざまな構成で、IPsec の機密性保護や完全性保護がセキュリティーラベルにどのように適用されるかについて説明します。
|
注 - メッセージがネットワーク内を移動するときに、CIPSO を認識するルーターが CIPSO IP オプションを取り除いたり追加したりする可能性がある場合には、IPsec AH 完全性保護を使用して CIPSO IP オプションを保護することはできません。CIPSO IP オプションが少しでも変更されるとそのメッセージは無効となり、AH で保護されたパケットが宛先でドロップされることになります。