Go to main content
Trusted Extensions 構成と管理

印刷ビューの終了

更新: 2016 年 11 月
 
 

Trusted Extensions でのルーティングの管理

Trusted Extensions では、ネットワーク間の通信をルーティングするためにいくつかの方法がサポートされます。サイトのセキュリティーポリシーで要求されるレベルのセキュリティーを実現する経路を設定できます。

たとえば、サイトではローカルネットワークの外部の通信をシングルラベルに制限できます。このラベルは、公開情報に適用します。UNCLASSIFIEDPUBLIC などのラベルで公開情報を表すことができます。この制限を実現するには、これらのサイトで、外部ネットワークに接続されているゲートウェイのネットワークインタフェースを、シングルラベルテンプレートに追加します。

TCP/IP およびルーティングの詳細は、Oracle Solaris 11.3 でのネットワークコンポーネントの構成と管理 の Oracle Solaris のネットワーク管理に関する詳細情報の参照先を参照してください。

Trusted Extensions でのルーターの選択

    Trusted Extensions ホストは、信頼度のもっとも高いルーターとして動作します。ほかの種類のルーターは、Trusted Extensions のセキュリティー属性を認識するとは限りません。管理アクションを行わないと、MAC セキュリティー保護を提供しないルーターを経由してパケットが送信される可能性があります。

  • ラベル付きルーターは、パケットの IP オプションセクションに正しい種類の情報が見つからなかった場合、パケットを破棄します。たとえば、ラベル付きルーターは、必要なラベル付きオプションが IP オプションに見つからない場合、または IP オプションの DOI が宛先の認可と一致しない場合に、パケットを破棄します。

  • Trusted Extensions ソフトウェアを実行していないほかの種類のルーターを構成して、ラベル付きオプションを含むパケットを通過させたり破棄させたりできます。Trusted Extensions など、ラベルを認識するゲートウェイのみが、CALIPSO または CIPSO IP オプションの内容を使用して、MAC を実施できます。

トラステッドルーティングをサポートするために、Trusted Extensions セキュリティー属性を含むようにルーティングテーブルが拡張されます。属性については、Trusted Extensions のルーティングテーブルエントリを参照してください。Trusted Extensions では、ルーティングテーブルのエントリを管理者が手動で作成する、静的ルーティングがサポートされます。詳しくは、route(1M) のマニュアルページの –p オプションを参照してください。

ルーティングソフトウェアは、ルーティングテーブルで宛先ホストへの送信経路を探します。ホストが明示的に定義されていない場合、ルーティングソフトウェアは、ホストが配置されているサブネットのエントリを探します。ホストとサブネットのどちらも定義されていない場合、デフォルトゲートウェイが定義されていれば、ホストはデフォルトゲートウェイにパケットを送信します。複数のデフォルトゲートウェイを定義可能で、それぞれが同等に扱われます。

このリリースの Trusted Extensions では、セキュリティー管理者は経路を手動で設定し、条件が変更されたときに手動でルーティングテーブルを変更します。たとえば、多くのサイトは外部との通信を単一のゲートウェイで行なっています。この場合、ネットワーク上の各ホストで、単一のゲートウェイを「デフォルト」として静的に定義できます。

Trusted Extensions のゲートウェイ

Trusted Extensions のルーティングの例は次のとおりです。図と表では、ホスト 1 とホスト 2 の間で可能な 3 つの送信経路を示しています。

図 3  一般的な Trusted Extensions 経路とルーティングテーブルのエントリ

image:図は、6 つのゲートウェイを含む、ホスト 1 とホスト 2 の間の 3 つの可能な経路を示しています。

経路
最初のホップのゲートウェイ
最小ラベル
最大ラベル
DOI
#1
ゲートウェイ 1
CONFIDENTIAL
SECRET
1
#2
ゲートウェイ 3
ADMIN_LOW
ADMIN_HIGH
1
#3
ゲートウェイ 5

  • 送信経路 #1 は、CONFIDENTIAL から SECRET のラベル範囲のパケットを伝送できます。

  • 送信経路 #2 は、ADMIN_LOW から ADMIN_HIGH の範囲のパケットを伝送できます。

  • 送信経路 #3 には、ルーティング情報が指定されていません。したがって、そのセキュリティー属性は、ゲートウェイ 5 のセキュリティーテンプレートから派生します。

Trusted Extensions のルーティングコマンド

    ラベルやソケットの拡張されたセキュリティー属性を表示するために、Trusted Extensions では次の Oracle Solaris のネットワークコマンドが修正されています。

  • netstat -rR コマンドは、ルーティングテーブルのエントリにあるセキュリティー属性を表示します。

  • netstat -aR コマンドは、ソケットのセキュリティー属性を表示します。

  • route -p コマンドに –add または –delete オプションを指定すると、ルーティングテーブルエントリが変更されます。

詳しくは、netstat(1M)route(1M) のマニュアルページを参照してください。

    Trusted Extensions には、ルーティングテーブルエントリを変更するためのインタフェースとして、次のものが用意されています。

  • txzonemgr GUI は、インタフェースにデフォルトの経路を割り当てる場合に使用できます。

  • –add または –delete オプション付きの route -p コマンドは、ルーティングテーブルエントリを変更する場合に使用できます。

例については、デフォルトルートを追加するを参照してください。

Copyright © 1992, 2016, Oracle and/or its affiliates. All rights reserved.  
前へ
次へ