Trusted Extensions 構成と管理

印刷ビューの終了

更新: 2014 年 7 月
 
 

トラステッドネットワークに到達できるホストの制限

    このセクションでは、ネットワークに到達できるホストを制限することにより、ネットワークを保護します。

  • トラステッドネットワーク上で接続できるホストを制限する.

  • ブート時に接続するシステムを指定することにより、セキュリティーを向上させます。Example 16–16を参照してください。

  • アプリケーションサーバーを構成して、リモートクライアントからの初期接続を受け入れます。Example 16–18 を参照してください。

  • ラベル付きの Sun Ray サーバーを構成して、リモートクライアントからの初期接続を受け入れます。Example 16–19 を参照してください。

トラステッドネットワーク上で接続できるホストを制限する

この手順では、任意のラベルなしホストによる接続から、ラベル付きホストを保護します。Trusted Extensions をインストールすると、admin_low デフォルトセキュリティーテンプレート内にネットワーク上のすべてのホストが定義されています。この手順を使って、特定のラベルなしホストを列挙します。

各システム上のローカルのトラステッドネットワーク値は、ブート時のネットワーク接続に使用されます。デフォルトでは、cipso テンプレートで提供されない各ホストは admin_low テンプレートで定義されます。このテンプレートは、ほかで定義されていない各リモートホスト (0.0.0.0/0) を、admin_low のデフォルトラベルでラベルなしシステムとして割り当てます。


Caution

注意  -  デフォルトの admin_low テンプレートは、Trusted Extensions ネットワークでセキュリティー上のリスクになる場合があります。サイトのセキュリティーに強い保護が必要な場合、セキュリティー管理者はシステムのインストール後に 0.0.0.0/0 ワイルドカードエントリを削除できます。このエントリは、ブート時にシステムが接続する各ホストのエントリに置き換える必要があります。 たとえば、0.0.0.0/0 ワイルドカードエントリを削除したあとに、DNS サーバー、ホームディレクトリサーバー、監査サーバー、ブロードキャストおよびマルチキャストアドレス、およびルーターをテンプレートに明示的に追加する必要があります。 アプリケーションが最初にクライアントをホストアドレス 0.0.0.0/32 で認識する場合は、0.0.0.0/32 ホストエントリを admin_low テンプレートに追加する必要があります。たとえば、潜在的な Sun Ray クライアントからの初期接続リクエストを受信するには、Sun Ray サーバーにこのエントリが含まれている必要があります。すると、サーバーはクライアントを認識したとき、クライアントに IP アドレスを付与して、クライアントをラベル付きクライアントとして接続します。


始める前に

大域ゾーンでセキュリティー管理者役割になります。

ブート時に接続されるすべてのホストは、/etc/hosts ファイル内に存在している必要があります。

  1. ブート時に接続する必要のあるすべてのラベルなしホストに、admin_low テンプレートを割り当てます。
    • ブート時に接続する必要のあるすべてのラベルなしホストを含めます。

    • このシステムが通信時に経由する必要のある、Trusted Extensions を実行していないオンリンクルーターをすべて追加します。

    • 0.0.0.0/0 の割り当てを削除します。

  2. cipso テンプレートにホストを追加します。

      ブート時に接続する必要のある各ラベル付きホストを追加します。

    • このシステムが通信時に経由する必要のある、Trusted Extensions を実行しているオンリンクルーターをすべて追加します。

    • すべてのネットワークインタフェースがテンプレートに割り当てられていることを確認します。

    • ブロードキャストアドレスを追加します。

    • ブート時に接続する必要のあるラベル付きホストの範囲を含めます。

    サンプルデータベースについては、Example 16–17 を参照してください。

  3. ホスト割り当てによってシステムのブートが許可されていることを確認します。
使用例 16-16  IP アドレス 0.0.0.0/0 のラベルの変更

この例では、管理者は公共ゲートウェイシステムを作成します。管理者は、admin_low テンプレートから 0.0.0.0/0 ホストエントリを削除し、ラベルなし public テンプレートに 0.0.0.0/0 ホストエントリを追加します。システムは、別のセキュリティーテンプレートに明示的に割り当てられていないすべてのホストを、public セキュリティーテンプレートのセキュリティー属性を持つラベルなしシステムとして認識するようになります。

# tncfg -t admin_low info
tncfg:admin_low> remove host=0.0.0.0Wildcard address
tncfg:admin_low> exit
# tncfg -t public
tncfg:public> set host_type=unlabeled
tncfg:public> set doi=1
tncfg:public> set def_label="public"
tncfg:public> set min_sl="public"
tncfg:public> set max_sl="public"
tncfg:public> add host=0.0.0.0Wildcard address
tncfg:public> exit
使用例 16-17  Trusted Extensions システムがブート時に接続するシステムの列挙

この例では、管理者は 2 つのネットワークインタフェースを備えた Trusted Extensions システムのトラステッドネットワークを構成します。システムは、ほかのネットワークおよびルーターと通信します。リモートホストは、3 つのテンプレート cipsoadmin_lowpublic のいずれかに割り当てられます。次のコマンドには注釈を付けています。

# tncfg -t cipso
tncfg:admin_low> add host=127.0.0.1Loopback address
tncfg:admin_low> add host=192.168.112.111Interface 1 of this host
tncfg:admin_low> add host=192.168.113.111Interface 2 of this host
tncfg:admin_low> add host=192.168.113.6File server
tncfg:admin_low> add host=192.168.112.255Subnet broadcast address
tncfg:admin_low> add host=192.168.113.255Subnet broadcast address
tncfg:admin_low> add host=192.168.113.1Router
tncfg:admin_low> add host=192.168.117.0/24Another Trusted Extensions network
tncfg:admin_low> exit
# tncfg -t public
tncfg:public> add host=192.168.112.12Specific network router
tncfg:public> add host=192.168.113.12Specific network router
tncfg:public> add host=224.0.0.2Multicast address
tncfg:admin_low> exit
# tncfg -t admin_low
tncfg:admin_low> add host=255.255.255.255Broadcast address
tncfg:admin_low> exit

管理者は、ブート時に接続するホストを指定し終わると、admin_low テンプレートから 0.0.0.0/0 エントリを削除します。

# tncfg -t admin_low
tncfg:admin_low> remove host=0.0.0.0
tncfg:admin_low> exit
使用例 16-18  ホストアドレス 0.0.0.0/32 を有効な初期アドレスにする

この例では、セキュリティー管理者はアプリケーションサーバーを構成して、潜在的なクライアントからの初期接続要求を受け入れます。

管理者は、サーバーのトラステッドネットワークを構成します。サーバーとクライアントのエントリには注釈を付けています。

# tncfg -t cipso info
name=cipso
host_type=cipso
doi=1
min_label=ADMIN_LOW
max_label=ADMIN_HIGH
host=127.0.0.1/32
host=192.168.128.1/32 Application server address
host=192.168.128.0/24 Application's client network
Other addresses to be contacted at boot time
# tncfg -t admin_low info
name=cipso
host_type=cipso
doi=1
def_label=ADMIN_LOW
min_label=ADMIN_LOW
max_label=ADMIN_HIGH
host=192.168.128.0/24 Application's client network
host=0.0.0.0/0 Wildcard address
Other addresses to be contacted at boot time

テストがこの段階まで成功すると、管理者は構成をロックダウンするために、デフォルトのワイルドカードアドレス 0.0.0.0/0 を削除して変更をコミットしたあと、特定のアドレスを追加します。

# tncfg -t admin_low info
tncfg:admin_low> remove host=0.0.0.0
tncfg:admin_low> commit
tncfg:admin_low> add host=0.0.0.0/32For initial client contact
tncfg:admin_low> exit

admin_low の最終的な構成は、次のようになります。

# tncfg -t admin_low
name=cipso
host_type=cipso
doi=1
def_label=ADMIN_LOW
min_label=ADMIN_LOW
max_label=ADMIN_HIGH
192.168.128.0/24 Application's client network
host=0.0.0.0/32 For initial client contact
Other addresses to be contacted at boot time

0.0.0.0/32 エントリは、アプリケーションのクライアントのみがアプリケーションサーバーに到達できるようにします。

使用例 16-19  ラベル付き Sun Ray サーバーの有効な初期アドレスの構成

この例では、セキュリティー管理者は Sun Ray サーバーを構成して、潜在的なクライアントからの初期接続要求を受け入れます。サーバーは非公開トポロジと Sun Ray サーバーのデフォルトを使用しています。

# utadm -a net0

次に、管理者はサーバーのトラステッドネットワークを構成します。サーバーとクライアントのエントリには注釈を付けています。

# tncfg -t cipso info
name=cipso
host_type=cipso
doi=1
min_label=ADMIN_LOW
max_label=ADMIN_HIGH
host=127.0.0.1/32
host=192.168.128.1/32 Sun Ray server address
host=192.168.128.0/24 Sun Ray client network
Other addresses to be contacted at boot time
# tncfg -t admin_low info
name=cipso
host_type=cipso
doi=1
def_label=ADMIN_LOW
min_label=ADMIN_LOW
max_label=ADMIN_HIGH
host=192.168.128.0/24 Sun Ray client network
host=0.0.0.0/0 Wildcard address
Other addresses to be contacted at boot time

テストがこの段階まで成功すると、管理者は構成をロックダウンするために、デフォルトのワイルドカードアドレス 0.0.0.0/0 を削除して変更をコミットしたあと、特定のアドレスを追加します。

# tncfg -t admin_low info
tncfg:admin_low> remove host=0.0.0.0
tncfg:admin_low> commit
tncfg:admin_low> add host=0.0.0.0/32For initial client contact
tncfg:admin_low> exit

admin_low の最終的な構成は、次のようになります。

# tncfg -t admin_low
name=cipso
host_type=cipso
doi=1
def_label=ADMIN_LOW
min_label=ADMIN_LOW
max_label=ADMIN_HIGH
192.168.128.0/24 Sun Ray client network
host=0.0.0.0/32 For initial client contact
Other addresses to be contacted at boot time

0.0.0.0/32 エントリは、Sun Ray クライアントのみがサーバーに到達できるようにします。