Ignorer les liens de navigation | |
Quitter l'aperu | |
Configuration et administration de Trusted Extensions Oracle Solaris 11.1 Information Library (Français) |
Partie I Configuration initiale de Trusted Extensions
1. Planification de la sécurité pour Trusted Extensions
2. Déroulement de la configuration de Trusted Extensions
3. Ajout de la fonction Trusted Extensions à Oracle Solaris (tâches)
4. Configuration de Trusted Extensions (tâches)
5. Configuration de LDAP pour Trusted Extensions (tâches)
Partie II Administration de Trusted Extensions
6. Concepts d'administration de Trusted Extensions
7. Outils d'administration de Trusted Extensions
8. Exigences de sécurité sur un système Trusted Extensions (présentation)
9. Exécution de tâches courantes dans Trusted Extensions
10. Utilisateurs, droits et rôles dans Trusted Extensions (présentation)
11. Gestion des utilisateurs, des droits et des rôles dans Trusted Extensions (tâches)
12. Administration à distance dans Trusted Extensions (tâches)
13. Gestion des zones dans Trusted Extensions
14. Gestion et montage de fichiers dans Trusted Extensions
15. Gestion de réseaux de confiance (présentation)
Paquets de données Trusted Extensions
Paquets de multidiffusion Trusted Extensions
Communications sur le réseau de confiance
Commandes réseau dans Trusted Extensions
Bases de données de configuration réseau dans Trusted Extensions
Attributs de sécurité du réseau de confiance
Attributs de sécurité réseau dans Trusted Extensions
Type d'hôte et nom du modèle dans les modèles de sécurité
Etiquette par défaut dans les modèles de sécurité
Domaine d'interprétation dans les modèles de sécurité
Plage d'étiquettes dans les modèles de sécurité
Etiquettes auxiliaires dans les modèles de sécurité
Mécanisme de secours du réseau de confiance
Présentation du routage dans Trusted Extensions
Informations générales sur le routage
Entrées de la table de routage dans Trusted Extensions
Contrôles d'accréditation dans Trusted Extensions
Contrôles d'accréditation des sources
Contrôles d'accréditation sur les passerelles
Contrôles d'accréditation des destinations
Administration du routage dans Trusted Extensions
Choix de routeurs dans Trusted Extensions
Passerelles dans Trusted Extensions
Commandes de routage dans Trusted Extensions
Administration d'IPsec avec étiquettes
Etiquettes pour les échanges protégés par IPsec
Extensions d'étiquettes pour les associations de sécurité IPsec
Extensions d'étiquettes pour IKE
Etiquettes et accréditation en IPsec mode tunnel
Protections relatives à la confidentialité et à l'intégrité à l'aide des extensions d'étiquettes
16. Gestion des réseaux dans Trusted Extensions (tâches)
17. Trusted Extensions et LDAP (présentation)
18. Messagerie multiniveau dans Trusted Extensions (présentation)
19. Gestion de l'impression étiquetée (tâches)
20. Périphériques dans Trusted Extensions (présentation)
21. Gestion des périphériques pour Trusted Extensions (tâches)
22. Audit de Trusted Extensions (présentation)
23. Gestion des logiciels dans Trusted Extensions
A. Stratégie de sécurité du site
Création et gestion d'une stratégie de sécurité
Stratégie de sécurité du site et Trusted Extensions
Recommandations relatives à la sécurité informatique
Recommandations relatives à la sécurité physique
Recommandations relatives à la sécurité du personnel
Violations de sécurité courantes
Références de sécurité supplémentaires
B. Liste de contrôle de configuration pour Trusted Extensions
Liste de contrôle de configuration de Trusted Extensions
C. Guide de référence rapide pour l'administration de Trusted Extensions
Interfaces d'administration dans Trusted Extensions
Interfaces Oracle Solaris étendues par Trusted Extensions
Renforcement des paramètres de sécurité par défaut dans Trusted Extensions
Options limitées dans Trusted Extensions
D. Liste des pages de manuel Trusted Extensions
Pages de manuel Trusted Extensions par ordre alphabétique
Pages de manuel Oracle Solaris modifiées par Trusted Extensions
Les systèmes Trusted Extensions peuvent protéger des paquets réseau étiquetés au moyen d'IPsec. Les paquets IPsec peuvent être envoyés avec des étiquettes Trusted Extensions explicites ou implicites. Les étiquettes sont envoyées explicitement à l'aide des options IP CALIPSO ou CIPSO. Les étiquettes sont envoyées implicitement à l'aide des associations de sécurité IPsec étiquetées. En outre, des paquets chiffrés par IPsec pourvus de différentes étiquettes implicites peuvent être mis en tunnel au sein d'un réseau sans étiquette.
Pour plus d'informations sur les concepts IPsec généraux et les procédures de configuration, reportez-vous au Sécurisation du réseau dans Oracle Solaris 11.1. Pour plus d'informations sur les modifications apportées par Trusted Extensions aux procédures IPsec, reportez-vous à la section Configuration d'IPsec avec étiquettes (liste des tâches).
Toutes les communications sur des systèmes Trusted Extensions, y compris les communications protégées par IPsec, doivent satisfaire aux contrôles d'accréditation des étiquettes de sécurité. Les contrôles sont décrits dans la section Contrôles d'accréditation dans Trusted Extensions.
Les étiquettes appliquées à des paquets IPsec provenant d'une application d'une zone étiquetée qui doivent passer ces contrôles sont l'étiquette intérieure, l'étiquette de transmission, et l'étiquette de gestion de clé :
Etiquette de sécurité d'application : étiquette de la zone dans laquelle réside l'application.
Etiquette intérieure : étiquette des données de message non chiffrées avant l'application d'en-têtes AH ou ESP IPsec. Cette étiquette peut être différente de l'étiquette de sécurité de l'application lorsque l'option de socket SO_MAC_EXEMPT (MAC-exempt) ou des fonctions port multiniveau (MLP) sont utilisées. Lorsque vous sélectionnez des associations de sécurité (SA) et des règles IKE qui sont limitées par les étiquettes, IPsec et IKE utilisent cette étiquette intérieure.
Par défaut, l'étiquette intérieure est identique à l'étiquette de sécurité de l'application. En règle générale, les applications aux deux extrémités ont la même étiquette. Toutefois, ce n'est pas nécessairement le cas pour la communication MAC-exempt ou MLP. Les paramètres de configuration IPsec peuvent définir la manière dont l'étiquette est transmise au sein du réseau, c'est-à-dire l'étiquette de transmission. Les paramètres de configuration IPsec ne peuvent pas définir la valeur de l'étiquette intérieure.
Etiquette de transmission : étiquette des données de message chiffrées après l'application d'en-têtes AH ou ESP IPsec. Selon les fichiers de configuration IKE et IPsec, l'étiquette de transmission peut être différente de l'étiquette intérieure.
Etiquette de gestion de clé : toutes les négociations IKE entre deux noeuds sont contrôlées au niveau d'une seule étiquette, indépendamment de l'étiquette du message d'application qui déclenche les négociations. L'étiquette des négociations IKE est définie dans le fichier /etc/inet/ike/config sur la base d'une règle par IKE.
Les extensions d'étiquettes IPsec sont utilisées sur les systèmes Trusted Extensions pour associer une étiquette au trafic qui transite au sein d'une association de sécurité (SA). Par défaut, IPsec n'utilise pas les extensions d'étiquettes et ignore donc les étiquettes. Quelle que soit l'étiquette Trusted Extensions, l'ensemble du trafic entre deux systèmes transite par une seule SA.
Les extensions d'étiquettes vous permettent d'effectuer les opérations suivantes :
Configurer une SA IPsec différente à utiliser avec chaque étiquette Trusted Extensions. Cette configuration offre un mécanisme supplémentaire de transmission de l'étiquette du trafic transitant entre deux systèmes multiniveau.
Spécifier une étiquette de transmission pour les textes de message chiffrés par IPsec qui diffèrent de la version non chiffrée des textes. Cette configuration prend en charge la transmission de données confidentielles chiffrées via un réseau moins sécurisé.
Annuler l'utilisation des options IP CALIPSO ou CIPSO dans des paquets IP. Cette configuration permet au trafic étiqueté de traverser les réseaux qui ne prennent pas en charge ou qui sont hostiles aux étiquettes.
Vous pouvez indiquer si vous souhaitez utiliser les extensions d'étiquettes par le biais d'IKE comme décrit dans la section Extensions d'étiquettes pour IKE, ou manuellement à l'aide de la commande ipseckey. Pour plus d'informations sur les fonctions d'extensions d'étiquettes, reportez-vous à la page de manuel ipseckey(1M).
Lorsque vous utilisez des extensions d'étiquettes, la sélection de SA pour le trafic sortant prend en compte l'étiquette de sensibilité interne. L'étiquette de sécurité du trafic entrant est défini par l'étiquette de sécurité de la SA du paquet reçu.
IKE sur les systèmes Trusted Extensions prend en charge la négociation d'étiquettes pour les SA avec les pairs prenant en charge les étiquettes. Vous pouvez contrôler ce mécanisme en utilisant les mots-clés suivants dans le fichier /etc/inet/ike/config :
label_aware : permet au démon in.iked d'utiliser les interfaces d'étiquettes Trusted Extensions et de négocier les étiquettes avec les pairs.
single_label : indique que le pair ne prend pas en charge la négociation d'étiquettes pour les SA.
multi_label : indique que le pair prend en charge la négociation d'étiquettes pour les SA. IKE crée une nouvelle SA pour chaque étiquette supplémentaire rencontrée dans le trafic entre deux noeuds.
wire_label inner : entraîne la création par le démon in.iked de SA étiquetées dans lesquelles l'étiquette de transmission est la même que l'étiquette intérieure. L'étiquette de gestion des clés est ADMIN_LOW lorsque le démon négocie avec des pairs cipso. L'étiquette de gestion des clés est l'étiquette par défaut du pair lorsque le démon négocie avec des pairs sans étiquette. Les règles normales de Trusted Extensions sont suivies pour inclure les options IP étiquetées dans les paquets transmis.
wire_label étiquette : entraîne la création par le démon in.iked de SA étiquetées dans lesquelles l'étiquette de transmission est définie sur étiquette, quelle que soit la valeur de l'étiquette intérieure. Le démon in.iked effectue les négociations de gestion des clés à l'étiquette spécifiée. Les règles normales de Trusted Extensions sont suivies pour l'inclusion d'options IP étiquetées dans les paquets transmis.
wire_label none label : entraîne un comportement similaire à wire_label label, à la différence près que les options IP étiquetées sont supprimées sur les paquets IKE transmis et les paquets de données sous la SA.
Pour plus d'informations, reportez-vous à la page de manuel ike.config(4).
Lorsque des paquets de données d'application sont protégés par IPsec en mode tunnel, les paquets contiennent plusieurs en-têtes IP.
L'en-tête IP du protocole IKE contient la même paire adresse source et adresse de destination que l'en-tête IP externe du paquet de données d'application.
Trusted Extensions utilise les adresses d'en-têtes IP internes pour des contrôles d'accréditation des étiquettes internes. Trusted Extensions effectue des contrôles des étiquettes de transmission et de gestion des clés à l'aide des adresses d'en-têtes IP externes. Pour plus d'informations sur les contrôles d'accréditation, reportez-vous à la section Contrôles d'accréditation dans Trusted Extensions.
Le tableau ci-dessous explique comment les protections IPsec de confidentialité et d'intégrité s'appliquent à l'étiquette de sécurité avec différentes configurations d'extensions d'étiquettes.
|
Remarque - Vous ne pouvez pas utiliser les protections de l'intégrité AH d'IPsec pour protéger l'option IP étiquetée si des routeurs prenant en charge l'étiquette risquent de supprimer ou d'ajouter l'option IP étiquetée en tant que message parcourant le réseau. Toute modification apportée à l'option IP étiquetée invalidera le message et entraînera la perte d'un paquet protégé par AH à sa destination.