トラステッドネットワークデータベースの構成 (タスクマップ)

Trusted Extensions ソフトウェアには、tnrhtp および tnrhdb データベースが含まれています。これらのデータベースが、システムに接続するリモートホストにラベルを提供します。Solaris 管理コンソールには、これらのデータベースの管理に使用する GUI が用意されています。

次のタスクマップでは、セキュリティーテンプレートを作成し、それらをホストに適用するためのタスクについて説明します。

サイト固有のセキュリティーテンプレートが必要かどうかを判断する

始める前に

大域ゾーンでセキュリティー管理者役割になります。

1. Trusted Extensions のテンプレートを十分に理解します。

   ローカルホストにある tnrhtp ファイルをお読みください。ファイル内のコメントが役に立ちます。セキュリティー属性値は、Solaris 管理コンソールの「セキュリティーテンプレート」ツールでも確認できます。

   • デフォルトのテンプレートは、どのインストールにも一致します。各テンプレートのラベル範囲は、ADMIN_LOW から ADMIN_HIGH までです。

   • cipso テンプレートでは、DOI が 1 である CIPSO ホストタイプが定義されます。テンプレートのラベル範囲は、ADMIN_LOW から ADMIN_HIGH までです。

   • admin_low テンプレートでは、DOI が 1 であるラベルなしホストが定義されます。テンプレートのデフォルトラベルは ADMIN_LOW です。テンプレートのラベル範囲は、ADMIN_LOW から ADMIN_HIGH までです。デフォルト構成では、アドレス 0.0.0.0 がこのテンプレートに割り当てられます。したがって、CIPSO 以外のすべてのホストは、ADMIN_LOW のセキュリティーラベルで動作するホストとして扱われます。

2. デフォルトのテンプレートを確保しておきます。

   サポートの目的上、デフォルトのテンプレートは削除したり修正したりしないでください。これらのデフォルトのテンプレートが割り当てられているホストは変更できます。例については、「トラステッドネットワーク上で接続できるホストを制限する」を参照してください。

3. 次のいずれかの操作が必要な場合は、新しいテンプレートを作成します。

   • ホスト、またはホストのグループのラベル範囲を制限します。

   • シングルラベルホストを作成します。

   • 複数の個別のラベルを認識するホストを作成します。

   • 1 以外の DOI を使用します。

   • ADMIN_LOW でないラベルなしホストにデフォルトのラベルを要求します。

   詳細は、「リモートホストテンプレートを構築する」を参照してください。

トラステッドネットワーキングのツールを開く

始める前に

ネットワークセキュリティーを修正できる役割で、大域ゾーンにいる必要があります。たとえば、Information Security または Network Security の権利プロファイルを割り当てられた役割は、セキュリティー設定を修正することができます。セキュリティー管理者役割には、これらのプロファイルが含まれています。

LDAP ツールボックスを使用する場合は、『Trusted Extensions Configuration Guide』の「Configuring the Solaris Management Console for LDAP (Task Map)」を完了しておいてください。

1. Solaris 管理コンソール を起動します。

   詳細については、『Trusted Extensions Configuration Guide』の「Initialize the Solaris Management Console Server in Trusted Extensions」を参照してください。

2. 適切なツールを使用します。

   • テンプレートを修正するには、「セキュリティーテンプレート」ツールを使用します。

     現在定義されているすべてのテンプレートが右側のペインに表示されます。テンプレートを選択または作成すると、左側のペインでオンラインヘルプを使用できます。

   • テンプレートにホストを割り当てるには、「セキュリティーテンプレート」ツールを使用します。

   • テンプレートに割り当て可能なホストを作成するには、「コンピュータとネットワーク」ツールを使用します。

   • ゾーンにラベルを割り当てるには、「トラステッドネットワークゾーン」ツールを使用します。Trusted Extensions のゾーンについては、第 10 章Trusted Extensions でのゾーンの管理 (タスク)を参照してください。

リモートホストテンプレートを構築する

始める前に

ネットワークセキュリティーを修正できる役割で、大域ゾーンにいる必要があります。たとえば、Information Security または Network Security の権利プロファイルを割り当てられた役割は、セキュリティー設定を修正することができます。セキュリティー管理者役割には、これらのプロファイルが含まれています。

1. Solaris 管理コンソールで、「セキュリティーテンプレート」ツールを開きます。

   詳細な手順については、「トラステッドネットワーキングのツールを開く」を参照してください。

2. 「コンピュータとネットワーク」の下の「セキュリティーテンプレート」をダブルクリックします。

   既存のテンプレートは、「表示」ペインに表示されます。これらのテンプレートには、このシステムが接続できるホストのセキュリティー属性が記述されています。このようなホストには、Trusted Extensions を実行している CIPSO ホストや、ラベルなしホストがあります。

3. cipso テンプレートを調べます。

   このテンプレートがすでに割り当てられているホストとネットワークを表示します。

4. admin_low テンプレートを調べます。

   このテンプレートがすでに割り当てられているホストとネットワークを表示します。

5. テンプレートを作成します。

   用意されているテンプレートで、このシステムと通信できるホストに関する記述が不十分な場合、「アクション」メニューから「テンプレートの追加」を選択します。

   詳細はオンラインヘルプを参照してください。ホストをテンプレートに割り当てる前に、サイトで必要なテンプレートをすべて作成します。

6. (省略可能) デフォルトのテンプレートでない既存のテンプレートを修正します。

   テンプレートをダブルクリックします。詳細はオンラインヘルプを参照してください。割り当てられているホストまたはネットワークを変更することができます。

例 13-1 異なる DOI 値を持つセキュリティーテンプレートの作成

この例では、セキュリティー管理者のネットワークに、1 以外の値を持つ DOI が含まれています。最初にシステムを構成したチームは、『Trusted Extensions Configuration Guide』の「Configure the Domain of Interpretation」を完了しています。

最初に、セキュリティー管理者が /etc/system ファイルに含まれる DOI の値を確認します。

# grep doi /etc/system
set default_doi = 4

次に、「セキュリティーテンプレート」ツールで、管理者がテンプレートを作成するたびに、doi の値が 4 に設定されます。例 13-2 で説明されているシングルラベルシステムの場合、セキュリティー管理者は次のテンプレートを作成します。

template: CIPSO_PUBLIC
host_type: CIPSO
doi: 4
min_sl: PUBLIC
max_sl: PUBLIC

例 13-2 シングルラベルを持つセキュリティーテンプレートの作成

この例では、セキュリティー管理者が、シングルラベル PUBLIC でのみパケットを通過させることのできるゲートウェイを作成します。管理者は、Solaris 管理コンソールの「セキュリティーテンプレート」ツールを使用して、テンプレートを作成し、ゲートウェイホストをテンプレートに割り当てます。

最初に、ゲートウェイホストと IP アドレスが、「コンピュータとネットワーク」ツールに追加されます。

gateway-1
192.168.131.75

次に、テンプレートが「セキュリティーテンプレート」ツールで作成されます。  テンプレート内の値は次のとおりです。

template: CIPSO_PUBLIC
host_type: CIPSO
doi: 1
min_sl: PUBLIC
max_sl: PUBLIC

ツールで、PUBLIC の 16 進値 0X0002-08-08 が提供されます。

最後に、gateway-1 のホストは、その名前と IP アドレスでテンプレートに割り当てられます。

gateway-1
192.168.131.75

ローカルホストで、tnrhtp エントリが次のようになります。

cipso_public:host_type=cipso;doi=1;min_sl=0X0002-08-08;max_sl=0X0002-08-08;

ローカルホストで、tnrhdb エントリが次のようになります。

# gateway-1
192.168.131.75:cipso_public

例 13-3 ラベルなしルーター用のセキュリティーテンプレートの作成

IP ルーターは、明示的にラベルをサポートしていない場合でも、CIPSO ラベルの付いたメッセージを転送することができます。このようなラベルなしルーターには、ルーターへの接続 (多くの場合ルーター管理のため) を処理するレベルを定義するデフォルトラベルが必要です。この例では、セキュリティー管理者が、任意のラベルでトラフィックを転送できるルーターを作成しますが、ルーターとの直接の通信はデフォルトラベル PUBLIC で処理されます。

Solaris 管理コンソールで、管理者がテンプレートを作成し、ゲートウェイホストをテンプレートに割り当てます。

最初に、ルーターとその IP アドレスが、「コンピュータとネットワーク」ツールに追加されます。

router-1
192.168.131.82

次に、テンプレートが「セキュリティーテンプレート」ツールで作成されます。テンプレート内の値は次のとおりです。

Template Name: UNL_PUBLIC
Host Type: UNLABELED
DOI: 1
Default Label: PUBLIC
Minimum Label: ADMIN_LOW
Maximum Label: ADMIN_HIGH

ツールで、ラベルの 16 進値が提供されます。

最後に、router-1 のルーターは、その名前と IP アドレスでテンプレートに割り当てられます。

router-1
192.168.131.82

例 13-4 制限されたラベル範囲を持つセキュリティーテンプレートの作成

この例では、セキュリティー管理者が、パケットを狭いラベル範囲に制限するゲートウェイを作成します。Solaris 管理コンソールで、管理者がテンプレートを作成し、ゲートウェイホストをテンプレートに割り当てます。

最初に、ホストとその IP アドレスが、「コンピュータとネットワーク」ツールに追加されます。

gateway-ir
192.168.131.78

次に、テンプレートが「セキュリティーテンプレート」ツールで作成されます。テンプレート内の値は次のとおりです。

Template Name: CIPSO_IUO_RSTRCT
Host Type: CIPSO
DOI: 1
Minimum Label: CONFIDENTIAL : INTERNAL USE ONLY
Maximum Label: CONFIDENTIAL : RESTRICTED

ツールで、ラベルの 16 進値が提供されます。

最後に、gateway-ir のゲートウェイは、その名前と IP アドレスでテンプレートに割り当てられます。

gateway-ir
192.168.131.78

例 13-5 セキュリティーラベルセットを持つセキュリティーテンプレートの作成

この例では、セキュリティー管理者が、2 つのラベルのみを認識するセキュリティーテンプレートを作成します。Solaris 管理コンソールで、管理者がテンプレートを作成し、ゲートウェイホストをテンプレートに割り当てます。

最初に、このテンプレートを使用する各ホストと IP アドレスが、「コンピュータとネットワーク」ツールに追加されます。

host-slset1
192.168.132.21

host-slset2
192.168.132.22

host-slset3
192.168.132.23

host-slset4
192.168.132.24

次に、テンプレートが「セキュリティーテンプレート」ツールで作成されます。テンプレート内の値は次のとおりです。

Template Name: CIPSO_PUB_RSTRCT
Host Type: CIPSO
DOI: 1
Minimum Label: PUBLIC
Maximum Label: CONFIDENTIAL : RESTRICTED
SL Set: PUBLIC, CONFIDENTIAL : RESTRICTED

ツールで、ラベルの 16 進値が提供されます。

最後に、IP アドレスの範囲をテンプレートに割り当てるには、「ワイルドカード」ボタンと接頭辞を使用します。

192.168.132.0/17

例 13-6 ラベル PUBLIC でのラベルなしテンプレートの作成

この例で、セキュリティー管理者は Oracle Solaris システムのサブネットワークに、トラステッドネットワークの PUBLIC ラベルを付けることを許可します。テンプレートには次の値があります。

Template Name: public
Host Type: Unlabeled
Default Label: Public
Minimum Label: Public
Maximum Label: Public
DOI: 1

Wildcard Entry: 10.10.0.0
Prefix: 16

10.10.0.0 サブネットワーク上のすべてのシステムは、PUBLIC ラベルで処理されます。

例 13-7 開発者用のラベル付きテンプレートの作成

この例では、セキュリティー管理者が SANDBOX テンプレートを作成します。このテンプレートは、トラステッドソフトウェアの開発者が使うシステムに割り当てられます。このテンプレートを割り当てられた 2 つのシステムでは、ラベル付きプログラムを作成およびテストします。ただし、そのテストでほかのラベル付きシステムが影響を受けることはありません。SANDBOX ラベルはネットワーク上のほかのラベルから独立しているからです。

Template Name: cipso_sandbox
Host Type: CIPSO
Minimum Label: SANDBOX
Maximum Label: SANDBOX
DOI: 1

Hostname: DevMachine1
IP Address: 196.168.129.129

Hostname: DevMachine2
IP Address: 196.168.129.102

これらのシステムを使用する開発者は、SANDBOX ラベルで相互に通信できます。

システムの既知のネットワークにホストを追加する

Solaris 管理コンソール の「コンピュータ」ツールは、Oracle Solaris OS の「コンピュータ」ツールと同じです。この手順は、利便性を考慮して記載されています。ホストが既知になったら、ホストをセキュリティーテンプレートに割り当てます。

始める前に

ネットワークを管理できる管理者である必要があります。たとえば、Network Management または System Administrator の権利プロファイルを持つ役割が、ネットワークを管理できます。

1. Solaris 管理コンソールで、「コンピュータ」ツールを開きます。

   詳細は、「トラステッドネットワーキングのツールを開く」を参照してください。

2. 「コンピュータ」ツールで、ネットワーク上のすべてのコンピュータを表示することを確定します。
3. このシステムが接続できるホストを追加します。

   静的ルーターや監査サーバーなど、このシステムが接続する可能性のあるホストをすべて追加する必要があります。

   1. 「アクション」メニューから「コンピュータの追加」を選択します。
   2. 名前と IP アドレスでホストを指定します。
   3. (省略可能) ホストに関する追加情報を入力します。
   4. 「適用」をクリックしてホストを追加します。
   5. 入力が完了したら、「了解」をクリックします。
4. このシステムが接続できるホストのグループを追加します。

   オンラインヘルプに従い、ネットワーク IP アドレスを使用して、ホストのグループを追加します。

セキュリティーテンプレートをホストまたはホストのグループに割り当てる

始める前に

大域ゾーンでセキュリティー管理者役割になります。

テンプレートに割り当てるホストはすべて、「コンピュータとネットワーク」ツールに存在する必要があります。詳細は、「システムの既知のネットワークにホストを追加する」を参照してください。

1. Solaris 管理コンソールで、「セキュリティーテンプレート」ツールを開きます。

   詳細は、「トラステッドネットワーキングのツールを開く」を参照してください。

2. 適切なテンプレート名をダブルクリックします。
3. 「テンプレートに割り当てるホスト」タブをクリックします。
4. 1 つのホストにテンプレートを割り当てるには、次のようにします。
   1. 「ホスト名」フィールドにホストの名前を入力します。
   2. 「IP アドレス」フィールドにホストのアドレスを入力します。
   3. 「追加」ボタンをクリックします。
   4. 「了解」をクリックして変更を保存します。
5. アドレスが連続しているホストのグループにテンプレートを割り当てるには、次のようにします。
   1. 「ワイルドカード」をクリックします。
   2. 「IP アドレス」フィールドに IP アドレスを入力します。
   3. 「プレフィックス」フィールドに、連続するアドレスのグループを表す接頭辞を入力します。
   4. 「追加」ボタンをクリックします。
   5. 「了解」をクリックして変更を保存します。

例 13-8 ワイルドカードエントリとして IPv4 ネットワークを追加

この例では、セキュリティー管理者が複数の IPv4 サブネットワークを、同じセキュリティーテンプレートに割り当てます。「テンプレートに割り当てるホスト」タブで、管理者は次のワイルドカードエントリを追加します。

IP Address: 192.168.113.0
IP address: 192.168.75.0

例 13-9 ワイルドカードエントリとして IPv4 ホストのリストを追加

次の例では、セキュリティー管理者が、オクテット境界にない連続 IPv4 アドレスを、同じセキュリティーテンプレートに割り当てます。「テンプレートに割り当てるホスト」タブで、管理者は次のワイルドカードエントリを追加します。

IP Address: 192.168.113.100
Prefix Length: 25

このワイルドカードエントリは、192.168.113.0 から 192.168.113.127 までのアドレス範囲をカバーします。このアドレスには、192.168.113.100 が含まれます。

例 13-10 ワイルドカードエントリとして IPv6 ホストのリストを追加

この例では、セキュリティー管理者が連続する IPv6 アドレスを、同じセキュリティーテンプレートに割り当てます。「テンプレートに割り当てるホスト」タブで、管理者は次のワイルドカードエントリを追加します。

IP Address: 2001:a08:3903:200::0
Prefix Length: 56

このワイルドカードエントリは、2001:a08:3903:200::0 から 2001:a08:3903:2ff:ffff:ffff:ffff:ffff までのアドレス範囲をカバーします。このアドレスには、2001:a08:3903:201:20e:cff:fe08:58c が含まれます。

トラステッドネットワーク上で接続できるホストを制限する

この手順では、任意のラベルなしホストによる接続から、ラベル付きホストを保護します。Trusted Extensions をインストールする場合、このデフォルトのテンプレートでネットワーク上のすべてのホストが定義されます。この手順を使って、特定のラベルなしホストを列挙します。

各システム上のローカルの tnrhdb ファイルは、ブート時のネットワーク接続に使用されます。デフォルトでは、CIPSO テンプレートで提供されない各ホストはadmin_low テンプレートで定義されます。このテンプレートは、ほかで定義されていない各システム ( 0.0.0.0) を、admin_low のデフォルトラベルでラベルなしシステムとして割り当てます。

---

注意 - デフォルトの admin_low テンプレートは、Trusted Extensions ネットワークでセキュリティー上のリスクになる場合があります。サイトのセキュリティーに強い保護が必要な場合、セキュリティー管理者はシステムのインストール後に 0.0.0.0 ワイルドカードエントリを削除することができます。このエントリは、ブート時にシステムが接続する各ホストのエントリに置き換える必要があります。 たとえば、0.0.0.0 ワイルドカードエントリを削除したあとに、DNS サーバー、ホームディレクトリサーバー、監査サーバー、ブロードキャストおよびマルチキャストアドレス、およびルーターがローカルの tnrhdb ファイルになければなりません。 アプリケーションが最初にクライアントをホストアドレス 0.0.0.0 で認識する場合には、0.0.0.0/32:admin_low というホストエントリを tnrhdb データベースに追加する必要があります。たとえば、潜在的な Sun Ray クライアントからの初期接続リクエストを受信するには、Sun Ray サーバーにこのエントリが含まれている必要があります。すると、サーバーはクライアントを認識したとき、クライアントに IP アドレスを付与して、クライアントを CIPSO クライアントとして接続します。

---

始める前に

大域ゾーンでセキュリティー管理者役割になります。

ブート時に接続されるすべてのホストは、「コンピュータとネットワーク」ツールに存在している必要があります。

1. Solaris 管理コンソールのファイルの有効範囲で、「セキュリティーテンプレート」ツールを開きます。

   ファイルの有効範囲は、ブート中にシステムを保護します。「セキュリティーテンプレート」ツールへのアクセスについては、「トラステッドネットワーキングのツールを開く」を参照してください。

2. admin_low テンプレートに割り当てられているホストを修正します。
   1. admin_low テンプレートをダブルクリックします。

      追加される各ホストには、ラベル ADMIN_LOW でブート中に接続できます。

   2. 「テンプレートに割り当てるホスト」タブをクリックします。

      追加される各ホストには、ラベル ADMIN_LOW でブート中に接続できます。

   3. ブート時に接続する必要のある各ラベルなしホストを追加します。

      詳細は、「セキュリティーテンプレートをホストまたはホストのグループに割り当てる」を参照してください。

      このホストが通信時に経由する必要のある、Trusted Extensions を実行していないオンリンクルーターをすべて追加します。

   4. ブート時に接続する必要のあるホストの範囲を追加します。
   5. 0.0.0.0 エントリを削除します。
3. cipso テンプレートに割り当てられているホストを修正します。
   1. cipso テンプレートをダブルクリックします。

      追加される各ホストには、ブート時に接続できます。

   2. 「テンプレートに割り当てるホスト」タブをクリックします。

      追加される各ホストには、ラベル ADMIN_LOW でブート中に接続できます。

   3. ブート時に接続する必要のある各ラベル付きホストを追加します。

      詳細は、「セキュリティーテンプレートをホストまたはホストのグループに割り当てる」を参照してください。

      • LDAP サーバーを追加します。

      • このホストが通信時に経由する必要のある、 Trusted Extensions を実行してしていないオンリンクルーターをすべて追加します。

      • すべてのネットワークインタフェースがテンプレートに割り当てられていることを確認します。

      • ブロードキャストアドレスを追加します。

   4. ブート時に接続する必要のあるホストの範囲を追加します。
4. ホスト割り当てによってシステムのブートが許可されていることを確認します。

例 13-11 0.0.0.0 tnrhdb エントリのラベルの変更

この例では、セキュリティー管理者が公共ゲートウェイシステムを作成します。管理者は、admin_low テンプレートから 0.0.0.0 エントリを削除し、そのエントリを public という名前のラベルなしテンプレートに割り当てます。システムは、その tnrhdb ファイルにリストされていないシステムを、public セキュリティーテンプレートのセキュリティー属性を持つラベルなしシステムとして認識するようになります。

公共ゲートウェイ用に特別に作成されたラベルなしテンプレートは、次のとおりです。

Template Name: public
Host Type: Unlabeled
Default Label: Public
Minimum Label: Public
Maximum Label: Public
DOI: 1

例 13-12 tnrhdb データベースでブート中に接続するコンピュータの列挙

次の例は、2 つのネットワークインタフェースを持つ LDAP クライアント用のエントリを持つローカルの tnrhdb データベースを示しています。クライアントは、ほかのネットワークおよびルーターと通信します。

127.0.0.1:cipso       Loopback address
192.168.112.111:cipso Interface 1 of this host
192.168.113.111:cipso Interface 2 of this host
10.6.6.2:cipso        LDAP server
192.168.113.6:cipso   Audit server
192.168.112.255:cipso Subnet broadcast address
192.168.113.255:cipso Subnet broadcast address
192.168.113.1:cipso   Router
192.168.117.0:cipso   Another Trusted Extensions network
192.168.112.12:public Specific network router
192.168.113.12:public Specific network router
224.0.0.2:public      Multicast address
255.255.255.255:admin_low Broadcast address

例 13-13 ホストアドレス 0.0.0.0 を有効な tnrhdb エントリにする

この例では、セキュリティー管理者は、潜在的なクライアントからの初期接続要求を受け入れるように Sun Ray サーバーを構成します。サーバーは、プライベートトポロジおよび標準設定を使用します。

# utadm -a bge0

まず、管理者は Solaris 管理コンソールのドメイン名を決定します。

SMCserver # /usr/sadm/bin/dtsetup scopes
Getting list of managable scopes...
Scope 1 file:/machine1.ExampleCo.COM/machine1.ExampleCo.COM

次に、管理者は、Sun Ray サーバーの tnrhdb データベースにクライアントの初期接続用のエントリを追加します。管理者がテストしている段階なので、すべての不明なアドレスに対してデフォルトのワイルドカードアドレスを使用します。

SunRayServer # /usr/sadm/bin/smtnrhdb \
add -D file:/machine1.ExampleCo.COM/machine1.ExampleCo.COM \
-- -w 0.0.0.0 -p 32 -n admin_low
Authenticating as user: root

Please enter a string value for: password :: 
... from machine1.ExampleCo.COM was successful.

このコマンドの実行後、tnhrdb データベースは次のようになります。smtnrhdb コマンドの結果は強調表示されています。

## tnrhdb database
## Sun Ray server address
       192.168.128.1:cipso
## Sun Ray client addresses on 192.168.128 network
       192.168.128.0/24:admin_low
## Initial address for new clients
       0.0.0.0/32:admin_low
## Default wildcard address
0.0.0.0:admin_low
Other addresses to be contacted at boot

# tnchkdb -h /etc/security/tsol/tnrhdb

テストがこの段階まで成功したあと、管理者は、構成の安全性を高めるためにデフォルトのワイルドカードアドレスを削除し、tnrhdb データベースの構文をチェックしてから再度テストを実行します。最終的な tnhrdb データベースは次のようになります。

## tnrhdb database
## Sun Ray server address
       192.168.128.1:cipso
## Sun Ray client addresses on 192.168.128 network
       192.168.128.0/24:admin_low
## Initial address for new clients
       0.0.0.0/32:admin_low
## 0.0.0.0:admin_low - no other systems can enter network at admin_low
Other addresses to be contacted at boot