탐색 링크 건너뛰기 | |
인쇄 보기 종료 | |
Trusted Extensions 구성 및 관리 Oracle Solaris 11.1 Information Library (한국어) |
3. Oracle Solaris에 Trusted Extensions 기능 추가(작업)
5. Trusted Extensions에 대해 LDAP 구성(작업)
8. Trusted Extensions 시스템의 보안 요구 사항(개요)
9. Trusted Extensions에서 일반 작업 수행
10. Trusted Extensions의 사용자, 권한 및 역할(개요)
11. Trusted Extensions에서 사용자, 권한 및 역할 관리(작업)
12. Trusted Extensions에서 원격 관리(작업)
13. Trusted Extensions에서 영역 관리
14. Trusted Extensions에서 파일 관리 및 마운트
Trusted Extensions의 네트워크 구성 데이터베이스
Trusted Extensions의 경로 지정 테이블 항목
16. Trusted Extensions에서 네트워크 관리(작업)
17. Trusted Extensions 및 LDAP(개요)
18. Trusted Extensions의 다중 레벨 메일(개요)
20. Trusted Extensions의 장치(개요)
21. Trusted Extensions에 대한 장치 관리(작업)
23. Trusted Extensions에서 소프트웨어 관리
사이트 보안 정책 및 Trusted Extensions
B. Trusted Extensions 구성 점검 목록
C. Trusted Extensions 관리에 대한 빠른 참조
Trusted Extensions에서 확장된 Oracle Solaris 인터페이스
Trusted Extensions의 강화된 보안 기본값
D. Trusted Extensions 매뉴얼 페이지 목록
Trusted Extensions 매뉴얼 페이지(사전순)
Trusted Extensions 시스템에는 원격 호스트의 레이블 등록 정보를 정의하는 데 사용되는 기본 보안 템플리트 세트가 설치됩니다. Trusted Extensions에서는 보안 템플리트를 통해 네트워크의 레이블이 없는 호스트와 레이블이 있는 호스트 모두에 보안 속성이 지정됩니다. 보안 템플리트가 지정되지 않은 호스트는 Trusted Extensions로 구성된 호스트와 통신할 수 없습니다. 템플리트는 로컬에 저장됩니다.
호스트는 IP 주소나 IP 주소 범위로 보안 템플리트에 추가할 수 있습니다. 자세한 내용은 신뢰할 수 있는 네트워크 폴백 방식을 참조하십시오.
호스트 유형마다 추가 필수 및 선택적 보안 속성이 있습니다. 보안 템플리트에서 지정되는 보안 속성은 다음과 같습니다.
호스트 유형 – CALIPSO 또는 CIPSO 보안 레이블을 사용하여 패킷의 레이블을 지정할지 레이블을 아예 지정하지 않을지를 정의합니다.
기본 레이블 – 레이블이 없는 호스트의 신뢰 레벨을 정의합니다. 레이블이 없는 호스트에서 보내는 패킷은 받는 Trusted Extensions 시스템 또는 게이트웨이가 이 레이블에서 읽습니다.
기본 레이블 속성은 호스트 유형 unlabeled에만 한정됩니다. 자세한 내용은 보안 템플리트의 기본 레이블을 참조하십시오.
DOI – DOI를 식별하는 0이 아닌 양의 정수입니다. DOI는 네트워크 통신 또는 네트워크 엔티티에 적용되는 레이블 인코딩 세트를 나타내는 데 사용됩니다. 다른 항목이 동일하더라도 DOI가 다른 레이블은 서로 분리됩니다. unlabeled 호스트의 경우 DOI가 기본 레이블에 적용됩니다. Trusted Extensions에서 기본값은 1입니다.
최소 레이블 – 레이블 승인 범위의 하한을 정의합니다. 호스트 및 다음 홉 게이트웨이가 템플리트에 지정된 최소 레이블보다 낮은 패킷을 받지 않습니다.
최대 레이블 – 레이블 승인 범위의 상한을 정의합니다. 호스트 및 다음 홉 게이트웨이가 템플리트에 지정된 최대 레이블보다 높은 패킷을 받지 않습니다.
보조 레이블 세트 – 선택 사항입니다. 보안 템플리트에 대해 별개의 보안 레이블 세트를 지정합니다. 최대 레이블과 최소 레이블에 의해 결정되는 승인 범위 이외에 보조 레이블 세트와 함께 템플리트에 추가되는 호스트는 레이블 세트의 레이블 중 하나와 일치하는 패킷을 보내고 받을 수 있습니다. 지정할 수 있는 최대 보조 레이블 수는 4개입니다.
Trusted Extensions는 신뢰할 수 있는 네트워크 데이터베이스에서 네 가지 호스트 유형을 지원하고 네 개의 기본 템플리트를 제공합니다.
cipso 호스트 유형 – 레이블이 있는 신뢰할 수 있는 운영 체제를 실행하는 호스트용입니다. 이 호스트 유형은 CALIPSO 및 CIPSO 레이블을 지원합니다.
IPv6의 경우 CALIPSO 프로토콜을 사용하여 IP 옵션 필드로 전달되는 보안 레이블을 지정합니다. IPv4의 경우 CIPSO 프로토콜을 사용합니다. CALIPSO 및 CIPSO 헤더의 레이블은 데이터의 레이블에서 자동으로 파생됩니다. 그런 다음 파생된 레이블은 IP 레벨에서 보안 검사를 수행하고 네트워크 패킷의 레이블을 지정하는 데 사용됩니다.
unlabeled 호스트 유형 – 표준 네트워킹 프로토콜을 사용하지만 레이블이 있는 옵션을 지원하지 않는 호스트용입니다. Trusted Extensions는 이 호스트 유형에 대해 admin_low 템플리트를 제공합니다.
이 호스트 유형은 Oracle Solaris OS 또는 레이블이 없는 다른 운영 체제를 실행하는 호스트에 지정됩니다. 이 호스트 유형은 레이블이 없는 호스트와의 통신에 적용할 기본 레이블을 제공합니다. 또한 패킷을 레이블이 없는 게이트웨이로 보내서 전달할 수 있도록 레이블 범위나 개별 레이블 세트를 지정할 수 있습니다.
adaptive 호스트 유형 – 레이블은 없지만 레이블이 있는 시스템의 특정 네트워크 인터페이스에 패킷을 전송하는 호스트의 서브넷용입니다. 레이블이 있는 시스템에서는 네트워크 인터페이스 기본 레이블을 수신 패킷에 적용됩니다.
이 호스트 유형은 Oracle Solaris OS 또는 다른 레이블이 없는 운영 체제를 실행하고 레이블이 있는 시스템에 데이터를 전송해야 하는 호스트에 지정됩니다. 이 호스트 유형은 기본 레이블을 제공하지 않습니다. 통신 레이블은 수신 시스템의 레이블이 있는 네트워크 인터페이스에서 파생됩니다. 이 호스트 유형은 게이트웨이가 아니라 끝 노드 시스템에 지정됩니다.
adaptive 호스트 유형은 신뢰할 수 있는 네트워크 계획 및 크기 조정을 위한 융통성을 제공합니다. 관리자는 새 시스템의 기본 레이블을 미리 알지 않고도 새 레이블이 없는 시스템으로 네트워크를 확장할 수 있습니다. adaptive 호스트가 netif 호스트에서 레이블이 있는 네트워크 인터페이스로 패킷을 전송하도록 구성된 경우 해당 netif 호스트에서 인터페이스의 기본 레이블은 수신 패킷에 적절한 레이블을 지정합니다.
netif 호스트 유형 – adaptive 호스트에서 특정 네트워크 인터페이스의 패킷을 수신하는 인터페이스를 호스트 이름용입니다. 이 호스트 유형은 Trusted Extensions 시스템의 인터페이스에 지정됩니다. netif 인터페이스의 기본 레이블은 도착하는 패킷에 적용됩니다.
주의 - admin_low 템플리트는 사이트별 레이블로 레이블이 없는 템플리트를 구성하는 예를 제공합니다. admin_low 템플리트는 Trusted Extensions를 설치하는 데 필요하지만 보안 속성은 일반 시스템 작업에 너무 광범위할 수 있습니다. 시스템 유지 보수 및 지원을 위해 제공된 템플리트를 수정하지 않고 그대로 유지하십시오. |
unlabeled 및 netif 호스트 유형에 대한 템플리트는 기본 레이블을 지정합니다. 이 레이블은 운영 체제에서 레이블을 인식하지 못하는 호스트(예: Oracle Solaris 시스템)와의 통신을 제어하는 데 사용됩니다. 지정되는 기본 레이블은 호스트와 해당 사용자에 적합한 신뢰 레벨을 반영합니다.
레이블이 없는 호스트와의 통신은 기본 레이블로 제한되기 때문에 이러한 호스트를 단일 레이블 호스트라고도 합니다. 이러한 호스트를 “단일 레이블”이라고 하는 기술적인 이유는 이러한 호스트에 admin_high 및 admin_low 레이블이 없기 때문입니다.
동일한 DOI(Domain of Interpretation)를 사용하는 조직 간에는 레이블 정보와 기타 보안 속성을 동일한 방법으로 해석한다는 동의가 있습니다. Trusted Extensions에서 레이블 비교를 수행할 때 DOI가 같은지 여부를 검사합니다.
Trusted Extensions 시스템에서는 하나의 DOI 값에 레이블 정책을 적용합니다. Trusted Extensions 시스템의 모든 영역이 동일한 DOI에서 작동해야 합니다. Trusted Extensions 시스템은 다른 DOI를 사용하는 시스템에서 받은 패킷에 대한 예외 처리를 제공하지 않습니다.
사이트에서 기본값과 다른 DOI 값을 사용하는 경우 DOI(Domain of Interpretation)를 구성하는 방법에 설명된 대로 모든 보안 템플리트에서 이 값을 사용해야 합니다.
최소 레이블 및 최대 레이블 속성은 레이블이 있는 호스트와 레이블이 없는 호스트에 대한 레이블 범위를 설정하는 데 사용됩니다. 이러한 속성을 사용하여 다음을 수행할 수 있습니다.
호스트가 원격 레이블이 있는 호스트와 통신할 때 사용할 수 있는 레이블 범위 설정
패킷을 대상 호스트로 보내려면 패킷의 레이블이 대상 호스트의 보안 템플리트에 지정된 레이블 범위에 속해야 합니다.
레이블이 있는 게이트웨이 또는 레이블이 없는 게이트웨이를 통해 전달되는 패킷에 대한 레이블 범위 설정
레이블이 없는 호스트 유형에 대한 템플리트에 레이블 범위를 지정할 수 있습니다. 레이블 범위를 사용하면 호스트에서 호스트 레이블에 없어도 되지만 지정된 레이블 범위 내에 있는 패킷을 전달할 수 있습니다.
보조 레이블 세트는 원격 호스트에서 패킷을 수락, 전달 또는 전송할 수 있는 4개 이하의 개별 레이블을 정의합니다. 이 속성은 선택 사항입니다. 기본적으로 보조 레이블 세트는 정의되어 있지 않습니다.