Configuration et administration de Trusted Extensions

Quitter la vue de l'impression

 
Mis à jour : Juillet 2014
 
 

Etiquettes pour les échanges protégés par IPsec

Toutes les communications sur des systèmes Trusted Extensions, y compris les communications protégées par IPsec, doivent satisfaire aux contrôles d'accréditation des étiquettes de sécurité. Les contrôles sont décrits dans la section Contrôles d'accréditation dans Trusted Extensions.

    Les étiquettes appliquées à des paquets IPsec provenant d'une application d'une zone étiquetée qui doivent passer ces contrôles sont l'étiquette intérieure, l'étiquette de transmission, et l'étiquette de gestion de clé :

  • Etiquette de sécurité d'application : étiquette de la zone dans laquelle réside l'application.

  • Etiquette intérieure : étiquette des données de message non chiffrées avant l'application d'en-têtes AH ou ESP IPsec. Cette étiquette peut être différente de l'étiquette de sécurité de l'application lorsque l'option de socket SO_MAC_EXEMPT (MAC-exempt) ou des fonctions port multiniveau (MLP) sont utilisées. Lorsque vous sélectionnez des associations de sécurité (SA) et des règles IKE qui sont limitées par les étiquettes, IPsec et IKE utilisent cette étiquette intérieure.

    Par défaut, l'étiquette intérieure est identique à l'étiquette de sécurité de l'application. En règle générale, les applications aux deux extrémités ont la même étiquette. Toutefois, ce n'est pas nécessairement le cas pour la communication MAC-exempt ou MLP. Les paramètres de configuration IPsec peuvent définir la manière dont l'étiquette est transmise au sein du réseau, c'est-à-dire l'étiquette de transmission. Les paramètres de configuration IPsec ne peuvent pas définir la valeur de l'étiquette intérieure.

  • Etiquette de transmission : étiquette des données de message chiffrées après l'application d'en-têtes AH ou ESP IPsec. Selon les fichiers de configuration IKE et IPsec, l'étiquette de transmission peut être différente de l'étiquette intérieure.

  • Etiquette de gestion de clé : toutes les négociations IKE entre deux noeuds sont contrôlées au niveau d'une seule étiquette, indépendamment de l'étiquette du message d'application qui déclenche les négociations. L'étiquette des négociations IKE est définie dans le fichier /etc/inet/ike/config sur la base d'une règle par IKE.

Copyright © 1992, 2014, Oracle et/ou ses affiliés. Tous droits réservés. Mentions légales
Précédent
Suivant