ネットワーク通信は、ファイアウォール、ネットワークアプリケーションに対する TCP ラッパー、暗号化および認証されたリモート接続などの機能によって保護できます。
パケットのフィルタリングは、ネットワークベースの攻撃に対する基本的な保護を提供します。Oracle Solaris には、OpenBSD Packet Filter、IP フィルタ機能、および TCP ラッパーがあります。
Oracle Solaris の OpenBSD Packet Filter (PF) 機能は、インバウンドパケットを収集してシステムの出入りを評価します。PF はステートフルパケットインスペクションを提供します。これは、IP アドレスおよびポート番号でパケットを照合できるほか、受信ネットワークインタフェースでも照合できます。
PF は、OpenBSD Packet Filter バージョン 5.5 をベースにして、排他 IP インスタンスのゾーンなどの Oracle Solaris コンポーネントと連携するように強化されています。Oracle Solaris 11.3 では、PF と IP フィルタの両方をパケットのフィルタリングに使用できます。
詳細については、次を参照してください。
概要については、Oracle Solaris 11.3 でのネットワークのセキュリティー保護 の 第 4 章, Oracle Solaris での OpenBSD パケットフィルタファイアウォールを参照してください。
PF の使用例については、Oracle Solaris 11.3 でのネットワークのセキュリティー保護 の 第 5 章, パケットフィルタファイアウォールの構成とマニュアルページを参照してください。
Oracle Solaris の IP フィルタ機能は、ネットワークベースの攻撃を防ぐファイアウォールを作成します。
特に、IP フィルタはステートフルパケットフィルタリング機能を提供し、IP アドレスまたはネットワーク、ポート、プロトコル、ネットワークインタフェース、およびトラフィックリダイレクションでパケットをフィルタリングできます。また、ステートレスパケットフィルタリングと、アドレスプールの作成および管理を行う機能もあります。さらに、IP フィルタには、ネットワークアドレス変換 (NAT) およびポートアドレス変換 (PAT) を実行する機能もあります。
詳細については、次を参照してください。
IP フィルタの概要については、Oracle Solaris 11.3 でのネットワークのセキュリティー保護 の 第 6 章, Oracle Solaris での IP フィルタファイアウォールを参照してください。
IP フィルタの使用例については、Oracle Solaris 11.3 でのネットワークのセキュリティー保護 の 第 7 章, IP フィルタファイアウォールの構成とマニュアルページを参照してください。
IP フィルタポリシー言語の構文の詳細および例については、ipnat(4) のマニュアルページを参照してください。
選択したマニュアルページには、ipfilter(5)、ipf(1M)、ipnat(1M)、svc.ipfd(1M)、および ipf(4) が含まれています。
TCP ラッパーは、インターネットサービスに対するアクセス制御を提供します。さまざまなインターネット (inetd) サービスが有効になっている場合、tcpd デーモンは特定のネットワークサービスを要求するホストのアドレスを ACL と照合します。要求は、状況に応じて、許可されたり拒否されたりします。また、TCP ラッパーはネットワークサービスへのホスト要求のログを syslog に記録します。これは、便利なモニタリング機能です。
Oracle Solaris の Secure Shell および sendmail 機能は、TCP ラッパーを使用するように構成されます。実行可能ファイルと 1 対 1 のマッピングを持つネットワークサービス (proftpd や rpcbind など) が、TCP ラッパーの候補です。
TCP ラッパーでは、組織がセキュリティーポリシーをグローバルにだけでなく、サービスごとに指定することもできる多機能な構成ポリシー言語がサポートされています。サービスへの追加アクセスは、ホスト名、IPv4 または IPv6、ネットグループ名、ネットワーク、および DNS ドメインに基づいて許可または制限できます。
TCP ラッパーについては、次を参照してください。
TCP ラッパーのアクセス制御言語の構文の詳細および例については、 hosts_access(4) のマニュアルページを参照してください。
選択したマニュアルページには、tcpd(1M) および inetd(1M) が含まれています。
リモートアクセス攻撃によって、システムとネットワークが損害を受ける可能性があります。Oracle Solaris は、ネットワーク転送に対する徹底的な防御を提供します。防御機能には、データ転送の暗号化と認証のチェック、ログイン認証、および不要なリモートサービスの無効化が含まれます。
IP セキュリティー (IPsec) は、IP パケットの認証、IP パケットの暗号化、またはその両方を行うことによって、ネットワーク転送を保護します。IPsec はアプリケーション層によく実装されるため、インターネットアプリケーションはコードを変更する必要なく IPsec を利用できます。
IPsec およびその自動鍵交換プロトコル (IKE) では、暗号化フレームワークのアルゴリズムが使用されます。さらに、暗号化フレームワークによって中央のキーストアが提供されます。メタスロットを使用するように IKE を構成すると、組織は鍵を格納する場所として、ディスク、接続したハードウェアキーストア、またはソフトトークンと呼ばれるソフトウェアキーストアを選択できます。Oracle Solaris は、IKE Version 2 (IKEv2) プロトコルおよび IKEv1 プロトコルをサポートします。
IPsec と IKE は、構成を必要とするため、インストールしてもデフォルトでは有効になりません。正しく管理すれば、IPsec は、ネットワークトラフィックの保護に有効なツールとなります。
Oracle Solaris 11.3 でのネットワークのセキュリティー保護 の 第 8 章, IP セキュリティーアーキテクチャーについて
Oracle Solaris 11.3 でのネットワークのセキュリティー保護 の 第 10 章, インターネット鍵交換について
選択したマニュアルページには、ipsecconf(1M) および in.iked(1M) が含まれています。
デフォルトでは、Oracle Solaris の Secure Shell 機能は、新たにインストールされたシステムで唯一のアクティブなリモートアクセスメカニズムです。ほかのすべてのネットワークサービスは、無効または待機専用モードになっています。
現在の Oracle Solaris リリースには、Secure Shell のデフォルト sunssh 実装と、OpenSSH 6.5p1 および追加機能の上に構築された Secure Shell の新しい openssh 実装の両方が含まれています。
Secure Shell では、システム間に暗号化された通信チャネルが作成されます。また、Secure Shell は、認証および暗号化されたネットワークリンク経由で、ローカルシステムとリモートシステム間で X ウィンドウシステムトラフィックを転送したり、各ポート番号に接続したりできるオンデマンド仮想プライベートネットワーク (VPN) としても使用できます。
したがって、Secure Shell では、不審な侵入者が傍受された通信を読み取ったり、敵対者がシステムになりすましたりすることが回避されます。
Oracle Solaris 11.3 での Secure Shell アクセスの管理 の 第 1 章, Secure Shell の使用
Oracle Solaris 11.3 での Secure Shell アクセスの管理 の Secure Shell と FIPS 140
選択したマニュアルページには、ssh(1)、sshd(1M)、sshd_config(4)、および ssh_config(4) が含まれています。
Oracle Solaris の Kerberos 機能を使用すると、システムごとに異なるオペレーティングシステムが実行され、Kerberos サービスが実行される異機種システム混在ネットワーク上でも、シングルサインオンとセキュアなトランザクションが可能です。AI を使用して Kerberos クライアントをインストールすると、そのクライアントは最初のブート時に Kerberos システムになります。
Kerberos は、マサチューセッツ工科大学 (MIT) で開発された Kerberos V5 ネットワーク認証プロトコルに基づいています。Kerberos サービスでは、強力なユーザー認証とともに、整合性とプライバシが提供されます。Kerberos サービスを使用して、他のシステムに 1 度ログインしてアクセスしたり、コマンドを実行したり、データを交換したり、ファイルを安全に転送したりできます。さらに、このサービスを使用して、管理者がサービスおよびシステムへのアクセスを制限することもできます。