Cisco IOS セキュリティ コンフィギュレーション ガ イド:ユーザ サービスのセキュリティ保護
イメージ検証
イメージ検証
発行日;2012/02/04 | 英語版ドキュメント(2011/04/25 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 7MB) | フィードバック

目次

イメージ検証

機能情報の確認

この章の構成

イメージ検証の制約事項

イメージ検証に関する情報

イメージ検証の利点

イメージ検証の動作

イメージ検証の使用方法

イメージの完全性のグローバルな検証

この次の手順

コピーしようとしているイメージの完全性の検証

リロードしようとしているイメージの完全性の検証

イメージ検証の設定例

グローバル イメージ検証の例

copy コマンドを使用したイメージ検証の例

reload コマンドを使用したイメージ検証の例

verify コマンドの出力例

その他の参考資料

関連資料

規格

MIB

RFC

シスコのテクニカル サポート

イメージ検証の機能情報

イメージ検証

イメージ検証機能を使用すると、Cisco IOS イメージの完全性を自動的に検証できます。そのため、ユーザは、イメージが偶発的な破壊から保護されていることを確認できます。破壊は、シスコによってファイルが作成された瞬間からユーザに届くまで、輸送中にいつでも起きる可能性があります。

機能情報の確認

ご使用のソフトウェア リリースでは、このモジュールで説明されるすべての機能がサポートされているとは限りません。最新の機能情報と注意事項については、ご使用のプラットフォームとソフトウェア リリースに対応したリリース ノートを参照してください。この章に記載されている機能の詳細、および各機能がサポートされているリリースのリストについては、「イメージ検証の機能情報」を参照してください。

プラットフォーム サポートと Cisco IOS および Catalyst OS ソフトウェア イメージ サポートに関する情報を入手するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator には、 http://tools.cisco.com/ITDIT/CFN/jsp/index.jsp からアクセスできます。Cisco.com のアカウントは必要ありません。

イメージ検証の制約事項

Cisco IOS リリース 12.2(18)S および 12.0(26)S のみ

イメージ検証は、任意のファイルに適用され実行できますが、ファイルがイメージ ファイルでない場合、イメージ検証は実行されず、「SIGNATURE-NOT-FOUND」というエラーが表示されます。

Cisco IOS リリース 12.3(4)T のみ

イメージ検証は、イメージ ファイルだけに適用されます。他のファイルタイプをコピーまたは検証した場合、イメージ検証が実行されたことを示す警告が表示されず、コマンド(コピーまたは検証)はメッセージを表示せずに成功します。


) イメージ検証機能は、Cisco IOS デバイスに格納されている Cisco IOS ソフトウェア イメージの完全性を確認するためにだけに使用できます。リモート ファイル システム上のイメージや、メモリ内で実行されているイメージの完全性を確認するためは使用できません。


イメージ検証に関する情報

Cisco IOS イメージのイメージ認証を使用するには、次の概念について理解する必要があります。

「イメージ検証の利点」

「イメージ検証の動作」

イメージ検証の利点

転送エラーやディスク破壊の結果、偶発的にイメージの完全性が破壊された場合に、ルータが自動的に検出できるようになるため、Cisco IOS ルータの効率が上がります。

イメージ検証の動作

実稼動イメージは、一連の転送を経てルータのメモリにコピーされるため、イメージの完全性が転送のたびに偶発的に破壊される危険があります。Cisco.com からイメージをダウンロードするとき、ユーザはダウンロードしたイメージに対して Message Digest 5(MD5; メッセージ ダイジェスト 5)ハッシュを実行し、Cisco.com で公開されている MD5 ダイジェストが、ユーザのサーバで計算した MD5 ダイジェストと同じであることを確認できます。しかし、MD5 ダイジェストが 128 ビット長であり、検証が手動であることから、多くのユーザは MD5 ダイジェストを実行しません。イメージ検証により、ユーザは、ダウンロードしたすべてのイメージの完全性を自動的に検証できるため、ユーザの操作が大幅に削減されます。

イメージ検証の使用方法

ここでは、次の各手順について説明します。

「イメージの完全性のグローバルな検証」

「コピーしようとしているイメージの完全性の検証」

「リロードしようとしているイメージの完全性の検証」

イメージの完全性のグローバルな検証

file verify auto コマンドを使用すると、イメージの検証がグローバルにイネーブルになります。つまり、コピー( copy コマンドを使用)またはリロード( reload コマンドを使用)されるすべてのイメージが自動的に検証されます。 copy コマンドと reload コマンドには、イメージの検証をイネーブルにする /verify キーワードがありますが、イメージをコピーまたはリロードするたびにキーワードを指定する必要があります。 file verify auto コマンドを使用すると、デフォルトでイメージの検証がイネーブルになるため、イメージ検証を何度も指定する必要がなくなります。

デフォルトでイメージ検証をイネーブルにし、特定のイメージのコピーまたはリロードで検証をディセーブルにする場合は、 /noverify キーワードを copy コマンドまたは reload コマンドで指定することで、 file verify auto コマンドが上書きされます。

自動的なイメージ検証をイネーブルにするには、ここに示す手順を実行します。

手順の概要

1. enable

2. configure terminal

3. file verify auto

4. exit

手順の詳細

 

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

file verify auto

 

Router(config)# file verify auto

自動的なイメージ検証をイネーブルにします。

ステップ 4

exit

 

Router(config)# exit

グローバル コンフィギュレーション モードを終了します。

イメージをコピーまたはリロードする場合は、グローバル コンフィギュレーション モードを終了する必要があります。

この次の手順

file verify auto コマンドを実行した後は、 /verify キーワードを copy コマンドまたは reload コマンドで指定する必要はなくなります。これは、コピーまたはリロードされる各イメージが自動的に検証されるためです。

コピーしようとしているイメージの完全性の検証

copy コマンドを実行するとき、 /verify キーワードを指定することで、コピーされるファイルの完全性を検証できます。完全性の確認に失敗した場合、コピーされたファイルは削除されます。コピーしようとしているファイルにハッシュが埋め込まれていない場合(古いイメージの場合)、コピー処理を続行するかどうかを質問されます。続行を選択すると、ファイルは正常にコピーされ、続行しないことを選択すると、コピーされたファイルが削除されます。

/verify キーワードを指定しないと、 copy コマンドにより有効でないファイルがコピーされる可能性があります。そのため、 copy コマンドを正常に実行した後、いつでも verify コマンドを実行して、ルータのストレージに格納されているファイルの完全性を確認できます。

ルータにコピーする前にイメージの完全性を確認するには、次の手順を実行します。

手順の概要

1. enable

2. copy [ /erase ] [ /verify | /noverify ] source-url destination-url

3. verify [ /md5 [ md5-value ]] filesystem : [ file-url ]

手順の詳細

 

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

copy [ /erase ] [ /verify | /noverify ] source-url destination-url

 

Router# copy /verify tftp://10.1.1.1/jdoe/c7200-js-mz disk0:

コピー元からコピー先に任意のファイルをコピーします。

/verify :コピー先のファイルのシグニチャを検証します。検証に失敗すると、ファイルは削除されます。

/noverify :イメージをコピーする前にコピー先ファイルのシグニチャを検証しません。

コマンドがイネーブルになっており、コピーするすべてのイメージのシグニチャが自動的に検証される場合に使用されます。

ステップ 3

verify [ /md5 [ md5-value ]] filesystem: [ file-url ]

 

Router# verify bootflash://c7200-kboot-mz.121-8a.E

(任意)ルータのストレージに格納されているイメージの完全性を検証します。

リロードしようとしているイメージの完全性の検証

reload コマンドを / verify キーワード付きで実行することにより、システムにロードしようとしているイメージの完全性が確認されます。/ verify キーワードを指定した場合、システムがリブートを開始する前にイメージの検証が実行されます。そのため、検証に失敗すると、イメージはロードされません。


) プラットフォームが異なれば、ロードするファイルの取得方法も異なるため、BOOTVAR で指定されたファイルが検証されます。ファイルが指定されていない場合、各サブシステム上の最初のファイルが検証されます。

プラットフォームによっては、設定レジスタなどの変数があるため、検証されるファイルがロードされるファイルになるとは限りません。


ルータにリロードする前にイメージの完全性を確認するには、次の手順を実行します。

手順の概要

1. enable

2. reload [
[
warm ] [ /verify | /noverify ] text |
[
warm ] [ /verify | /noverify ] in [ hh : ] mm [ text ] |
[ warm ] [ /verify | /noverify ] at hh : mm [ month day | day month ] [ text ] |
[
warm ] [ /verify | /noverify ] cancel ]

手順の詳細

 

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

reload [[ warm ] [ /verify | /noverify ] text | [ warm ] [ /verify | /noverify ] in [ hh : ] mm [ text ] | [ warm ] [ /verify | /noverify ] at hh : mm [ month day | day month ] [ text ] |
[
warm ] [ /verify | /noverify ] cancel ]

 

Router# reload /verify

オペレーティング システムをリロードします。

/ verify :コピー先のファイルのシグニチャを検証します。検証に失敗すると、ファイルは削除されます。

/noverify :イメージをリロードする前にコピー先ファイルのシグニチャを検証しません。

コマンドがイネーブルになっており、コピーするすべてのイメージのシグニチャが自動的に検証される場合に使用されます。

イメージ検証の設定例

ここでは、次の設定例について説明します。

「グローバル イメージ検証の例」

「copy コマンドを使用したイメージ検証の例」

「reload コマンドを使用したイメージ検証の例」

「verify コマンドの出力例」

グローバル イメージ検証の例

次に、自動的なイメージ検証をイネーブルにする例を示します。このコマンドをイネーブルにした後、コピー( copy コマンドを使用)またはリロード( reload コマンドを使用)されるすべてのイメージに対し、イメージ検証が自動的に実行されます。

Router(config)# file verify auto

copy コマンドを使用したイメージ検証の例

次に、イメージをコピーする前にイメージ検証を指定する例を示します。

Router# copy /verify tftp://10.1.1.1/jdoe/c7200-js-mz disk0:
 
Destination filename [c7200-js-mz]?
Accessing tftp://10.1.1.1/jdoe/c7200-js-mz...
Loading jdoe/c7200-js-mz from 10.1.1.1 (via FastEthernet0/0):!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
[OK - 19879944 bytes]
 
19879944 bytes copied in 108.632 secs (183003 bytes/sec)
Verifying file integrity of disk0:/c7200-js-mz ..................................................................................
..................................................................................
..................................................................................
.........................Done!
Embedded Hash MD5 :CFA258948C4ECE52085DCF428A426DCD
Computed Hash MD5 :CFA258948C4ECE52085DCF428A426DCD
CCO Hash MD5 :44A7B9BDDD9638128C35528466318183
 
Signature Verified
 

reload コマンドを使用したイメージ検証の例

次に、ルータにイメージをリロードする前にイメージ検証を指定する例を示します。

Router# reload /verify
 
Verifying file integrity of bootflash:c7200-kboot-mz.121-8a.E
%ERROR:Signature not found in file bootflash:c7200-kboot-mz.121-8a.E.
Signature not present. Proceed with verify? [confirm]
Verifying file disk0:c7200-js-mz ..........................................................................
............................................................Done!
Embedded Hash MD5 :CFA258948C4ECE52085DCF428A426DCD
Computed Hash MD5 :CFA258948C4ECE52085DCF428A426DCD
CCO Hash MD5 :44A7B9BDDD9638128C35528466318183
Signature Verified
 
Proceed with reload? [confirm]n
 

verify コマンドの出力例

次に、 verify コマンドでイメージ検証を指定する例を示します。

Router# verify disk0:c7200-js-mz
 
%Filesystem does not support verify operations
Verifying file integrity of disk0:c7200-js-mz.......................................
...............................................................................Done!
Embedded Hash MD5 :CFA258948C4ECE52085DCF428A426DCD
Computed Hash MD5 :CFA258948C4ECE52085DCF428A426DCD
CCO Hash MD5 :44A7B9BDDD9638128C35528466318183
 

Signature Verified

その他の参考資料

ここでは、イメージ検証機能に関する関連資料について説明します。

関連資料

内容
参照先

システム イメージのロード、メンテナンス、リブートに関する設定作業と情報

Cisco IOS Configuration Fundamentals and Network Management Configuration Guide 』リリース 12.4T の Using the Cisco IOS Integrated File System 」フィーチャ モジュール

システム イメージをロード、メンテナンス、リブートするためのその他のコマンド

Cisco IOS Configuration Fundamentals Command Reference 』リリース 12.4T

規格

規格
タイトル

なし

--

MIB

MIB
MIB リンク

なし

選択したプラットフォーム、Cisco IOS リリース、および機能セットの MIB を検索してダウンロードする場合は、次の URL にある Cisco MIB Locator を使用します。

http://www.cisco.com/go/mibs

RFC

RFC
タイトル

なし

--

シスコのテクニカル サポート

説明
リンク

Cisco Support Web サイトには、豊富なオンライン リソースが提供されており、それらに含まれる資料やツールを利用して、トラブルシューティングやシスコ製品およびテクノロジーに関する技術上の問題の解決に役立てることができます。

以下を含むさまざまな作業にこの Web サイトが役立ちます。

テクニカル サポートを受ける

ソフトウェアをダウンロードする

セキュリティの脆弱性を報告する、またはシスコ製品のセキュリティ問題に対する支援を受ける

ツールおよびリソースへアクセスする

Product Alert の受信登録

Field Notice の受信登録

Bug Toolkit を使用した既知の問題の検索

Networking Professionals(NetPro)コミュニティで、技術関連のディスカッションに参加する

トレーニング リソースへアクセスする

TAC Case Collection ツールを使用して、ハードウェアや設定、パフォーマンスに関する一般的な問題をインタラクティブに特定および解決する

Japan テクニカル サポート Web サイトでは、Technical Support Web サイト(http://www.cisco.com/techsupport)の、利用頻度の高いドキュメントを日本語で提供しています。Japan テクニカル サポート Web サイトには、次の URL からアクセスしてください。http://www.cisco.com/jp/go/tac

http://www.cisco.com/techsupport

イメージ検証の機能情報

表 1 に、この機能のリリース履歴を示します。

ご使用の Cisco IOS ソフトウェア リリースによっては、コマンドの中に一部使用できないものがあります。特定のコマンドに関するリリース情報については、コマンド リファレンス マニュアルを参照してください。

Cisco Feature Navigator を使用すると、プラットフォームおよびソフトウェア イメージのサポート情報を検索できます。Cisco Feature Navigator により、どの Cisco IOS、Catalyst OS、および Cisco IOS XE ソフトウェア イメージが特定のソフトウェア リリース、フィーチャ セット、またはプラットフォームをサポートするか調べることができます。Cisco Feature Navigator には、 http://www.cisco.com/go/cfn からアクセスします。Cisco.com のアカウントは必要ありません。


表 1 には、一連の Cisco IOS ソフトウェア リリースのうち、特定の機能が初めて導入された Cisco IOS ソフトウェア リリースだけが記載されています。特に明記していないかぎり、その機能は、一連の Cisco IOS ソフトウェア リリースの以降のリリースでもサポートされます。


 

表 1 イメージ検証の機能情報

機能名
リリース
機能情報

イメージ検証

12.2(25)S
12.0(26)S
12.3(4)T
Cisco IOS XE リリース 2.1

イメージ検証機能を使用すると、Cisco IOS イメージの完全性を自動的に検証できます。

次のコマンドが導入または変更されました。 copy file verify auto reload verify