Sun Training Day 2008sekce Solaris

Martin ČervenýM.Cerveny@computer.org

Trusted Extension

IP filter

IP security

IP QoS

Novinky OpenSolarisu

Trusted Extension

Řízení přístupu

● autorizace– Discretionary Access Control (DAC)

(certifikace CA PP & RBAC PP na EAL4+)● subjekt

(uživatel a jeho procesy, ověřená identita uživatele)– UID, GID

● objekt(soubory, sdílená paměť, jiné procesy, síť ...)– rwx bity– POSIX ACL, ZFS/NFSv4 ACL

– Mandatory Access Control (MAC)(certifikace LS PP na EAL4+)● subjekt

+ clearance label, accreditation label range, account label range, session label range

● objekt+ sensitivity label

TX

možnosti

Definice „label“

● označení– klasifikace (classification, level)

● vertikální hierarchická úroveň bezpečnostipříklad: „public“ < „company conf.“ < „secret“ < „top secret“

– oddělení (compartments, categories)● horizontální příslušnost do žádného,

jednoho i více oddělení bezpečnostipříklad: „education“, „marketing“, „management“, „accounting“

● vyhodnocení– dominance subjektu nad objektem

● subjekt má stejnou nebo vyšší klasifikaci než objekt

● subjekt obsahuje všechna oddělení objektu– write-up + read-down– Compartmented Mode Workstations (CMWs)

TX

label

Příklady konfigurace

● firemní rozloženíklasifikace: „public“ < „company confidental“ < „secret“ oddělení: „education“, „management“, „accounting“ …

● NISPOM rozloženíklasifikace: „confidental“ < „secret“ < „top secret“

● NATO rozloženíklasifikace: „nato resticted“ < „nato confidental“ < „nato

secred“ < „cosmic top secred“oddělení: „atomal“

● demo rozloženíklasifikace: „unclassified (U)“ < „confidental (C)“ < „secred

(S)“ < „top secred (TS)“oddělení: „A“, „B“

● firewallklasifikace: „system“oddělení: „inside“, „outside“

TX

label

Aplikační firewallTX

labelSYSTEM INSIDE OUTSIDE

SYSTEMOUTSIDE

SYSTEMINSIDE

SYSTEM

sw install

audit

web server application

DB

internet

trusted gw

Použití v Solarisu

● konfigurační soubory – /etc/security/tsol/– label_encodings, tnrhdb, tnrhtp, tnzonecfg …

● funkčnost– oddělení implementováno pomocí zón– rozšířená grafika (JDS, CDE)– sítě (CIPSO), tisk (banner)– speciální label ADMIN_LOW, ADMIN_HIGH– privilegia v kernelu

● příkazy– getlabel(1), setlabel(1), plabel(1), getzonepath(1)– chk_encodings(1M), add_allocatable(1M),

remove_allocatable(1M), atohexlabel(1M), hextoalabel(1M), smtnrhdb(1M), smtnrhtp(1M), smtnzonecfg(1M), tnchkdb(1M), tnctl(1M), tnd(1M), tninfo(1M), updatehome(1M)

TX

administrace

Konfigurace label_encodingsVERSION=CLASSIFICATIONS: name=; sname=; value=; ...INFORMATION LABELS: WORDS: REQUIRED COMBINATIONS: COMBINATION CONSTRAINTS:SENSITIVITY LABELS: WORDS: name=; sname=; minclass=; compartments=; ... REQUIRED COMBINATIONS: COMBINATION CONSTRAINTS:CLEARANCES: WORDS: REQUIRED COMBINATIONS: COMBINATION CONSTRAINTS:CHANNELS:WORDS:PRINTER BANNERS: WORDS:ACCREDITATION RANGE:NAME INFORMATION LABELS:

TX

administrace

Více v kurzech

SC-325-S10 - Solaris Trusted Extensions Installation and Setup

SC-326-S10 - Administering Solaris Trusted Extensions

SC-327-S10 - Solaris Trusted Extensions Installation, Configuration and Administration

WST-3251-S10 - Key Benefits of Solaris Trusted Extensions

TX

kurzy

IP filter

Řízení přístupu na síti

● L7 - aplikační konfigurace– ftp, sendmail, apache …– /etc/ftpd/*, /etc/mail/sendmail.cf

● L4 - tcp wrapper – tcpd, inetd, ssh …– /etc/host.allow, /etc/host.deny

● L3 – IP filter, SunScreen, IPsec– /etc/ipf/*

IPF

možnosti

IP filter

● vlastnosti– multiplatformní (Solaris, HPUX, AIX, *BSD,

IRIX, Linux, QNX, Tru64)– stavový paketový filtr– překlad ip adres (NAT/PAT)– sledování a záznam provozu

● ip accounting, ip log– doplňující funkce

IPF

architektura

Začlenění do SolarisuIPF

architekturausrsys

UDPTCP

IP

ETH

APPL

ETHETHIP hook

(dříve pfil)

NAT NATIP acctfrags

IP acct

packetstate

statetable

firewallcheck

rulegroups

funcs

firewallcheck

rulegroups

frags

statetable

packetstate

IPF

Konfigurace v Solarisu

● konfigurační soubory/etc/ipf/ipf.conf

● filtrovací pravidla/etc/ipf/ippool.conf

● konfigurace sad ip adres pro pravidla/etc/ipf/ipnat.conf

● překlad IP adres (NAT/PAT)● přesměrování paketů (RDR)

● příkazy– ipf(1M), ippool(1M), ipnat(1M), ipfstat(1M), ipmon(1M)

IPF

administrace

Konfigurace ipf.conf● pravidla od shora dolů● platí poslední shoda („quick“ předčasně

ukončuje hledání, zlepšení výkonu) ● zvláštní sada pro „in“ a „out“● seskupování pravidel (zlepšení výkonu)● sady ip adres (ippool.conf)● proměnné● nově zpracování loopbacku (filtrování mezi

zónami)● základní konfigurace

(block|pass|log...) (in|out) [log] ... [quick] ... [proto [tcp|udp...]] … (all | [from … to …]) ...

IPF

administrace

Osobní firewallblock in allblock out all

pass in quick proto icmp all icmp-type echo keep state

pass in quick proto udp from any to any port = 68pass in quick proto tcp from any to any port = 22

keep state

pass out quick all keep state

block return-icmp-as-dest(port-unr) in proto tcp/udp all

IPF

administrace

Více v kurzech

SC-301-S10 - Personalizing Security on the Solaris 10 Operating systém

SA-300-S10 - Network Administration for the Solaris 10 Operating System

VC-SA-228-S10 - Solaris 10 Security

IPF

kurzy

IP security

Zabezpečení komunikace

● L7 – aplikační konfigurace– ssh, SSL/TLS aplikační protokoly (https,

ldaps, …), DNSsec● L6 – API prezentační vrstvy

– SecureRPC (NIS+, NFS), GSS (kerberos)● L3 – IPsec, SKIP, „VPN“● L2 – WEP, WPA

IPsec

možnosti

Moderní kryptografieIPsec

požadavky sym.šifra

sym.šifra

klíč klíč

asym.šifra

asym.šifra

veřejný privátní

klíč

otisk

+ rychlost- přenos klíčeDES, AES, RC4

+ přenos klíče- rychlostRSA, DSA, ECDSA

MD5, SHA1

šifrovacíkanál

autentizačníkanál

Funkce IPsecIPsec

funkce

● IP security doplňuje IP o funkce – encapsulating security payload (ESP)

● šifrování obsahu paketu● symetrické algoritmy DES, AES...

– authentication header (AH)● autentizace paketu● ověření zdroje (včetně IP adresy) a

ochrana proti modifikacím● algoritmy otisku (s přidáním klíče - MAC)

MD5, SHA1...– security association (SA)

● index do tabulky na koncových systémech adresující symetrické klíče a použitý algoritmus pro ESP a AH

Mody přenosu IPsecIPsec

funkce DST

SRC

IP TCP/UDP data

DST

SRC

AH

SPI

CH

KSU

M

sa klíčD

STSR

C

SPI

CH

KSU

M

ESP

SPI

sa klíč

MD5

AES

DST

SRC

SPI

DST

SRC

SPI

CH

KSU

M

AH

ESP+AH

TUN+ESP+ESP_AH=VPN

Databáze SA

● ruční naplnění● automaticky

– Internet Key Exchange (IKE) ● Diffie-Hellman

– pravidelná obměna klíčů– vytvoření podle požadavků

● ověření pomocí – symetrickými hesly (Preshared Keys)– digitálními certifikáty (Public Key Certificates)

IPsec

funkce

Konfigurace v Solarisu

● konfigurační soubory/etc/inet/ipsecinit.conf

● pravidla pro přidání a akceptaci ESP+AH/etc/inet/secret

ipseckeys - ručně zadané klíčeike.preshared - symetrická hesla pro IKEike.privatekeys - privátní klíče k

certifikátům pro IKE/etc/inet/ike

config - konfigurace IKEpublickeys - certifikáty pro IKEcrls - revokované certifikáty

● příkazy– ipsecconf(1M), ipseckey(1M), ipsecalgs(1M), in.iked(1M), ikeadm(1M), ikecert(1M)

IPsec

administrace

IPsec a IKE s heslyIPsec

administrace

/etc/inet/ipsecinit.conf{rport 23} ipsec {encr_algs any auth_algs any}/etc/inet/ike/configp1_lifetime_secs 14400p1_nonce_len 20{ label "default rule" local_id_type ipv4 local_addr 0.0.0.0/0 remote_addr 0.0.0.0/0 p2_pfs 5 p1_xform {auth_method preshared oakley_group 5

auth_alg sha encr_alg aes }}/etc/inet/secret/ike.preshared{ localidtype IP localid 192.168.1.173 remoteidtype IP remoteid 192.168.1.174 key 63616e676574696e}

Více v kurzech

SC-301-S10 - Personalizing Security on the Solaris 10 Operating systém

VC-SA-228-S10 - Solaris 10 Security

IPsec

kurzy

IP QoS

Řízení QoS na síti

● Integrated Services - IntServ– aplikace sdělí požadavky QoS a všechny

body sítě přidělí a řídí provoz– Resource reservation protocol (RSVP)– MPLS, ATM

● Differentiated services – DiffServ– aplikace (a kdokoli jiný) vyznačí

požadavky QoS a některé body sítě mohou vyhovět

IP QoS

možnosti

Klasifikace provozu IP DiffServ

● Assured forwarding – AF– 4 prioritní třídy a 3 priority zahození

● Expedited forwarding – EF– maximum možností, bez bufferů (nejmenší

ztráta, zpoždění a jitter)● DiffServ Control Point (DSCP)

– IPv4 TOS, IPv6 Traffic Class– 3 bity třída + 2 bity zahození + 1 bit

standard/experimentální + 2 bity ECN

IP QoS

funkce

AF11 AF21 AF31 AF41AF12 AF22 AF32 AF42AF13 AF23 AF33 AF43 EF

id třídy[0]

ostatní[0]

třída 1[1]

třída 2[2]

třída 3[3]

třída 4[4]

EF[5]

řízení[6]

řízení[7]

nízké [1]střední [2]vysoké [3]

0x1c=28 0x2e=46

Klasifikace provozu VLAN CoS

● 3 bity ve ethenet VLAN CoS (802.1p)IP QoS

funkce 7 řízení sítě6 video, zpoždění menší než 10ms5 video, zpoždění menší než 100ms4 řízený tok dat302 zbývající tok1 tok na pozadí

prvotřídní snaha (excellent effort)nejlepší snaha (best effort)

Konfigurace v Solarisu

● konfigurační soubory/etc/inet/ipqosinit.conf

● pravidla– klasifikátor (ipgpc) (adresa, port, uid, gid,

projekt, protokol, ifc, ds) – 2 měřiče

● klouzavé okno (tswtclmt) (committed_rate, peak_rate, window)

● děravé vědro (tokenmt) (committed_rate, committed_burst, peak_rate, peak_burst)

– 2 značkovače ● DSCP (dscpmk)● VLAN CoS (dlcosmk)

– účtování (flowacct)● příkazy

– ipqosconf(1M), kstat(1M)

IP QoS

administrace

IP QoSfmt_version 1.0

action {module ipgpcname ipgpc.classifyfilter { name audioout dport 60000 direction LOCAL_OUT class audio }

class { name audio next_action markEF }}

action {module dscpmkname markEFparams { dscp_map {0-63:46} next_action continue }

}

IP QoS

administrace

Více v kurzech

ES-431 - Solaris 9 Resource Manager Administration

IP QoS

kurzy

Novinky OpenSolarisu

Distribuce OpenSolaris.com

● pravidelné aktualizace– 2008.05, 2008.11 ...– možné zakoupit podporu (od $324/rok)

● vlastnosti– LiveCD s možností instalace, ZFS boot– Image Packaging system (IPS)– GNU přednostně

http://www.opensolaris.org/os/project/czosug/events_archive/czosug26_opensolaris.pdf

● novinky– podpora suspend/resume– více ovladačů– NWAM– nový GNOME desktop– SPARC od 2009– síťový instalátor

OpenSolaris

Novinky v kódu OpenSolaris● ZFS root, crypto, separátní intent log ● více dtrace● SATA AHCI● grub findroot● více WiFi, WPA ● více dladm● Network Automagic (NWAM)● Intel CPU management, microcode, FMA● CIFS● iSNS, SIP, NDMP, ECDSA, SHA-2, SAS/SMP,

IPoIB, USBvc, xVM(XEN), SDcard, AD map (winchester), vNet/vSwitch, VTOC, ksh93

http://www.opensolaris.org/os/projects/http://www.opensolaris.org/os/community/on/flag-days/all/

OpenSolaris

tato prezentace byla připravena s využitím komunitních materiálů z opensolaris.org