3. 構築
3.4. セキュリティポリシーのファイル構成
3.4.7. トラステッドネットワーク定義
Ⅰ‑95 Copyright © 2003 IPA, All Rights Reserved.
的に実際にサービスが利用できるか確認する。
Ⅰ‑96 Copyright © 2003 IPA, All Rights Reserved.
リスト 3‑34 tnidb ファイルのフィールド
(フィールド)
interface̲name:attr
(例)
hme0:
min̲sl=0x00000000000000000000000000000000000000000000000000000000000000000000;
max̲sl=0x7fffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffff;
def̲label=[0x00000000000000000000000000000000000000000000000000000000000000000000]
;
def̲cl=0x7fffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffff forced̲privs=empty
表 3‑41 tnidb のフィールドの意味
# フィールド 説明 種別
1 interface̲name インターフェース名 TS 2 attr インターフェース属性
有効キー 値と説明 種別
min̲sl 最下位 SL TS
max̲sl 最上位 SL TS
def̲label デフォルトラベル TS
def̲cl デフォルト許可上限 TS
forced̲privs 強制特権 TS
TS
(2) ネットワークインターフェース属性データベース(tnidb)の設定方法
ネットワークインターフェースの属性の設定は、secadmin 役割により行う。admin 役割では設定の表示のみ可能である。
(A) SMC によりネットワークインターフェース属性を定義する手順
secadmin 役割にてネットワークインターフェースの属性の定義を行う例を示す。
最 初 に 、 Navigation か ら [Trusted Solaris Configuration] – [Interface Manager]とツリーをクリックして行くと、図 3‑20 のようなイメージが表示される。
Ⅰ‑97 Copyright © 2003 IPA, All Rights Reserved.
図 3‑20 ネットワークインターフェース属性編集初期画面
ネットワークインターフェースの定義を新たに追加する場合は、Navigation から [Interface Manager]を選択し、マウスの右ボタンをクリックするとメニューが現れ るので、[Add Interface]を選択する。または[Action]をクリックしメニューから [Add Interface]を選択する。その後図 3‑21 のようなイメージが表示される。
図 3‑21 ネットワークインターフェース属性編集画面
ネットワークインターフェースの属性の設定
Ⅰ‑98 Copyright © 2003 IPA, All Rights Reserved.
カテゴリ 入力・選択項目 入力値
Interface Interface インターフェース名 Minimum Label 認可範囲の下限のラベル
Accreditation Ranges
Maximum Label 認可範囲の上限のラベル
Label デフォルトのラベル Clearance デフォルトの許可上限 Default Security
Attribute
Forced Privileges デフォルトの強制特権
これらの入力後[OK]をクリックすると、ネットワークインターフェースの属性が 設定される。
3.4.7.2. ホストとネットワークの属性
Trusted Solaris ではネットワーク接続されるホストやセグメントに対して、標準の IP により通信を行うか、各種の拡張のセキュリティ属性を持つトラステッドネットワークプ ロトコルによる通信を行うかの定義をすることが可能である。
この定義は tnrhdb ファイルおよび tnrhtp ファイルにより行う。tnrhdb ファイルは tnrhtp ファイルにより定義された、各種のプロトコルに対応した属性のテンプレートについて、
ホストアドレスまたはネットワークアドレス単位に対応付けを行う。
(1) ホストとネットワークの属性データベース(tnrhdb)の構成
tnrhdb ファイルは、ホストアドレスやネットワークアドレスに対するテンプレート を定義する。
ネットワークの起動中にこのファイルを変更した場合は、tnctl コマンドにより有 効にされるまで、変更は有効とならない。
リスト 3‑35 に tnrhdb ファイルのフィールド定義、および Trusted Solaris 8 の例 を示す。また、
表 3‑42 に各フィールドの値と意味を示す。
リスト 3‑35 tnrdb ファイルのフィールド
(フィールド)
IP̲address:tmplate̲name
(例)
192.168.0.0/16:unlab̲public
Ⅰ‑99 Copyright © 2003 IPA, All Rights Reserved.
表 3‑42 tnrdb のフィールドの意味
# フィールド 説明 種別
1 IP̲address IP アドレス
有効型(説明) 種別
10.100.100.201 (IPv4 address) TS 10.100.0.0 (IPv4 class A, B, C address) TS 10.100.128.0/17 (IPv4 subnet address) TS fec0¥:¥:9¥:20ff¥:fea0¥:21f7 (IPv6 address) TS fec0¥:¥:/10 (IPv6 subnet address) TS
TS
2 template̲name テンプレート名 TS
(2) ホストとネットワークの属性データベース(tnrhdb)の設定方法
ホストとネットワークの属性の設定は、secadmin 役割により行う。admin 役割では 設定の表示のみ可能である。
(A) SMC によりホストとネットワークの属性を定義する手順
secadmin 役割にてホストとネットワークの属性の定義を行う例を示す。
最初に、Navigation から[Trusted Solaris Configuration] – [Computer and Networks] – [Security Families]とツリーをクリックして行くと、図 3‑22 のよう なイメージが表示される。
Ⅰ‑100 Copyright © 2003 IPA, All Rights Reserved.
図 3‑22 ホスト・ネットワーク属性編集初期画面
テンプレートを割り当てるホストやネットワークを追加する場合は、Navigation からテンプレートを選択し、マウスの右ボタンをクリックするとメニューが現れる ので、[Add host(s)]を選択する。または[Action]をクリックしメニューから[Add host(s)]を選択する。その後図 3‑23 のようなイメージが表示される。
図 3‑23 ホスト・ネットワーク属性編集画面
ホストとネットワークの属性の設定
Ⅰ‑101 Copyright © 2003 IPA, All Rights Reserved.
入力・選択項目 入力値
Hosts/Wildcard ホストアドレスかワイルドカードかの指定
Hostname ホスト名の指定(ワイルドカードの場合は指定不要)
IP Address IP アドレスの指定(ワイルドカードは Prefix Length まで)
Prefix Length 頭からのビット長(ホストの場合は指定不要)
Template 適用するテンプレートの指定
これらの入力後[OK]をクリックすると、ホストとネットワークの属性が設定され る。
3.4.7.3. プロトコルと属性のテンプレート
Trusted Solaris は、標準の IP プロトコル以外に、拡張のセキュリティ属性を持つトラ ステッドネットワークプロトコルをサポートしている。Trusted Solaris 8 でサポートする セキュリティオプションのタイプを次に示す。
unlabeled ラベル属性を持たない標準の IP
sun̲tsol Trusted Solaris で用いられるラベル属性を持つ IP ripso Revised IP Security Option をサポートする IP cipso Commercial IP Security Option をサポートする IP
tsix TSIG(Trusted System Interoperability Group)の TSIX(RE) 1.1 属性はテンプレートとして定義し、ホストのアドレスやセグメントのネットワークアド レスに対して適用することが可能である。
(1) プロトコルと属性のテンプレート(tnrhtp)の構成
tnrhtp ファイルは、各タイプに準拠する IP のセキュリティオプションのテンプレー トを定義する。
ネットワークの起動中にこのファイルを変更した場合は、tnctl コマンドにより有 効にされるまで、変更は有効とならない。リスト 3‑36 に tnidb ファイルのフィール ド定義、および Trusted Solaris 8 の例を示す。また、以下の表に各セキュリティオ プションのタイプに応じたフィールドの値と意味を示す。
Ⅰ‑102 Copyright © 2003 IPA, All Rights Reserved.
リスト 3‑36 tnrhtp のフィールド
(フィールド)
template̲name:attr
(例)
tsol:host̲type=sun̲tsol;
min̲sl=0x00000000000000000000000000000000000000000000000000000000000000000000;
max̲sl=0x7fffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffff;
allowed̲privs=all;ip̲label=none;ripso̲label=empty;ripso̲error=empty;doi=0;
表 3‑43 tnrhtp のフィールドの意味(unlabeled タイプ)
# フィールド 説明 種別
1 template̲name インターフェース名 TS
2 attr host̲type=unlabeled
有効キー 値と説明 種別
min̲sl 最下位 SL TS
max̲sl 最上位 SL TS
def̲label デフォルトラベル TS
def̲cl デフォルト許可上限 TS
forced̲priv 強制特権 TS ip̲label none│ripso│cipso TS ripso̲label PAF(GENSER│SIOP‑ESI│SCI│NSA│DO
E)と格付け
TS ripso̲error PAF(GENSER│SIOP‑ESI│SCI│NSA│DO
E)
TS
doi integer TS
TS
表 3‑44 tnrhtp のフィールドの意味(sun̲tsol タイプ)
# フィールド 説明 種別
1 tmplate̲name インターフェース名 TS
2 attr host̲type=sun̲tsol
有効キー 値と説明 種別
min̲sl 最下位 SL TS
max̲sl 最上位 SL TS
allowed̲priv 許容特権 TS
ip̲label none│ripso│cipso TS ripso̲label PAF(GENSER│SIOP‑ESI│SCI│NSA│DO
E)と格付け
TS ripso̲error PAF(GENSER│SIOP‑ESI│SCI│NSA│DO
E)
TS
doi integer TS
TS
Ⅰ‑103 Copyright © 2003 IPA, All Rights Reserved.
表 3‑45 tnrhtp のフィールドの意味(ripso タイプ)
# フィールド 説明 種別
1 tmplate̲name インターフェース名 TS
2 attr host̲type=ripso
有効キー 値と説明 種別
min̲sl 最下位 SL TS
max̲sl 最上位 SL TS
def̲label デフォルトラベル TS
def̲cl デフォルト許可上限 TS
forced̲priv 強制特権 TS ripso̲label PAF(GENSER│SIOP‑ESI│SCI│NSA│DO
E)と格付け
TS ripso̲error PAF(GENSER│SIOP‑ESI│SCI│NSA│DO
E)
TS
doi integer TS
TS
表 3‑46 tnrhtp のフィールドの意味(cipso タイプ)
# フィールド 説明 種別
1 tmplate̲name インターフェース名 TS
2 attr host̲type=cipso
有効キー 値と説明 種別
min̲sl 最下位 SL TS
max̲sl 最上位 SL TS
def̲cl デフォルト許可上限 TS
forced̲priv 強制特権 TS
TS
表 3‑47 tnrhtp のフィールドの意味(tsix タイプ)
# フィールド 説明 種別
1 tmplate̲name インターフェース名 TS
2 attr host̲type=tsix
有効キー 値と説明 種別
min̲sl 最下位 SL TS
max̲sl 最上位 SL TS
forced̲priv 強制特権 TS
allowed̲priv 許容特権 TS
ip̲label none│ripso│cipso TS ripso̲label PAF(GENSER│SIOP‑ESI│SCI│NSA│DO
E)と格付け
TS ripso̲error PAF(GENSER│SIOP‑ESI│SCI│NSA│DO
E)
TS
doi integer TS
TS
Ⅰ‑104 Copyright © 2003 IPA, All Rights Reserved.
(2) プロトコルと属性のテンプレート(tnrhtp)の設定方法
プロトコルと属性の設定は、secadmin 役割により行う。admin 役割では設定の表示 のみ可能である。
(A) SMC によりプロトコルと属性のテンプレートを定義する手順
secadmin 役割にてプロトコルと属性のテンプレートの定義を行う例を示す。
最初に、Navigation から[Trusted Solaris Configuration] – [Computer and Networks] – [Security Families]とツリーをクリックして行くと、図 3‑24 のよう なイメージが表示される。
図 3‑24 プロトコル属性編集初期画面
テ ン プ レ ー ト の 定 義 を 新 た に 追 加 す る 場 合 は 、 Navigation か ら [Security Families]を選択し、マウスの右ボタンをクリックするとメニューが現れるので、
[Add Template] を 選 択 す る 。 ま た は [Action] を ク リ ッ ク し メ ニ ュ ー か ら [Add Template]を選択する。その後図 3‑25 のようなイメージが表示される。
Ⅰ‑105 Copyright © 2003 IPA, All Rights Reserved.
図 3‑25 プロトコル属性編集画面 General
入力・選択項目 入力値
Name テンプレート名
Host Type Unlabeled│Trusted Solaris│RIPSO│CIPSO│TSIX Access Control Attributes
カテゴリ 入力・選択項目 入力値
Minimum Label 認可範囲の下限のラベル Accreditation Range
Maximum Label 認可範囲の上限のラベル
Label デフォルトのラベル Defaults
Clearance デフォルトの許可上限 Advanced Security Attributes
Ⅰ‑106 Copyright © 2003 IPA, All Rights Reserved.
カテゴリ 入力・選択項目 入力値
Domain Of Interpretation DOI 整数
IP Label none│ripso│cipso RIPSO Send Class 格付け
RIPSO Send PAF PAF(GENSER│SIOP‑ESI│SCI│NSA│DOE) IP Options
RIPSO Return PAF PAF(GENSER│SIOP‑ESI│SCI│NSA│DOE) Forced Privileges 強制特権
Privileges
Allowed Privileges 許容特権
Access Control Attribute および Advanced Security Attribute については Host Type および IP Options の IP Label におけるプロトコルタイプの指定により設定で きる属性が異なっている。
インターネットサーバー構築においては、RIPSO、CIPSO、TSIX といったトラステッ ドネットワークプロトコルを使うことはないであろう、また Trusted Solaris 独自 の TSOL プロトコルについても、ネットワークインストールやリモート管理のために 使う以外では使うことはないであろう。
Ⅰ‑107 Copyright © 2003 IPA, All Rights Reserved.