ナビゲーションリンクをスキップ | |
印刷ビューの終了 | |
Oracle Solaris 11.1 でのネットワークのセキュリティー保護 Oracle Solaris 11.1 Information Library (日本語) |
3. Web サーバーと Secure Sockets Layer プロトコル
4. Oracle Solaris の IP フィルタ (概要)
リンク保護を使用するには、リンクの protection プロパティーを設定します。保護のタイプが他の構成ファイルと連携する場合 (ip-nospoof と allowed-ips または dhcp-nospoof と allowed-dhcp-cids など)、2 つの一般的な操作を実行します。まず、リンク保護を有効にします。次に、構成ファイルをカスタマイズして、通過させるその他のパケットを特定します。
注 - 大域ゾーンでリンク保護を構成する必要があります。
次のタスクマップは、Oracle Solaris システムで、リンク保護を構成するための手順を示しています。
|
この手順では、送信パケットのタイプを制限し、リンクのなりすましを防ぎます。
始める前に
Network Link Security 権利プロファイルが割り当てられている管理者になる必要があります。詳細については、『Oracle Solaris 11.1 の管理: セキュリティーサービス』の「割り当てられている管理権限を使用する方法」を参照してください。
# dladm show-linkprop -p protection LINK PROPERTY PERM VALUE DEFAULT POSSIBLE vnic0 protection rw -- -- mac-nospoof, restricted, ip-nospoof, dhcp-nospoof
可能なタイプの説明については、「リンク保護のタイプ」および dladm(1M) のマニュアルページを参照してください。
# dladm set-linkprop -p protection=value[,value,...] link
次の例では、vnic0 リンク上の 4 つすべてのリンク保護のタイプが有効にされています。
# dladm set-linkprop \ -p protection=mac-nospoof,restricted,ip-nospoof,dhcp-nospoof vnic0
# dladm show-linkprop -p protection vnic0 LINK PROPERTY PERM VALUE DEFAULT POSSIBLE vnic0 protection rw mac-nospoof -- mac-nospoof, restricted restricted, ip-nospoof ip-nospoof, dhcp-nospoof dhcp-nospoof
VALUE の下のリンク保護のタイプは、保護が有効にされることを示します。
この手順では、リンク保護をデフォルト値のリンク保護なしにリセットします。
始める前に
Network Link Security 権利プロファイルが割り当てられている管理者になる必要があります。詳細については、『Oracle Solaris 11.1 の管理: セキュリティーサービス』の「割り当てられている管理権限を使用する方法」を参照してください。
# dladm reset-linkprop -p protection link
# dladm show-linkprop -p protection vnic0 LINK PROPERTY PERM VALUE DEFAULT POSSIBLE vnic0 protection rw -- -- mac-nospoof, restricted, ip-nospoof, dhcp-nospoof
VALUE の下にリンク保護のタイプが表示されないことは、リンク保護が無効にされていることを示します。
始める前に
「リンク保護を有効にする方法」に示すように、ip-nospoof 保護のタイプを有効にします。
Network Link Security 権利プロファイルが割り当てられている管理者になる必要があります。詳細については、『Oracle Solaris 11.1 の管理: セキュリティーサービス』の「割り当てられている管理権限を使用する方法」を参照してください。
# dladm show-linkprop -p protection link LINK PROPERTY PERM VALUE DEFAULT POSSIBLE link protection rw ... ip-nospoof ip-nospoof
VALUE の下に ip-nospoof が表示されていることは、この保護のタイプが有効にされていることを示します。
# dladm set-linkprop -p allowed-ips=IP-addr[,IP-addr,...] link
次の例に、IP アドレス 10.0.0.1 および 10.0.0.2 を vnic0 リンクの allowed-ips プロパティーに追加する方法を示します。
# dladm set-linkprop -p allowed-ips=10.0.0.1,10.0.0.2 vnic0
詳細については、dladm(1M) のマニュアルページを参照してください。
始める前に
「リンク保護を有効にする方法」に示すように、dhcp-nospoof 保護のタイプを有効にします。
Network Link Security 権利プロファイルが割り当てられている管理者になる必要があります。詳細については、『Oracle Solaris 11.1 の管理: セキュリティーサービス』の「割り当てられている管理権限を使用する方法」を参照してください。
# dladm show-linkprop -p protection link LINK PROPERTY PERM VALUE DEFAULT POSSIBLE link protection rw ... dhcp-nospoof dhcp-nospoof
VALUE の下の dhcp-nospoof のリストは、この保護のタイプが有効にされていることを示します。
# dladm set-linkprop -p allowed-dhcp-cids=CID-or-DUID[,CID-or-DUID,...] link
次の例に、vnic0 リンクの allowed-dhcp-cids プロパティーの値として、文字列 hello を指定する方法を示します。
# dladm set-linkprop -p allowed-dhcp-cids=hello vnic0
詳細については、dladm(1M) のマニュアルページを参照してください。
始める前に
Network Link Security 権利プロファイルが割り当てられている管理者になる必要があります。詳細については、『Oracle Solaris 11.1 の管理: セキュリティーサービス』の「割り当てられている管理権限を使用する方法」を参照してください。
# dladm show-linkprop -p protection,allowed-ips,allowed-dhcp-cids link
次の例に、vnic0 リンクの protection、allowed-ips、および allowed-dhcp-cids プロパティーの値を示します。
# dladm show-linkprop -p protection,allowed-ips,allowed-dhcp-cids vnic0 LINK PROPERTY PERM VALUE DEFAULT POSSIBLE vnic0 protection rw mac-nospoof -- mac-nospoof, restricted restricted, ip-nospoof ip-nospoof, dhcp-nospoof dhcp-nospoof vnic0 allowed-ips rw 10.0.0.1, -- -- 10.0.0.2 vnic0 allowed-dhcp-cids rw hello -- --
注 - allowed-ips プロパティーは、VALUE の下に一覧表示されているように、ip-nospoof が有効にされている場合にのみ使用されます。allowed-dhcp-cids プロパティーは dhcp-nospoof が有効にされている場合にのみ使用されます。
dlstat コマンドの出力がコミットされるため、このコマンドはスクリプトに適しています。
# dlstat -A ... vnic0 mac_misc_stat multircv 0 brdcstrcv 0 multixmt 0 brdcstxmt 0 multircvbytes 0 bcstrcvbytes 0 multixmtbytes 0 bcstxmtbytes 0 txerrors 0 macspoofed 0 <---------- ipspoofed 0 <---------- dhcpspoofed 0 <---------- restricted 0 <---------- ipackets 3 rbytes 182 ...
出力は、なりすましや制限されたパケットが通過を試みていないことを示しています。
kstat コマンドを使用できますが、その出力はコミットされません。たとえば、次のコマンドは dhcpspoofed 統計情報を検出します。
# kstat vnic0:0:link:dhcpspoofed module: vnic0 instance: 0 name: link class: vnic dhcpspoofed 0
詳細については、dlstat(1M) および kstat(1M) のマニュアルページを参照してください。