탐색 링크 건너뛰기 | |
인쇄 보기 종료 | |
Trusted Extensions 구성 및 관리 Oracle Solaris 11.1 Information Library (한국어) |
3. Oracle Solaris에 Trusted Extensions 기능 추가(작업)
5. Trusted Extensions에 대해 LDAP 구성(작업)
8. Trusted Extensions 시스템의 보안 요구 사항(개요)
9. Trusted Extensions에서 일반 작업 수행
10. Trusted Extensions의 사용자, 권한 및 역할(개요)
11. Trusted Extensions에서 사용자, 권한 및 역할 관리(작업)
12. Trusted Extensions에서 원격 관리(작업)
13. Trusted Extensions에서 영역 관리
14. Trusted Extensions에서 파일 관리 및 마운트
Trusted Extensions의 네트워크 보안 속성
Trusted Extensions의 경로 지정 테이블 항목
16. Trusted Extensions에서 네트워크 관리(작업)
17. Trusted Extensions 및 LDAP(개요)
18. Trusted Extensions의 다중 레벨 메일(개요)
20. Trusted Extensions의 장치(개요)
21. Trusted Extensions에 대한 장치 관리(작업)
23. Trusted Extensions에서 소프트웨어 관리
사이트 보안 정책 및 Trusted Extensions
B. Trusted Extensions 구성 점검 목록
C. Trusted Extensions 관리에 대한 빠른 참조
Trusted Extensions에서 확장된 Oracle Solaris 인터페이스
Trusted Extensions의 강화된 보안 기본값
D. Trusted Extensions 매뉴얼 페이지 목록
Trusted Extensions 매뉴얼 페이지(사전순)
Trusted Extensions는 영역, 호스트 및 네트워크에 보안 속성을 지정합니다. 이러한 속성은 네트워크에 다음과 같은 보안 기능이 적용되도록 합니다.
네트워크 통신에서 데이터의 레이블이 적절히 지정됩니다.
로컬 네트워크를 통해 데이터를 보내거나 받을 때 그리고 파일 시스템을 마운트할 때 MAC(필수 액세스 제어) 규칙이 적용됩니다.
원거리 네트워크로 데이터를 경로 지정할 때 MAC 규칙이 적용됩니다.
영역으로 데이터를 경로 지정할 때 MAC 규칙이 적용됩니다.
Trusted Extensions에서 네트워크 패킷은 MAC로 보호됩니다. 레이블은 MAC 결정에 사용됩니다. 민감도 레이블에 따라 데이터의 레이블이 명시적 또는 암시적으로 지정됩니다. 레이블에는 ID 필드, 분류 또는 "레벨" 필드 및 구획 또는 "범주" 필드가 있습니다. 데이터는 승인 검사를 통과해야 합니다. 이 검사에서는 레이블이 올바른 형식이고 받는 호스트의 승인 범위 내에 있는지 확인합니다. 받는 호스트의 승인 범위 내에 있는 올바른 형식의 패킷은 액세스가 승인됩니다.
신뢰할 수 있는 시스템 간에 교환되는 IP 패킷에는 레이블을 지정할 수 있습니다. 패킷의 레이블은 IP 패킷을 분류, 분리 및 경로 지정하는 데 사용됩니다. 경로 지정 결정에서는 데이터의 민감도 레이블을 대상 레이블과 비교합니다.
Trusted Extensions에서는 IPv4 및 IPv6 패킷의 레이블을 지원합니다.
IPv4 패킷의 경우 Trusted Extensions는 CIPSO(Commercial IP Security Option) 레이블을 지원합니다.
IPv6 패킷의 경우 Trusted Extensions는 CALIPSO(Common Architecture Label IPv6 Security Option) 레이블을 지원합니다.
IPv6 CIPSO 네트워크의 시스템과 상호 운영해야 하는 경우 Trusted Extensions에서 IPv6 CIPSO 네트워크를 구성하는 방법을 참조하십시오.
일반적으로 신뢰할 수 있는 네트워크에서 레이블은 전송 호스트에 의해 생성되고 받는 호스트에 의해 처리됩니다. 또한 신뢰할 수 있는 라우터는 신뢰할 수 있는 네트워크에서 패킷을 전달하는 동안 레이블을 추가하거나 제거할 수 있습니다. 민감도 레이블은 전송하기 전에 CALIPSO 또는 CIPSO 레이블에 매핑됩니다. 이 레이블은 IP 패킷에 포함되므로 IP 패킷은 레이블이 있는 패킷이 됩니다. 일반적으로 패킷을 보낸 사람과 받는 사람은 동일한 레이블에서 작업합니다.
신뢰할 수 있는 네트워킹 소프트웨어는 주체(프로세스)와 객체(데이터)가 서로 다른 호스트에 있는 경우 Trusted Extensions 보안 정책이 적용되도록 합니다. Trusted Extensions 네트워킹은 분산된 응용 프로그램 전체에서 MAC를 유지합니다.
Trusted Extensions 데이터 패킷은 레이블 옵션을 포함합니다. CIPSO 데이터 패킷은 IPv4 네트워크를 통해 전송됩니다. CALIPSO 패킷은 IPv6 네트워크를 통해 전송됩니다.
표준 IPv4 형식에서는 IPv4 헤더와 옵션, TCP, UDP 또는 SCTP 헤더, 실제 데이터의 순서로 표시됩니다. Trusted Extensions 버전의 IPv4 패킷에서는 보안 속성에 대한 IP 헤더에 CIPSO 옵션을 사용합니다.
표준 IPv6 형식에서는 옵션이 포함된 IPv6 헤더 다음에 TCP, UDP 또는 SCTP 헤더와 실제 데이터가 순서대로 표시됩니다. Trusted Extensions 버전의 IPv6 패킷에서는 보안 속성에 대한 IP 헤더에 CALIPSO 옵션을 사용합니다.
Trusted Extensions는 LAN 내의 멀티캐스트 패킷에 레이블을 추가할 수 있습니다. 이 기능을 사용하면 동일한 레이블 또는 멀티캐스트 패킷의 레이블 범위 내에서 작동되는 CIPSO 또는 CALIPSO 시스템에 레이블이 있는 멀티캐스트 패킷을 전송할 수 있습니다. 이기종 LAN 즉, 레이블이 있는 호스트와 레이블이 없는 호스트가 모두 있는 LAN에서 멀티캐스트는 멀티캐스트 그룹의 구성원을 확인할 수 없습니다.
주의 - 이기종 LAN에서 레이블이 있는 멀티캐스트 패킷을 전송하지 마십시오. 레이블이 있는 정보가 누출될 수 있습니다. |
Trusted Extensions는 신뢰할 수 있는 네트워크에서 레이블이 있는 호스트와 레이블이 없는 호스트를 지원합니다. txzonemgr GUI 및 tncfg 명령이 네트워크를 구성하는 데 사용됩니다.
Trusted Extensions 소프트웨어를 실행하는 시스템은 Trusted Extensions 시스템과 다음 유형의 호스트 간 네트워크 통신을 지원합니다.
Trusted Extensions를 실행 중인 다른 호스트
보안 속성을 인식하지 않지만 TCP/IP를 지원하는 운영 체제를 실행 중인 호스트(예: Oracle Solaris 시스템), 기타 UNIX 시스템, Microsoft Windows 및 Macintosh OS 시스템
IPv4 패킷의 CIPSO 레이블 및 IPv6 패킷의 CALIPSO 레이블을 인식하는 다른 신뢰할 수 있는 운영 체제를 실행 중인 호스트
Oracle Solaris OS에서와 마찬가지로 이름 지정 서비스를 통해 Trusted Extensions 네트워크 통신과 서비스를 관리할 수 있습니다. Trusted Extensions는 Oracle Solaris 네트워크 인터페이스에 다음과 같은 인터페이스를 추가합니다.
Trusted Extensions는 신뢰할 수 있는 네트워크 관리를 위한 명령을 추가하고 GUI를 제공합니다. 또한 Trusted Extensions는 Oracle Solaris 네트워크 명령에 대한 옵션을 추가합니다. 이러한 명령에 대한 자세한 내용은 Trusted Extensions의 네트워크 명령을 참조하십시오.
인터페이스는 tnzonecfg, tnrhdb 및 tnrhtp의 세 Trusted Extensions 네트워크 구성 데이터베이스를 관리합니다. 자세한 내용은 Trusted Extensions의 네트워크 구성 데이터베이스를 참조하십시오.
Trusted Extensions는 tnrhtp 및 tnrhdb 데이터베이스를 이름 지정 서비스 스위치 SMF 서비스의 등록 정보 svc:/system/name-service/switch에 추가합니다.
제1부, Trusted Extensions의 초기 구성에서는 네트워크를 구성할 때 영역 및 호스트를 정의하는 방법을 설명합니다. 추가 절차는 16 장Trusted Extensions에서 네트워크 관리(작업)를 참조하십시오.
Trusted Extensions는 IKE 구성 파일 /etc/inet/ike/config를 확장합니다. 자세한 내용은 레이블이 있는 IPsec 관리 및 ike.config(4) 매뉴얼 페이지를 참조하십시오.
Trusted Extensions는 신뢰할 수 있는 네트워킹을 관리하는 다음 명령을 추가합니다.
tncfg – 이 명령은 Trusted Extensions 네트워크의 구성을 만들고 수정하며 표시합니다. tncfg -t 명령은 지정된 보안 템플리트를 보거나 만들거나 수정하는 데 사용됩니다. tncfg -z 명령은 지정된 영역의 네트워크 등록 정보를 보거나 수정하는 데 사용됩니다. 자세한 내용은 tncfg(1M) 매뉴얼 페이지를 참조하십시오.
tnchkdb – 이 명령은 신뢰할 수 있는 네트워크 데이터베이스의 정확성을 확인하는 데 사용됩니다. tnchkdb 명령은 txzonemgr 또는 tncfg 명령을 사용하여 보안 템플리트(tnrhtp), 보안 템플리트 지정( tnrhdb) 또는 영역 구성(tnzonecfg)을 변경할 때마다 호출됩니다. 자세한 내용은 tnchkdb(1M) 매뉴얼 페이지를 참조하십시오.
tnctl – 이 명령을 사용하여 커널에서 신뢰할 수 있는 네트워크 정보를 업데이트할 수 있습니다. tnctl은 시스템 서비스이기도 합니다. svcadm restart /network/tnctl 명령으로 다시 시작하면 로컬 시스템의 신뢰할 수 있는 네트워크 데이터베이스에서 커널 캐시를 새로 고쳐집니다. 자세한 내용은 tnctl(1M) 매뉴얼 페이지를 참조하십시오.
tnd – 이 데몬은 LDAP 디렉토리 및 로컬 파일에서 tnrhdb 및 tnrhtp 정보를 끌어옵니다. 검색 순서는 name-service/switch SMF 서비스가 결정합니다. 부팅하는 동안 svc:/network/tnd 서비스에 의해 tnd 데몬이 시작됩니다. 이 서비스는 svc:/network/ldap/client에 종속됩니다.
LDAP 네트워크에서 tnd 명령은 폴링 간격을 변경하거나 디버깅하는 데도 사용될 수 있습니다. 자세한 내용은 tnd(1M) 매뉴얼 페이지를 참조하십시오.
tninfo – 이 명령은 신뢰할 수 있는 네트워크 커널 캐시의 현재 상태에 대한 세부 정보를 표시합니다. 호스트 이름, 영역 또는 보안 템플리트별로 출력을 필터링할 수 있습니다. 자세한 내용은 tninfo(1M) 매뉴얼 페이지를 참조하십시오.
Trusted Extensions는 다음 Oracle Solaris 네트워크 명령에 옵션을 추가합니다.
ipadm – all-zones 주소 등록 정보는 지정된 인터페이스를 시스템의 모든 영역에서 사용할 수 있도록 합니다. 데이터에 연결된 레이블에 따라 데이터를 전달할 적절한 영역이 결정됩니다. 자세한 내용은 ipadm(1M) 매뉴얼 페이지를 참조하십시오.
netstat – -R 옵션은 Oracle Solaris netstat 사용을 확장하여 경로 지정 테이블 항목 및 다중 레벨 소켓에 대한 보안 속성 등의 Trusted Extensions 관련 정보를 표시합니다. 확장된 보안 속성에는 소켓이 한 영역에 특정한지 아니면 여러 영역에서 사용 가능한지와 피어의 레이블이 포함됩니다. 자세한 내용은 netstat(1M) 매뉴얼 페이지를 참조하십시오.
route – -secattr 옵션은 Oracle Solaris route 사용을 확장하여 경로의 보안 속성을 표시합니다. 옵션 값의 형식은 다음과 같습니다.
min_sl=label,max_sl=label,doi=integer,cipso
cipso 키워드는 선택 사항이며 기본적으로 설정됩니다. 자세한 내용은 route(1M) 매뉴얼 페이지를 참조하십시오.
snoop – Oracle Solaris에서와 마찬가지로 이 명령에 대한 -v 옵션을 사용하여 IP 헤더를 자세히 표시할 수 있습니다. Trusted Extensions에서는 헤더에 레이블 정보가 포함됩니다.
ipseckey – Trusted Extensions에서 IPsec로 보호된 패킷에 레이블을 지정하는 데 label label, outer-label label 및 implicit-label label 확장을 사용할 수 있습니다. 자세한 내용은 ipseckey(1M) 매뉴얼 페이지를 참조하십시오.
Trusted Extensions는 네트워크 구성 데이터베이스를 커널로 로드합니다. 이러한 데이터베이스는 호스트 간에 데이터를 전송할 때 승인 검사에 사용됩니다.
tnzonecfg – 이 로컬 데이터베이스는 보안과 관련된 영역 속성을 저장합니다. tncfg 명령은 이 데이터베이스에 액세스하고 수정하기 위한 인터페이스입니다.
각 영역에 대한 속성은 영역 레이블과 단일 레벨 및 다중 레벨 호스트에 대한 영역의 액세스 권한을 지정합니다. 다른 속성은 ping과 같은 제어 메시지에 대한 응답을 처리합니다. 영역에 대한 레이블은 label_encodings 파일에 정의되어 있습니다. 자세한 내용은 label_encodings(4) 매뉴얼 페이지를 참조하십시오. 다중 레벨 포트에 대한 자세한 내용은 영역 및 다중 레벨 포트를 참조하십시오.
tnrhtp – 이 데이터베이스는 호스트 및 게이트웨이의 보안 속성을 설명하는 템플리트를 저장합니다. tncfg 명령은 이 데이터베이스에 액세스하고 수정하기 위한 인터페이스입니다.
호스트와 게이트웨이는 트래픽을 전송할 때 대상 호스트와 다음 홉 게이트웨이의 속성을 사용하여 MAC를 적용합니다. 트래픽을 받을 때는 보낸 사람의 속성을 사용합니다. 그러나 적응형 호스트가 발신자인 경우 수신 네트워크 인터페이스는 수신 패킷에 기본 레이블을 지정합니다. 보안 속성에 대한 자세한 내용은 Trusted Extensions의 네트워크 보안 속성을 참조하십시오.
tnrhdb – 이 데이터베이스는 이 시스템과 통신할 수 있는 모든 호스트에 해당하는 IP 주소 및 IP 주소 범위를 포함합니다. tncfg 명령은 이 데이터베이스에 액세스하고 수정하기 위한 인터페이스입니다.
각 호스트 또는 IP 주소에는 tnrhtp 데이터베이스의 보안 템플리트가 지정됩니다. 템플리트의 속성은 지정된 호스트의 속성을 정의합니다.
Trusted Extensions에서 네트워크 관리는 보안 템플리트를 기반으로 합니다. 보안 템플리트는 동일한 프로토콜과 보안 속성을 가지는 호스트 세트를 설명합니다.
보안 속성은 템플리트를 통해 원격 시스템인 호스트 및 라우터 모두에 관리용으로 지정됩니다. 보안 관리자는 템플리트를 관리하고 원격 시스템에 지정합니다. 원격 시스템에 템플리트가 지정되지 않으면 해당 시스템과 통신이 허용되지 않습니다.
템플리트마다 이름이 있으며 다음을 포함합니다.
네 가지 호스트 유형(unlabeled, cipso, adaptive 또는 netif) 중 하나. 네트워크 통신에 사용되는 프로토콜은 템플리트의 호스트 유형에 의해 결정됩니다. 자세한 내용은 보안 템플리트의 호스트 유형 및 템플리트 이름을 참조하십시오.
각 호스트 유형에 적용되는 보안 속성 세트.
자세한 내용은 Trusted Extensions의 네트워크 보안 속성을 참조하십시오.