ナビゲーションリンクをスキップ | |
印刷ビューの終了 | |
Trusted Extensions 構成と管理 Oracle Solaris 11.1 Information Library (日本語) |
パート I Trusted Extensions の初期構成
1. Trusted Extensions のセキュリティー計画
2. Trusted Extensions の構成ロードマップ
3. Oracle Solaris への Trusted Extensions 機能の追加 (タスク)
4. Trusted Extensions の構成 (タスク)
5. Trusted Extensions のための LDAP の構成 (タスク)
8. Trusted Extensions システムのセキュリティー要件 (概要)
9. Trusted Extensions での一般的なタスクの実行
10. Trusted Extensions でのユーザー、権利、および役割 (概要)
11. Trusted Extensions でのユーザー、権利、役割の管理 (タスク)
12. Trusted Extensions でのリモート管理 (タスク)
13. Trusted Extensions でのゾーンの管理
14. Trusted Extensions でのファイルの管理とマウント
16. Trusted Extensions でのネットワークの管理 (タスク)
サイト固有のセキュリティーテンプレートが必要かどうかを判断する
トラステッドネットワークに到達できるホストの制限 (タスク)
トラステッドネットワークのトラブルシューティング (タスクマップ)
Trusted Extensions ネットワークをデバッグする
17. Trusted Extensions と LDAP (概要)
18. Trusted Extensions でのマルチレベルメール (概要)
20. Trusted Extensions のデバイス (概要)
21. Trusted Extensions でのデバイス管理 (タスク)
22. Trusted Extensions での監査 (概要)
23. Trusted Extensions のソフトウェア管理
サイトのセキュリティーポリシーと Trusted Extensions
B. Trusted Extensions の構成チェックリスト
Trusted Extensions を構成するためのチェックリスト
Trusted Extensions による Oracle Solaris インタフェースの拡張
Trusted Extensions の厳密なセキュリティーデフォルト
Trusted Extensions で制限されるオプション
D. Trusted Extensions マニュアルページのリスト
Trusted Extensions マニュアルページ (アルファベット順)
このタスクマップでは、IPsec 保護にラベルを追加するために使用されるタスクについて説明します。
|
この手順では、次の条件に対応できるように、2 つの Trusted Extensions システムで IPsec を構成します。
2 つのシステム enigma と partym は、マルチレベルネットワーク内で動作しているマルチレベル Trusted Extensions システムです。
アプリケーションデータは暗号化され、ネットワーク内での承認されていない変更から保護されます。
データのセキュリティーラベルは、enigma システムと partym システム間のパス上にあるマルチレベルルーターやセキュリティーデバイスで使用される CALIPSO または CIPSO IP オプションの形で可視となります。
enigma と partym の間で交換されるセキュリティーラベルは、承認されていない変更から保護されます。
始める前に
大域ゾーンで root 役割になっています。
「ホストおよびネットワークへのラベル付け (タスク)」の手順に従います。cipso ホストタイプのテンプレートを使用します。
手順については、『Oracle Solaris 11.1 でのネットワークのセキュリティー保護』の「IPsec で 2 つのシステム間のトラフィックを保護するには」を参照してください。鍵管理については、次の手順で説明するように IKE を使用します。
『Oracle Solaris 11.1 でのネットワークのセキュリティー保護』の「事前共有鍵により IKE を構成する方法」の手順に従ったあと、ike/config ファイルを次のように変更します。
結果となるファイルは次のようになります。ラベルの追加箇所が強調表示されています。
### ike/config file on enigma, 192.168.116.16 ## Global parameters # ## Use IKE to exchange security labels. label_aware # ## Defaults that individual rules can override. p1_xform { auth_method preshared oakley_group 5 auth_alg sha encr_alg 3des } p2_pfs 2 # ## The rule to communicate with partym # Label must be unique { label "enigma-partym" local_addr 192.168.116.16 remote_addr 192.168.13.213 multi_label wire_label inner p1_xform { auth_method preshared oakley_group 5 auth_alg sha1 encr_alg aes } p2_pfs 5 }
### ike/config file on partym, 192.168.13.213 ## Global Parameters # ## Use IKE to exchange security labels. label_aware # p1_xform { auth_method preshared oakley_group 5 auth_alg sha encr_alg 3des } p2_pfs 2 ## The rule to communicate with enigma # Label must be unique { label "partym-enigma" local_addr 192.168.13.213 remote_addr 192.168.116.16 multi_label wire_label inner p1_xform { auth_method preshared oakley_group 5 auth_alg sha1 encr_alg aes } p2_pfs 5 }
認証を処理する方法として、/etc/inet/ipsecinit.conf ファイルで auth_algs の代わりに encr_auth_algs を使用します。ESP 認証は、IP ヘッダーや IP オプションを保護しませんが、ESP ヘッダーのあとの情報をすべて認証します。
{laddr enigma raddr partym} ipsec {encr_algs any encr_auth_algs any sa shared}
注 - 証明書で保護されたシステムにラベルを追加することもできます。Trusted Extensions システムでは、公開鍵証明書は大域ゾーンで管理されます。『Oracle Solaris 11.1 でのネットワークのセキュリティー保護』の「公開鍵証明書による IKE の構成」の手順を完了するとき、ike/config ファイルを同じように変更します。
この手順では、公開ネットワーク上で 2 つの Trusted Extensions VPN ゲートウェイシステムの間で IPsec トンネルを構成します。この手順で使用する例は、『Oracle Solaris 11.1 でのネットワークのセキュリティー保護』の「IPsec で VPN を保護するタスクのためのネットワークトポロジの説明」の図に示された構成に基づいています。
この図に次の変更を行ったものと仮定します。
10 サブネットは、マルチレベルトラステッドネットワークです。CALIPSO または CIPSO IP オプションのセキュリティーラベルは、これらの LAN 上で可視となります。
192.168 サブネットは、PUBLIC ラベルで動作するシングルラベルの信頼できないネットワークです。これらのネットワークは CALIPSO または CIPSO IP オプションをサポートしません。
euro-vpn と calif-vpn との間のラベル付きトラフィックは、承認されていない変更から保護されます。
始める前に
大域ゾーンで root 役割になっています。
cipso ホストタイプのテンプレートを使用します。デフォルトのラベル範囲、ADMIN_LOW から ADMIN_HIGH を維持します。
ラベルなしホストタイプのテンプレートを使用します。デフォルトラベルを PUBLIC に設定します。デフォルトのラベル範囲、ADMIN_LOW から ADMIN_HIGH を維持します。
デフォルトのラベル範囲を維持します。
『Oracle Solaris 11.1 でのネットワークのセキュリティー保護』の「トンネルモードの IPsec で VPN を保護する方法」の手順に従います。鍵管理については、次の手順で説明するように IKE を使用します。
『Oracle Solaris 11.1 でのネットワークのセキュリティー保護』の「事前共有鍵により IKE を構成する方法」の手順に従ったあと、ike/config ファイルを次のように変更します。
結果となるファイルは次のようになります。ラベルの追加箇所が強調表示されています。
### ike/config file on euro-vpn, 192.168.116.16 ## Global parameters # ## Use IKE to exchange security labels. label_aware # ## Defaults that individual rules can override. p1_xform { auth_method preshared oakley_group 5 auth_alg sha encr_alg 3des } p2_pfs 2 # ## The rule to communicate with calif-vpn # Label must be unique { label "eurovpn-califvpn" local_addr 192.168.116.16 remote_addr 192.168.13.213 multi_label wire_label none PUBLIC p1_xform { auth_method preshared oakley_group 5 auth_alg sha1 encr_alg aes } p2_pfs 5 }
### ike/config file on calif-vpn, 192.168.13.213 ## Global Parameters # ## Use IKE to exchange security labels. label_aware # p1_xform { auth_method preshared oakley_group 5 auth_alg sha encr_alg 3des } p2_pfs 2 ## The rule to communicate with euro-vpn # Label must be unique { label "califvpn-eurovpn" local_addr 192.168.13.213 remote_addr 192.168.116.16 multi_label wire_label none PUBLIC p1_xform { auth_method preshared oakley_group 5 auth_alg sha1 encr_alg aes } p2_pfs 5 }
注 - 証明書で保護されたシステムにラベルを追加することもできます。『Oracle Solaris 11.1 でのネットワークのセキュリティー保護』の「公開鍵証明書による IKE の構成」の手順を完了するとき、ike/config ファイルを同じように変更します。