ナビゲーションリンクをスキップ | |
印刷ビューの終了 | |
![]() |
Trusted Extensions 管理者の手順 Oracle Solaris 10 1/13 Information Library (日本語) |
3. Trusted Extensions 管理者として開始 (タスク)
4. Trusted Extensions システムのセキュリティー要件 (概要)
5. Trusted Extensions でのセキュリティー要件の管理 (タスク)
6. Trusted Extensions でのユーザー、権利、および役割 (概要)
7. Trusted Extensions でのユーザー、権利、役割の管理 (タスク)
8. Trusted Extensions でのリモート管理 (タスク)
9. Trusted Extensions と LDAP (概要)
10. Trusted Extensions でのゾーンの管理 (タスク)
11. Trusted Extensions でのファイルの管理とマウント (タスク)
Trusted Extensions のネットワーク構成データベース
Trusted Extensions のネットワークコマンド
Trusted Extensions のネットワークセキュリティー属性
Trusted Extensions のルーティングテーブルエントリ
13. Trusted Extensions でのネットワークの管理 (タスク)
14. Trusted Extensions でのマルチレベルメール (概要)
16. Trusted Extensions のデバイス (概要)
17. Trusted Extensions でのデバイス管理 (タスク)
18. Trusted Extensions での監査 (概要)
19. Trusted Extensions のソフトウェア管理 (タスク)
Trusted Extensions は、ネットワーク間通信のルーティングを、複数の方法でサポートしています。セキュリティー管理者役割は、サイトのセキュリティーポリシーで要求されるセキュリティーレベルを実施できる経路を設定できます。
たとえば、サイトではローカルネットワークの外部の通信をシングルラベルに制限できます。このラベルは、公開情報に適用します。UNCLASSIFIED や PUBLIC などのラベルで公開情報を表すことができます。制限を実施するために、これらのサイトはシングルラベルテンプレートを外部ネットワークに接続されたネットワークインタフェースに割り当てます。TCP/IP とルーティングの詳細は、次のマニュアルを参照してください。
Trusted Extensions ホストは、信頼度のもっとも高いルーターとして動作します。ほかの種類のルーターは、Trusted Extensions のセキュリティー属性を認識するとは限りません。管理アクションを行わないと、MAC セキュリティー保護を提供しないルーターを経由してパケットが送信される可能性があります。
CIPSO ルーターは、パケットの IP オプションセクションに正しい種類の情報が見つからなかった場合、パケットを破棄します。たとえば、CIPSO ルーターは、必要な CIPSO オプションが IP オプションに見つからない場合、または IP オプションの DOI が宛先の認可と一致しない場合に、パケットを破棄します。
Trusted Extensions ソフトウェアを実行していないほかの種類のルーターを構成して、CIPSO オプションを含むパケットを通過させたり破棄させたりできます。Trusted Extensions などが提供する CIPSO を認識するゲートウェイのみが、CIPSO IP オプションの内容を使用して、MAC を実施することができます。
トラステッドルーティングをサポートするために、Trusted Extensions セキュリティー属性を含むように Solaris 10 ルーティングテーブルが拡張されます。属性については、「Trusted Extensions のルーティングテーブルエントリ」を参照してください。Trusted Extensions では、ルーティングテーブルのエントリを管理者が手動で作成する、静的ルーティングがサポートされます。詳しくは、route(1M) のマニュアルページの -p オプションを参照してください。
ルーティングソフトウェアは、ルーティングテーブルで宛先ホストへの送信経路を探します。ホストが明示的に定義されていない場合、ルーティングソフトウェアは、ホストが配置されているサブネットワークのエントリを探します。ホストと、ホストが配置されているネットワークのどちらも定義されていない場合、デフォルトゲートウェイが定義されていれば、ホストはデフォルトゲートウェイにパケットを送信します。複数のデフォルトゲートウェイを定義可能で、それぞれが同等に扱われます。
このリリースの Trusted Extensions では、セキュリティー管理者は経路を手動で設定し、条件が変更されたときに手動でルーティングテーブルを変更します。たとえば、多くのサイトは外部との通信を単一のゲートウェイで行なっています。この場合、ネットワーク上の各ホストで、単一のゲートウェイを「デフォルト」として静的に定義できます。動的なルーティングのサポートは、Trusted Extensions の今後のリリースで利用できるようになる可能性があります。
Trusted Extensions のルーティングの例は次のとおりです。図と表では、ホスト 1 とホスト 2 の間で可能な 3 つの送信経路を示しています。
図 12-1 一般的な Trusted Extensions 経路とルーティングテーブルのエントリ
|
送信経路 #1 は、CONFIDENTIAL から SECRET のラベル範囲のパケットを伝送できます。
送信経路 #2 は、ADMIN_LOW から ADMIN_HIGH の範囲のパケットを伝送できます。
送信経路 #3 には、ルーティング情報が指定されていません。したがって、セキュリティー属性は tnrhtp データベースにあるゲートウェイ 5 のテンプレートから取得されます。
ラベルおよびソケットの拡張されたセキュリティー属性を表示するために、Trusted Extensions では次の Oracle Solaris のネットワークコマンドが修正されています。
netstat -rR コマンドは、ルーティングテーブルのエントリにあるセキュリティー属性を表示します。
netstat -aR コマンドは、ソケットのセキュリティー属性を表示します。
route -p コマンドに add または delete オプションを指定すると、ルーティングテーブルエントリが変更されます。
詳しくは、netstat(1M) と route(1M) のマニュアルページを参照してください。
例については、「セキュリティー属性を使用して経路を構成する」を参照してください。