インストール済み環境のセキュリティーの必要性を見定めます。
主要な必須アプリケーションをセットアップし、必要な場合にはデフォルトの IP フィルター・ポリシーを変更し、IKE デーモンを構成し、NSS デーモンと追加尾暗号化製品を必要に応じて構成し、IP セキュリティー・ポリシー構成ファイルを作成します。
手順
z/OS® システムを IP セキュリティー用として準備するには、以下のステップを実行します。
- インストール済み環境のセキュリティー要件を満たすサイト・ポリシーを開発します。 強固な IP セキュリティー・ポリシーの作成を開始する前には、以下の質問を考慮します。
- デフォルト許可またはデフォルト拒否ポリシーを使用しますか。
- デフォルト拒否ポリシーを使用したい場合には、システムを適正に機能させるための重要なトラフィックとしてどのトラフィックを許可しますか。
- セキュア・ホストへのデータ送信をどのホストに許可しますか。
- ネットワーク・トポロジーと、通信を行うホストがネットワーク内のどこに位置しているかを理解していますか。
- ネットワーク・トポロジー内にネットワーク・アドレス変換 (NAT) デバイスがありますか。
- それらのホストからのどのようなタイプのトラフィックを許可しますか。
- ウェルノウン・ポートに依存するどの汎用ネットワーク・サービスを許可しますか。
- 自分宛でない受信パケットを転送しますか。
- IP セキュリティー・ポリシーの構成を誰に許可しますか。
- 単一の TCP/IP スタックを使用しますか、それとも複数の TCP/IP スタックを使用しますか。
- IPv6 トラフィックを実行しますか。
- すべての TCP/IP スタックで同じポリシー定義を共用しますか、それともそれぞれに固有の定義を使用しますか。
- セキュア・ホストが送受信するトラフィックはインターネットをトラバースしますか。
- VPN に参加することを望みますか。(その場合は IPSec が必要です。)
- IPSec が必要な場合:
- リモート・エンドポイントはどのような IPSec 能力を持っていますか。
- 以下のどの方法で、参加ホストを認証しますか。
- 事前共有秘密鍵
- デジタル署名ですか。(デジタル証明書が必要)
- 関係するデータに対してどのタイプの認証が必要ですか。
- 関係するデータの暗号化が必要ですか。また、暗号化アルゴリズムの強度はどの程度が妥当ですか。
- すべての参加ホストが同レベルのデータ暗号化と認証を使用しますか、それとも個々のホストごとに固有のポリシーを定義する必要がありますか。
- 保護対象のリソースを明確化します。 IP セキュリティーの対象として使用可能にする各 TCP/IP スタックごとにワークシートを作成します。この情報の目的は、どのインターフェースおよび接続ネットワークを保護するかを決定するためです。後で、このワークシートからの情報を使用して、IP セキュリティー・ポリシー構成ステートメントで値を指定することができます。図 1 はサンプル・ワークシートを示しています。
図 1. スタック・セキュリティーのサンプル・ワークシートHost name of z/OS system _____________________________________
Complete for each TCP/IP stack on this host:
TCP/IP stack name ______________IPSECURITY-enabled (Y/N)______
Network interface(s)
IPv4 address/Mask______________________Security Class_________
IPv4 address/Mask______________________Security Class_________
IPv4 address/Mask______________________Security Class_________
IPv4 address/Mask______________________Security Class_________
IPv6 address/Prefix____________________Security Class_________
IPv6 address/Prefix____________________Security Class_________
Virtual IPv4 address/Mask____________________
Virtual IPv4 address/Mask____________________
Virtual IPv4 address/Mask____________________
Virtual IPv4 address/Mask____________________
Virtual IPv6 address/Prefix__________________
Virtual IPv6 address/Prefix__________________
Identities, other than IP address, by which the IKE daemon will be known
(e.g., X500dn, Fqdn, UserAtFqdn, KeyID)
___________________
___________________
___________________
___________________
___________________
セキュリティー・クラスは、ネットワーク・インターフェースに関するオプションの指定です。ネットワーク・インターフェースにはセキュリティー・クラス (1 から 255) を割り当てることができます。このクラスを使用して類似したセキュリティー要件を持つインターフェースをグループ化します。
この概念は、セキュア・インターフェースと非セキュア・インターフェースという従来の概念の拡張であり、3 つ以上のクラスを使用できるようにしたものです。2 つのセキュリティー・クラスを定義する場合は、従来どおりセキュアと非セキュアのモデルが適用されます。
このホストがデータを転送する先のリモート・ホストおよびサブネットワークの表を作成します (表 1 を参照)。オプションとして、ユーザー定義のゾーン内でリモート・ホストをグループ化して、必要な IP フィルター規則数を削減できます。例えば、内部、外部、トラステッド、インターネット、パートナー企業、またはご使用のサイトにとって意味のある他ゾーンを定義できます。
規則: リモート IKE ピアがリモート・ホストへのセキュリティー・ゲートウェイ上にある場合、このリモート・ホストの IP アドレスは、リモート IKE ピアの IP アドレスと一致しないことがあります。その場合は、IPSec トラフィックのトンネル・モード・カプセル化が必要です。
表 1. リモート・ホストとサブネットワークの表| リモート IP アドレスまたはサブネット |
リモート・ホストのユーザー定義ゾーン |
リモート IKE ピアの ID (IpAddr、
X500dn、
KeyID、
Fqdn、または
UserAtFqdn) |
リモート IKE ピアの IP アドレス |
許可されるサービスのリスト(Telnet、
FTP、
Web、
EE、 ALL、
またはその他) |
セキュリティー・アクション (許可、拒否、ipsec) |
IPSec セキュリティー・レベル (適用される場合) |
|---|
| |
|
|
|
|
|
|
| |
|
|
|
|
|
|
- デフォルトの IP フィルター・ポリシーを変更します (オプション)。 サイト・ポリシーの確立後、必要な場合はデフォルト IP フィルター・ポリシーを変更可能です。
デフォルト IP フィルター・ポリシーの変更方法の説明と例は、デフォルトの IP フィルター・ポリシーと IP セキュリティー・ポリシーを参照してください。
ガイドライン: 少なくとも 1 つの管理マシンからのアクセスを許可する IPSECRULE および IPSEC6RULE ステートメントを定義してください。
ポリシー・エージェントが使用可能でないか、または IP セキュリティー構成ファイルにエラーがある場合、アクティブなデフォルト・ポリシーにより、IP セキュリティー対応のスタックへのアクセスが拒否されることがあります。このような状況が生じたとしても、デフォルト・ポリシーに IPSECRULE および IPSEC6RULE ステートメントを追加してあれば、セキュア z/OS ホストにアクセスでき、問題を解決するために必要な管理上の変更を行えます。
- 主要な必須アプリケーションをセットアップします。
- TCP/IP
z/OS スタックで IP セキュリティーを使用可能にするには、TCP/IP プロファイル内で以下の変更を行います。
IPCONFIG、IPCONFIG6、GLOBALCONFIG、および PORT ステートメントについては、「z/OS Communications Server: IP 構成解説書」を参照してください。
- ポリシー・エージェント
ポリシー・エージェントを構成する方法については、ポリシー・ベースのネットワーキングを参照してください。
- TRMD
TRMD を構成する方法については、TRMDを参照してください。
- syslogd
syslog デーモンを構成する方法については、syslog デーモンの構成を参照してください。
- IKED
IKED は、z/OS UNIX コマンド行から、または MVS™ プロシージャーとして開始することができます。iked.conf ファイルは、IKE デーモンの全体的な機能を制御します。これには以下の設定が含まれます。
- IKE デーモンのロギング・レベル
- ポリシー・エージェントが IKE デーモンに代わって IP セキュリティー関連タスクを実行するときのロギング・レベル
- IKE デーモンが所有する RACF® 鍵リングの名前
- UNIX システム・サービス・シェルについてデーモンが開始される場合に、IKE メッセージを STDOUT にエコー出力するかどうか
- ポリシー・エージェントへの接続を試みるときにどれだけの時間待つか
- IKED がネイティブ証明書サービスを使用している場合、RSA シグニチャー・ネゴシエーションにおいて受け入れる認証局のリスト (ネットワーク・セキュリティー・サービス (NSS) サーバーで証明書サービスを提供している場合、このリストは使用されません)
ほとんどの構成パラメーターにはデフォルト値があり、変更は必要ありません。
規則: いずれかの IKE フェーズ 1 ネゴシエーションで RSA シグニチャー方式を使用することになっていて、IKED がネイティブ証明書サービスを使用している場合は、IKE 鍵リングの名前を iked.conf ファイルに入れておく必要があります。NSS サーバーで証明書サービスを提供している場合は、IKE 鍵リング名は必要ありません。
ヒント: RSA シグニチャー方式が使用されており、IKED でネイティブ証明書サービスを使用している場合、サポートされる認証局のリストを含めることにより、認証検索のパフォーマンスが向上します。
ガイドライン: 通常の日常操作の場合は、IKE デーモンのロギング・レベル (IkeSyslogLevel) およびポリシー・エージェントのロギング・レベル (PagentSyslogLevel) をデフォルト値から変更しないでください。ロギング・レベルを高くするとパフォーマンスに影響を与えるおそれがあるので、高いレベルは一時的な診断目的にのみ使用してください。PagentSyslogLevel のデフォルト値である 0 の場合は、IKE デーモンはポリシー・エージェントとの対話に関する診断情報をログに記録しません。IkeSyslogLevel のデフォルトである値 1 の場合は、基本情報とエラー・メッセージが提供されます。IkeSyslogLevel 値を 0 に設定すると、IKE syslog メッセージを完全に使用不可にすることができます (IKE デーモンとポリシー・エージェントの両方に設定が必要な場合があります。PagentSyslogLevel のトレースを収集するには、IkeSyslogLevel にもゼロでない値を設定する必要があります)。 IkeSyslogLevel をさらに大きい値に設定して、エラー原因の判別に使用できます。例えば、構成エラーが原因でセキュリティー・アソシエーション・ネゴシエーションについて問題が検出された場合は、IkeSyslogLevel 4 (セキュリティー・アソシエーション・ネゴシエーションに関するデバッグ情報) を使用可能にすることができます。
iked.conf ファイルの詳細な構文と説明、および IKE デーモンを MVS プロシージャーとして開始する方法について詳しくは、「z/OS Communications Server: IP 構成解説書」を参照してください。
- 主要な必須アプリケーションに対するアクセス制御を定義します。
- TRMD
TRMD は許可プログラムとして実行され、RACF セットアップを必要とします。
TRMD は、開始済みタスクとして実行でき、スーパーユーザー権限を持てることが必要です。
RACF コマンドの例については、SEZAINST の EZARACF メンバーを参照してください。
- ポリシー・エージェント
ポリシー・エージェントは許可プログラムとして実行され、RACF セットアップを必要とします。
ポリシー・エージェントは、開始済みタスクとして実行でき、スーパーユーザー権限を持てることが必要です。
RACF コマンドの例については、SEZAINST の EZARACF メンバー、および ステップ 1: 一般情報の構成を参照してください。
- IKED
IKE デーモンの実行を準備するためのステップについては、IP セキュリティーの実行準備のためのステップを参照してください。
- IKE デーモンを構成します。 IP セキュリティーの実行準備のためのステップ を参照してください。
- (オプション) NSS デーモンを構成します。 IKED が、任意の IKEv1 または IKEv2 セキュリティー・アソシエーション・ネゴシエーションに対して NSS 証明書サービスを使用している場合は、NSS デーモンを構成します。IKED は、認証用に証明書を使用する IKEv2 ネゴシエーションに対して NSS 証明書サービスを使用する必要があります。IKED は、認証用に証明書を使用する IKEv1 ネゴシエーションに対してネイティブ証明書サービスまたは NSS 証明書サービスのいずれかを使用できます。
NSS デーモンについて詳しくは、ネットワーク・セキュリティー・サービスを参照してください。
- (オプション) 追加の暗号化製品を構成します。
- 3DES サポート
3DES (Triple-DES) の場合は IP セキュリティー・レベル 3 フィーチャー FMID JIP614K が必要です。
- AES サポート (AES-CBC、AES-GCM および
AES-GMAC を含む)
AES の場合、Communications Server セキュリティー・レベル 3 フィーチャーと z/OS セキュリティー・レベル 3 フィーチャーが必要で、ICSF を開始する必要があります。
- FIPS 140
IKED、NSSD、および TCP/IP を FIPS 140 モードで実行するには、最初に ICSF に対して FIPS 操作のいくつかのモードの 1 つを選択し、ICSF を開始する必要があります。
- ICSF
z/OS では、ハードウェアで暗号化を行うために使用できるオプションが幾つかあります。
これらのオプションをサポートするには、ICSF が必要です。これらのオプションの構成方法に関する説明と情報については、「z/OS Cryptographic Services ICSF Administrator's Guide」を参照してください。
ICSF を許可する RACF コマンドについては、IP セキュリティーの実行準備のためのステップを参照してください。
- SHA2 サポート (SHA2-256、SHA2-384、SHA2-512、および対応するすべての HMAC-SHA2 アルゴリズムを含む) および AES 認証 (AES-XCBC)
SHA2 および AES-XCBC 認証の場合、ICSF を開始する必要があります。
- IP セキュリティー・ポリシー構成ファイルを作成します。 インストール済み環境のセキュリティー要件を設定してしまったら、次のステップでは、1 つ以上の IP セキュリティー・ポリシー構成ファイルを作成します。IP セキュリティー・ポリシー構成を保管するための主な構成ファイルは、2 つあります。
- スタック固有 IP セキュリティー構成ファイル
- これは 1 スタック単位で構成され、構成対象のスタックに適用される IP セキュリティー・ポリシー構成が含まれています。
- 共通 IP セキュリティー構成ファイル
- システム上の各スタックに適用される IP セキュリティー・ポリシー構成が含まれており、共用定義を保持するために使用できます。
スタック固有ファイルは、共通ファイル内の各種定義を参照でき、共通ファイル内のポリシー定義をオーバーライドすることができます。
ポリシー・エージェントは、LDAP を使用して他のポリシー・タイプ用のポリシーを保管しますが、IP セキュリティー・ポリシー構成は、人が理解できるテキスト・ファイルのみで、z/OS UNIX ファイル・システムまたは MVS データ・セットに保管されます。これらの構成ファイルは、スタックにインストールされる前に、ポリシー・エージェントの初期化時にポリシー・エージェントにより読み取られます。