Linux Foundation Japanがシンポジウム

Linuxのセキュリティモデルをネットワークに適用

2008/07/10

　Linux Foundation Japanは7月10日、「The Latest Kernel and Security」をテーマとしたシンポジウムを都内にて開催した。この中で、米ヒューレット・パッカードのポール・ムーア（Paul Moore）氏が、ラベルに基づいてトラフィックを制御するアプローチ「Labeled Networking」について紹介した。

米ヒューレット・パッカードのポール・ムーア（Paul Moore）氏

　SELinuxをはじめとする「ラベル」ベースのセキュアOSでは、OS上のさまざまなオブジェクトにラベルを付与し、セキュリティポリシーに基づいてアクセス権限をコントロールする。Labeled Networkingは、ローカルのリソースではなく、ネットワークトラフィックに対して、同じようにラベルに基づいてポリシー制御を行うための仕組みだ。IPアドレスやポート番号といった属性に応じてラベルをアサインし、トラフィックをコントロールするもので、「ネットワークアクセスコントロールをLinuxのセキュリティモデルに統合することができる」とムーア氏は述べた。

　Labeled Networkingは、LSM（Linux Security Module）のフレームワークを活用する。このため、実装にはSELinuxもしくはSMACKのどちらかが必要だ。これらのモジュールを通して、ネットワークトラフィックをLSMのドメインにマッピングする。「LSMのフレームワークを、ローカルから文字通り外部のネットワークに広げる」（ムーア氏）という。

　Labeled Networkingでは、「Secmark」と「Peer」という2つのネットワークラベルが定義される。

　Secmarkは、ポート番号やIPアドレスといったネットワークの属性に基づて、ローカル側でアサインされるラベルだ。実際にこの処理を行うのはiptables/netfilterで、別途特別なインフラを用意することなく利用できる。つまり、「Linuxが備えているファイアウォール機能とLSMとを統合する」（ムーア氏）という。

　もう1つのPeerは、トラフィック送信者の属性に基づいて付与されるラベルで、Commercial IP Security Option（CIPSO）もしくはLabeled IPsecのどちらかを用いて送信される。CIPSOでは、既存の商用UNIXなどとの相互接続が可能だが、利用できるのはMulti-Level Security（MLS）に限定される。一方Labeled IPsecは、文字通りIPsecにラベルを載せるもので、暗号化や認証が使えるという利点があるが、SELinuxでしか利用できないなど、それぞれ長所、短所がある。

　こうして与えられたラベルを活用すれば、たとえば社内システムに入ってくるインバウンドトラフィックを受信すべきか、すべきでないか、あるいは秘密情報が含まれたアウトバウンドトラフィックを送信してもいいか、フォワードしてもいいか……といった、さまざまなトラフィックコントロールが、LSMと統合された形で可能になるという。

　ムーア氏によると、現在、NetLabelとLabeled IPsecの統合に加え、コントロールの対象をローカルトラフィックやネットワークインターフェイスなどに拡張するための開発が進んでいるという。今後は、loopback peer labelの改善、標準化活動などに取り組んでいく計画だと述べた。