- ユーザ サービスのセキュリティ保護の概要
- AutoSecure
- 認証
- 認証の設定
- 認可の設定
- Standalone MAB Support
- アカウンティングの設定
- 認証プロキシの設定
- IEEE 802.1x-Flexible Authentication
- ネットワーク アドミッション コントロール
- RADIUS の設定
- AAA Dead-Server Detection
- AAA-SERVER-MIB Set Operation
- ACL Default Direction
- アクセス要求のアトリビュート スクリーニン グ
- 事前認証ユーザに対する RADIUS を使用した マルチリンク PPP のイネーブル化
- 拡張テスト コマンド
- RADIUS アカウンティング内の Framed-Route
- Offload Server Accounting Enhancement
- Per VRF AAA
- RFC-2867 RADIUS トンネル アカウンティン グ
- RADIUS アトリビュート スクリーニング
- RADIUS 集中型フィルタ管理
- RADIUS デバッグ拡張
- RADIUS 論理回線 ID
- RADIUS NAS-IP-Address アトリビュート 設定可能性
- RADIUS ルート ダウンロード
- RADIUS サーバ ロード バランシング
- 56 ビット アカウンティング セッション ID の RADIUS サポート
- ロード バランシングおよびフェールオーバー 用の RADIUS トンネル プリファレンス
- RADIUS サーバ障害発生時順序変更
- トンネル ターミネータでの RADIUS 経由での トンネル認証
- TACACS+ の設定
- Per VRF for TACACS+ Servers
- RADI US アトリビュート概要と RADIUS IETF アトリビュート
- RADIUS ベンダー固有アトリビュート
- RADIUS ベンダー固有アトリビュート (VSA)および RADIUS Disconnect-Cause アトリビュート値
- アクセス要求内の RADIUS アトリビュート 8 (Framed-IP-Address)
- RADIUS トンネル アトリビュート拡張
- セキュア シェルの設定
- リバース SSH 拡張
- セキュア コピー
- セキュア シェル バージョン 2 サポート
- SSH Terminal-Line アクセス
- Cisco IOS Login Enhancements(Login Block)
- Cisco IOS Resilient Configuration
- イメージ検証
- IP ソース トラッカー
- ロールベースの CLI アクセス
セキュリティ コンフィギュレーション ガイド:ユー ザ サービスのセキュリティ保護
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年6月6日
章のタイトル: イメージ検証
イメージ検証
イメージ検証機能を使用すると、Cisco IOS イメージの完全性を自動的に検証できます。そのため、ユーザは、イメージが偶発的な破壊から保護されていることを確認できます。破壊は、シスコによってファイルが作成された瞬間からユーザに届くまで、輸送中にいつでも起きる可能性があります。転送エラーやディスク破壊の結果、偶発的にイメージの完全性が破壊された場合に、ルータが自動的に検出できるようになるため、Cisco IOS ルータの効率も上がります。
機能情報の確認
ご使用のソフトウェア リリースでは、このモジュールで説明されるすべての機能がサポートされているとは限りません。最新の機能情報と注意事項については、ご使用のプラットフォームとソフトウェア リリースに対応したリリース ノートを参照してください。この章に記載されている機能の詳細、および各機能がサポートされているリリースのリストについては、「イメージ検証の機能情報」 を参照してください。
プラットフォーム サポートと Cisco IOS および Catalyst OS ソフトウェア イメージ サポートに関する情報を入手するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator には、 http://tools.cisco.com/ITDIT/CFN/jsp/index.jsp からアクセスできます。Cisco.com のアカウントは必要ありません。
この章の構成
イメージ検証の制約事項
Cisco IOS Release 12.2(18)S および 12.0(26)S のみ
イメージ検証は、任意のファイルに適用され実行できますが、ファイルがイメージ ファイルでない場合、イメージ検証は実行されず、「SIGNATURE-NOT-FOUND」というエラーが表示されます。
イメージ検証は、イメージ ファイルだけに適用されます。他のファイルタイプをコピーまたは検証した場合、イメージ検証が実行されたことを示す警告が表示されず、コマンド(コピーまたは検証)はメッセージを表示せずに成功します。
(注) イメージ検証機能は、Cisco IOS デバイスに格納されている Cisco IOS ソフトウェア イメージの完全性を確認するためにだけに使用できます。リモート ファイル システム上のイメージや、メモリ内で実行されているイメージの完全性を確認するためは使用できません。
イメージ検証に関する情報
イメージ検証の動作
実稼動イメージは、一連の転送を経てルータのメモリにコピーされるため、イメージの完全性が転送のたびに偶発的に破壊される危険があります。Cisco.com からイメージをダウンロードするとき、ユーザはダウンロードしたイメージに対して Message Digest 5(MD5; メッセージ ダイジェスト 5)ハッシュを実行し、Cisco.com で公開されている MD5 ダイジェストが、ユーザのサーバで計算した MD5 ダイジェストと同じであることを確認できます。しかし、MD5 ダイジェストが 128 ビット長であり、検証が手動であることから、多くのユーザは MD5 ダイジェストを実行しません。イメージ検証により、ユーザは、ダウンロードしたすべてのイメージの完全性を自動的に検証できるため、ユーザの操作が大幅に削減されます。
イメージ検証の使用方法
イメージの完全性のグローバルな検証
file verify auto コマンドを使用すると、イメージの検証がグローバルにイネーブルになります。つまり、コピー( copy コマンドを使用)またはリロード( reload コマンドを使用)されるすべてのイメージが自動的に検証されます。 copy コマンドと reload コマンドには、イメージの検証をイネーブルにする /verify キーワードがありますが、イメージをコピーまたはリロードするたびにキーワードを指定する必要があります。 file verify auto コマンドを使用すると、デフォルトでイメージの検証がイネーブルになるため、イメージ検証を何度も指定する必要がなくなります。
デフォルトでイメージ検証をイネーブルにし、特定のイメージのコピーまたはリロードで検証をディセーブルにする場合は、 /noverify キーワードを copy コマンドまたは reload コマンドで指定することで、 file verify auto コマンドが上書きされます。
手順の概要
手順の詳細
|
|
|
|
|---|---|---|
|
|
||
|
|
||
|
|
||
|
|
この次の手順
file verify auto コマンドを実行した後は、 /verify キーワードを copy コマンドまたは reload コマンドで指定する必要はなくなります。これは、コピーまたはリロードされる各イメージが自動的に検証されるためです。
コピーしようとしているイメージの完全性の検証
copy コマンドを実行するとき、 /verify キーワードを指定することで、コピーされるファイルの完全性を検証できます。完全性の確認に失敗した場合、コピーされたファイルは削除されます。コピーしようとしているファイルにハッシュが埋め込まれていない場合(古いイメージの場合)、コピー処理を続行するかどうかを質問されます。続行を選択すると、ファイルは正常にコピーされ、続行しないことを選択すると、コピーされたファイルが削除されます。
/verify キーワードを指定しないと、 copy コマンドにより有効でないファイルがコピーされる可能性があります。そのため、 copy コマンドを正常に実行した後、いつでも verify コマンドを実行して、ルータのストレージに格納されているファイルの完全性を確認できます。
手順の概要
2.
copy [ /erase ] [ /verify | /noverify ] source-url destination-url
手順の詳細
リロードしようとしているイメージの完全性の検証
reload コマンドを / verify キーワード付きで実行することにより、システムにロードしようとしているイメージの完全性が確認されます。/ verify キーワードを指定した場合、システムがリブートを開始する前にイメージの検証が実行されます。そのため、検証に失敗すると、イメージはロードされません。
(注) プラットフォームが異なれば、ロードするファイルの取得方法も異なるため、BOOTVAR で指定されたファイルが検証されます。ファイルが指定されていない場合、各サブシステム上の最初のファイルが検証されます。
プラットフォームによっては、設定レジスタなどの変数があるため、検証されるファイルがロードされるファイルになるとは限りません。
手順の概要
2. reload [
[ warm ] [ /verify | /noverify ] text |
[ warm ] [ /verify | /noverify ] in [ hh : ] mm [ text ] | [ warm ] [ /verify | /noverify ] at hh : mm [ month day | day month ] [ text ] |
[ warm ] [ /verify | /noverify ] cancel ]
手順の詳細
イメージ検証の設定例
グローバル イメージ検証の例
次に、自動的なイメージ検証をイネーブルにする例を示します。このコマンドをイネーブルにした後、コピー( copy コマンドを使用)またはリロード( reload コマンドを使用)されるすべてのイメージに対し、イメージ検証が自動的に実行されます。
copy コマンドを使用したイメージ検証の例
次に、イメージをコピーする前にイメージ検証を指定する例を示します。
reload コマンドを使用したイメージ検証の例
次に、ルータにイメージをリロードする前にイメージ検証を指定する例を示します。
verify コマンドの出力例
次に、 verify コマンドでイメージ検証を指定する例を示します。
その他の参考資料
関連資料
|
|
|
|---|---|
『 Cisco IOS Configuration Fundamentals and Network Management Configuration Guide , Release 12.4T』の 「 Using the Cisco IOS Integrated File System 」フィーチャ モジュール |
|
『 Cisco IOS Configuration Fundamentals Command Reference , Release 12.4T 』 |
規格
|
|
|
|---|---|
MIB
|
|
|
|---|---|
選択したプラットフォーム、Cisco IOS リリース、および機能セットの MIB を検索してダウンロードする場合は、次の URL にある Cisco MIB Locator を使用します。 |
RFC
|
|
|
|---|---|
シスコのテクニカル サポート
イメージ検証の機能情報
表 1 に、この機能のリリース履歴を示します。
ご使用の Cisco IOS ソフトウェア リリースによっては、コマンドの中に一部使用できないものがあります。特定のコマンドに関するリリース情報については、コマンド リファレンス マニュアルを参照してください。
Cisco Feature Navigator を使用すると、プラットフォームおよびソフトウェア イメージのサポート情報を検索できます。Cisco Feature Navigator により、どの Cisco IOS、Catalyst OS、および Cisco IOS XE ソフトウェア イメージが特定のソフトウェア リリース、フィーチャ セット、またはプラットフォームをサポートするか調べることができます。Cisco Feature Navigator には、 http://www.cisco.com/go/cfn からアクセスします。Cisco.com のアカウントは必要ありません。
(注) 表 1 には、一連の Cisco IOS ソフトウェア リリースのうち、特定の機能が初めて導入された Cisco IOS ソフトウェア リリースだけが記載されています。特に明記していないかぎり、その機能は、一連の Cisco IOS ソフトウェア リリースの以降のリリースでもサポートされます。
|
|
|
|
|---|---|---|
イメージ検証機能を使用すると、Cisco IOS イメージの完全性を自動的に検証できます。 次のコマンドが導入または変更されました。 copy 、 file verify auto 、 reload 、 verify |
フィードバック