Presentation from training day for Sun Solaris customers to explain features and setup of Solaris secure networking.
Some update of OpenSolaris.
Presentation covers following themes:
- Trusted Extension
- IP filter
- IPsec
- IP QoS
- news from OpenSolaris
4. Řízení přístupu
●
autorizace
– Discretionary Access Control (DAC)
(certifikace CA PP & RBAC PP na EAL4+)
●
subjekt
(uživatel a jeho procesy, ověřená identita uživatele)
– UID, GID
●
objekt
(soubory, sdílená paměť, jiné procesy, síť ...)
– rwx bity
– POSIX ACL, ZFS/NFSv4 ACL
– Mandatory Access Control (MAC)
(certifikace LS PP na EAL4+)
●
subjekt
+ clearance label, accreditation label range,
account label range, session label range
●
objekt
+ sensitivity label
TX
možnosti
5. Definice „label“
●
označení
– klasifikace (classification, level)
●
vertikální hierarchická úroveň bezpečnosti
příklad: „public“ < „company conf.“ < „secret“ < „top secret“
– oddělení (compartments, categories)
●
horizontální příslušnost do žádného,
jednoho i více oddělení bezpečnosti
příklad: „education“, „marketing“, „management“, „accounting“
●
vyhodnocení
– dominance subjektu nad objektem
●
subjekt má stejnou nebo vyšší klasifikaci než
objekt
●
subjekt obsahuje všechna oddělení objektu
– write-up + read-down
– Compartmented Mode Workstations (CMWs)
TX
label
10. Více v kurzech
SC-325-S10 - Solaris Trusted
Extensions Installation and Setup
SC-326-S10 - Administering Solaris
Trusted Extensions
SC-327-S10 - Solaris Trusted
Extensions Installation, Configuration
and Administration
WST-3251-S10 - Key Benefits of Solaris
Trusted Extensions
TX
kurzy
13. IP filter
●
vlastnosti
– multiplatformní (Solaris, HPUX, AIX, *BSD,
IRIX, Linux, QNX, Tru64)
– stavový paketový filtr
– překlad ip adres (NAT/PAT)
– sledování a záznam provozu
●
ip accounting, ip log
– doplňující funkce
IPF
architektura
15. Konfigurace v Solarisu
●
konfigurační soubory
/etc/ipf/ipf.conf
●
filtrovací pravidla
/etc/ipf/ippool.conf
●
konfigurace sad ip adres pro pravidla
/etc/ipf/ipnat.conf
●
překlad IP adres (NAT/PAT)
●
přesměrování paketů (RDR)
●
příkazy
– ipf(1M), ippool(1M), ipnat(1M),
ipfstat(1M), ipmon(1M)
IPF
administrace
16. Konfigurace ipf.conf
●
pravidla od shora dolů
●
platí poslední shoda („quick“ předčasně
ukončuje hledání, zlepšení výkonu)
●
zvláštní sada pro „in“ a „out“
●
seskupování pravidel (zlepšení výkonu)
●
sady ip adres (ippool.conf)
●
proměnné
●
nově zpracování loopbacku (filtrování mezi
zónami)
●
základní konfigurace
(block|pass|log...) (in|out)
[log] ... [quick] ... [proto [tcp|
udp...]] … (all | [from … to …]) ...
IPF
administrace
17. Osobní firewall
block in all
block out all
pass in quick proto icmp all icmp-type echo keep
state
pass in quick proto udp from any to any port = 68
pass in quick proto tcp from any to any port = 22
keep state
pass out quick all keep state
block return-icmp-as-dest(port-unr) in proto
tcp/udp all
IPF
administrace
18. Více v kurzech
SC-301-S10 - Personalizing Security on
the Solaris 10 Operating systém
SA-300-S10 - Network Administration
for the Solaris 10 Operating System
VC-SA-228-S10 - Solaris 10 Security
IPF
kurzy
22. Funkce IPsec
IPsec
funkce
●
IP security doplňuje IP o funkce
– encapsulating security payload (ESP)
●
šifrování obsahu paketu
●
symetrické algoritmy DES, AES...
– authentication header (AH)
●
autentizace paketu
●
ověření zdroje (včetně IP adresy) a
ochrana proti modifikacím
●
algoritmy otisku (s přidáním klíče - MAC)
MD5, SHA1...
– security association (SA)
●
index do tabulky na koncových
systémech adresující symetrické klíče a
použitý algoritmus pro ESP a AH
23. Mody přenosu IPsec
IPsec
funkce
DST
SRC
IP TCP/UDP data
DST
SRC
AH
SPI
CHK
SUM
sa klíč
DST
SRC
SPI
CHK
SUM
ESP
SPI
sa klíč
MD5
AES
DST
SRC
SPI
DST
SRC
SPI
CHK
SUM
AH
ESP+AH
TUN+ESP+ESP_AH=VPN
24. Databáze SA
●
ruční naplnění
●
automaticky
– Internet Key Exchange (IKE)
●
Diffie-Hellman
– pravidelná obměna klíčů
– vytvoření podle požadavků
●
ověření pomocí
– symetrickými hesly (Preshared Keys)
– digitálními certifikáty (Public Key Certificates)
IPsec
funkce
25. Konfigurace v Solarisu
●
konfigurační soubory
/etc/inet/ipsecinit.conf
●
pravidla pro přidání a akceptaci ESP+AH
/etc/inet/secret
ipseckeys - ručně zadané klíče
ike.preshared - symetrická hesla pro IKE
ike.privatekeys - privátní klíče k
certifikátům pro IKE
/etc/inet/ike
config - konfigurace IKE
publickeys - certifikáty pro IKE
crls - revokované certifikáty
●
příkazy
– ipsecconf(1M), ipseckey(1M),
ipsecalgs(1M), in.iked(1M), ikeadm(1M),
ikecert(1M)
IPsec
administrace
26. IPsec a IKE s hesly
IPsec
administrace
/etc/inet/ipsecinit.conf
{rport 23} ipsec {encr_algs any auth_algs any}
/etc/inet/ike/config
p1_lifetime_secs 14400
p1_nonce_len 20
{
label "default rule"
local_id_type ipv4
local_addr 0.0.0.0/0
remote_addr 0.0.0.0/0
p2_pfs 5
p1_xform {auth_method preshared oakley_group 5
auth_alg sha encr_alg aes }
}
/etc/inet/secret/ike.preshared
{
localidtype IP
localid 192.168.1.173
remoteidtype IP
remoteid 192.168.1.174
key 63616e676574696e
}
27. Více v kurzech
SC-301-S10 - Personalizing Security on
the Solaris 10 Operating systém
VC-SA-228-S10 - Solaris 10 Security
IPsec
kurzy
29. Řízení QoS na síti
●
Integrated Services - IntServ
– aplikace sdělí požadavky QoS a všechny
body sítě přidělí a řídí provoz
– Resource reservation protocol (RSVP)
– MPLS, ATM
●
Differentiated services – DiffServ
– aplikace (a kdokoli jiný) vyznačí
požadavky QoS a některé body sítě
mohou vyhovět
IP QoS
možnosti
30. Klasifikace provozu IP DiffServ
●
Assured forwarding – AF
– 4 prioritní třídy a 3 priority zahození
●
Expedited forwarding – EF
– maximum možností, bez bufferů (nejmenší
ztráta, zpoždění a jitter)
●
DiffServ Control Point (DSCP)
– IPv4 TOS, IPv6 Traffic Class
– 3 bity třída + 2 bity zahození + 1 bit
standard/experimentální + 2 bity ECN
IP QoS
funkce
AF11 AF21 AF31 AF41
AF12 AF22 AF32 AF42
AF13 AF23 AF33 AF43 EF
id třídy
[0]
ostatní
[0]
třída 1
[1]
třída 2
[2]
třída 3
[3]
třída 4
[4]
EF
[5]
řízení
[6]
řízení
[7]
nízké [1]
střední [2]
vysoké [3]
0x1c=28 0x2e=46
31. Klasifikace provozu VLAN CoS
●
3 bity ve ethenet VLAN CoS (802.1p)IP QoS
funkce 7 řízení sítě
6 video, zpoždění menší než 10ms
5 video, zpoždění menší než 100ms
4 řízený tok dat
3
0
2 zbývající tok
1 tok na pozadí
prvotřídní snaha (excellent effort)
nejlepší snaha (best effort)