JavaScript is required to for searching.
ナビゲーションリンクをスキップ
印刷ビューの終了
Oracle Solaris 11.1 でのネットワークのセキュリティー保護     Oracle Solaris 11.1 Information Library (日本語)
Oracle Technology Network
ライブラリ
PDF
印刷ビュー
フィードバック
このドキュメントの評価
search filter icon
search icon

ドキュメントの情報

はじめに

1.  仮想化環境でのリンク保護の使用

リンク保護の概要

リンク保護のタイプ

リンク保護の構成 (タスクマップ)

リンク保護を有効にする方法

リンク保護を無効にする方法

IP なりすましに対して保護するように IP アドレスを指定する方法

DHCP なりすましから保護するように DHCP クライアントを指定する方法

リンク保護の構成と統計情報を表示する方法

2.  ネットワークのチューニング (タスク)

3.  Web サーバーと Secure Sockets Layer プロトコル

4.  Oracle Solaris の IP フィルタ (概要)

5.  IP フィルタ (タスク)

6.  IP セキュリティーアーキテクチャー (概要)

7.  IPsec の構成 (タスク)

8.  IP セキュリティーアーキテクチャー (リファレンス)

9.  インターネット鍵交換 (概要)

10.  IKE の構成 (タスク)

11.  インターネット鍵交換 (リファレンス)

用語集

索引

ドキュメントの品質向上のためのご意見をください
簡潔すぎた
読みづらかった、または難し過ぎた
重要な情報が欠けていた
内容が間違っていた
翻訳版が必要
その他
Your rating has been updated
貴重なご意見を有り難うございました!

あなたの貴重なご意見はより良いドキュメント作成の手助けとなります 内容の品質向上と追加コメントのためのアンケートに参加されますか?

リンク保護の構成 (タスクマップ)

リンク保護を使用するには、リンクの protection プロパティーを設定します。保護のタイプが他の構成ファイルと連携する場合 (ip-nospoofallowed-ips または dhcp-nospoofallowed-dhcp-cids など)、2 つの一般的な操作を実行します。まず、リンク保護を有効にします。次に、構成ファイルをカスタマイズして、通過させるその他のパケットを特定します。

注 - 大域ゾーンでリンク保護を構成する必要があります。

次のタスクマップは、Oracle Solaris システムで、リンク保護を構成するための手順を示しています。

タスク
説明
手順
リンク保護を有効にします。
リンクから送信されるパケットを制限し、なりすましからリンクを保護します。
「リンク保護を有効にする方法」
リンク保護を無効にします。
リンク保護を削除します。
「リンク保護を無効にする方法」
IP リンク保護タイプを指定します。
リンク保護メカニズムを通過できる IP アドレスを指定します。
「IP なりすましに対して保護するように IP アドレスを指定する方法」
DHCP リンク保護タイプを指定します。
リンク保護メカニズムを通過できる DHCP アドレスを指定します。
「DHCP なりすましから保護するように DHCP クライアントを指定する方法」
リンク保護構成を表示します。
保護されているリンクおよび例外を一覧表示し、実施統計情報を表示します。
「リンク保護の構成と統計情報を表示する方法」

リンク保護を有効にする方法

この手順では、送信パケットのタイプを制限し、リンクのなりすましを防ぎます。

始める前に

Network Link Security 権利プロファイルが割り当てられている管理者になる必要があります。詳細については、『Oracle Solaris 11.1 の管理: セキュリティーサービス』の「割り当てられている管理権限を使用する方法」を参照してください。

  1. 使用可能なリンク保護のタイプを表示します。
    # dladm show-linkprop -p protection
LINK      PROPERTY      PERM VALUE    DEFAULT    POSSIBLE
vnic0     protection    rw   --       --         mac-nospoof,
                                                 restricted,
                                                 ip-nospoof,
                                                 dhcp-nospoof

    可能なタイプの説明については、「リンク保護のタイプ」および dladm(1M) のマニュアルページを参照してください。

  2. 1 つまたは複数の保護タイプを指定してリンク保護を有効にします。
    # dladm set-linkprop -p protection=value[,value,...] link

    次の例では、vnic0 リンク上の 4 つすべてのリンク保護のタイプが有効にされています。

    # dladm set-linkprop \
-p protection=mac-nospoof,restricted,ip-nospoof,dhcp-nospoof vnic0
  3. リンク保護が有効にされていることを確認します。
    # dladm show-linkprop -p protection vnic0
LINK    PROPERTY       PERM VALUE         DEFAULT      POSSIBLE
vnic0   protection     rw   mac-nospoof   --           mac-nospoof,
                            restricted                 restricted,
                            ip-nospoof                 ip-nospoof,
                            dhcp-nospoof               dhcp-nospoof

    VALUE の下のリンク保護のタイプは、保護が有効にされることを示します。

リンク保護を無効にする方法

この手順では、リンク保護をデフォルト値のリンク保護なしにリセットします。

始める前に

Network Link Security 権利プロファイルが割り当てられている管理者になる必要があります。詳細については、『Oracle Solaris 11.1 の管理: セキュリティーサービス』の「割り当てられている管理権限を使用する方法」を参照してください。

  1. リンク保護を無効にするには、protection プロパティーをそのデフォルト値にリセットします。
    # dladm reset-linkprop -p protection link
  2. リンク保護が無効になっているかどうかを確認します。
    # dladm show-linkprop -p protection vnic0
LINK      PROPERTY      PERM VALUE    DEFAULT    POSSIBLE
vnic0     protection    rw   --       --         mac-nospoof,
                                                 restricted,
                                                 ip-nospoof,
                                                 dhcp-nospoof

    VALUE の下にリンク保護のタイプが表示されないことは、リンク保護が無効にされていることを示します。

IP なりすましに対して保護するように IP アドレスを指定する方法

始める前に

「リンク保護を有効にする方法」に示すように、ip-nospoof 保護のタイプを有効にします。

Network Link Security 権利プロファイルが割り当てられている管理者になる必要があります。詳細については、『Oracle Solaris 11.1 の管理: セキュリティーサービス』の「割り当てられている管理権限を使用する方法」を参照してください。

  1. IP なりすましに対して保護を有効にしていることを確認します。
    # dladm show-linkprop -p protection link
LINK    PROPERTY       PERM    VALUE         DEFAULT      POSSIBLE
link     protection     rw      ...
                               ip-nospoof                 ip-nospoof

    VALUE の下に ip-nospoof が表示されていることは、この保護のタイプが有効にされていることを示します。

  2. allowed-ips リンクプロパティーのデフォルト値のリストに IP アドレスを追加します。
    # dladm set-linkprop -p allowed-ips=IP-addr[,IP-addr,...] link

    次の例に、IP アドレス 10.0.0.1 および 10.0.0.2vnic0 リンクの allowed-ips プロパティーに追加する方法を示します。

    # dladm set-linkprop -p allowed-ips=10.0.0.1,10.0.0.2 vnic0

    詳細については、dladm(1M) のマニュアルページを参照してください。

DHCP なりすましから保護するように DHCP クライアントを指定する方法

始める前に

「リンク保護を有効にする方法」に示すように、dhcp-nospoof 保護のタイプを有効にします。

Network Link Security 権利プロファイルが割り当てられている管理者になる必要があります。詳細については、『Oracle Solaris 11.1 の管理: セキュリティーサービス』の「割り当てられている管理権限を使用する方法」を参照してください。

  1. DHCP なりすましに対して保護を有効にしていることを確認します。
    # dladm show-linkprop -p protection link
LINK    PROPERTY       PERM    VALUE         DEFAULT      POSSIBLE
link     protection     rw      ...
                               dhcp-nospoof               dhcp-nospoof

    VALUE の下の dhcp-nospoof のリストは、この保護のタイプが有効にされていることを示します。

  2. allowed-dhcp-cids リンクプロパティーに ASCII フレーズを指定します。
    # dladm set-linkprop -p allowed-dhcp-cids=CID-or-DUID[,CID-or-DUID,...] link

    次の例に、vnic0 リンクの allowed-dhcp-cids プロパティーの値として、文字列 hello を指定する方法を示します。

    # dladm set-linkprop -p allowed-dhcp-cids=hello vnic0

    詳細については、dladm(1M) のマニュアルページを参照してください。

リンク保護の構成と統計情報を表示する方法

始める前に

Network Link Security 権利プロファイルが割り当てられている管理者になる必要があります。詳細については、『Oracle Solaris 11.1 の管理: セキュリティーサービス』の「割り当てられている管理権限を使用する方法」を参照してください。

  1. リンク保護のプロパティー値を表示します。
    # dladm show-linkprop -p protection,allowed-ips,allowed-dhcp-cids link

    次の例に、vnic0 リンクの protectionallowed-ips、および allowed-dhcp-cids プロパティーの値を示します。

    # dladm show-linkprop -p protection,allowed-ips,allowed-dhcp-cids vnic0
LINK    PROPERTY            PERM     VALUE           DEFAULT    POSSIBLE
vnic0   protection          rw       mac-nospoof     --         mac-nospoof,
                                     restricted                 restricted,
                                     ip-nospoof                 ip-nospoof,
                                     dhcp-nospoof               dhcp-nospoof
vnic0   allowed-ips         rw       10.0.0.1,       --         --
                                     10.0.0.2
vnic0   allowed-dhcp-cids   rw       hello           --         --

    注 - allowed-ips プロパティーは、VALUE の下に一覧表示されているように、ip-nospoof が有効にされている場合にのみ使用されます。allowed-dhcp-cids プロパティーは dhcp-nospoof が有効にされている場合にのみ使用されます。

  2. リンク保護の統計情報を表示します。

    dlstat コマンドの出力がコミットされるため、このコマンドはスクリプトに適しています。

    # dlstat -A
...
 vnic0
  mac_misc_stat
               multircv                       0
              brdcstrcv                       0
               multixmt                       0
              brdcstxmt                       0
          multircvbytes                       0
           bcstrcvbytes                       0
          multixmtbytes                       0
           bcstxmtbytes                       0
               txerrors                       0
             macspoofed                       0  <----------
              ipspoofed                       0  <----------
            dhcpspoofed                       0  <----------
             restricted                       0  <----------
               ipackets                       3
                 rbytes                     182
...

    出力は、なりすましや制限されたパケットが通過を試みていないことを示しています。

    kstat コマンドを使用できますが、その出力はコミットされません。たとえば、次のコマンドは dhcpspoofed 統計情報を検出します。

    # kstat vnic0:0:link:dhcpspoofed
module: vnic0                           instance: 0
name:   link                            class:    vnic
        dhcpspoofed                     0

    詳細については、dlstat(1M) および kstat(1M) のマニュアルページを参照してください。

Copyright © 1999, 2013, Oracle and/or its affiliates. All rights reserved. 著作権について
戻る 次へ