このセクションでは、セキュリティーテンプレートにホストを追加するためのアドバイスや例を示します。不連続な IP アドレスの場合は、セキュリティーテンプレートにホストを追加するを参照してください。ホストの範囲の場合は、セキュリティーテンプレートにホストの範囲を追加するを参照してください。
このセクションの例では、次のようなリモートホストのラベルの割り当てを示しています。
信頼できるリモートゲートウェイは、PUBLIC トラフィックを処理します。使用例 31を参照してください。
信頼できないリモートホストがシングルラベルのルーターとして動作します – 使用例 32
信頼できるリモートホストは、トラフィックを狭いラベル範囲内に制限します。使用例 33を参照してください。
信頼できるリモートホストに限定されたラベルセットが割り当てられます。使用例 34を参照してください。
信頼できるリモートホストに、ネットワークの残りから切り離されたラベルが割り当てられます。使用例 35を参照してください。
信頼できる netif ホストは、adaptive システムからのパケットにラベルを付けます。使用例 36を参照してください。
信頼できない adaptive ホストは、パケットを netif ホストに送信します。使用例 37を参照してください。
信頼できる同機種ネットワークは、特定のラベルでマルチキャストアドレスを追加します。使用例 38を参照してください。
ホストがセキュリティーテンプレートから削除されます。使用例 39を参照してください。
信頼できないリモートホストおよびネットワークにラベルが割り当てられます。使用例 42を参照してください。
始める前に
次のことが必要になります。
IP アドレスが /etc/hosts ファイル内に存在しているか、DNS で解決可能である必要があります。
hosts ファイルについては、システムの既知のネットワークにホストを追加するを参照してください。
DNS については、Oracle Solaris 11.3 ディレクトリサービスとネームサービスでの作業: DNS と NIS の 第 3 章, DNS サーバーとクライアントサービスの管理を参照してください。
ラベルのエンドポイントが一致する必要があります。規則については、Trusted Extensions のルーティングについてを参照してください。
大域ゾーンでセキュリティー管理者役割になります。
この例では、192.168.1.2 に到達できることを確認します。
# arp 192.168.1.2 gateway-2.example.com (192.168.1.2) at 0:0:0:1:ad:cd
arp コマンドは、このホストがシステムの /etc/hosts ファイルに定義されているか、あるいは DNS で解決可能であることを検査します。
この例では、192.168.1.2 IP アドレスを追加します。
# tncfg -t cipso tncfg:cipso> add host=192.168.1.2
別のテンプレートに以前追加されたホストを追加した場合、そのセキュリティーテンプレート割り当てが置換されるという旨の通知が表示されます。情報メッセージについては、使用例 30を参照してください。
次の例は、cipso テンプレートに追加されたアドレス 192.168.1.2 を示します。
tncfg:cipso> info ... host=192.168.1.2/32
接頭辞長 /32 は、このアドレスが厳密なアドレスであることを示しています。
tncfg:cipso> commit tncfg:cipso> exit
ホストエントリを削除するには、使用例 39を参照してください。
この例では、すでにテンプレートが割り当てられているホストにセキュリティーテンプレートを割り当てるときに表示される情報メッセージを示します。
# tncfg -t cipso tncfg:cipso> add host=192.168.1.2 192.168.1.2 previously matched the admin_low template tncfg:cipso> info ... host=192.168.1.2/32 tncfg:cipso> exit使用例 31 1 つのラベルでパケットを処理するゲートウェイの作成
使用例 28では、セキュリティー管理者が、ラベル PUBLIC のパケットのみを通過させることのできるゲートウェイを定義したセキュリティーテンプレートを作成します。この例では、セキュリティー管理者はゲートウェイホストの IP アドレスが解決可能であることを確認します。
# arp 192.168.131.75 gateway-1.example.com (192.168.131.75) at 0:0:0:1:ab:cd
arp コマンドは、このホストがシステムの /etc/hosts ファイルに定義されているか、あるいは DNS で解決可能であることを検査します。
次に、管理者は gateway-1 ホストをセキュリティーテンプレートに追加します。
# tncfg -t cipso_public tncfg:cipso_public> add host=192.168.131.75 tncfg:cipso_public> exit
システムはすぐに、gateway-1 経由で public パケットの送受信を行えます。
使用例 32 ラベル付きパケットの経路指定を行うラベルなしルーターの作成IP ルーターは、明示的にラベルをサポートしていない場合でも、CALIPSO または CIPSO ラベルの付いたメッセージを転送できます。このようなラベルなしルーターには、ルーターへの接続 (多くの場合ルーター管理のため) を処理するレベルを定義するデフォルトラベルが必要です。この例では、セキュリティー管理者が、任意のラベルでトラフィックを転送できるルーターを作成しますが、ルーターとの直接の通信はデフォルトラベル PUBLIC で処理されます。
最初に、セキュリティー管理者はテンプレートを新規に作成します。
# tncfg -t unl_public_router tncfg:unl_public_router> set host_type=unlabeled tncfg:unl_public_router> set doi=1 tncfg:unl_public_router> set def_label="PUBLIC" tncfg:unl_public_router> set min_label=ADMIN_LOW tncfg:unl_public_router> set max_label=ADMIN_HIGH tncfg:unl_public_router> exit
次に、管理者はルーターをセキュリティーテンプレートに追加します。
# tncfg -t unl_public_router tncfg:unl_public_router> add host=192.168.131.82 tncfg:unl_public_router> exit
システムはすぐに、router-1 (192.168.131.82 アドレスのホスト名) 経由ですべてのラベルのパケットの送受信を行えます。
使用例 33 制限されたラベル範囲を持つゲートウェイの作成この例では、セキュリティー管理者はパケットを狭いラベル範囲に制限するテンプレートを作成し、ゲートウェイをそのテンプレートに追加します。
# arp 192.168.131.78 gateway-ir.example.com (192.168.131.78) at 0:0:0:3:ab:cd
# tncfg -t cipso_iuo_rstrct tncfg:cipso_iuo_rstrct> set host_type=cipso tncfg:cipso_iuo_rstrct> set doi=1 tncfg:cipso_iuo_rstrct> set min_label=0x0004-08-48 tncfg:cipso_iuo_rstrct> set max_label=0x0004-08-78 tncfg:cipso_iuo_rstrct> add host=192.168.131.78 tncfg:cipso_iuo_rstrct> exit
システムはすぐに、ラベル internal または restricted の付いたパケットの送受信を gateway-ir 経由で行えます。
使用例 34 不連続なラベルのホストの作成この例では、セキュリティー管理者は confidential : internal use only と confidential : restricted の 2 つのラベルのみを認識するセキュリティーテンプレートを作成します。その他のトラフィックはすべて拒否されます。
まず、セキュリティー管理者は各ホストの IP アドレスが解決可能であることを確認します。
# arp 192.168.132.21 host-auxset1.example.com (192.168.132.21) at 0:0:0:4:ab:cd # arp 192.168.132.22 host-auxset2.example.com (192.168.132.22) at 0:0:0:5:ab:cd # arp 192.168.132.23 host-auxset3.example.com (192.168.132.23) at 0:0:0:6:ab:cd # arp 192.168.132.24 host-auxset4.example.com (192.168.132.24) at 0:0:0:7:ab:cd
次に、管理者は注意しながらラベルを正確に入力します。ソフトウェアは、ラベルで大文字と小文字のどちらが使用されていても、また短縮名が使用されていてもラベルを認識しますが、空白が不正確なラベルは認識しません。たとえば、ラベル cnf :restricted は有効なラベルではありません。
# tncfg -t cipso_int_and_rst tncfg:cipso_int_and_rst> set host_type=cipso tncfg:cipso_int_and_rst> set doi=1 tncfg:cipso_int_and_rst> set min_label="cnf : internal use only" tncfg:cipso_int_and_rst> set max_label="cnf : internal use only" tncfg:cipso_int_and_rst> set aux_label="cnf : restricted" tncfg:cipso_int_and_rst> exit
次に、管理者は接頭辞長を使用して、IP アドレスの範囲をセキュリティーテンプレートに割り当てます。
# tncfg -t cipso_int_rstrct tncfg:cipso_int_rstrct> set host=192.168.132.0/24使用例 35 開発者用のラベル付きホストの作成
この例では、セキュリティー管理者は cipso_sandbox セキュリティーテンプレートを作成します。このテンプレートは、トラステッドソフトウェアの開発者が使うシステムに割り当てられます。開発者のテストがほかのラベル付きホストに影響を与えることはありません。SANDBOX ラベルはネットワーク上のほかのラベルから独立しているからです。
# tncfg -t cipso_sandbox tncfg:cipso_sandbox> set host_type=cipso tncfg:cipso_sandbox> set doi=1 tncfg:cipso_sandbox> set min_sl="SBX" tncfg:cipso_sandbox> set max_sl="SBX" tncfg:cipso_sandbox> add host=196.168.129.102 tncfg:cipso_sandbox> add host=196.168.129.129 tncfg:cipso_sandbox> exit
196.168.129.102 システムと 196.168.129.129 システムを使用する開発者は、 SANDBOX ラベルで相互に通信できます。
使用例 36 netif ホスト用のセキュリティーテンプレートの作成この例では、セキュリティー管理者は netif セキュリティーテンプレートを作成します。このテンプレートは、IP アドレス 10.121.10.3 を含んでいるラベル付きネットワークインタフェースに割り当てられます。この割り当てにより、Trusted Extensions IP モジュールは、adaptive ホストから届くすべての着信パケットにデフォルトラベル PUBLIC を追加します。
# tncfg -t netif_public tncfg:netif_public> set host_type=netif tncfg:netif_public> set doi=1 tncfg:netif_public> set def_label="PUBLIC" tncfg:netif_public> add host=10.121.10.3 tncfg:netif_public> commit tncfg:netif_public> exit使用例 37 適応型ホスト用のセキュリティーテンプレートの作成
この例では、セキュリティー管理者が前もって計画を立てます。管理者は、公開情報を保持するネットワークおよび内部情報を保持するネットワークとして、異なるサブネットを作成します。次に、管理者は 2 つの adaptive ホストを定義します。公開サブネット内のシステムには PUBLIC ラベルが割り当てられます。内部ネットワーク内のシステムには IUO ラベルが割り当てられます。このネットワークは前もって計画されたため、各ネットワークが特定のラベルで情報を保持および送信します。もう 1 つの利点は、想定したインタフェースにパケットが配信されない場合に、ネットワークを簡単にデバッグできることです。
# tncfg -t adpub_192_168_10 tncfg:adapt_public> set host_type=adapt tncfg:adapt_public> set doi=1 tncfg:adapt_public> set min_label="public" tncfg:adapt_public> set max_label="public" tncfg:adapt_public> add host=192.168.10.0 tncfg:adapt_public> commit tncfg:adapt_public> exit
# tncfg -t adiuo_192_168_20 tncfg:adapt_public> set host_type=adapt tncfg:adapt_public> set doi=1 tncfg:adapt_public> set min_label="iuo" tncfg:adapt_public> set max_label="iuo" tncfg:adapt_public> add host=192.168.20.0 tncfg:adapt_public> commit tncfg:adapt_public> exit使用例 38 ラベル付きマルチキャストメッセージの送信
この例では、ラベル付きの同機種 LAN で、セキュリティー管理者はラベル PUBLIC でパケットを送信するために使用できるマルチキャストアドレスを選択します。
# tncfg -t cipso_public tncfg:cipso_public> add host=224.4.4.4 tncfg:cipso_public> exit使用例 39 セキュリティーテンプレートからのいくつかのホストの削除
この例では、セキュリティー管理者は cipso セキュリティーテンプレートからいくつかのホストを削除します。管理者は、info サブコマンドを使用してホストを表示したあと、remove と入力し、4 つの host= エントリをコピー & ペーストします。
# tncfg -t cipso info name=cipso host_type=cipso doi=1 min_label=ADMIN_LOW max_label=ADMIN_HIGH host=127.0.0.1/32 host=192.168.1.2/32 host=192.168.113.0/24 host=192.168.113.100/25 host=2001:a08:3903:200::0/56
# tncfg -t cipso tncfg:cipso> remove host=192.168.1.2/32 tncfg:cipso> remove host=192.168.113.0/24 tncfg:cipso> remove host=192.168.113.100/25 tncfg:cipso> remove host=2001:a08:3903:200::0/56 tncfg:cipso> info ... max_label=ADMIN_HIGH host=127.0.0.1/32 host=192.168.75.0/24
管理者は、ホストを削除したあとで変更をコミットし、セキュリティーテンプレートを終了します。
tncfg:cipso> commit tncfg:cipso> exit #
始める前に
要件については、セキュリティーテンプレートにホストを追加するを参照してください。
この例では、2 つの IPv4 サブネットを cipso テンプレートに追加したあと、このセキュリティーテンプレートを表示します。
# tncfg -t cipso tncfg:cipso> add host=192.168.75.0 tncfg:cipso> add host=192.168.113.0 tncfg:cipso> info ... host=192.168.75.0/24 host=192.168.113.0/24 tncfg:cipso> exit
接頭辞長 /24 は、.0 で終わるこのアドレスがサブネットであることを示しています。
# tncfg -t cipso tncfg:cipso> add host=192.168.113.100/25 192.168.113.100/25 previously matched the admin_low template
次の例の接頭辞長 /25 は、192.168.113.0 から 192.168.113.127 までの連続する IPv4 アドレスをカバーしています。このアドレスには、192.168.113.100 が含まれます。
# tncfg -t cipso tncfg:cipso> add host=192.168.113.100/25 tncfg:cipso> exit
次の例の接頭辞長 /56 は、2001:a08:3903:200::0 から 2001:a08:3903:2ff:ffff:ffff:ffff:ffff までの連続する IPv6 アドレスをカバーしています。このアドレスには、2001:a08:3903:201:20e:cff:fe08:58c が含まれます。
# tncfg -t cipso tncfg:cipso> add host=2001:a08:3903:200::0/56 tncfg:cipso> info ... host=2001:a08:3903:200::0/56 tncfg:cipso> exit
別のテンプレートに以前追加されたホストを追加した場合、そのセキュリティーテンプレート割り当てが置換されるという旨の通知が表示されます。情報メッセージについては、使用例 40を参照してください。
使用例 41に示すように、入力が誤っている場合も情報メッセージが表示されます。
この例では、すでにテンプレートが割り当てられているホストの範囲にセキュリティーテンプレートを割り当てるときに表示される情報メッセージを示します。
# tncfg -t cipso tncfg:cipso> add host=192.168.113.100/32 192.168.113.100/32 previously matched the admin_low template tncfg:cipso> info ... host=192.168.113.100/32 tncfg:cipso> exit
トラステッドネットワーク代替メカニズムで説明したように、以前の割り当てがこの明示的な割り当てでオーバーライドされることが、Trusted Extensions の代替メカニズムによって保証されます。
使用例 41 セキュリティーテンプレート内に誤って入力された IP アドレスの処理エントリが誤って入力されると、情報メッセージが表示されます。次のホスト追加により、アドレスから :200 が削除されます。
# tncfg -t cipso tncfg:cipso> add host=2001:a08:3903::0/56 Invalid host: 2001:a08:3903::0/56使用例 42 ラベル PUBLIC でのラベルなしサブネットワークの作成
使用例 29では、セキュリティー管理者は信頼できないホストにラベル PUBLIC を割り当てるセキュリティーテンプレートを作成します。この例で、セキュリティー管理者はあるサブネットを PUBLIC ラベルに割り当てます。割り当て側のシステム上のユーザーは、このサブネット内のホストのファイルシステムを PUBLIC ゾーンにマウントできます。
# tncfg -t public tncfg:public> add host=10.10.0.0/16 tncfg:public> exit
このサブネットにはラベル PUBLIC ですぐに到達できます。