Configuration et administration de Trusted Extensions

Quitter la vue de l'impression

 
Mis à jour : Juillet 2014
 
 

Contrôles d'accréditation dans Trusted Extensions

Le logiciel Trusted Extensions détermine la conformité d'une route avec les exigences de sécurité. Le logiciel exécute une série de tests appelés contrôles d'accréditation sur l'hôte source, l'hôte de destination et les passerelles intermédiaires.

Remarque - Dans cette section, le contrôle d'accréditation effectué sur une plage d'étiquettes comprend également un contrôle sur un ensemble d'étiquettes auxiliaires.

Le contrôle d'accréditation vérifie la plage d'étiquettes et les informations d'étiquette CALIPSO et CIPSO. Les attributs de sécurité d'une route sont obtenus à partir de l'entrée de la table de routage ou du modèle de sécurité de la passerelle lorsque l'entrée ne comprend aucun attribut de sécurité.

Pour les communications entrantes, le logiciel Trusted Extensions obtient, dans la mesure du possible, directement les étiquettes à partir des paquets. L'obtention d'étiquettes à partir de paquets n'est possible que lorsque les messages sont envoyés à partir d'hôtes prenant en charge l'étiquetage. Lorsque le paquet ne fournit pas d'étiquette, une étiquette par défaut est assignée au message à partir du modèle de sécurité. Ces étiquettes sont ensuite utilisées lors des contrôles d'accréditation. Trusted Extensions applique plusieurs contrôles aux messages sortants, aux messages transférés et aux messages entrants.

Contrôles d'accréditation des sources

    Les contrôles d'accréditation suivants sont effectués sur le processus d'envoi ou la zone d'envoi :

  • Pour toutes les destinations, le DOI d'un paquet sortant doit correspondre au DOI de l'hôte de destination. Le DOI doit également correspondre au DOI de tous les sauts de la route, y compris au DOI de la passerelle du premier saut.

  • Pour toutes les destinations, l'étiquette du paquet sortant doit être comprise dans la plage d'étiquettes du saut suivant de la route, c'est-à-dire du premier saut. En outre, l'étiquette doit être incluse dans les attributs de sécurité de la passerelle du premier saut.

  • Lorsque l'hôte de destination est un hôte sans étiquette, l'une des conditions suivantes doit être satisfaite :

    • L'étiquette de l'hôte émetteur doit correspondre à l'étiquette par défaut de l'hôte de destination.

    • L'hôte émetteur est habilité à communiquer sous plusieurs étiquettes et l'étiquette de l'émetteur domine l'étiquette par défaut de la destination.

    • L'hôte émetteur est habilité à communiquer sous plusieurs étiquettes et l'étiquette de l'émetteur est ADMIN_LOW. En d'autres termes, l'expéditeur effectue ses envois à partir de la zone globale.

Remarque - Un contrôle du premier saut est effectué lorsqu'un message est envoyé depuis un hôte appartenant à un réseau vers un hôte appartenant à un autre réseau via une passerelle.

Contrôles d'accréditation sur les passerelles

    Sur un système de passerelle Trusted Extensions, les contrôles d'accréditation suivants sont effectués sur la passerelle du saut suivant :

  • Si le paquet entrant est sans étiquette, le paquet hérite de l'étiquette par défaut de l'hôte source définie dans le modèle de sécurité. Dans le cas contraire, le paquet reçoit l'étiquette indiquée dans l'option CALIPSO ou CIPSO.

  • Les contrôles de transfert des paquets sont semblables à l'accréditation des sources :

    • Pour toutes les destinations, le DOI d'un paquet sortant doit correspondre au DOI de l'hôte de destination. Le DOI doit également correspondre au DOI de l'hôte du prochain saut.

    • Pour toutes les destinations, l'étiquette du paquet sortant doit être comprise dans la plage d'étiquettes du prochain saut. En outre, l'étiquette doit être incluse dans les attributs de sécurité de l'hôte du prochain saut.

    • L'étiquette d'un paquet sans étiquette doit correspondre à l'étiquette par défaut de l'hôte de destination.

    • L'étiquette d'un paquet étiqueté doit être comprise dans la plage d'étiquettes de l'hôte de destination.

    • Une passerelle étiquetée qui est prévue pour transférer des paquets à partir d'hôtes adaptive doit configurer son interface entrante avec un modèle de type d'hôte netif. Pour obtenir les définitions des types d'hôte adaptive et netif , reportez-vous à la section Type d'hôte et nom du modèle dans les modèles de sécurité.

Contrôles d'accréditation des destinations

    Lorsqu'un système Trusted Extensions reçoit des données, le logiciel effectue les contrôles suivants :

  • Si le paquet entrant est sans étiquette, le paquet hérite de l'étiquette par défaut de l'hôte source définie dans le modèle de sécurité. Dans le cas contraire, le paquet reçoit l'étiquette indiquée dans l'option étiquetée.

  • L'étiquette et le DOI du paquet doivent correspondre à l'étiquette et au DOI de la zone de destination ou du processus de destination. Un processus écoutant sur un port multiniveau constitue toutefois l'exception. Le processus d'écoute peut recevoir un paquet s'il est habilité à communiquer sous plusieurs étiquettes et qu'il se trouve dans la zone globale ou qu'il possède une étiquette qui domine l'étiquette du paquet.

Copyright © 1992, 2014, Oracle et/ou ses affiliés. Tous droits réservés. Mentions légales
Précédent
Suivant