Cisco IOS セキュリティ コンフィギュレーション ガ イド:ユーザ サービスのセキュリティ保護
Cisco IOS Resilient Configuration
Cisco IOS Resilient Configuration
発行日;2012/02/04 | 英語版ドキュメント(2011/04/25 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 7MB) | フィードバック

目次

Cisco IOS Resilient Configuration

機能情報の確認

この章の構成

Cisco IOS Resilient Configuration の制約事項

Cisco IOS Resilient Configuration に関する情報

Cisco IOS Resilient Configuration の機能設計

Cisco IOS Resilient Configuration の使用方法

ルータ設定のアーカイブ

アーカイブされたルータ設定の復元

その他の参考資料

関連資料

規格

MIB

RFC

シスコのテクニカル サポート

Cisco IOS Resilient Configuration の機能情報

Cisco IOS Resilient Configuration

Cisco IOS Resilient Configuration 機能で、実行中のイメージおよび設定のワーキング コピーを保護し維持することができます。これにより、イメージや設定ファイルが永続ストレージ(NVRAM やフラッシュ)の内容を消去する不正な攻撃に耐えることができます。

機能情報の確認

ご使用のソフトウェア リリースでは、このモジュールで説明されるすべての機能がサポートされているとは限りません。最新の機能情報と注意事項については、ご使用のプラットフォームとソフトウェア リリースに対応したリリース ノートを参照してください。この章に記載されている機能の詳細、および各機能がサポートされているリリースのリストについては、「Cisco IOS Resilient Configuration の機能情報」を参照してください。

プラットフォーム サポートと Cisco IOS および Catalyst OS ソフトウェア イメージ サポートに関する情報を入手するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator には、 http://tools.cisco.com/ITDIT/CFN/jsp/index.jsp からアクセスできます。Cisco.com のアカウントは必要ありません。

Cisco IOS Resilient Configuration の制約事項

この機能は、Personal Computer Memory Card International Association(PCMCIA; PC メモリ カード国際協会)の Advanced Technology Attachment(ATA)をサポートしているプラットフォームでしか使用できません。少なくとも 1 つの Cisco IOS イメージ(アップグレードの場合は 2 つ)と実行設定のコピーを保存するのに十分なスペースがストレージ デバイス上に存在する必要があります。このソフトウェアには、セキュアなファイル システム用の IOS Files System(IFS; IOS ファイル システム)サポートも必要です。

隠しファイルに対するファイル システム サポートが含まれていない古いバージョンの Cisco IOS ソフトウェアを使用している場合は、保護されたファイルが強制的に削除される可能性があります。

この機能は、ルータへのコンソール接続を通してのみ無効にすることができます。アップグレード シナリオを除いて、機能をアクティブにするためのコンソール アクセスは必要ありません。

ネットワークからロードしたイメージでブートセットを保護できません。実行イメージは、プライマリとして保護すべき永続ストレージからロードする必要があります。

保護されたファイルは、エグゼクティブ シェルから発行された dir コマンドの出力に表示されません。これは、IFS がディレクトリ内のセキュアなファイルの一覧表示を阻止するためです。ROM monitor(ROMMON; ROM モニタ)モードには、このような制限がないため、保護されたファイルを一覧表示したり、ブートしたりすることができます。実行イメージと実行設定のアーカイブは Cisco IOS dir コマンド出力に表示されません。代わりに、 show secure bootset コマンドを使用してアーカイブの存在を確認できます。

Cisco IOS Resilient Configuration に関する情報

Cisco IOS Resilient Configuration を使用する前に、次の概念を理解しておく必要があります。

「Cisco IOS Resilient Configuration の機能設計」

Cisco IOS Resilient Configuration の機能設計

ネットワーク オペレータの大きな課題は、ルータの故障以降の総ダウンタイムと、永続ストレージから消去された運用ソフトウェアと設定データです。オペレータは、設定のアーカイブ コピー(もしあれば)とワーキング イメージを入手して、ルータを復元させる必要があります。その後で、影響を受けたルータごとに回復を実行する必要があるため、総ネットワーク ダウンタイムがさらに増加します。

Cisco IOS Resilient Configuration 機能の目的は、回復プロセスを速めることです。この機能は、常に、ルータ イメージのセキュアなワーキング コピーと起動設定を維持します。これらのセキュアなファイルはユーザが削除できません。このイメージとルータ実行設定のセットは、プライマリ ブートセットと呼ばれています。

Cisco IOS Resilient Configuration の設計では、次の要素が考慮されています。

プライマリ ブートセット内の設定情報は、この機能が最初に有効にされた時点でルータ内に存在していた実行設定のコピーです。

この機能は、最小限のファイルのワーキング セットを保護することによって、永続ストレージのスペースを確保します。プライマリ Cisco IOS イメージ ファイルを保護するために余分なスペースは必要ありません。

この機能は、自動的にイメージまたは設定のバージョン ミスマッチを検出します。

ファイルを保護し、TFTP サーバ上での複数のイメージと設定の保存からスケーラビリティ メンテナンスの課題を排除するために、ローカル ストレージのみが使用されます。

この機能は、コンソール セッションを通してのみ無効にすることができます。

Cisco IOS Resilient Configuration の使用方法

ここでは、次の各手順について説明します。

「ルータ設定のアーカイブ」

「アーカイブされたルータ設定の復元」

ルータ設定のアーカイブ

このタスクでは、永続ストレージ内のセキュアなアーカイブへのプライマリ ブートセットの保存方法について説明します。

手順の概要

1. enable

2. configure terminal

3. secure boot-image

4. secure boot-config

5. end

6. show secure bootset

手順の詳細

 

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

secure boot-image

 

Router(config)# secure boot-image

Cisco IOS image resilience を有効にします。

ステップ 4

secure boot-config

 

Router(config)# secure boot-config

プライマリ ブートセットのセキュアなコピーを永続ストレージに保存します。

ステップ 5

end

 

Router(config)# end

特権 EXEC モードを終了します。

ステップ 6

show secure bootset

 

Router# show secure bootset

(任意)設定回復のステータスとプライマリ ブートセット ファイル名を表示します。

この項では、次の出力例について説明します。

「show secure bootset コマンドのサンプル出力」

show secure bootset コマンドのサンプル出力

次の例は、 show secure bootset コマンドのサンプル出力を示しています。

Router# show secure bootset
 
IOS resilience router id JMX0704L5GH
 
IOS image resilience version 12.3 activated at 08:16:51 UTC Sun Jun 16 2002
Secure archive slot0:c3745-js2-mz type is image (elf) []
file size is 25469248 bytes, run size is 25634900 bytes
Runnable image, entry point 0x80008000, run from ram
 
IOS configuration resilience version 12.3 activated at 08:17:02 UTC Sun Jun 16 2002
Secure archive slot0:.runcfg-20020616-081702.ar type is config
configuration archive size 1059 bytes
 

アーカイブされたルータ設定の復元

このタスクでは、ルータが改ざん(NVRAM の消去またはディスクのフォーマットによって)された後に、セキュアなアーカイブからプライマリ ブートセットを復元する方法について説明します。


) アーカイブされたプライマリ ブートセットを復元するには、Cisco IOS image resilience を有効にして、永続ストレージ内にアーカイブされていたプライマリ ブートセットを復元する必要があります。


手順の概要

1. reload

2. dir [ filesystem : ]

3. boot [ partition-number : ][ filename ]

4. no

5. enable

6. configure terminal

7. secure boot-config [ restore filename ]

8. end

9. copy filename running-config

手順の詳細

 

コマンドまたはアクション
目的

ステップ 1

reload

 

Router# reload

(任意)必要に応じて、ROM モニタ モードに入ります。

ステップ 2

dir [ filesystem : ]

 

rommon 1 > dir slot0:

セキュアなブートセット ファイルを含むデバイスの内容を列挙します。

デバイス名は、 show secure bootset コマンドの出力内で見つけることができます。

ステップ 3

boot [ partition-number : ][ filename ]

 

rommon 2 > boot slot0:c3745-js2-mz

セキュアなブートセット イメージを使用してルータを起動します。

ステップ 4

no

 

--- System Configuration Dialog ---

Would you like to enter the initial configuration dialog? [yes/no]: no

(任意)セットアップ モードでインタラクティブ設定セッションに入ることを拒否します。

NVRAM が消去された場合は、ルータがセットアップ モードに入り、ユーザにインタラクティブ設定セッションを開始するように促します。

ステップ 5

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 6

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 7

secure boot-config [ restore filename ]

 

Router(config)# secure boot-config restore slot0:rescue-cfg

セキュアな設定を指定されたファイル名に復元します。

ステップ 8

end

 

Router(config)# end

特権 EXEC モードを終了します。

ステップ 9

copy filename running-config

 

Router# copy slot0:rescue-cfg running-config

復元された設定を実行設定にコピーします。

その他の参考資料

次の項で、Cisco IOS Resilient Configuration に関する参考資料を紹介します。

関連資料

内容
参照先

その他のコマンド:完全なコマンド構文、コマンド モード、デフォルト、使用上の注意事項、および例

Cisco IOS Configuration Fundamentals and Network Management Command Reference , Release 12.4T

規格

規格
タイトル

この機能がサポートする新しい規格または変更された規格はありません。また、この機能による既存規格のサポートに変更はありません。

--

MIB

MIB
MIB リンク

この機能によってサポートされる新しい MIB または変更された MIB はありません。またこの機能による既存 MIB のサポートに変更はありません。

選択したプラットフォーム、Cisco IOS リリース、および機能セットの MIB を検索してダウンロードする場合は、次の URL にある Cisco MIB Locator を使用します。

http://www.cisco.com/go/mibs

RFC

RFC
タイトル

この機能がサポートする新規 RFC または改訂 RFC はありません。また、この機能による既存 RFC のサポートに変更はありません。

--

シスコのテクニカル サポート

説明
リンク

Cisco Support Web サイトには、豊富なオンライン リソースが提供されており、それらに含まれる資料やツールを利用して、トラブルシューティングやシスコ製品およびテクノロジーに関する技術上の問題の解決に役立てることができます。

以下を含むさまざまな作業にこの Web サイトが役立ちます。

テクニカル サポートを受ける

ソフトウェアをダウンロードする

セキュリティの脆弱性を報告する、またはシスコ製品のセキュリティ問題に対する支援を受ける

ツールおよびリソースへアクセスする

Product Alert の受信登録

Field Notice の受信登録

Bug Toolkit を使用した既知の問題の検索

Networking Professionals(NetPro)コミュニティで、技術関連のディスカッションに参加する

トレーニング リソースへアクセスする

TAC Case Collection ツールを使用して、ハードウェアや設定、パフォーマンスに関する一般的な問題をインタラクティブに特定および解決する

Japan テクニカル サポート Web サイトでは、Technical Support Web サイト(http://www.cisco.com/techsupport)の、利用頻度の高いドキュメントを日本語で提供しています。Japan テクニカル サポート Web サイトには、次の URL からアクセスしてください。http://www.cisco.com/jp/go/tac

http://www.cisco.com/techsupport

Cisco IOS Resilient Configuration の機能情報

表 1 に、この機能のリリース履歴を示します。

ご使用の Cisco IOS ソフトウェア リリースによっては、コマンドの中に一部使用できないものがあります。特定のコマンドに関するリリース情報については、コマンド リファレンス マニュアルを参照してください。

Cisco Feature Navigator を使用すると、プラットフォームおよびソフトウェア イメージのサポート情報を検索できます。Cisco Feature Navigator を使用すると、特定のソフトウェア リリース、機能セット、またはプラットフォームをサポートする Cisco IOS ソフトウェア イメージおよび Catalyst OS ソフトウェア イメージを確認できます。Cisco Feature Navigator には、 http://tools.cisco.com/ITDIT/CFN/jsp/index.jsp からアクセスできます。Cisco.com のアカウントは必要ありません。


表 1 には、一連の Cisco IOS ソフトウェア リリースのうち、特定の機能が初めて導入された Cisco IOS ソフトウェア リリースだけが記載されています。特に明記していないかぎり、その機能は、一連の Cisco IOS ソフトウェア リリースの以降のリリースでもサポートされます。


 

表 1 Cisco IOS Resilient Configuration の機能情報

機能名
リリース
機能情報

Cisco IOS Resilient Configuration

12.3(8)T

Cisco IOS Resilient Configuration 機能で、実行中のイメージおよび設定のワーキング コピーを保護し維持することができます。これにより、イメージや設定ファイルが永続ストレージ(NVRAM やフラッシュ)の内容を消去する不正な攻撃に耐えることができます。

12.3(8)T で、この機能が導入されました。

secure boot-config、secure boot-image、および show secure bootset コマンドが導入または変更されました。

 

このマニュアルで使用している IP アドレスおよび電話番号は、実際のアドレスおよび電話番号を示すものではありません。マニュアル内の例、コマンド出力、ネットワーク トポロジ図、およびその他の図は、説明のみを目的として使用されています。説明の中に実際のアドレスおよび電話番号が使用されていたとしても、それは意図的なものではなく、偶然の一致によるものです。

© 2004-2009 Cisco Systems, Inc.
All rights reserved.