JavaScript is required to for searching.
ナビゲーションリンクをスキップ
印刷ビューの終了
Trusted Extensions 構成と管理     Oracle Solaris 11.1 Information Library (日本語)
このドキュメントの評価
search filter icon
search icon

ドキュメントの情報

はじめに

パート I Trusted Extensions の初期構成

1.  Trusted Extensions のセキュリティー計画

2.  Trusted Extensions の構成ロードマップ

3.  Oracle Solaris への Trusted Extensions 機能の追加 (タスク)

4.  Trusted Extensions の構成 (タスク)

5.  Trusted Extensions のための LDAP の構成 (タスク)

パート II Trusted Extensions の管理

6.  Trusted Extensions の管理の概念

7.  Trusted Extensions 管理ツール

8.  Trusted Extensions システムのセキュリティー要件 (概要)

9.  Trusted Extensions での一般的なタスクの実行

10.  Trusted Extensions でのユーザー、権利、および役割 (概要)

11.  Trusted Extensions でのユーザー、権利、役割の管理 (タスク)

12.  Trusted Extensions でのリモート管理 (タスク)

13.  Trusted Extensions でのゾーンの管理

14.  Trusted Extensions でのファイルの管理とマウント

15.  トラステッドネットワーク (概要)

16.  Trusted Extensions でのネットワークの管理 (タスク)

ホストおよびネットワークへのラベル付け (タスク)

既存のセキュリティーテンプレートの表示 (タスク)

セキュリティーテンプレートを表示する

サイト固有のセキュリティーテンプレートが必要かどうかを判断する

システムの既知のネットワークにホストを追加する

セキュリティーテンプレートの作成 (タスク)

セキュリティーテンプレートを作成する

セキュリティーテンプレートへのホストの追加 (タスク)

セキュリティーテンプレートにホストを追加する

セキュリティーテンプレートにホストの範囲を追加する

トラステッドネットワークに到達できるホストの制限 (タスク)

トラステッドネットワーク上で接続できるホストを制限する

ルートおよびマルチレベルポートの構成 (タスク)

デフォルトルートを追加する

ゾーンにマルチレベルポートを作成する

ラベル付き IPsec の構成 (タスクマップ)

マルチレベル Trusted Extensions ネットワークで IPsec 保護を適用する

信頼できないネットワーク上でトンネルを構成する

トラステッドネットワークのトラブルシューティング (タスクマップ)

システムのインタフェースが稼働していることを確認する

Trusted Extensions ネットワークをデバッグする

LDAP サーバーへのクライアントの接続をデバッグする

17.  Trusted Extensions と LDAP (概要)

18.  Trusted Extensions でのマルチレベルメール (概要)

19.  ラベル付き印刷の管理 (タスク)

20.  Trusted Extensions のデバイス (概要)

21.  Trusted Extensions でのデバイス管理 (タスク)

22.  Trusted Extensions での監査 (概要)

23.  Trusted Extensions のソフトウェア管理

A.  サイトのセキュリティーポリシー

セキュリティーポリシーの作成と管理

サイトのセキュリティーポリシーと Trusted Extensions

コンピュータのセキュリティーに関する推奨事項

物理的セキュリティーに関する推奨事項

個人のセキュリティーに関する推奨事項

よくあるセキュリティー違反

その他のセキュリティー関連資料

B.  Trusted Extensions の構成チェックリスト

Trusted Extensions を構成するためのチェックリスト

C.  Trusted Extensions 管理の手引き

Trusted Extensions の管理インタフェース

Trusted Extensions による Oracle Solaris インタフェースの拡張

Trusted Extensions の厳密なセキュリティーデフォルト

Trusted Extensions で制限されるオプション

D.  Trusted Extensions マニュアルページのリスト

Trusted Extensions マニュアルページ (アルファベット順)

Trusted Extensions によって変更される Oracle Solaris マニュアルページ

用語集

索引

ドキュメントの品質向上のためのご意見をください
簡潔すぎた
読みづらかった、または難し過ぎた
重要な情報が欠けていた
内容が間違っていた
翻訳版が必要
その他
Your rating has been updated
貴重なご意見を有り難うございました!

あなたの貴重なご意見はより良いドキュメント作成の手助けとなります 内容の品質向上と追加コメントのためのアンケートに参加されますか?

ホストおよびネットワークへのラベル付け (タスク)

Trusted Extensions システムは、そのシステム上でほかのホストのセキュリティー属性が定義されたあとではじめて、それらのホストに接続できるようになります。リモートホストのセキュリティー属性は互いに似ている可能性があるため、Trusted Extensions には、ホストの追加先として使用可能なセキュリティーテンプレートが用意されています。

既存のセキュリティーテンプレートの表示 (タスク)

リモートホストとネットワークにラベルを付ける前に、提供されているセキュリティーテンプレートを読み、リモートホストとネットワークに到達できることを確認します。手順については、次を参照してください。

セキュリティーテンプレートを表示する

セキュリティーテンプレートの一覧と各テンプレートの内容を表示できます。この手順で示す例は、デフォルトのセキュリティーテンプレートです。

  1. 使用可能なセキュリティーテンプレートを一覧表示します。
    # tncfg list
       cipso
       admin_low
       adapt
       netif
  2. 一覧表示されたテンプレートの内容を表示します。
    # tncfg -t cipso info
       name=cipso
       host_type=cipso
       doi=1
       min_label=ADMIN_LOW
       max_label=ADMIN_HIGH
       host=127.0.0.1/32

    この cipso セキュリティーテンプレートの 127.0.0.1/32 エントリにより、このシステムがラベル付きとして識別されます。ピアが host_type cipso のリモートホストテンプレートにこのシステムを割り当てた場合、その 2 つのシステムはラベル付きパケットを交換できます。

    # tncfg -t admin_low info
       name=admin_low
       host_type=unlabeled
       doi=1
       def_label=ADMIN_LOW
       min_label=ADMIN_LOW
       max_label=ADMIN_HIGH
       host=0.0.0.0/0

    この admin_low セキュリティーテンプレートの 0.0.0.0/0 エントリは、セキュリティーテンプレートに明示的に割り当てられていないすべてのホストがこのシステムに接続できるようにします。これらのホストはラベルなしとして認識されます。

    • 0.0.0.0/0 エントリの利点は、サーバーやゲートウェイなど、ブート時にこのシステムで必要となるすべてのホストを検出できることです。

    • 0.0.0.0/0 エントリの欠点は、このシステムのネットワーク上の任意のホストがこのシステムに接続できることです。このシステムに接続できるホストを制限するには、「トラステッドネットワーク上で接続できるホストを制限する」を参照してください。

    # tncfg -t adapt info
       name=adapt
       host_type=adapt
       doi=1
       min_label=ADMIN_LOW
       max_label=ADMIN_HIGH
       host=0.0.0.0/0

    adapt テンプレートは適応型ホストを示します。これはデフォルトのラベルを持つことができない信頼できないシステムです。代わりに、そのラベルは受信側のトラステッドシステムによって割り当てられます。ラベルは、ラベル付きシステムの netif テンプレートで指定されている、パケットを受信する IP インタフェースのデフォルトラベルから派生します。

    # tncfg -t netif info
       name=netif
       host_type=netif
       doi=1
       def_label=ADMIN_LOW
       min_label=ADMIN_LOW
       max_label=ADMIN_HIGH
       host=127.0.0.1/32

    netif テンプレートは、リモートホストではなく、信頼できるローカルネットワークインタフェースを指定します。netif テンプレートのデフォルトラベルは、そのテンプレート内のホストアドレスと一致する IP アドレスを持つ専用ネットワークインタフェースを備えているすべてのゾーンのラベルと等しくなければなりません。また、一致するゾーンインタフェースに対応する下位リンクは、同じラベルを共有するほかのゾーンにのみ割り当てることができます。

サイト固有のセキュリティーテンプレートが必要かどうかを判断する

システムの既知のネットワークにホストを追加する

ホストやホストのグループをシステムの /etc/hosts ファイルに追加すると、それらのホストはシステムに認識されます。セキュリティーテンプレートに追加できるのは、既知のホストだけです。

始める前に

大域ゾーンで root 役割になっています。

  1. 個々のホストを /etc/hosts ファイルに追加します。
    # pfedit /etc/hosts
    
    ...
    192.168.111.121   ahost
  2. ホストのグループを /etc/hosts ファイルに追加します。
    # pfedit /etc/hosts
    
    ...
    192.168.111.0   111-network

セキュリティーテンプレートの作成 (タスク)

このセクションでは、次のネットワーク構成のセキュリティーテンプレートを作成するためのアドバイスや例を示します。

特定の要件に対応するセキュリティーテンプレートの例については、「セキュリティーテンプレートへのホストの追加 (タスク)」を参照してください。

セキュリティーテンプレートを作成する

始める前に

ネットワークセキュリティーを修正できる役割で、大域ゾーンにいる必要があります。たとえば、Information Security または Network Security の権利プロファイルを割り当てられた役割は、セキュリティー値を修正できます。セキュリティー管理者役割には、これらの権利プロファイルが含まれています。

  1. (省略可能) ADMIN_HIGHADMIN_LOW 以外の任意のラベルの 16 進バージョンを確認します。

    PUBLIC などのラベルでは、ラベル文字列、0x0002-08-08 などの 16 進値のどちらも、ラベル値として使用できます。tncfg コマンドはどちらの形式も受け入れます。

    # atohexlabel "confidential : internal use only"
    0x0004-08-48

    詳細は、「ラベルの 16 進値を求める」を参照してください。

  2. デフォルトのセキュリティーテンプレートは変更しません。

    サポートの目的上、デフォルトのセキュリティーテンプレートは削除しないでください。

  3. セキュリティーテンプレートを作成します。

    tncfg -t コマンドには、新しいテンプレートを作成するための方法が 3 つ用意されています。

    • セキュリティーテンプレートを新規に作成します。

      tncfg コマンドを対話モードで使用します。info サブコマンドは、デフォルトで提供された値を表示します。Tab キーを使用すると、部分的なプロパティーや値が補完されます。exit と入力してテンプレートを完成します。

      # tncfg -t newunlabeled
      tncfg:newunlabeled> info
         name=newunlabeled
         host_type=unlabeled
         doi=1
         def_label=ADMIN_LOW
         min_label=ADMIN_LOW
         max_label=ADMIN_HIGH
      tncfg:newunlabeled> set m<Tab>
      set max_label=" set min_label="
      tncfg:newunlabeled> set ma<Tab>
      tncfg:newunlabeled> set max_label=ADMIN_LOW
      ...
      tncfg:newunlabeled> commit
      tncfg:newunlabeled> exit

      セキュリティーテンプレートの完全な属性リストをコマンド行で指定することもできます。複数の set サブコマンドはセミコロンで区切ります。省略されたプロパティーではデフォルト値が使用されます。

      # tncfg -t newunlabeled set host_type=unlabeled;set doi=1; \
      set min_label=ADMIN_LOW;set max_label=ADMIN_LOW
    • 既存のセキュリティーテンプレートをコピーして変更します。
      # tncfg -t cipso
      tncfg:cipso> set name=newcipso
      tncfg:newcipso> info
      name=newcipso
      host_type=cipso
      doi=1
      min_label=ADMIN_LOW
      max_label=ADMIN_HIGH

      既存のセキュリティーテンプレートに割り当てられているホストは、新しいテンプレートにコピーされません。

    • export サブコマンドによって作成されたテンプレートファイルを使用します。
      # tncfg -f unlab_1 -f template-file
      tncfg: unlab_1> set host_type=unlabeled
      ...
      # tncfg -f template-file

      インポート用のソーステンプレートの作成例については、tncfg(1M) のマニュアルページを参照してください。

例 16-1 1 つのラベルでパケットを処理するゲートウェイ用のセキュリティーテンプレートの作成

この例では、セキュリティー管理者はラベル PUBLIC でのみパケットを通過させることのできるゲートウェイを定義します。

# tncfg -t cipso_public
tncfg:cipso_public> set host_type=cipso
tncfg:cipso_public> set doi=1
tncfg:cipso_public> set min_label="public"
tncfg:cipso_public> set max_label="public"
tncfg:cipso_public> commit
tncfg:cipso_public> exit

次に、セキュリティー管理者はセキュリティーテンプレートにゲートウェイホストを追加します。追加方法については、例 16-3 を参照してください。

例 16-2 ラベル PUBLIC でのラベルなしセキュリティーテンプレートの作成

この例では、セキュリティー管理者は、PUBLIC ラベルでのみパケットを送受信できる信頼できないホストのためのラベルなしテンプレートを作成します。このテンプレートは、Trusted Extensions システムが PUBLIC ラベルでマウントする必要のあるファイルシステムを含むホストに割り当てることができます。

# tncfg -t public
tncfg:public> set host_type=unlabeled
tncfg:public> set doi=1
tncfg:public> set def_label="public"
tncfg:public> set min_sl="public"
tncfg:public> set max_sl="public"
tncfg:public> exit

次に、セキュリティー管理者はセキュリティーテンプレートにホストを追加します。追加方法については、例 16-12 を参照してください。

セキュリティーテンプレートへのホストの追加 (タスク)

このセクションでは、セキュリティーテンプレートにホストを追加するためのアドバイスや例を示します。不連続な IP アドレスの場合は、「セキュリティーテンプレートにホストを追加する」を参照してください。ホストの範囲の場合は、「セキュリティーテンプレートにホストの範囲を追加する」を参照してください。

このセクションの例では、次のようなリモートホストのラベルの割り当てを示しています。

セキュリティーテンプレートにホストを追加する

始める前に

次のことが必要になります。

  1. (省略可能) 追加しようとしているホスト名または IP アドレスに到達できることを確認します。

    この例では、192.168.1.2 に到達できることを確認します。

    # arp 192.168.1.2
    gateway-2.example.com (192.168.1.2) at 0:0:0:1:ad:cd

    arp コマンドは、このホストがシステムの /etc/hosts ファイルに定義されているか、あるいは DNS で解決可能であることを検査します。

  2. ホスト名または IP アドレスをセキュリティーテンプレートに追加します。

    たとえば、IP アドレス 192.168.1.2 を追加します。

    # tncfg -t cipso
    tncfg:cipso> add host=192.168.1.2

    別のテンプレートに以前追加されたホストを追加した場合、そのセキュリティーテンプレート割り当てが置換されるという旨の通知が表示されます。例:

    # tncfg -t cipso
    tncfg:cipso> add host=192.168.1.2
    192.168.1.2 previously matched the admin_low template
    tncfg:cipso> info
    ...
    host=192.168.1.2/32
    tncfg:cipso> exit
  3. 変更後のセキュリティーテンプレートを表示します。

    たとえば、cipso テンプレートに追加されたアドレス 192.168.1.2 を次に示します。

    tncfg:cipso> info
    ...
       host=192.168.1.2/32

    接頭辞長 /32 は、このアドレスが厳密なアドレスであることを示しています。

  4. 変更をコミットしてセキュリティーテンプレートを終了します。
    tncfg:cipso> commit
    tncfg:cipso> exit

    ホストのエントリを削除する場合は、例 16-11 を参照してください。

例 16-3 1 つのラベルでパケットを処理するゲートウェイの作成

例 16-1 では管理者が、ラベル PUBLIC のパケットのみを通過させることのできるゲートウェイを定義したセキュリティーテンプレートを作成します。この例では、セキュリティー管理者はゲートウェイホストの IP アドレスが解決可能であることを確認します。

# arp 192.168.131.75
gateway-1.example.com (192.168.131.75) at 0:0:0:1:ab:cd

arp コマンドは、このホストがシステムの /etc/hosts ファイルに定義されているか、あるいは DNS で解決可能であることを検査します。

次に、管理者は gateway-1 ホストをセキュリティーテンプレートに追加します。

# tncfg -t cipso_public
tncfg:cipso_public> add host=192.168.131.75
tncfg:cipso_public> exit

システムはすぐに、gateway-1 経由で public パケットの送受信を行えます。

例 16-4 ラベル付きパケットの経路指定を行うラベルなしルーターの作成

IP ルーターは、明示的にラベルをサポートしていない場合でも、CALIPSO または CIPSO ラベルの付いたメッセージを転送できます。このようなラベルなしルーターには、ルーターへの接続 (多くの場合ルーター管理のため) を処理するレベルを定義するデフォルトラベルが必要です。この例では、セキュリティー管理者が、任意のラベルでトラフィックを転送できるルーターを作成しますが、ルーターとの直接の通信はデフォルトラベル PUBLIC で処理されます。

セキュリティー管理者はテンプレートを新規に作成します。

# tncfg -t unl_public_router
tncfg:unl_public_router> set host_type=unlabeled
tncfg:unl_public_router> set doi=1
tncfg:unl_public_router> set def_label="PUBLIC"
tncfg:unl_public_router> set min_label=ADMIN_LOW
tncfg:unl_public_router> set max_label=ADMIN_HIGH
tncfg:unl_public_router> exit

次に、管理者はルーターをセキュリティーテンプレートに追加します。

# tncfg -t unl_public_router
tncfg:unl_public_router> add host=192.168.131.82
tncfg:unl_public_router> exit

システムはすぐに、router-1 経由ですべてのラベルのパケットの送受信を行えます。

例 16-5 制限されたラベル範囲を持つゲートウェイの作成

この例では、セキュリティー管理者はパケットを狭いラベル範囲に制限するゲートウェイを作成し、そのゲートウェイを追加します。

# arp 192.168.131.78
gateway-ir.example.com (192.168.131.78) at 0:0:0:3:ab:cd
# tncfg -t cipso_iuo_rstrct
tncfg:cipso_iuo_rstrct> set host_type=cipso
tncfg:cipso_iuo_rstrct> set doi=1
tncfg:cipso_iuo_rstrct> set min_label=0x0004-08-48
tncfg:cipso_iuo_rstrct> set max_label=0x0004-08-78
tncfg:cipso_iuo_rstrct> add host=192.168.131.78
tncfg:cipso_iuo_rstrct> exit

システムはすぐに、ラベル internal または restricted の付いたパケットの送受信を gateway-ir 経由で行えます。

例 16-6 不連続なラベルのホストの作成

この例では、セキュリティー管理者は confidential : internal use onlyconfidential : restricted の 2 つのラベルのみを認識するセキュリティーテンプレートを作成します。その他のトラフィックはすべて拒否されます。

まず、セキュリティー管理者は各ホストの IP アドレスが解決可能であることを確認します。

# arp 192.168.132.21
host-auxset1.example.com (192.168.132.21) at 0:0:0:4:ab:cd
# arp 192.168.132.22
host-auxset2.example.com (192.168.132.22) at 0:0:0:5:ab:cd
# arp 192.168.132.23
host-auxset3.example.com (192.168.132.23) at 0:0:0:6:ab:cd
# arp 192.168.132.24
host-auxset4.example.com (192.168.132.24) at 0:0:0:7:ab:cd

次に、管理者は注意しながらラベルを正確に入力します。ソフトウェアは、ラベルで大文字と小文字のどちらが使用されていても、また短縮名が使用されていてもラベルを認識しますが、空白が不正確なラベルは認識しません。たとえば、ラベル cnf :restricted は有効なラベルではありません。

# tncfg -t cipso_int_and_rst
tncfg:cipso_int_and_rst> set host_type=cipso
tncfg:cipso_int_and_rst> set doi=1
tncfg:cipso_int_and_rst> set min_label="cnf : internal use only"
tncfg:cipso_int_and_rst> set max_label="cnf : internal use only"
tncfg:cipso_int_and_rst> set aux_label="cnf : restricted"
tncfg:cipso_int_and_rst> exit

次に、管理者は接頭辞長を使用して、IP アドレスの範囲をセキュリティーテンプレートに割り当てます。

# tncfg -t cipso_int_rstrct
tncfg:cipso_int_rstrct> set host=192.168.132.0/24

例 16-7 開発者用のラベル付きホストの作成

この例では、セキュリティー管理者は cipso_sandbox テンプレートを作成します。このセキュリティーテンプレートは、トラステッドソフトウェアの開発者が使うシステムに割り当てられます。開発者のテストがほかのラベル付きホストに影響を与えることはありません。SANDBOX ラベルはネットワーク上のほかのラベルから独立しているからです。

# tncfg -t cipso_sandbox
tncfg:cipso_sandbox> set host_type=cipso
tncfg:cipso_sandbox> set doi=1
tncfg:cipso_sandbox> set min_sl="SBX"
tncfg:cipso_sandbox> set max_sl="SBX"
tncfg:cipso_sandbox> add host=196.168.129.102
tncfg:cipso_sandbox> add host=196.168.129.129
tncfg:cipso_sandbox> exit

196.168.129.102 システムと 196.168.129.129 システムを使用する開発者は、 SANDBOX ラベルで相互に通信できます。

例 16-8 netif ホスト用のセキュリティーテンプレートの作成

この例では、セキュリティー管理者は netif セキュリティーテンプレートを作成します。このテンプレートは、IP アドレス 10.121.10.3 を含んでいるラベル付きネットワークインタフェースに割り当てられます。この割り当てにより、Trusted Extensions IP モジュールは、adaptive ホストから届くすべての着信パケットにデフォルトラベル PUBLIC を追加します。

# tncfg -t netif_public
tncfg:netif_public> set host_type=netif
tncfg:netif_public> set doi=1
tncfg:netif_public> set def_label="PUBLIC"
tncfg:netif_public> add host=10.121.10.3
tncfg:netif_public> commit
tncfg:netif_public> exit

例 16-9 適応型ホスト用のセキュリティーテンプレートの作成

この例では、セキュリティー管理者が前もって計画を立てます。管理者は、公開情報を保持するネットワークおよび内部情報を保持するネットワークとして、異なるサブネットを作成します。次に、管理者は 2 つの adapt ホストを定義します。公開サブネット内のシステムには PUBLIC ラベルが割り当てられます。内部ネットワーク内のシステムには IUO ラベルが割り当てられます。このネットワークは前もって計画されたため、各ネットワークが特定のラベルで情報を保持および送信します。もう 1 つの利点は、想定したインタフェースにパケットが配信されない場合に、ネットワークを簡単にデバッグできることです。

# tncfg -t adpub_192_168_10
tncfg:adapt_public> set host_type=adapt
tncfg:adapt_public> set doi=1
tncfg:adapt_public> set min_label="public"
tncfg:adapt_public> set max_label="public"
tncfg:adapt_public> add host=192.168.10.0
tncfg:adapt_public> commit
tncfg:adapt_public> exit
# tncfg -t adiuo_192_168_20
tncfg:adapt_public> set host_type=adapt
tncfg:adapt_public> set doi=1
tncfg:adapt_public> set min_label="iuo"
tncfg:adapt_public> set max_label="iuo"
tncfg:adapt_public> add host=192.168.20.0
tncfg:adapt_public> commit
tncfg:adapt_public> exit

例 16-10 ラベル付きマルチキャストメッセージの送信

ラベル付きの同機種 LAN で、管理者はラベル PUBLIC でパケットを送信するために使用できるマルチキャストアドレスを選択します。

# tncfg -t cipso_public
tncfg:cipso_public> add host=224.4.4.4
tncfg:cipso_public> exit

例 16-11 セキュリティーテンプレートからのいくつかのホストの削除

この例では、セキュリティー管理者は cipso セキュリティーテンプレートからいくつかのホストを削除します。管理者は、info サブコマンドを使用してホストを表示したあと、remove と入力し、4 つの host= エントリをコピー & ペーストします。

# tncfg -t cipso info
   name=cipso
   host_type=cipso
   doi=1
   min_label=ADMIN_LOW
   max_label=ADMIN_HIGH
   host=127.0.0.1/32
   host=192.168.1.2/32
   host=192.168.113.0/24
   host=192.168.113.100/25
   host=2001:a08:3903:200::0/56
# tncfg -t cipso
tncfg:cipso> remove host=192.168.1.2/32
tncfg:cipso> remove host=192.168.113.0/24
tncfg:cipso> remove host=192.168.113.100/25
tncfg:cipso> remove host=2001:a08:3903:200::0/56
tncfg:cipso> info
...
   max_label=ADMIN_HIGH
   host=127.0.0.1/32
   host=192.168.75.0/24

管理者は、ホストを削除したあとで変更をコミットし、セキュリティーテンプレートを終了します。

tncfg:cipso> commit
tncfg:cipso> exit
#

セキュリティーテンプレートにホストの範囲を追加する

始める前に

要件については、「セキュリティーテンプレートにホストを追加する」を参照してください

  1. サブネットにセキュリティーテンプレートを割り当てるには、そのサブネットアドレスをテンプレートに追加します。

    たとえば、2 つの IPv4 サブネットを cipso テンプレートに追加したあと、このセキュリティーテンプレートを表示します。

    # tncfg -t cipso
    tncfg:cipso> add host=192.168.75.0
    tncfg:cipso> add host=192.168.113.0
    tncfg:cipso> info
    ...
    host=192.168.75.0/24
    host=192.168.113.0/24
    tncfg:cipso> exit

    接頭辞長 /24 は、.0 で終わるこのアドレスがサブネットであることを示しています。


    注 - 別のテンプレートに以前追加されたホスト範囲を追加する場合、そのセキュリティーテンプレート割り当てが置換されるという旨の通知が表示されます。


    # tncfg -t cipso
    tncfg:cipso> add host=192.168.113.100/25
    192.168.113.100/25 previously matched the admin_low template
  2. アドレス範囲にセキュリティーテンプレートを割り当てるには、IP アドレスと接頭辞長を指定します。

    次の例の接頭辞長 /25 は、192.168.113.0 から 192.168.113.127 までの連続する IPv4 アドレスをカバーしています。このアドレスには、192.168.113.100 が含まれます。

    # tncfg -t cipso
    tncfg:cipso> add host=192.168.113.100/25
    tncfg:cipso> exit

    次の例の接頭辞長 /56 は、2001:a08:3903:200::0 から 2001:a08:3903:2ff:ffff:ffff:ffff:ffff までの連続する IPv6 アドレスをカバーしています。このアドレスには、2001:a08:3903:201:20e:cff:fe08:58c が含まれます。

    # tncfg -t cipso
    tncfg:cipso> add host=2001:a08:3903:200::0/56
    tncfg:cipso> info
    ...
    host=2001:a08:3903:200::0/56
    tncfg:cipso> exit
    • アドレスから :200 を省略するなど、エントリを間違って入力した場合は、次のようなメッセージが表示されます。

      # tncfg -t cipso
      tncfg:cipso> add host=2001:a08:3903::0/56
      Invalid host: 2001:a08:3903::0/56
    • 別のテンプレートに以前追加されたホストを追加した場合、そのセキュリティーテンプレート割り当てが置換されるという旨の通知が表示されます。例:

      # tncfg -t cipso
      tncfg:cipso> add host=192.168.113.100/32
      192.168.113.100/32 previously matched the admin_low template
      tncfg:cipso> info
      ...
      host=192.168.113.100/32
      tncfg:cipso> exit

      「トラステッドネットワーク代替メカニズム」で説明したように、以前の割り当てがこの明示的な割り当てでオーバーライドされることが、Trusted Extensions の代替メカニズムによって保証されます。

例 16-12 ラベル PUBLIC でのラベルなしサブネットワークの作成

例 16-2 では、管理者は信頼できないホストにラベル PUBLIC を割り当てるセキュリティーテンプレートを作成します。この例で、セキュリティー管理者はあるサブネットワークを PUBLIC ラベルに割り当てます。割り当て側のシステム上のユーザーは、このサブネットワーク内のホストのファイルシステムを PUBLIC ゾーンにマウントできます。

# tncfg -t public
tncfg:public> add host=10.10.0.0/16
tncfg:public> exit

このサブネットワークにはラベル PUBLIC ですぐに到達できます。

トラステッドネットワークに到達できるホストの制限 (タスク)

このセクションでは、ネットワークに到達できるホストを制限することにより、ネットワークを保護します。

トラステッドネットワーク上で接続できるホストを制限する

この手順では、任意のラベルなしホストによる接続から、ラベル付きホストを保護します。Trusted Extensions をインストールすると、admin_low デフォルトセキュリティーテンプレート内にネットワーク上のすべてのホストが定義されています。この手順を使って、特定のラベルなしホストを列挙します。

各システム上のローカルのトラステッドネットワーク値は、ブート時のネットワーク接続に使用されます。デフォルトでは、cipso テンプレートで提供されない各ホストは admin_low テンプレートで定義されます。このテンプレートは、ほかで定義されていない各リモートホスト (0.0.0.0/0) を、admin_low のデフォルトラベルでラベルなしシステムとして割り当てます。


注意

注意 - デフォルトの admin_low テンプレートは、Trusted Extensions ネットワークでセキュリティー上のリスクになる場合があります。サイトのセキュリティーに強い保護が必要な場合、セキュリティー管理者はシステムのインストール後に 0.0.0.0/0 ワイルドカードエントリを削除できます。このエントリは、ブート時にシステムが接続する各ホストのエントリに置き換える必要があります。

たとえば、0.0.0.0/0 ワイルドカードエントリを削除したあとに、DNS サーバー、ホームディレクトリサーバー、監査サーバー、ブロードキャストおよびマルチキャストアドレス、およびルーターをテンプレートに明示的に追加する必要があります。

アプリケーションが最初にクライアントをホストアドレス 0.0.0.0/32 で認識する場合は、0.0.0.0/32 ホストエントリを admin_low テンプレートに追加する必要があります。たとえば、潜在的な Sun Ray クライアントからの初期接続リクエストを受信するには、Sun Ray サーバーにこのエントリが含まれている必要があります。すると、サーバーはクライアントを認識したとき、クライアントに IP アドレスを付与して、クライアントをラベル付きクライアントとして接続します。


始める前に

大域ゾーンでセキュリティー管理者役割になります。

ブート時に接続されるすべてのホストは、/etc/hosts ファイル内に存在している必要があります。

  1. ブート時に接続する必要のあるすべてのラベルなしホストに、admin_low テンプレートを割り当てます。
    • ブート時に接続する必要のあるすべてのラベルなしホストを含めます。

    • このシステムが通信時に経由する必要のある、Trusted Extensions を実行していないオンリンクルーターをすべて追加します。

    • 0.0.0.0/0 の割り当てを削除します。

  2. cipso テンプレートにホストを追加します。

    ブート時に接続する必要のある各ラベル付きホストを追加します。

    • このシステムが通信時に経由する必要のある、Trusted Extensions を実行しているオンリンクルーターをすべて追加します。

    • すべてのネットワークインタフェースがテンプレートに割り当てられていることを確認します。

    • ブロードキャストアドレスを追加します。

    • ブート時に接続する必要のあるラベル付きホストの範囲を含めます。

    サンプルデータベースについては、例 16-14 を参照してください。

  3. ホスト割り当てによってシステムのブートが許可されていることを確認します。

例 16-13 IP アドレス 0.0.0.0/0 のラベルの変更

この例では、管理者は公共ゲートウェイシステムを作成します。管理者は、admin_low テンプレートから 0.0.0.0/0 ホストエントリを削除し、ラベルなし public テンプレートに 0.0.0.0/0 ホストエントリを追加します。システムは、別のセキュリティーテンプレートに明示的に割り当てられていないすべてのホストを、public セキュリティーテンプレートのセキュリティー属性を持つラベルなしシステムとして認識するようになります。

# tncfg -t admin_low info
tncfg:admin_low> remove host=0.0.0.0Wildcard address
tncfg:admin_low> exit
# tncfg -t public
tncfg:public> set host_type=unlabeled
tncfg:public> set doi=1
tncfg:public> set def_label="public"
tncfg:public> set min_sl="public"
tncfg:public> set max_sl="public"
tncfg:public> add host=0.0.0.0Wildcard address
tncfg:public> exit

例 16-14 Trusted Extensions システムがブート時に接続するシステムの列挙

この例では、管理者は 2 つのネットワークインタフェースを備えた Trusted Extensions システムのトラステッドネットワークを構成します。システムは、ほかのネットワークおよびルーターと通信します。リモートホストは、3 つのテンプレート cipsoadmin_lowpublic のいずれかに割り当てられます。次のコマンドには注釈を付けています。

# tncfg -t cipso
tncfg:admin_low> add host=127.0.0.1Loopback address
tncfg:admin_low> add host=192.168.112.111Interface 1 of this host
tncfg:admin_low> add host=192.168.113.111Interface 2 of this host
tncfg:admin_low> add host=192.168.113.6File server
tncfg:admin_low> add host=192.168.112.255Subnet broadcast address
tncfg:admin_low> add host=192.168.113.255Subnet broadcast address
tncfg:admin_low> add host=192.168.113.1Router
tncfg:admin_low> add host=192.168.117.0/24Another Trusted Extensions network
tncfg:admin_low> exit
# tncfg -t public
tncfg:public> add host=192.168.112.12Specific network router
tncfg:public> add host=192.168.113.12Specific network router
tncfg:public> add host=224.0.0.2Multicast address
tncfg:admin_low> exit
# tncfg -t admin_low
tncfg:admin_low> add host=255.255.255.255Broadcast address
tncfg:admin_low> exit

管理者は、ブート時に接続するホストを指定し終わると、admin_low テンプレートから 0.0.0.0/0 エントリを削除します。

# tncfg -t admin_low
tncfg:admin_low> remove host=0.0.0.0
tncfg:admin_low> exit

例 16-15 ホストアドレス 0.0.0.0/32 を有効な初期アドレスにする

この例では、セキュリティー管理者は潜在的なクライアントからの初期接続要求を受け入れるようにアプリケーションサーバーを構成します。

管理者は、サーバーのトラステッドネットワークを構成します。サーバーとクライアントのエントリには注釈を付けています。

# tncfg -t cipso info
   name=cipso
   host_type=cipso
   doi=1
   min_label=ADMIN_LOW
   max_label=ADMIN_HIGH
   host=127.0.0.1/32
   host=192.168.128.1/32 Application server address
   host=192.168.128.0/24 Application's client network
Other addresses to be contacted at boot time
# tncfg -t admin_low info
   name=cipso
   host_type=cipso
   doi=1
   def_label=ADMIN_LOW
   min_label=ADMIN_LOW
   max_label=ADMIN_HIGH
   host=192.168.128.0/24 Application's client network
   host=0.0.0.0/0 Wildcard address
Other addresses to be contacted at boot time

テストがこの段階まで成功すると、管理者は構成をロックダウンするために、デフォルトのワイルドカードアドレス 0.0.0.0/0 を削除して変更をコミットしたあと、特定のアドレスを追加します。

# tncfg -t admin_low info
tncfg:admin_low> remove host=0.0.0.0
tncfg:admin_low> commit
tncfg:admin_low> add host=0.0.0.0/32For initial client contact
tncfg:admin_low> exit

admin_low の最終的な構成は、次のようになります。

# tncfg -t admin_low
   name=cipso
   host_type=cipso
   doi=1
   def_label=ADMIN_LOW
   min_label=ADMIN_LOW
   max_label=ADMIN_HIGH
   192.168.128.0/24 Application's client network
   host=0.0.0.0/32 For initial client contact
Other addresses to be contacted at boot time

0.0.0.0/32 エントリは、アプリケーションのクライアントのみがアプリケーションサーバーに到達できるようにします。

例 16-16 ラベル付き Sun Ray サーバーの有効な初期アドレスの構成

この例では、セキュリティー管理者は潜在的なクライアントからの初期接続リクエストを受け入れるように Sun Ray サーバーを構成します。サーバーは非公開トポロジと Sun Ray サーバーのデフォルトを使用しています。

# utadm -a net0

次に、管理者はサーバーのトラステッドネットワークを構成します。サーバーとクライアントのエントリには注釈を付けています。

# tncfg -t cipso info
   name=cipso
   host_type=cipso
   doi=1
   min_label=ADMIN_LOW
   max_label=ADMIN_HIGH
   host=127.0.0.1/32
   host=192.168.128.1/32 Sun Ray server address
   host=192.168.128.0/24 Sun Ray client network
Other addresses to be contacted at boot time
# tncfg -t admin_low info
   name=cipso
   host_type=cipso
   doi=1
   def_label=ADMIN_LOW
   min_label=ADMIN_LOW
   max_label=ADMIN_HIGH
   host=192.168.128.0/24 Sun Ray client network
   host=0.0.0.0/0 Wildcard address
Other addresses to be contacted at boot time

テストがこの段階まで成功すると、管理者は構成をロックダウンするために、デフォルトのワイルドカードアドレス 0.0.0.0/0 を削除して変更をコミットしたあと、特定のアドレスを追加します。

# tncfg -t admin_low info
tncfg:admin_low> remove host=0.0.0.0
tncfg:admin_low> commit
tncfg:admin_low> add host=0.0.0.0/32For initial client contact
tncfg:admin_low> exit

admin_low の最終的な構成は、次のようになります。

# tncfg -t admin_low
   name=cipso
   host_type=cipso
   doi=1
   def_label=ADMIN_LOW
   min_label=ADMIN_LOW
   max_label=ADMIN_HIGH
   192.168.128.0/24 Sun Ray client network
   host=0.0.0.0/32 For initial client contact
Other addresses to be contacted at boot time

0.0.0.0/32 エントリは、Sun Ray クライアントのみがサーバーに到達できるようにします。