Règles d'autorisation de la passerelle ENC
Adresses IP
Cet onglet affiche la table de la liste blanche d'adresses IP. Chaque entrée peut être une adresse IP unique ou une plage d'adresses IP spécifiée par une expression de correspondance par caractère générique. Les ordinateurs de l'infrastructure accepteront uniquement les connexions provenant des ordinateurs portant les adresses spécifiées.
Evénements
L'infrastructure ENC définit une série d'événements qui correspondent aux opérations qui requièrent une vérification d'autorisation. La plupart de ces événements peuvent
être définis dans une TACE afin de contrôler quelles entités de sécurité sont autorisées à effectuer quelles actions, à qui et à quel moment. Dans la plupart des cas, si le composant d'autorisation refuse la requête d'accès, la connexion physique est interrompue. Les événements de recherche de nom et de connexion d'agent sont des exceptions à cette règle.
Voici une brève description de chacun des événements. Pour chaque événement, l'entrée "objet sécurisé" définit la ressource protégée et l'entrée "entité de sécurité" définit la ressource demandée.
Connexion réseau
Objet sécurisé : Le noeud ENC recevant la connexion.
Cet événement est le seul à ne pas être contrôlé dans la règle TACE ; la cible de l'opération est alors implicite. L'ensemble des accès est contrôlé par la liste blanche d'adresses IP. Seuls les noeud ou plages IP répertoriés dans la liste blanche d'adresses IP sont autorisés à se connecter aux noeuds de l'infrastructure ENC.
L'objet sécurisé dans cette instance est toujours le noeud ENC cible. La liste blanche s'applique actuellement à tous les noeuds de l'infrastructure ENC.
Connexion authentifiée
Objet sécurisé : Le noeud ENC acceptant la connexion.
Entité de sécurité : L'identité authentifiée du noeud ENC connecté.
Tous les noeuds doivent s'authentifier une fois qu'ils ont établi une connexion réseau vers un noeud ENC partenaire. Cet événement est généré une fois la séquence d'authentification terminée avec succès. Le noeud ENC acceptant appelle l'API d'autorisation avec l'URI authentifiée du noeud se connectant afin de voir si l'opération est autorisée.
L'entrée de contrôle d'accès pour cet événement peut spécifier la cible sous forme d'identité littérale de l'ordinateur (à partir de l'authentification), d'une expression de correspondance par caractère générique pour désigner un sous-groupe d'ordinateurs, ou d'un nom de domaine.
476 Manuel d'implémentation
Règles d'autorisation de la passerelle ENC
Enregistrement du serveur
Objet sécurisé : Le noeud du gestionnaire de passerelle ENC.
Entité de sécurité : L'identité authentifiée du noeud du serveur de passerelle ENC.
Lorsqu'un serveur de passerelle ENC parvient à établir une connexion authentifiée avec son gestionnaire, il envoie un message d'enregistrement demandant à s'enregistrer en tant que serveur. Le gestionnaire de passerelle ENC appelle ensuite le composant d'autorisation pour déterminer si le serveur est autorisé à s'enregistrer avec ce gestionnaire. Cela permet d'empêcher les serveurs de passerelle ENC non autorisés de se placer dans le réseau virtuel ENC.
L'entrée de contrôle d'accès pour cet événement peut spécifier la cible sous forme d'identité littérale de l'ordinateur (à partir de l'authentification), d'une expression de correspondance par caractère générique pour désigner un sous-groupe d'ordinateurs, ou d'un nom de domaine.
Enregistrement du routeur
Objet sécurisé Le serveur de passerelle ENC gérant la requête.
Entité de sécurité : L'identité authentifiée du noeud du routeur de passerelle ENC.
Lorsqu'un routeur parvient à établir une connexion authentifiée avec son serveur, il envoie également un message d'enregistrement demandant à pouvoir s'enregistrer en tant que routeur. Le serveur de passerelle ENC effectue une vérification d'autorisation locale afin de déterminer si cette opération est autorisée, puis transmet la requête au gestionnaire de passerelle ENC pour l'autorisation suivante.
L'entrée de contrôle d'accès pour cet événement peut spécifier la cible sous forme d'identité littérale de l'ordinateur (à partir de l'authentification), d'une expression de correspondance par caractère générique pour désigner un sous-groupe d'ordinateurs, ou d'un nom de domaine.
Enregistrement du gestionnaire du routeur
Objet sécurisé : Le noeud du gestionnaire de passerelle ENC.
Entité de sécurité : L'identité authentifiée du noeud du routeur de passerelle ENC.
Cet événement est généré lorsqu'un serveur transfère un message d'enregistrement d'un routeur. Le gestionnaire de passerelle ENC appelle le composant d'autorisation afin de déterminer si le routeur est autorisé à rejoindre le réseau virtuel ENC.
L'entrée de contrôle d'accès pour cet événement peut spécifier la cible sous forme d'identité littérale de l'ordinateur (à partir de l'authentification), d'une expression de correspondance par caractère générique pour désigner un sous-groupe d'ordinateurs, ou d'un nom de domaine.
Chapitre 12: Connectivité du réseau étendu (ENC) 477
Règles d'autorisation de la passerelle ENC
Enregistrement du client su serveur
Objet sécurisé Le serveur de passerelle ENC gérant la requête.
Entité de sécurité : L'identité authentifiée du noeud du client ENC.
Cet événement est généré lorsqu'un noeud de client ENC s'enregistre auprès d'un noeud du serveur de passerelle ENC. Le serveur effectue une vérification d'autorisation locale puis transmet la requête d'enregistrement au gestionnaire de passerelle ENC pour une réponse d'autorisation.
L'entrée de contrôle d'accès pour cet événement peut spécifier la cible sous forme d'identité littérale de l'ordinateur (à partir de l'authentification), d'une expression de correspondance par caractère générique pour désigner un sous-groupe d'ordinateurs, ou d'un nom de domaine.
Enregistrement du client du gestionnaire
Objet sécurisé : Le noeud du gestionnaire de passerelle ENC.
Entité de sécurité : L'identité authentifiée du noeud du client ENC.
Cet événement est généré lorsqu'un noeud du serveur de passerelle ENC transfère un message d'enregistrement d'un client ENC au gestionnaire de passerelle ENC.
L'entrée de contrôle d'accès pour cet événement peut spécifier la cible sous forme d'identité littérale de l'ordinateur (à partir de l'authentification), d'une expression de correspondance par caractère générique pour désigner un sous-groupe d'ordinateurs, ou d'un nom de domaine.
Ecoute de l'hôte
Cet événement n'est actuellement pas implémenté. L'événement consiste en une vérification d'autorisation locale d'agent visant à déterminer si l'agent ENC est autorisé à créer une connexion d'écoute.
Connexion de l'hôte
Cet événement n'est actuellement pas implémenté. L'événement consiste en une vérification d'autorisation locale d'agent visant à déterminer si l'agent ENC est autorisé à créer une connexion sortante.
Connexion de l'agent
Objet sécurisé : L'identité de sécurité du noeud ENC cible.
Entité de sécurité : L'identité authentifiée du noeud du client ENC demandeur.
Cet événement est généré au niveau du noeud du gestionnaire de passerelle ENC dès qu'un agent ENC souhaite se connecter au noeud d'un autre agent ENC.
L'entrée de contrôle d'accès pour cet événement peut spécifier la cible sous forme d'identité littérale de l'ordinateur (à partir de l'authentification), d'une expression de correspondance par caractère générique pour désigner un sous-groupe d'ordinateurs, ou d'un nom de domaine.
478 Manuel d'implémentation
Règles d'autorisation de la passerelle ENC
Connexion de l'agent au routeur
Objet sécurisé : L'identité de sécurité du noeud ENC du routeur de passerelle ENC.
Entité de sécurité : L'identité authentifiée du noeud du client ENC demandeur.
Cet événement est généré au niveau du noeud du routeur de passerelle ENC lorsqu'un un agent ENC se connecte au routeur afin d'établir une connexion virtuelle vers le noeud d'un autre agent ENC.
L'entrée de contrôle d'accès pour cet événement peut spécifier la cible sous forme d'identité littérale de l'ordinateur (à partir de l'authentification), d'une expression de correspondance par caractère générique pour désigner un sous-groupe d'ordinateurs, ou d'un nom de domaine.
Recherche de nom
Objet sécurisé : L'identité de sécurité du noeud ENC cible.
Entité de sécurité : L'identité authentifiée du noeud du client ENC demandeur.
Cet événement est généré au niveau du noeud du gestionnaire de passerelle ENC lorsqu'un noeud ENC souhaite effectuer une opération de recherche de nom pour convertir un nom d'hôte symbolique en adresse privée ENC.
Le gestionnaire de passerelle ENC extrait le nom DNS cible à partir de la requête de recherche de nom puis le convertit en un ou plusieurs enregistrements client
(autorisant ainsi les noms d'hôtes dupliqués entre les domaines mais pas à l'intérieur). Ces enregistrements client sont transmis au composant d'autorisation qui décide si la requête de recherche de nom doit être autorisée (ou non). Un enregistrement client consiste en un nom DNS connu et l'identité authentifiée de l'objet.
L'entrée de contrôle d'accès pour cet événement peut spécifier la cible sous forme d'identité littérale de l'ordinateur (à partir de l'authentification), d'un nom de domaine, ou d'une expression de correspondance par caractère générique pour désigner un sous-groupe d'ordinateurs voire plusieurs domaines.
Accès à la gestion
Objet sécurisé : L'identité de sécurité du noeud ENC cible.
Entité de sécurité : L'identité authentifiée du noeud du client ENC demandeur.
Cet événement est généré lorsqu'une connexion du client ENC demande des informations de gestion à partir de la passerelle cible ENC.
Les informations de gestion peuvent inclure des données concernant toutes les connexions virtuelles ENC hébergées par un serveur ENC ; par conséquent, seuls les noeuds approuvés doivent y avoir accès.
Chapitre 12: Connectivité du réseau étendu (ENC) 479
