Presentation from training day for Sun Solaris customers to explain features and setup of Solaris secure networking. Some update of OpenSolaris. Presentation covers following themes: - Trusted Extension - IP filter - IPsec - IP QoS - news from OpenSolaris

1. Sun Training Day 2008
sekce Solaris
Martin Červený
M.Cerveny@computer.org

2. Trusted Extension
IP filter
IP security
IP QoS
Novinky OpenSolarisu

3. Trusted Extension

4. Řízení přístupu
●
autorizace
– Discretionary Access Control (DAC)
(certifikace CA PP & RBAC PP na EAL4+)
●
subjekt
(uživatel a jeho procesy, ověřená identita uživatele)
– UID, GID
●
objekt
(soubory, sdílená paměť, jiné procesy, síť ...)
– rwx bity
– POSIX ACL, ZFS/NFSv4 ACL
– Mandatory Access Control (MAC)
(certifikace LS PP na EAL4+)
●
subjekt
+ clearance label, accreditation label range,
account label range, session label range
●
objekt
+ sensitivity label
TX
možnosti

5. Definice „label“
●
označení
– klasifikace (classification, level)
●
vertikální hierarchická úroveň bezpečnosti
příklad: „public“ < „company conf.“ < „secret“ < „top secret“
– oddělení (compartments, categories)
●
horizontální příslušnost do žádného,
jednoho i více oddělení bezpečnosti
příklad: „education“, „marketing“, „management“, „accounting“
●
vyhodnocení
– dominance subjektu nad objektem
●
subjekt má stejnou nebo vyšší klasifikaci než
objekt
●
subjekt obsahuje všechna oddělení objektu
– write-up + read-down
– Compartmented Mode Workstations (CMWs)
TX
label

6. Příklady konfigurace
●
firemní rozložení
klasifikace: „public“ < „company confidental“ < „secret“
oddělení: „education“, „management“, „accounting“ …
●
NISPOM rozložení
klasifikace: „confidental“ < „secret“ < „top secret“
●
NATO rozložení
klasifikace: „nato resticted“ < „nato confidental“ < „nato
secred“ < „cosmic top secred“
oddělení: „atomal“
●
demo rozložení
klasifikace: „unclassified (U)“ < „confidental (C)“ < „secred
(S)“ < „top secred (TS)“
oddělení: „A“, „B“
●
firewall
klasifikace: „system“
oddělení: „inside“, „outside“
TX
label

7. Aplikační firewall
TX
label
SYSTEM INSIDE OUTSIDE
SYSTEM
OUTSIDE
SYSTEM
INSIDE
SYSTEM
sw install
audit
web server application
DB
internet
trusted gw

8. Použití v Solarisu
●
konfigurační soubory
– /etc/security/tsol/
– label_encodings, tnrhdb, tnrhtp, tnzonecfg …
●
funkčnost
– oddělení implementováno pomocí zón
– rozšířená grafika (JDS, CDE)
– sítě (CIPSO), tisk (banner)
– speciální label ADMIN_LOW, ADMIN_HIGH
– privilegia v kernelu
●
příkazy
– getlabel(1), setlabel(1), plabel(1), getzonepath(1)
– chk_encodings(1M), add_allocatable(1M),
remove_allocatable(1M), atohexlabel(1M),
hextoalabel(1M), smtnrhdb(1M), smtnrhtp(1M),
smtnzonecfg(1M), tnchkdb(1M), tnctl(1M), tnd(1M),
tninfo(1M), updatehome(1M)
TX
administrace

9. Konfigurace label_encodings
VERSION=
CLASSIFICATIONS:
name=; sname=; value=; ...
INFORMATION LABELS:
WORDS:
REQUIRED COMBINATIONS:
COMBINATION CONSTRAINTS:
SENSITIVITY LABELS:
WORDS:
name=; sname=; minclass=; compartments=; ...
REQUIRED COMBINATIONS:
COMBINATION CONSTRAINTS:
CLEARANCES:
WORDS:
REQUIRED COMBINATIONS:
COMBINATION CONSTRAINTS:
CHANNELS:
WORDS:
PRINTER BANNERS:
WORDS:
ACCREDITATION RANGE:
NAME INFORMATION LABELS:
TX
administrace

10. Více v kurzech
SC-325-S10 - Solaris Trusted
Extensions Installation and Setup
SC-326-S10 - Administering Solaris
Trusted Extensions
SC-327-S10 - Solaris Trusted
Extensions Installation, Configuration
and Administration
WST-3251-S10 - Key Benefits of Solaris
Trusted Extensions
TX
kurzy

11. IP filter

12. Řízení přístupu na síti
●
L7 - aplikační konfigurace
– ftp, sendmail, apache …
– /etc/ftpd/*, /etc/mail/sendmail.cf
●
L4 - tcp wrapper
– tcpd, inetd, ssh …
– /etc/host.allow, /etc/host.deny
●
L3 – IP filter, SunScreen, IPsec
– /etc/ipf/*
IPF
možnosti

13. IP filter
●
vlastnosti
– multiplatformní (Solaris, HPUX, AIX, *BSD,
IRIX, Linux, QNX, Tru64)
– stavový paketový filtr
– překlad ip adres (NAT/PAT)
– sledování a záznam provozu
●
ip accounting, ip log
– doplňující funkce
IPF
architektura

14. Začlenění do Solarisu
IPF
architektura
usr
sys
UDPTCP
IP
ETH
APPL
ETHETH
IP hook
(dříve pfil)
NAT NAT
IP acct
frags
IP acct
packet
state
state
table
firewall
check
rule
groups
funcs
firewall
check
rule
groups
frags
state
table
packet
state
IPF

15. Konfigurace v Solarisu
●
konfigurační soubory
/etc/ipf/ipf.conf
●
filtrovací pravidla
/etc/ipf/ippool.conf
●
konfigurace sad ip adres pro pravidla
/etc/ipf/ipnat.conf
●
překlad IP adres (NAT/PAT)
●
přesměrování paketů (RDR)
●
příkazy
– ipf(1M), ippool(1M), ipnat(1M),
ipfstat(1M), ipmon(1M)
IPF
administrace

16. Konfigurace ipf.conf
●
pravidla od shora dolů
●
platí poslední shoda („quick“ předčasně
ukončuje hledání, zlepšení výkonu)
●
zvláštní sada pro „in“ a „out“
●
seskupování pravidel (zlepšení výkonu)
●
sady ip adres (ippool.conf)
●
proměnné
●
nově zpracování loopbacku (filtrování mezi
zónami)
●
základní konfigurace
(block|pass|log...) (in|out)
[log] ... [quick] ... [proto [tcp|
udp...]] … (all | [from … to …]) ...
IPF
administrace

17. Osobní firewall
block in all
block out all
pass in quick proto icmp all icmp-type echo keep
state
pass in quick proto udp from any to any port = 68
pass in quick proto tcp from any to any port = 22
keep state
pass out quick all keep state
block return-icmp-as-dest(port-unr) in proto
tcp/udp all
IPF
administrace

18. Více v kurzech
SC-301-S10 - Personalizing Security on
the Solaris 10 Operating systém
SA-300-S10 - Network Administration
for the Solaris 10 Operating System
VC-SA-228-S10 - Solaris 10 Security
IPF
kurzy

19. IP security

20. Zabezpečení komunikace
●
L7 – aplikační konfigurace
– ssh, SSL/TLS aplikační protokoly (https,
ldaps, …), DNSsec
●
L6 – API prezentační vrstvy
– SecureRPC (NIS+, NFS), GSS (kerberos)
●
L3 – IPsec, SKIP, „VPN“
●
L2 – WEP, WPA
IPsec
možnosti

21. Moderní kryptografie
IPsec
požadavky sym.
šifra
sym.
šifra
klíč klíč
asym.
šifra
asym.
šifra
veřejný privátní
klíč
otisk
+ rychlost
- přenos klíče
DES, AES, RC4
+ přenos klíče
- rychlost
RSA, DSA,
ECDSA
MD5, SHA1
šifrovací
kanál
autentizační
kanál

22. Funkce IPsec
IPsec
funkce
●
IP security doplňuje IP o funkce
– encapsulating security payload (ESP)
●
šifrování obsahu paketu
●
symetrické algoritmy DES, AES...
– authentication header (AH)
●
autentizace paketu
●
ověření zdroje (včetně IP adresy) a
ochrana proti modifikacím
●
algoritmy otisku (s přidáním klíče - MAC)
MD5, SHA1...
– security association (SA)
●
index do tabulky na koncových
systémech adresující symetrické klíče a
použitý algoritmus pro ESP a AH

23. Mody přenosu IPsec
IPsec
funkce
DST
SRC
IP TCP/UDP data
DST
SRC
AH
SPI
CHK
SUM
sa klíč
DST
SRC
SPI
CHK
SUM
ESP
SPI
sa klíč
MD5
AES
DST
SRC
SPI
DST
SRC
SPI
CHK
SUM
AH
ESP+AH
TUN+ESP+ESP_AH=VPN

24. Databáze SA
●
ruční naplnění
●
automaticky
– Internet Key Exchange (IKE)
●
Diffie-Hellman
– pravidelná obměna klíčů
– vytvoření podle požadavků
●
ověření pomocí
– symetrickými hesly (Preshared Keys)
– digitálními certifikáty (Public Key Certificates)
IPsec
funkce

25. Konfigurace v Solarisu
●
konfigurační soubory
/etc/inet/ipsecinit.conf
●
pravidla pro přidání a akceptaci ESP+AH
/etc/inet/secret
ipseckeys - ručně zadané klíče
ike.preshared - symetrická hesla pro IKE
ike.privatekeys - privátní klíče k
certifikátům pro IKE
/etc/inet/ike
config - konfigurace IKE
publickeys - certifikáty pro IKE
crls - revokované certifikáty
●
příkazy
– ipsecconf(1M), ipseckey(1M),
ipsecalgs(1M), in.iked(1M), ikeadm(1M),
ikecert(1M)
IPsec
administrace

26. IPsec a IKE s hesly
IPsec
administrace
/etc/inet/ipsecinit.conf
{rport 23} ipsec {encr_algs any auth_algs any}
/etc/inet/ike/config
p1_lifetime_secs 14400
p1_nonce_len 20
{
label "default rule"
local_id_type ipv4
local_addr 0.0.0.0/0
remote_addr 0.0.0.0/0
p2_pfs 5
p1_xform {auth_method preshared oakley_group 5
auth_alg sha encr_alg aes }
}
/etc/inet/secret/ike.preshared
{
localidtype IP
localid 192.168.1.173
remoteidtype IP
remoteid 192.168.1.174
key 63616e676574696e
}

27. Více v kurzech
SC-301-S10 - Personalizing Security on
the Solaris 10 Operating systém
VC-SA-228-S10 - Solaris 10 Security
IPsec
kurzy

28. IP QoS

29. Řízení QoS na síti
●
Integrated Services - IntServ
– aplikace sdělí požadavky QoS a všechny
body sítě přidělí a řídí provoz
– Resource reservation protocol (RSVP)
– MPLS, ATM
●
Differentiated services – DiffServ
– aplikace (a kdokoli jiný) vyznačí
požadavky QoS a některé body sítě
mohou vyhovět
IP QoS
možnosti

30. Klasifikace provozu IP DiffServ
●
Assured forwarding – AF
– 4 prioritní třídy a 3 priority zahození
●
Expedited forwarding – EF
– maximum možností, bez bufferů (nejmenší
ztráta, zpoždění a jitter)
●
DiffServ Control Point (DSCP)
– IPv4 TOS, IPv6 Traffic Class
– 3 bity třída + 2 bity zahození + 1 bit
standard/experimentální + 2 bity ECN
IP QoS
funkce
AF11 AF21 AF31 AF41
AF12 AF22 AF32 AF42
AF13 AF23 AF33 AF43 EF
id třídy
[0]
ostatní
[0]
třída 1
[1]
třída 2
[2]
třída 3
[3]
třída 4
[4]
EF
[5]
řízení
[6]
řízení
[7]
nízké [1]
střední [2]
vysoké [3]
0x1c=28 0x2e=46

31. Klasifikace provozu VLAN CoS
●
3 bity ve ethenet VLAN CoS (802.1p)IP QoS
funkce 7 řízení sítě
6 video, zpoždění menší než 10ms
5 video, zpoždění menší než 100ms
4 řízený tok dat
3
0
2 zbývající tok
1 tok na pozadí
prvotřídní snaha (excellent effort)
nejlepší snaha (best effort)

32. Konfigurace v Solarisu
●
konfigurační soubory
/etc/inet/ipqosinit.conf
●
pravidla
– klasifikátor (ipgpc) (adresa, port, uid, gid,
projekt, protokol, ifc, ds)
– 2 měřiče
●
klouzavé okno (tswtclmt)
(committed_rate, peak_rate, window)
●
děravé vědro (tokenmt)
(committed_rate, committed_burst,
peak_rate, peak_burst)
– 2 značkovače
●
DSCP (dscpmk)
●
VLAN CoS (dlcosmk)
– účtování (flowacct)
●
příkazy
– ipqosconf(1M), kstat(1M)
IP QoS
administrace

33. IP QoS
fmt_version 1.0
action {
module ipgpc
name ipgpc.classify
filter { name audioout dport 60000 direction
LOCAL_OUT class audio }
class { name audio next_action markEF }
}
action {
module dscpmk
name markEF
params { dscp_map {0-63:46} next_action continue
}
}
IP QoS
administrace

34. Více v kurzech
ES-431 - Solaris 9 Resource Manager
Administration
IP QoS
kurzy

35. Novinky OpenSolarisu

36. Distribuce OpenSolaris.com
●
pravidelné aktualizace
– 2008.05, 2008.11 ...
– možné zakoupit podporu (od $324/rok)
●
vlastnosti
– LiveCD s možností instalace, ZFS boot
– Image Packaging system (IPS)
– GNU přednostně
http://www.opensolaris.org/os/project/czosug/events_archive
/czosug26_opensolaris.pdf
●
novinky
– podpora suspend/resume
– více ovladačů
– NWAM
– nový GNOME desktop
– SPARC od 2009
– síťový instalátor
OpenSolaris

37. Novinky v kódu OpenSolaris
●
ZFS root, crypto, separátní intent log
●
více dtrace
●
SATA AHCI
●
grub findroot
●
více WiFi, WPA
●
více dladm
●
Network Automagic (NWAM)
●
Intel CPU management, microcode, FMA
●
CIFS
●
iSNS, SIP, NDMP, ECDSA, SHA-2, SAS/SMP,
IPoIB, USBvc, xVM(XEN), SDcard, AD map
(winchester), vNet/vSwitch, VTOC, ksh93
http://www.opensolaris.org/os/projects/
http://www.opensolaris.org/os/community/on/flag-days/all/
OpenSolaris

38. tato prezentace byla připravena s využitím komunitních materiálů z opensolaris.org