호스트 및 네트워크 레이블 지정(작업 맵)

Trusted Extensions 시스템은 다른 호스트의 보안 속성을 정의한 후에만 해당 호스트에 연결할 수 있습니다. 원격 호스트는 유사한 보안 속성을 가질 수 있으므로 Trusted Extensions는 호스트를 추가할 수 있는 보안 템플리트를 제공합니다.

다음 작업 맵에서는 보안 템플리트에 추가하고 이러한 템플리트를 원격 호스트에 적용하는 데 사용할 수 있는 작업에 대해 설명합니다.

작업	설명	수행 방법
보안 템플리트를 봅니다.	사용 가능한 보안 템플리트를 표시합니다.	보안 템플리트를 보는 방법
사이트에 사용자 정의된 보안 템플리트가 필요한지 여부를 확인합니다.	사이트의 보안 요구 사항에 대해 기존 템플리트를 평가합니다.	사이트별 보안 템플리트가 필요한지 여부를 확인하는 방법
알려진 네트워크에 호스트를 추가합니다.	신뢰할 수 있는 네트워크에 시스템과 네트워크를 추가합니다.	시스템의 알려진 네트워크에 호스트를 추가하는 방법
보안 템플리트를 만듭니다.	신뢰할 수 있는 네트워크의 보안 속성을 정의하는 보안 템플리트를 만듭니다.	보안 템플리트를 만드는 방법
	이 보안 템플리트에서 DOI를 `1` 이외의 값으로 변경합니다.	DOI(Domain of Interpretation)를 구성하는 방법
	이 보안 템플리트에서 특정 레이블을 원격 호스트에 지정합니다.	예 16-1
	단일 레이블 게이트웨이로 작동하는 원격 호스트용 보안 템플리트입니다.	예 16-2
	좁은 레이블 범위 내로 트래픽을 제한하는 원격 호스트용 보안 템플리트입니다.	예 16-3
	고유의 레이블이 있는 원격 호스트용 보안 템플리트입니다.	예 16-4
	레이블이 없는 원격 호스트 및 네트워크용 보안 템플리트입니다.	예 16-5
	레이블이 나머지 네트워크에서 분리된 두 원격 호스트용 보안 템플리트입니다.	예 16-6
호스트를 보안 템플리트에 추가합니다.	IP 주소를 보안 템플리트에 추가합니다.	호스트를 보안 템플리트에 추가하는 방법 예 16-7 예 16-8 예 16-9 예 16-10
연속 IP 주소를 보안 템플리트에 추가합니다.	IP 주소 범위를 보안 템플리트에 추가합니다.	호스트 범위를 보안 템플리트에 추가하는 방법 예 16-12 예 16-13
호스트를 보안 템플리트에서 제거합니다.	호스트의 보안 정의를 제거합니다.	예 16-11
`admin_low` 레이블에서 통신할 수 있는 호스트를 지정합니다.	시스템이 부트 시 연결할 수 있는 호스트를 지정하여 보안을 높입니다.	신뢰할 수 있는 네트워크에서 연결할 수 있는 호스트를 제한하는 방법
`admin_low` 레이블에서 통신할 수 있는 호스트를 지정합니다.	시스템이 부트 시 연결할 수 있는 레이블이 있는 호스트 네트워크를 지정하여 보안을 높입니다.	예 16-14
호스트 주소 `0.0.0.0/32`에 대한 항목을 만듭니다.	응용 프로그램 서버가 원격 클라이언트의 초기 연결을 수락하도록 구성합니다.	예 16-16

보안 템플리트를 보는 방법

보안 템플리트의 목록 및 각 템플리트의 컨텐츠를 볼 수 있습니다. 이 절차에 나온 예는 기본 보안 템플리트입니다.

사용 가능한 보안 템플리트를 나열합니다.
```
# tncfg list
   cipso
   admin_low
```
나열된 템플리트의 컨텐츠를 봅니다.
```
# tncfg -t cipso info
   name=cipso
   host_type=cipso
   doi=1
   min_label=ADMIN_LOW
   max_label=ADMIN_HIGH
   host=127.0.0.1/32
```
위의 cipso 보안 템플리트에 있는 127.0.0.1/32 항목은 이 시스템을 레이블이 있는 시스템으로 식별합니다. 피어가 cipso의 host_type을 사용하여 이 시스템을 피어의 원격 호스트 템플리트에 지정하면 두 시스템은 레이블이 있는 패킷을 교환할 수 있습니다.
```
# tncfg -t admin_low info
   name=admin_low
   host_type=unlabeled
   doi=1
   def_label=ADMIN_LOW
   min_label=ADMIN_LOW
   max_label=ADMIN_HIGH
   host=0.0.0.0/0
```
위의 admin_low 보안 템플리트에 있는 0.0.0.0/0 항목은 보안 템플리트에 명시적으로 지정되지 않은 모든 호스트가 이 시스템에 연결할 수 있도록 합니다. 이러한 호스트는 레이블이 없는 호스트로 인식됩니다.
- 이 항목의 장점은 이 시스템이 부트 시 필요한 모든 호스트(서버 및 게이트웨이 등)를 찾을 수 있다는 점입니다.
- 이 항목의 단점은 이 시스템의 네트워크에 있는 모든 호스트가 이 시스템에 연결할 수 있다는 점입니다. 이 시스템에 연결할 수 있는 호스트를 제한하려면 신뢰할 수 있는 네트워크에서 연결할 수 있는 호스트를 제한하는 방법을 참조하십시오.

사이트별 보안 템플리트가 필요한지 여부를 확인하는 방법

시작하기 전에

전역 영역에서 보안 관리자 역할을 가진 사용자여야 합니다.

Trusted Extensions 보안 템플리트를 익힙니다.
보안 템플리트를 보는 방법의 지침에 따라 사용 가능한 보안 템플리트를 확인합니다.
통신하는 호스트에 대해 다음 작업을 원하는 경우 새 보안 템플리트를 만듭니다.
- 호스트 또는 호스트 그룹의 레이블 범위를 제한합니다.
- ADMIN_LOW 이외의 레이블에서 단일 레이블 호스트를 만듭니다.
- 레이블이 없는 호스트에 대해 ADMIN_LOW 이외의 기본 레이블이 필요합니다.
- 일부 고유 레이블을 인식하는 호스트를 만듭니다.
- 1 이외의 DOI를 사용합니다.

다음 순서

호스트를 기본 보안 템플리트에 추가하려면 호스트를 보안 템플리트에 추가하는 방법으로 이동하십시오.

그렇지 않은 경우 보안 템플리트를 만드는 방법을 계속 진행하십시오.

보안 템플리트를 만드는 방법

시작하기 전에

전역 영역에서 네트워크 보안을 수정할 수 있는 역할을 가진 사용자여야 합니다. 예를 들어, Information Security 또는 Network Security 권한 프로파일이 지정된 역할은 보안 값을 수정할 수 있습니다. 보안 관리자 역할에는 이러한 권한 프로파일이 포함됩니다.

(옵션) ADMIN_HIGH 및 ADMIN_LOW 이외의 레이블에 대한 16진수 버전을 결정합니다.
PUBLIC과 같은 레이블의 경우 레이블 문자열 또는 16진수 값 0x0002-08-08을 레이블 값으로 사용할 수 있습니다. tncfg 명령에서는 두 가지 형식을 허용합니다.
```
# atohexlabel "confidential : internal use only"
0x0004-08-48
```
자세한 내용은 레이블에 해당하는 16진수를 얻는 방법을 참조하십시오.
기본 보안 템플리트를 변경하지 마십시오
지원을 위해 기본 보안 템플리트를 삭제하지 마십시오. 이러한 템플리트를 복사하여 수정할 수는 있습니다. 그리고 이러한 템플리트에 지정된 호스트를 추가하고 제거할 수 있습니다. 예는 신뢰할 수 있는 네트워크에서 연결할 수 있는 호스트를 제한하는 방법을 참조하십시오.
보안 템플리트를 만듭니다.
tncfg -t 명령은 새 템플리트를 만들 수 있는 3가지 방법을 제공합니다.
- 처음부터 보안 템플리트를 만듭니다.
  대화식 모드로 tncfg 명령을 사용합니다. info 하위 명령은 기본적으로 제공되는 값을 표시합니다. Tab 키를 사용하여 부분 등록 정보 및 값을 완성합니다.
```
# tncfg -t newunlabeled
tncfg:newtemplate> info
   name=newunlabeled
   host_type=unlabeled
   doi=1
   def_label=ADMIN_LOW
   min_label=ADMIN_LOW
   max_label=ADMIN_HIGH
tncfg:newunlabeled> set m<Tab>
set max_label=" set min_label="
tncfg:newunlabeled> set ma<Tab>
tncfg:newunlabeled> set max_label=ADMIN_LOW
...
```
  명령줄에서 보안 템플리트에 대한 전체 속성 목록을 제공할 수도 있습니다. 세미콜론은 set 하위 명령을 구분합니다. 생략된 등록 정보는 기본값을 사용합니다.
```
# tncfg -t newunlabeled set host_type=unlabeled;set doi=1; \
set min_label=ADMIN_LOW;set max_label=ADMIN_LOW
```
- 기존 보안 템플리트를 복사하여 수정합니다.
```
# tncfg -t cipso
tncfg:cipso> set name=newcipso
tncfg:newcipso> info
name=newcipso
host_type=cipso
doi=1
min_label=ADMIN_LOW
max_label=ADMIN_HIGH
```
  기존 보안 템플리트에 지정된 호스트는 새 템플리트에 복사되지 않습니다.
- export 하위 명령이 만드는 템플리트 파일을 사용합니다.
```
# tncfg -f unlab_1 -f template-file
tncfg: unlab1> set host_type=unlabeled
...
# tncfg -f template-file
```
  가져올 소스 템플리트를 만드는 예는 tncfg(1M) 매뉴얼 페이지를 참조하십시오.

예 16-1 패킷을 하나의 레이블로 처리하는 게이트웨이에 대한 보안 템플리트 만들기

이 예에서 보안 관리자는 PUBLIC 레이블에서만 패킷을 전달할 수 있는 게이트웨이를 정의합니다.

# tncfg -t cipso_public
tncfg:cipso_public> set host_type=cipso
tncfg:cipso_public> set doi=1
tncfg:cipso_public> set min_label="public"
tncfg:cipso_public> set max_label="public"
tncfg:cipso_public> commit
tncfg:cipso_public> exit

그런 다음 보안 관리자는 게이트웨이 호스트를 보안 템플리트에 추가합니다. 추가는 예 16-7을 참조하십시오.

예 16-2 레이블이 있는 패킷을 라우팅하는 레이블이 없는 라우터에 대한 보안 템플리트 만들기

라우터에서 명시적으로 레이블을 지원하지 않더라도 모든 IP 라우터는 CIPSO 레이블로 메시지를 전달할 수 있습니다. 이러한 레이블이 없는 라우터에는 대개 라우터 관리를 위한 라우터 연결을 처리해야 하는 레벨을 정의하기 위한 기본 레이블이 필요합니다. 이 예에서 보안 관리자는 어느 레이블에서나 트래픽을 전달할 수 있는 라우터를 만들지만, 라우터와의 모든 직접 통신은 기본 레이블인 PUBLIC에서 처리됩니다.

보안 관리자는 처음부터 템플리트를 만듭니다.

# tncfg -t unl_public
tncfg:unl_public> set host_type=unlabeled
tncfg:unl_public> set doi=1
tncfg:unl_public> set def_label="PUBLIC"
tncfg:unl_public> set min_label=ADMIN_LOW
tncfg:unl_public> set max_label=ADMIN_HIGH
tncfg:unl_public> exit

그런 다음 보안 관리자는 라우터를 보안 템플리트에 추가합니다. 추가는 예 16-8을 참조하십시오.

예 16-3 제한된 레이블 범위를 사용하여 게이트웨이에 대한 보안 템플리트 만들기

이 예에서 보안 관리자는 패킷을 좁은 레이블 범위로 제한하는 게이트웨이를 만듭니다. 관리자는 보안 템플리트를 만들고 나중에 게이트웨이 호스트를 보안 템플리트에 지정합니다.

# tncfg -t cipso_iuo_rstrct
tncfg:cipso_iuo_rstrct> set host_type=cipso
tncfg:cipso_iuo_rstrct> set doi=1
tncfg:cipso_iuo_rstrct> set min_label=0x0004-08-48
tncfg:cipso_iuo_rstrct> set max_label=0x0004-08-78
tncfg:cipso_iuo_rstrct> add host=192.168.131.78
tncfg:cipso_iuo_rstrct> exit

그런 다음 보안 관리자는 게이트웨이 호스트를 보안 템플리트에 추가합니다. 추가는 예 16-9를 참조하십시오.

예 16-4 고유의 레이블이 있는 보안 템플리트 만들기

이 예에서 보안 관리자는 confidential : internal use only 및 confidential : restricted의 두 가지 레이블만 인식하는 보안 템플리트를 만듭니다. 기타 모든 트래픽은 거부됩니다.

먼저, 관리자는 레이블을 정확하게 입력해야 합니다. 소프트웨어는 대소문자의 레이블 및 짧은 이름의 레이블을 인식하지만 공백이 부정확한 레이블은 인식하지 못합니다. 예를 들어, confidential :restricted 레이블은 유효한 레이블이 아닙니다.

# tncfg -t cipso_int_and_rst
tncfg:cipso_int_and_rst> set host_type=cipso
tncfg:cipso_int_and_rst> set doi=1
tncfg:cipso_int_and_rst> set min_label="cnf : internal use only"
tncfg:cipso_int_and_rst> set max_label="cnf : internal use only"
tncfg:cipso_int_and_rst> set aux_label="cnf : restricted"
tncfg:cipso_int_and_rst> exit

예 16-5 PUBLIC 레이블에서 레이블이 없는 보안 템플리트 만들기

이 예에서 보안 관리자는 PUBLIC 레이블에서만 패킷을 송수신할 수 있는 호스트에 대한 단일 레이블 템플리트를 만듭니다. 이 템플리트는 Trusted Extensions 시스템에서 파일 시스템을 PUBLIC 레이블에 마운트해야 하는 호스트에 지정할 수 있습니다.

# tncfg -t public
tncfg:public> set host_type=unlabeled
tncfg:public> set doi=1
tncfg:public> set def_label="public"
tncfg:public> set min_sl="public"
tncfg:public> set max_sl="public"
tncfg:public> exit

그런 다음 보안 관리자는 호스트를 보안 템플리트에 추가합니다. 추가는 예 16-13을 참조하십시오.

예 16-6 개발자에 대한 레이블이 있는 보안 템플리트 만들기

이 예에서 보안 관리자는 cipso_sandbox 템플리트를 만듭니다. 이 보안 템플리트는 신뢰할 수 있는 소프트웨어의 개발자가 사용하는 시스템에 지정됩니다. SANDBOX 레이블은 네트워크의 다른 레이블과 떨어져 있으므로 개발자 테스트는 다른 레이블이 있는 호스트에 영향을 주지 않습니다.

# tncfg -t cipso_sandbox
tncfg:cipso_sandbox> set host_type=cipso
tncfg:cipso_sandbox> set doi=1
tncfg:cipso_sandbox> set min_sl="SBX"
tncfg:cipso_sandbox> set max_sl="SBX"
tncfg:cipso_sandbox> exit

시스템의 알려진 네트워크에 호스트를 추가하는 방법

호스트 및 호스트 그룹을 시스템의 /etc/hosts 파일에 추가하면 호스트가 시스템에 알려집니다. 알려진 호스트만 보안 템플리트에 추가할 수 있습니다.

시작하기 전에

전역 영역에서 root 역할을 가진 사용자입니다.

개별 호스트를 /etc/hosts 파일에 추가합니다.
```
# vi /etc/hosts

...
192.168.111.121   ahost
```
호스트 그룹을 /etc/hosts 파일에 추가합니다.
```
# vi /etc/hosts

...
192.168.111.0   111-network
```

다음 순서

호스트를 보안 템플리트에 추가하는 방법을 계속 진행합니다.

호스트를 보안 템플리트에 추가하는 방법

시작하기 전에

다음이 필요합니다.

보안 템플리트가 있어야 합니다. 절차는 보안 템플리트를 만드는 방법을 참조하십시오.
IP 주소가 /etc/hosts 파일에 있거나 DNS에서 확인할 수 있어야 합니다.

hosts 파일은 시스템의 알려진 네트워크에 호스트를 추가하는 방법을 참조하십시오.

DNS는 Oracle Solaris Administration: Naming and Directory Services의 3 장, Managing DNS (Tasks)를 참조하십시오.
레이블 종점이 일치해야 합니다. 규칙은 Trusted Extensions의 라우팅 개요를 참조하십시오.
전역 영역에서 보안 관리자 역할을 가진 사용자여야 합니다.

호스트 이름 또는 IP 주소를 보안 템플리트에 추가합니다.
예를 들어, 192.168.1.2 IP 주소를 추가합니다.
```
# tncfg -t cipso
tncfg:cipso> add host=192.168.1.2
```
이전에 다른 템플리트에 추가한 호스트를 추가하는 경우 보안 템플리트 지정을 바꾼다는 메시지가 나타납니다. 예:
```
# tncfg -t cipso
tncfg:cipso> add host=192.168.1.22
192.168.1.2 previously matched the admin_low template
tncfg:cipso> info
...
host=192.168.1.2/32
tncfg:cipso> exit
```
변경된 보안 템플리트를 봅니다.
예를 들어, 다음은 192.168.1.2 주소가 cipso 템플리트에 추가되었음을 보여줍니다.
```
tncfg:cipso> info
...
   host=192.168.1.2/32
```
/32의 접두어 길이는 주소가 정확함을 나타냅니다.
변경 작업을 계속하고 보안 템플리트를 종료합니다.
```
tncfg:cipso> commit
tncfg:cipso> exit
```
호스트 항목을 제거하려면 예 16-11을 참조하십시오.

예 16-7 패킷을 하나의 레이블로 처리하는 게이트웨이 만들기

예 16-1에서 관리자는 PUBLIC 레이블에서만 패킷을 전달할 수 있는 게이트웨이를 정의하는 보안 템플리트를 만듭니다. 이 예에서 보안 관리자는 게이트웨이 호스트의 IP 주소를 확인할 수 있는지 확인합니다.

# arp 192.168.131.75
gateway-1.example.com (192.168.131.75) at 0:0:0:1:ab:cd

arp 명령은 호스트가 시스템의 /etc/hosts 파일에 정의되어 있거나 DNS에서 확인할 수 있는지 확인합니다.

그런 다음 관리자는 gateway-1 호스트를 보안 템플리트에 추가합니다.

# tncfg -t cipso_public
tncfg:cipso_public> add host=192.168.131.75
tncfg:cipso_public> exit

시스템은 즉시 gateway-1을 통해 public 패킷을 송수신할 수 있습니다.

예 16-8 레이블이 있는 패킷을 라우팅하는 레이블이 없는 라우터 만들기

예 16-2에서 관리자는 라우터에 대한 보안 템플리트를 만듭니다. 이 예에서 관리자는 라우터의 IP 주소를 확인할 수 있는지 확인합니다.

# arp 192.168.131.82
router-1.example.com (192.168.131.82) at 0:0:0:2:ab:cd

arp 명령은 호스트가 시스템의 /etc/hosts 파일에 정의되어 있거나 DNS에서 확인할 수 있는지 나타냅니다.

그런 다음 관리자는 라우터를 보안 템플리트에 추가합니다.

# tncfg -t unl_public
tncfg:unl_public> add host=192.168.131.82
tncfg:unl_public> exit

시스템을 즉시 router-1을 통해 모든 레이블에서 패킷을 송수신할 수 있습니다.

예 16-9 제한된 레이블 범위를 사용하여 게이트웨이 만들기

예 16-3에서 관리자는 제한된 레이블 범위를 사용하여 보안 템플리트를 만듭니다. 이 예에서 보안 관리자는 게이트웨이 호스트의 IP 주소를 확인할 수 있는지 확인합니다.

# arp 192.168.131.78
gateway-ir.example.com (192.168.131.78) at 0:0:0:3:ab:cd

arp 명령은 호스트가 시스템의 /etc/hosts 파일에 정의되어 있거나 DNS에서 확인할 수 있는지 나타냅니다.

그런 다음 관리자는 게이트웨이를 보안 템플리트에 추가합니다.

# tncfg -t cipso_iuo_rstrct
tncfg:cipso_iuo_rstrct> add host=192.168.131.78
tncfg:cipso_iuo_rstrct> exit

시스템은 즉시 gateway-ir을 통해 internal 및 restricted 레이블이 지정된 패킷을 송수신할 수 있습니다.

예 16-10 개발자에 대한 레이블이 있는 호스트 만들기

예 16-6에서 관리자는 cipso_sandbox 보안 템플리트를 만듭니다. 이 예에서 보안 관리자는 두 호스트를 템플리트에 추가합니다.

# tncfg -t cipso_sandbox
tncfg:cipso_sandbox> add host=196.168.129.102
tncfg:cipso_sandbox> add host=196.168.129.129
tncfg:cipso_sandbox> exit

196.168.129.102 및 196.168.129.129 시스템을 사용하는 개발자는 SANDBOX 레이블에서 서로 통신할 수 있습니다.

예 16-11 보안 템플리트에서 여러 호스트 제거

이 예에서 보안 관리자는 cipso 보안 템플리트에서 여러 호스트를 제거합니다. 관리자는 info 하위 명령을 사용하여 호스트를 표시한 다음 remove를 입력하고 4개의 host= 항목을 복사하여 붙여 넣습니다.

# tncfg -t cipso info
   name=cipso
   host_type=cipso
   doi=1
   min_label=ADMIN_LOW
   max_label=ADMIN_HIGH
   host=127.0.0.1/32
   host=192.168.1.2/32
   host=192.168.113.0/24
   host=192.168.113.100/25
   host=2001:a08:3903:200::0/56

# tncfg -t cipso
tncfg:cipso> remove host=192.168.1.2/32
tncfg:cipso> remove host=192.168.113.0/24
tncfg:cipso> remove host=192.168.113.100/25
tncfg:cipso> remove host=2001:a08:3903:200::0/56
tncfg:cipso> info
...
   max_label=ADMIN_HIGH
   host=127.0.0.1/32
   host=192.168.75.0/24

호스트를 제거한 후 관리자는 변경 사항을 커밋하고 보안 템플리트를 종료합니다.

tncfg:cipso> commit
tncfg:cipso> exit
#

호스트 범위를 보안 템플리트에 추가하는 방법

시작하기 전에

요구 사항은 호스트를 보안 템플리트에 추가하는 방법을 참조하십시오.

보안 템플리트를 서브넷에 지정하려면 서브넷 주소를 템플리트에 추가합니다.
예를 들어, 두 서브넷을 cipso 템플리트에 추가한 다음 보안 템플리트를 표시합니다.
```
# tncfg -t cipso
tncfg:cipso> add host=192.168.75.0
tncfg:cipso> add host=192.168.113.0
tncfg:cipso> info
...
host=192.168.75.0/24
host=192.168.113.0/24
tncfg:cipso> exit
```
/24의 접두어 길이는 .0으로 끝나는 주소가 서브넷임을 나타냅니다.

주 - 이전에 다른 템플리트에 추가한 호스트 범위를 추가하는 경우 보안 템플리트 지정을 바꾼다는 메시지가 나타납니다.
```
# tncfg -t cipso
tncfg:cipso> add host=192.168.113.100/25
192.168.113.100/25 previously matched the admin_low template
```
보안 템플리트를 연속 IP 주소 그룹에 지정하려면 IP 주소 및 접두어 길이를 지정합니다.
다음 예에서 접두어 길이는 192.168.113.0 ~ 192.168.113.127의 주소 범위를 포함합니다. 주소에는 192.168.113.100이 포함됩니다.
```
# tncfg -t cipso
tncfg:cipso> add host=192.168.113.100/25
tncfg:cipso> exit
```
다음 예에서 접두어 길이는 2001:a08:3903:200::0 ~ 2001:a08:3903:2ff:ffff:ffff:ffff:ffff의 연속 IPv6 주소를 포함합니다. 주소에는 2001:a08:3903:201:20e:cff:fe08:58c가 포함됩니다.
```
# tncfg -t cipso
tncfg:cipso> add host=2001:a08:3903:200::0/56
tncfg:cipso> info
...
host=2001:a08:3903:200::0/56
tncfg:cipso> exit
```
항목을 잘못 입력할 경우 다음과 유사한 메시지가 표시됩니다.
```
# tncfg -t cipso
tncfg:cipso> add host=2001:a08:3903::0/56
Invalid host: 2001:a08:3903::0/56
```
이전에 다른 템플리트에 추가한 호스트를 추가하는 경우 보안 템플리트 지정을 바꾼다는 메시지가 나타납니다. 예:
```
# tncfg -t cipso
tncfg:cipso> add host=192.168.113.100/32
192.168.113.100/32 previously matched the admin_low template
tncfg:cipso> info
...
host=192.168.113.100/32
tncfg:cipso> exit
```
신뢰할 수 있는 네트워크 폴백 메커니즘에 설명된 대로 Trusted Extensions 폴백 메커니즘은 이 명시적 지정이 이전 지정보다 우선하도록 합니다.

예 16-12 고유의 레이블에서 호스트 만들기

예 16-4에서 관리자는 두 레이블을 인식하는 보안 템플리트를 만듭니다. 이 예에서 보안 관리자는 각 호스트의 IP 주소를 확인할 수 있는지 확인합니다.

# arp 192.168.132.21
host-auxset1.example.com (192.168.132.21) at 0:0:0:4:ab:cd
# arp 192.168.132.22
host-auxset2.example.com (192.168.132.22) at 0:0:0:5:ab:cd
# arp 192.168.132.23
host-auxset3.example.com (192.168.132.23) at 0:0:0:6:ab:cd
# arp 192.168.132.24
host-auxset4.example.com (192.168.132.24) at 0:0:0:7:ab:cd

arp 명령은 호스트가 시스템의 /etc/hosts 파일에 정의되어 있거나 DNS에서 확인할 수 있는지 나타냅니다.

그런 다음 관리자는 접두어 길이를 사용하여 IP 주소 범위를 보안 템플리트에 지정합니다.

# tncfg -t cipso_int_rstrct
tncfg:cipso_int_rstrct> set host=192.168.132.0/24

예 16-13 PUBLIC 레이블에서 레이블이 없는 하위 네트워크 만들기

예 16-5에서 관리자는 단일 레이블 PUBLIC 호스트를 정의하는 보안 템플리트를 만듭니다. 이 예에서 보안 관리자는 하위 네트워크를 PUBLIC 레이블에 지정합니다. 신뢰할 수 있는 시스템의 사용자는 이 하위 네트워크의 파일 시스템을 PUBLIC 레이블에서 마운트할 수 있습니다.

# tncfg -t public
tncfg:public> add host=10.10.0.0/16
tncfg:public> exit

하위 네트워크는 즉시 PUBLIC 레이블에서 연결할 수 있습니다.

신뢰할 수 있는 네트워크에서 연결할 수 있는 호스트를 제한하는 방법

다음은 임의의 레이블이 없는 호스트가 레이블이 있는 호스트에 연결하지 못하게 하는 절차입니다. Trusted Extensions가 설치되면 admin_low 기본 보안 템플리트가 네트워크의 모든 호스트를 정의합니다. 이 절차를 사용하여 레이블이 없는 특정 호스트를 열거합니다.

각 시스템의 로컬 신뢰할 수 있는 네트워크 값은 부트 시 네트워크에 연결하는 데 사용됩니다. 기본적으로 cipso 템플리트가 제공되지 않은 모든 호스트는 admin_low 템플리트로 정의됩니다. 이 템플리트는 다르게 정의되지 않은 모든 원격 호스트(0.0.0.0/0)을 기본 레이블 admin_low의 레이블이 없는 시스템이 되도록 지정합니다.

주의 - 기본 admin_low 템플리트는 Trusted Extensions 네트워크에서 보안상 위험할 수 있습니다. 사이트 보안에 강력한 보호가 요구되는 경우 보안 관리자는 시스템이 설치된 후 0.0.0.0/0 와일드카드 항목을 제거할 수 있습니다. 항목은 시스템이 부트 시 연결하는 모든 호스트에 대한 항목으로 바뀌어야 합니다.

예를 들어, 0.0.0.0/0 와일드카드 항목이 제거된 후 DNS 서버, 홈 디렉토리 서버, 감사 서버, 브로드캐스트/멀티캐스트 주소 및 라우터가 템플리트에 명시적으로 추가되어야 합니다.

응용 프로그램이 처음에 호스트 주소 0.0.0.0/32에 있는 클라이언트를 인식할 경우 0.0.0.0/32 호스트 항목을 admin_low 템플리트에 추가해야 합니다. 그러면 서버에서 클라이언트를 인식할 때 클라이언트에 IP 주소가 제공되고 CIPSO 클라이언트로 연결됩니다.

시작하기 전에

전역 영역에서 보안 관리자 역할을 가진 사용자여야 합니다.

부트 시 연결해야 하는 모든 호스트는 /etc/hosts 파일에 있어야 합니다.

부트 시 연결해야 하는 모든 레이블이 없는 호스트에 admin_low 템플리트를 추가합니다.
- 부트 시 연결해야 하는 각 레이블이 없는 호스트를 포함합니다.
- Trusted Extensions를 실행하지 않는 모든 온-링크 라우터를 포함합니다. 이 라우터를 통해 이 시스템이 통신해야 합니다.
- 0.0.0.0/0 지정을 제거합니다.
호스트를 cipso 템플리트에 추가합니다.
부팅 시 연결해야 하는 각 레이블이 있는 호스트를 추가합니다.
- Trusted Extensions를 실행하는 모든 온-링크 라우터를 포함합니다. 이 라우터를 통해 이 시스템이 통신해야 합니다.
- 모든 네트워크 인터페이스가 템플리트에 할당되었는지 확인합니다.
- 브로드캐스트 주소를 포함합니다.
- 부트 시 연결해야 하는 레이블이 있는 호스트의 범위를 포함합니다.
샘플 데이터베이스는 예 16-15를 참조하십시오.
호스트 할당에서 시스템 부팅을 허용하는지 확인합니다.

예 16-14 0.0.0.0/0 IP 주소의 레이블 변경

이 예에서 관리자는 공용 게이트웨이 시스템을 만듭니다. 관리자는 0.0.0.0/0 호스트 항목을 admin_low 템플리트에서 제거하고 0.0.0.0/0 호스트 항목을 레이블이 없는 public 템플리트에 추가합니다. 그러면 시스템은 다른 보안 템플리트에 명시적으로 지정되지 않은 모든 시스템을 public 보안 템플리트의 보안 속성을 가진 레이블이 없는 시스템으로 인식합니다.

# tncfg -t admin_low info
tncfg:admin_low> remove host=0.0.0.0Wildcard address
tncfg:admin_low> exit

# tncfg -t public
tncfg:public> set host_type=unlabeled
tncfg:public> set doi=1
tncfg:public> set def_label="public"
tncfg:public> set min_sl="public"
tncfg:public> set max_sl="public"
tncfg:public> add host=0.0.0.0Wildcard address
tncfg:public> exit

예 16-15 부트 시 연결할 컴퓨터 열거

다음 예에서 관리자는 두 네트워크 인터페이스를 사용하여 Trusted Extensions 시스템의 신뢰할 수 있는 네트워크를 구성합니다. 시스템은 다른 네트워크 및 라우터와 통신합니다. 원격 호스트는 cipso, admin_low 또는 public의 세 템플리트 중 하나에 지정됩니다. 다음 명령은 주석 처리됩니다.

# tncfg -t cipso
tncfg:admin_low> add host=127.0.0.1Loopback address
tncfg:admin_low> add host=192.168.112.111Interface 1 of this host
tncfg:admin_low> add host=192.168.113.111Interface 2 of this host
tncfg:admin_low> add host=192.168.113.6File server
tncfg:admin_low> add host=192.168.112.255Subnet broadcast address
tncfg:admin_low> add host=192.168.113.255Subnet broadcast address
tncfg:admin_low> add host=192.168.113.1Router
tncfg:admin_low> add host=192.168.117.0/24Another Trusted Extensions network
tncfg:admin_low> exit

# tncfg -t public
tncfg:public> add host=192.168.112.12Specific network router
tncfg:public> add host=192.168.113.12Specific network router
tncfg:public> add host=224.0.0.2Multicast address
tncfg:admin_low> exit

# tncfg -t admin_low
tncfg:admin_low> add host=255.255.255.255Broadcast address
tncfg:admin_low> exit

부트 시 연결할 호스트를 지정한 후 관리자는 0.0.0.0/0 항목을 admin_low 템플리트에서 제거합니다.

# tncfg -t admin_low
tncfg:admin_low> remove host=0.0.0.0
tncfg:admin_low> exit

예 16-16 호스트 주소 0.0.0.0/32를 유효한 초기 주소로 만들기

이 예에서 보안 관리자는 응용 프로그램 서버가 잠재 클라이언트의 초기 연결 요청을 수락하도록 구성합니다.

관리자는 서버의 신뢰할 수 있는 네트워크를 구성합니다. 서버 및 클라이언트 항목은 주석 처리됩니다.

# tncfg -t cipso info
   name=cipso
   host_type=cipso
   doi=1
   min_label=ADMIN_LOW
   max_label=ADMIN_HIGH
   host=127.0.0.1/32
   host=192.168.128.1/32 Application server address
   host=192.168.128.0/24 Application's client network
Other addresses to be contacted at boot time

# tncfg -t admin_low info
   name=cipso
   host_type=cipso
   doi=1
   def_label=ADMIN_LOW
   min_label=ADMIN_LOW
   max_label=ADMIN_HIGH
   host=192.168.128.0/24 Application's client network
   host=0.0.0.0/0 Wildcard address
Other addresses to be contacted at boot time

이 테스트 단계가 성공한 후 관리자는 기본 와일드카드 주소 0.0.0.0/0을 제거하고 변경 사항을 커밋한 다음 특정 주소를 추가하여 구성을 잠급니다.

# tncfg -t admin_low info
tncfg:admin_low> remove host=0.0.0.0
tncfg:admin_low> commit
tncfg:admin_low> add host=0.0.0.0/32For initial client contact
tncfg:admin_low> exit

최종 admin_low 구성은 다음과 유사하게 나타납니다.

# tncfg -t admin_low
   name=cipso
   host_type=cipso
   doi=1
   def_label=ADMIN_LOW
   min_label=ADMIN_LOW
   max_label=ADMIN_HIGH
   192.168.128.0/24 Application's client network
   host=0.0.0.0/32 For initial client contact
Other addresses to be contacted at boot time

0.0.0.0/32 항목은 응용 프로그램의 클라이언트만 응용 프로그램 서버에 연결할 수 있도록 허용합니다.

탐색 링크 건너뛰기
인쇄 보기 종료
	Trusted Extensions 구성 및 관리 Oracle Solaris 11 Information Library (한국어)