Go to main content
Trusted Extensions 構成と管理

印刷ビューの終了

更新: 2016 年 11 月
 
 

Trusted Extensions のネットワークセキュリティー属性

Trusted Extensions システムのインストール時には、リモートホストのラベルプロパティーを定義するために使用されるセキュリティーテンプレートのデフォルトセットが追加されます。Trusted Extensions では、ネットワーク上のラベルなしホストとラベル付きホストの両方に、セキュリティーテンプレートによってセキュリティー属性が割り当てられます。テンプレートが割り当てられていないホストは、Trusted Extensions が構成されたホストと通信できません。テンプレートはローカルに格納されます。

セキュリティーテンプレートにホストを追加する場合、IP アドレスを指定することも、IP アドレス範囲の一部として指定することもできます。詳細は、トラステッドネットワーク代替メカニズムを参照してください。

    各ホストタイプには、必須および任意のセキュリティー属性の独自セットがあります。セキュリティーテンプレートで、次のセキュリティー属性を指定します。

  • ホストタイプ – パケットに CALIPSO または CIPSO セキュリティーラベルを付けるか、ラベルを付けないかを定義します。

  • デフォルトラベル – ラベルなしホストの信頼レベルを定義します。ラベルなしホストから送信されたパケットは、受信側の Trusted Extensions システムまたはゲートウェイにより、このラベルで読み取られます。

    「デフォルトラベル」属性は、ホストタイプ unlabeled に固有です。詳細は、セキュリティーテンプレートのデフォルトラベルを参照してください。

  • DOI – 解釈のドメインを識別するゼロ以外の正の整数です。DOI は、ネットワーク通信またはネットワークエンティティーに適用するラベルエンコーディングのセットを識別するために使用されます。DOI が異なるラベル同士は、その他の設定が同じでも無関係です。unlabeled ホストでは、DOI はデフォルトラベルに適用されます。Trusted Extensions では、デフォルト値は 1 です。

  • 最小ラベル – ラベル認可範囲の下限を定義します。ホストおよび次のホップのゲートウェイは、テンプレートで指定された最小ラベルより下位レベルのパケットを受信しません。

  • 最大ラベル – ラベル認可範囲の上限を定義します。ホストおよび次のホップのゲートウェイは、テンプレートで指定された最大ラベルを超えるパケットを受信しません。

  • 補助ラベルセット – オプションです。セキュリティーテンプレート用のセキュリティーラベルの不連続なセットを指定します。補助ラベルセットが指定されたテンプレートに追加されたホストは、最大ラベルと最小ラベルで決定される認可範囲に加え、ラベルセット内のいずれかのラベルに一致するパケットも送受信できます。指定できる最大の補助ラベル数は 4 です。

セキュリティーテンプレートのホストタイプとテンプレート名

    Trusted Extensions は、トラステッドネットワークデータベースで 4 種類のホストタイプをサポートし、4 つのデフォルトテンプレートを提供します。

  • cipso ホストタイプ – ラベル付きトラステッドオペレーティングシステムを実行するホストに使用します。このホストタイプは CALIPSO および CIPSO ラベルをサポートします。

    IPv6 の場合は、IP オプションフィールドで渡すセキュリティーラベルを指定するために CALIPSO プロトコルが使用されます。IPv4 の場合は、CIPSO プロトコルが使用されます。CALIPSO および CIPSO ヘッダー内のラベルは、データのラベルから自動的に派生します。派生したラベルは、IP レベルでセキュリティー検査を行い、ネットワークパケットにラベルを付けるために使用されます。

  • unlabeled ホストタイプ – 標準ネットワークプロトコルを使用し、ラベル付きオプションをサポートしないホストに使用します。Trusted Extensions は、このホストタイプに対して admin_low という名前のテンプレートを提供します。

    このホストタイプは、Oracle Solaris OS またはほかのラベルなしオペレーティングシステムを実行するホストに割り当てられます。このホストタイプは、ラベルなしホストとの通信に適用するデフォルトラベルを提供します。また、ラベル範囲または一連の不連続ラベルを指定して、ラベルなしゲートウェイへの転送用パケットの送信を許可できます。

  • adaptive ホストタイプ - ラベルは付いていないが、ラベル付きシステムの特定のネットワークインタフェースにパケットを送信するホストのサブネットに使用します。ラベル付きシステムは、そのネットワークインタフェースのデフォルトラベルを着信パケットに適用します。

    このホストタイプは、Oracle Solaris OS またはほかのラベルなしオペレーティングシステムを実行するホスト、あるいは、ラベル付きシステムにデータを送信すると想定されるホストに割り当てられます。このホストタイプはデフォルトラベルを提供しません。通信のラベルは、受信側システムのラベル付きネットワークインタフェースから派生します。このホストタイプは、ゲートウェイにではなく、エンドノードのシステムに割り当てられます。

    adaptive ホストタイプは、トラステッドネットワークの計画と拡大/縮小に柔軟性を提供します。管理者は、新しいシステムのデフォルトラベルが前もってわからなくても、新しいラベルなしシステムを使用してネットワークを拡大できます。netif ホストのラベル付きネットワークインタフェースにパケットを送信するように adaptive ホストが構成されている場合は、その netif ホストのインタフェースのデフォルトラベルによって、該当するラベルが着信パケットに割り当てられます。

  • netif ホストタイプ – adaptive ホストからのパケットを特定のネットワークインタフェース上で受信するインタフェースのホスト名に使用します。このホストタイプは、Trusted Extensions システム上のインタフェースに割り当てられます。netif インタフェースのデフォルトラベルは、着信パケットに適用されます。

Caution

注意  - admin_low テンプレートは、ラベルなしテンプレートをサイト固有のラベルで構築する例を提供します。Trusted Extensions のインストールには admin_low テンプレートが必要ですが、そのセキュリティー属性は制限が少なすぎるため、通常のシステム操作には向かない可能性があります。システム保守やサポート上の理由により、提供されているテンプレートは変更を加えずそのまま保持してください。

セキュリティーテンプレートのデフォルトラベル

unlabeled および netif ホストタイプのテンプレートでは、デフォルトラベルが指定されます。このラベルは、Oracle Solaris システムなど、ラベルを認識しないオペレーティングシステムを実行しているホストとの通信を制御するために使用します。割り当てられるデフォルトラベルは、ホストとそのユーザーに適切な信頼レベルを反映します。

ラベルなしホストとの通信は原則的にデフォルトラベルのみに限定されるため、これらのホストは「シングルラベルのホスト」とも呼ばれます。これらのホストを「シングルラベル」と呼ぶ技術上の理由は、これらのホストに admin_high ラベルと admin_low ラベルが含まれないことにあります。

セキュリティーテンプレートの解釈のドメイン

同じ DOI (解釈のドメイン) を使用する組織は、ラベル情報やその他のセキュリティー属性を同じ方法で解釈します。Trusted Extensions がラベルの比較を行う場合、DOI が同じであるかどうかが確認されます。

Trusted Extensions システムでは、1 つの DOI 値に対してラベルポリシーを適用します。Trusted Extensions システムのすべてのゾーンは、同じ DOI で動作する必要があります。Trusted Extensions システムでは、異なる DOI を使用するシステムから受信されるパケットに対する例外処理を用意していません。

デフォルト値と異なる DOI 値をサイトで使用する場合には、異なる解釈ドメインを構成する方法の説明に従ってすべてのセキュリティーテンプレートでこの値を使用する必要があります。

セキュリティーテンプレートのラベル範囲

    「最小ラベル」および「最大ラベル」属性は、ラベル付きホストおよびラベルなしホストのラベル範囲を決定するために使用されます。これらの属性は、次の処理に使用されます。

  • ホストがラベル付きリモートホストと通信するときに使用できるラベル範囲を設定するには

    パケットを宛先ホストに送信するには、パケットのラベルが、宛先ホストのセキュリティーテンプレートで割り当てられたラベル範囲内にある必要があります。

  • ラベル付きゲートウェイまたはラベルなしゲートウェイを通して転送されるパケットのラベル範囲を設定するには

    ラベルなしホストタイプのラベル範囲はテンプレートで指定できます。ラベル範囲を使用すると、ホストは、指定のラベル範囲内にあるパケットであれば、ホストのラベルにあるものではなくても転送できます。

セキュリティーテンプレートの補助ラベル

補助ラベルセットは、リモートホストでパケットを受信、転送、または送信できる不連続なラベルを、最大で 4 つ定義します。この属性はオプションです。デフォルトでは、補助ラベルセットは定義されていません。

Copyright © 1992, 2016, Oracle and/or its affiliates. All rights reserved.  
前へ
次へ