신뢰할 수 있는 확장 프로그램에서 경로 구성 및 네트워크 정보 확인(작업 맵)
다음 작업 맵은 네트워크를 구성하고 구성을 확인하는 작업에 대해 설명합니다.
|
보안 특성을 가진 경로를 구성하는 방법
시작하기 전에
전역 영역에서 보안 관리자 역할에 있어야 합니다.
- 신뢰할 수 있는 네트워크를 통해 패키지를 라우팅하는 데 사용 중인 모든 대상 호스트와 게이트웨이를 추가합니다.
주소는 로컬/등/호스트 파일에 추가 됩니다. 솔라리스 관리 콘솔에서 컴퓨터 및 네트워크 도구를 사용하십시오. 파일 범위는/등/호스트 파일을 수정합니다. 이 옵션을 선택하면 이 옵션을 사용할 수 없습니다. 자세한 내용은 시스템의 알려진 네트워크에 호스트를 추가하는 방법을 참조하십시오.
- 각 대상 호스트,네트워크 및 게이트웨이를 보안 템플릿에 할당합니다.
주소는 로컬/등/보안/
파일에 추가 됩니다. 솔라 관리 콘솔에서 보안 템플릿 도구를 사용합니다. 자세한 내용은 호스트 또는 호스트 그룹에 보안 템플릿을 할당하는 방법을 참조하십시오. - 경로를 설정합니다.
터미널 창에서 경로 추가 명령을 사용하여 경로를 지정합니다.
첫 번째 항목은 기본 경로를 설정합니다. 이 항목은 호스트 또는 패킷의 대상에 특정 경로가 정의되지 않은 경우에 사용할 아가테웨이의 주소 192.168.113.1 을 지정합니다.
# route add default 192.168.113.1 -static
자세한 내용은 경로(1 미터)맨 페이지를 참조하십시오.
- 하나 이상의 네트워크 항목을 설정합니다.
보안 특성을 지정하려면-보안 태그 플래그를 사용합니다.
다음 명령 목록에서 두 번째 줄에는 네트워크 통신이 표시됩니다. 세 번째 줄에는 공개에서 기밀로의 레이블 범위가 있는 네트워크 항목이 표시됩니다.
# route add default 192.168.113.36# route add -net 192.168.102.0 gateway-101# route add -net 192.168.101.0 gateway-102 \-secattr min_sl="PUBLIC",max_sl="CONFIDENTIAL : INTERNAL USE ONLY",doi=1
- 하나 이상의 호스트 항목을 설정합니다.
새 네 번째 줄에는 단일 레이블 호스트 게이트웨이 펍에 대한 호스트 항목이 표시됩니다. 게이트웨이-펍 공공 공공의 레이블 범위가 있습니다.
# route add default 192.168.113.36# route add -net 192.168.102.0 gateway-101# route add -net 192.168.101.0 gateway-102 \-secattr min_sl="PUBLIC",max_sl="CONFIDENTIAL : INTERNAL USE ONLY",doi=1# route add -host 192.168.101.3 gateway-pub \-secattr min_sl="PUBLIC",max_sl="PUBLIC",doi=1
예 13-14 라벨이 기밀 범위인 경로 추가:내부 사용은 비밀로만 사용 : 제한된
다음 경로 명령은 라우팅 테이블에 192.168.115.0 의 호스트를 게이트웨이로 192.168.118.39 로 추가합니다. 라벨 범위는 기밀:내부 사용 만기밀:제한적이며 도이는 1 입니다.
$ route add -net 192.168.115.0 192.168.118.39 \-secattr min_sl="CONFIDENTIAL : INTERNAL USE ONLY",max_sl="CONFIDENTIAL : RESTRICTED",doi=1
추가된 호스트의 결과가 다음과 같이 표시됩니다.command.In 다음 발췌,다른 경로는 타원으로 대체(…).
$ netstat -rRn...192.168.115.0 192.168.118.39 UG 0 0 min_sl=CNF : INTERNAL USE ONLY,max_sl=CNF : RESTRICTED,DOI=1,CIPSO...
신뢰할 수 있는 네트워크 데이터베이스의 구문을 확인하는 방법
각 네트워크 데이터베이스의 구문이 정확한지 확인합니다.보안 템플릿 도구 또는 신뢰할 수 있는 네트워크 영역 도구를 사용할 때 솔라리스 관리 콘솔이 자동으로 이 명령을 실행합니다. 일반적으로 이 명령을 실행하여 나중에 사용할 수 있도록 구성 중인 데이터베이스 파일의 구문을 확인합니다.
시작하기 전에
네트워크 설정을 확인할 수 있는 역할의 전역 영역에 있어야 합니다. 보안 관리자 역할 및 시스템 관리자 역할이러한 설정을 확인할 수 있습니다.
- 터미널 창에서 명령을 실행합니다.
$ tnchkdb checking /etc/security/tsol/tnrhtp ...checking /etc/security/tsol/tnrhdb ...checking /etc/security/tsol/tnzonecfg ...
예제 13-15 시험 네트워크 데이터베이스의 구문 테스트
이 예에서 보안 관리자는 가능한 사용을 위해 네트워크 데이터베이스 파일을 테스트하고 있습니다. 처음에는 관리자가 잘못된 옵션을 사용합니다. 이 문서는 기계 번역되었으므로 어휘,구문 또는 문법에서 오류가 있을 수 있습니다:
$ tnchkdb -h /opt/secfiles/trial.tnrhtpchecking /etc/security/tsol/tnrhtp ...checking /opt/secfiles/trial.tnrhtp ...line 12: Illegal name: min_sl=ADMIN_LOW;max_sl=ADMIN_HIGHline 14: Illegal name: min_sl=ADMIN_LOW;max_sl=ADMIN_HIGHchecking /etc/security/tsol/tnzonecfg ...
보안 관리자가 이 옵션을 사용하여 파일을 확인할 때 이 명령은 평가판 데이터베이스의 구문이 정확한지 확인합니다:
$ tnchkdb -t /opt/secfiles/trial.tnrhtpchecking /opt/secfiles/trial.tnrhtp ...checking /etc/security/tsol/tnrhdb ...checking /etc/security/tsol/tnzonecfg ...
신뢰할 수 있는 네트워크 데이터베이스 정보를 커널 캐시와 비교하는 방법
네트워크 데이터베이스에는 커널에 캐시되지 않은 정보가 포함될 수 있습니다. 이 절차는 정보가 동일한지 확인합니다. 네트워크를 업데이트하기 위해 솔라리스 관리 콘솔을 사용하면 커널 캐시가 네트워크 데이터베이스 정보로 업데이트됩니다. 이 명령은 테스트 및 디버깅을 위해 유용합니다.
시작하기 전에
네트워크 설정을 확인할 수 있는 역할의 전역 영역에 있어야 합니다. 보안 관리자 역할 및 시스템 관리자 역할이러한 설정을 확인할 수 있습니다.이 경우 터미널 창에서 다음 명령을 실행합니다.
-
다음 정보를 표시합니다:
template: template-namehost_type: either CIPSO or UNLABELEDdoi: 1min_sl: minimum-labelhex: minimum-hex-labelmax_sl: maximum-labelhex:maximum-hex-label
-
다중 레벨 포트 구성을 표시합니다.
예제 13-16 호스트에 다중 레벨 포트 표시
이 예에서는 시스템이 여러 개의 레이블이 지정된 영역으로 구성됩니다. 모든 영역은 동일한 아이피 주소를 공유합니다. 일부 영역은 다음과 같이 구성됩니다.영역 별 주소. 이 구성에서 웹 브라우징을 위한 포트 8080 은 공용 영역의 공유 인터페이스에 있는 메이저리그입니다. 또한 텔넷을 설정했습니다. 전역 영역을 포함 하 여 다른 영역 포트 8080 및 23 에 공유 인터페이스에 패킷을 받을 수 있습니다.이 포트에 대한 자세한 내용은 포트 22 를 참조하십시오. 주소의 레이블 범위 내에서 해당 영역별 주소의 모든 패킷을 받을 수 있습니다.
다음 명령은 공용 영역에 대한 국토교통부:
$ tninfo -m publicprivate: 22/tcpshared: 23/tcp;8080/tcp
다음 명령은 전역 영역에 대한 국공립대학교를 보여 줍니다. 전역 영역은 공용 영역과 동일한 주소를 공유하므로 전역 영역에서 포트 23 및 8080 이 될 수 없습니다:
$ tninfo -m globalprivate: 111/tcp;111/udp;514/tcp;515/tcp;631/tcp;2049/tcp; 6000-6003/tcp;38672/tcp;60770/tcp;shared: 6000-6003/tcp
커널 캐시를 신뢰할 수 있는 네트워크 데이터베이스와 동기화하는 방법
커널이 신뢰할 수 있는 네트워크 데이터베이스 정보로 업데이트되지 않은 경우 커널 캐시를 업데이트하는 방법은 여러 가지가 있습니다. 보안 템플릿 도구 또는 신뢰할 수 있는 네트워크 영역 도구를 사용할 때 솔라리스 관리 콘솔이 자동으로 이 명령을 실행합니다.
시작하기 전에
전역 영역에서 보안 관리자 역할에 있어야 합니다.
- 커널 캐시를 네트워크 데이터베이스와 동기화하려면 다음 명령 중 하나를 실행하십시오.
주의-신뢰할 수 있는 네트워크 데이터베이스 정보를 얻는 시스템에서는 이 방법을 사용하지 마십시오. 로컬 데이터베이스 정보를 덮어씁니다.
$ svcadm restart svc:/network/tnctl
이 명령은 로컬 신뢰할 수있는 네트워크 데이터베이스의 모든 정보를 커널로 읽습니다.
- 최근에 추가한 항목의 커널 캐시를 업데이트합니다.
$ tnctl -h hostname
이 명령은 선택한 옵션의 정보만 커널로 읽습니다. 옵션에 대한 자세한 내용은 예제 13-17 을 참조하십시오.
-
- 폴링 간격을 변경합니다.
커널 캐시를 업데이트하지 않습니다. 그러나 커널 캐시를 더 자주 업데이트하려면 폴링 간격을 줄일 수 있습니다. 자세한 내용은,에서 예를 들끓다(1 엠)맨 페이지.
-
이 서비스 관리 기능은 신뢰할 수 있는 네트워크 데이터베이스에 대한 최근 변경 사항과 함께 커널의 즉각적인 업데이트를 트리거합니다.
$ svcadm refresh svc:/network/tnd
- 를 사용하여 다시 시작하십시오.
$ svcadm restart svc:/network/tnd
주의-이 명령을 실행하여 이 명령을 다시 시작하지 마십시오. 이 명령은 현재 성공 중인 통신을 중단할 수 있습니다.
- 폴링 간격을 변경합니다.
이 예제에서는 관리자가 로컬 데이터베이스에 3 개의 주소를 추가했습니다. 먼저 관리자는 0.0.0.0 와일드카드 항목을 제거했습니다.
$ tnctl -d -h 0.0.0.0:admin_low
그런 다음 관리자가 마지막 세 항목의 형식을 봅니다.:
$ tail /etc/security/tsol/tnrhdb#\:\:0:admin_low127.0.0.1:cipso#\:\:1:cipso192.168.103.5:admin_low192.168.103.0:cipso0.0.0.0/32:admin_low
그런 다음 관리자가 커널 캐시를 업데이트합니다:
$ tnctl -h 192.168.103.5tnctl -h 192.168.103.0tnctl -h 0.0.0.0/32
마지막으로 관리자는 커널 캐시가 업데이트되었는지 확인합니다. 첫 번째 항목의 출력은 다음과 유사합니다:
$ tninfo -h 192.168.103.5IP Address: 192.168.103.5Template: admin_low
예제 13-18 커널
의 네트워크 정보 업데이트 이 예제에서는 관리자가 퍼블릭 프린트 서버로 신뢰할 수 있는 네트워크를 업데이트한 다음 커널 설정이 올바른지 확인합니다.
$ tnctl -h public-print-server$ tninfo -h public-print-serverIP Address: 192.168.103.55Template: PublicOnly$ tninfo -t PublicOnly==================================Remote Host Template Table Entries----------------------------------template: PublicOnlyhost_type: CIPSOdoi: 1min_sl: PUBLIChex: 0x0002-08-08max_sl: PUBLIChex: 0x0002-08-08