Cisco IOSデバイスのルートキット

これは、2008年5月22日のEUSecWestセキュリティ会議でCore Security TechnologiesのSebastian Muniz氏によって公開された問題に対するCisco PSIRTの応答です。

Cisco IOSソフトウェアの新しい脆弱性は、プレゼンテーション中に公開されませんでした。シスコの知る限り、エクスプロイトコードは公開されておらず、シスコはエクスプロイトに関するお客様からの報告を受け取っていません。

シスコは入手可能な情報を分析し、すべてのネットワークデバイスのセキュリティを向上させるために、業界のベストプラクティスに従うことを推奨しています。具体的な推奨事項については、このセキュリティ対策の「追加情報」セクションを参照してください。

Cisco PSIRTは、研究者と協力してセキュリティの脆弱性に関する調査を行う機会を非常に高く評価しており、製品レポートのレビューと支援を行う機会を歓迎しています。シスコのネットワークとインターネット全体のセキュリティを維持するという目標に向けて協力してくださったSebastian Muniz氏とCore Security Technologiesに感謝いたします。

追加情報

Cisco IOSデバイスのセキュリティは、デバイスへの物理的および論理的なアクセス、デバイスの設定、使用されているソフトウェアに固有のセキュリティなど、複数の要因で構成されます。デバイスのセキュリティ設定、特にデバイスセキュリティとの関連は、文書化されたベストプラクティスを使用して伝えられます。『Cisco Guide to Harden Cisco IOS Devices』(http://www.cisco.com/en/US/tech/tk648/tk361/technologies_tech_note09186a0080120f48.shtmlから入手可能)というタイトルのドキュメントは、これらのベストプラクティスの1つのコレクションを表しています。

Cisco IOSデバイス（この場合はCisco IOSソフトウェア）で使用されるソフトウェアの整合性も、デバイスのセキュリティにとって重要です。重大度に応じて、Cisco IOSソフトウェアのセキュリティ問題は、セキュリティアドバイザリ、セキュリティ応答、またはCisco Bugリリースノートを使用してお客様に通知されます。詳細は、https://sec.cloudapps.cisco.com/security/center/resources/security_vulnerability_policy.htmlで入手できるCisco Security Vulnerability Policyに記載されています。

攻撃者が悪意のあるコードをCisco IOSソフトウェアイメージに挿入し、そのイメージをサポートするシスコデバイスにロードする可能性があります。この攻撃シナリオは、適切な状況に応じて、ソフトウェアの形式を使用するすべてのデバイスで発生する可能性があります。このSecurity Responseでは、Cisco IOSデバイスに悪意のあるコードがインストールされるリスクを軽減するためにネットワーク管理者が使用できるベストプラクティスについて説明します。さらに、この対応により、管理者がネットワークに悪意のあるコードを導入するリスクを軽減するために使用できる方法が提供されます。

セキュリティのベストプラクティス

シスコでは、ネットワークのセキュリティポスチャを改善するために、次のセキュリティベストプラクティスを実装することを推奨しています。これらの方法は、Cisco IOSデバイスが許可された未変更のCisco IOSソフトウェアイメージのみを使用するようにするために特に重要です。

サプライチェーンの整合性

悪意のあるコードに関連するリスクを最小限に抑えるには、ネットワーク管理者がCisco IOSソフトウェアイメージ管理のための安全な方法論を開発し、一貫して適用することが重要です。この安全なプロセスは、cisco.comからCisco IOSソフトウェアイメージをダウンロードしてから、Cisco IOSデバイスが使用を開始するまでの間に使用する必要があります。

プロセスはネットワークとそのセキュリティおよび変更管理要件によって異なる場合がありますが、次の手順は、悪意のあるコードがインストールされる可能性を最小限に抑えるのに役立つ可能性のあるベストプラクティスの例を示しています。

• Cisco IOSソフトウェアイメージをwww.cisco.comからダウンロードする際には、Cisco IOS Upgrade Plannerツールで提示されるMD5ハッシュを記録します。
• イメージが管理ワークステーションにダウンロードされたら、ローカルファイルのMD5ハッシュを、Cisco IOS Upgrade Plannerによって提示されるハッシュと照合して確認する必要があります。
• Cisco IOSソフトウェアイメージファイルが本物で変更されていないことが確認されたら、イメージの書き込み後に読み取り専用としてレンダリングできるwrite-onceメディアまたはメディアにコピーします。
• 読み取り専用メディアに書き込まれたファイルのMD5ハッシュを確認し、コピープロセス中の破損を検出します。
• 管理ワークステーションのローカルファイルを削除します。
• Cisco IOSデバイスへのCisco IOSソフトウェアイメージの配布に使用するファイルサーバに、読み取り専用メディアを移動します。
• 認証と暗号化の両方を提供する安全なプロトコルを使用して、Cisco IOSソフトウェアイメージをファイルサーバからCisco IOSデバイスに転送します。
• 「IOS Upgrade Plannerを使用したイメージファイル情報」セクションで説明されている手順を使用して、Cisco IOSデバイス上のCisco IOSソフトウェアイメージのMD5ハッシュを確認します。
• 起動時に新しいCisco IOSソフトウェアイメージをロードするように、Cisco IOSデバイスの設定を変更します。
• Cisco IOSデバイスをリロードして、新しいソフトウェアを稼働させます。

変更管理の実装

変更管理とは、ネットワークデバイスに加えられた変更を要求、承認、実装、監査するためのメカニズムです。ネットワークで使用されているCisco IOSソフトウェアイメージの信頼性を保証する場合は、どの変更が承認され、どの変更が承認されていないかを判断する際に非常に役立つ変更管理が重要です。変更管理は、ネットワーク内のCisco IOSデバイスで、許可されたCisco IOSソフトウェアと変更されていないCisco IOSソフトウェアのみを使用するために重要です。

Software Distribution Serverの強化

ネットワーク内のCisco IOSデバイスにソフトウェアを配布するために使用されるサーバは、ネットワークセキュリティの重要なコンポーネントです。このサーバから配布されるソフトウェアの信頼性と整合性を確保するために、いくつかのベストプラクティスを実装する必要があります。これらのベストプラクティスには、次のものがあります。

• 使用しているオペレーティングシステムに固有の、オペレーティングシステムを強化するための確立された手順の適用
• ライトワンスメディアへのロギングを含む、すべての適切なロギングおよび監査機能の設定
• 最も信頼できるネットワークを除き、すべてのネットワークからの接続が制限された安全なネットワーク上でのソフトウェア配布サーバの配置
• 対話型アクセス（SSHなど）を信頼できるネットワーク管理者のサブセットのみに制限する、制限のあるセキュリティ制御の使用

最新のソフトウェアの利用

ネットワークで使用するCisco IOSソフトウェアは、新しいセキュリティ機能を活用し、Cisco Security Advisoryで公開されている既知の脆弱性の影響を最小限に抑えるために、常に最新の状態に保つ必要があります。

シスコは、新しいセキュリティ機能の実装とバグの解決を通じて、Cisco IOSソフトウェアイメージのセキュリティを継続的に進化させています。このような理由から、ネットワーク管理者は最新のソフトウェアの使用を含む方法でネットワークを維持することが不可欠です。そうしないと、Cisco IOSデバイスへの不正アクセスに使用される可能性のある脆弱性が公開される可能性があります。

認証、認可、アカウンティングの活用

認証、許可、アカウンティング(AAA)の包括的な実装は、ネットワークデバイスへのインタラクティブアクセスのセキュリティを確保するために重要です。さらに、AAA、特に許可およびアカウンティング機能を使用して、個々のユーザアクションの監査証跡を提供するだけでなく、認証されたユーザが実行できるアクションを制限する必要があります。

AAAの実装の詳細については、『Cisco Guide to Harden Cisco IOS Devices』の「Using Authentication, Authorization and Accounting」(http://www.cisco.com/en/US/tech/tk648/tk361/technologies_tech_note09186a0080120f48.shtml#usingaaaで入手可能)というタイトルのセクションを参照してください。

デバイスへのインタラクティブアクセスの制限

特定のネットワークデバイスにログインできるユーザを制御するためにAAAを実装した後は、ユーザがネットワークデバイス上で管理機能を実行できるIPアドレスを制限するために、アクセス制御を実装する必要があります。このアクセス制御には、デバイスへのアクセスを制限する複数のセキュリティ機能とソリューションが含まれます。

• VTYアクセスクラス
• 管理プレーン保護(MPP)
• コントロール プレーン ポリシング（CoPP）
• コントロールプレーン保護(CPPr)
• Infrastructure Access Control List（iACL; インフラストラクチャ アクセス コントロール リスト）
• Simple Network Management Protocol(SNMP)アクセスリスト

詳細については、『Cisco Guide to Harden Cisco IOS devices』の「Securing Interactive Management Sessions」(http://www.cisco.com/en/US/tech/tk648/tk361/technologies_tech_note09186a0080120f48.shtml#interactmanageで入手可能)および「Fortifying the Simple Network Management Protocol」(http://www.cisco.com/en/US/tech/tk648/tk361/technologies_tech_note09186a0080120f48.shtml#fortifyで入手可能)の次のセクションを参照してください。

一元化された包括的なロギングの活用

ネットワーク管理者がネットワーク上で発生するイベントを理解するには、一元化されたログ収集と関連付けを使用した包括的なロギング構造を実装する必要があります。さらに、正確なロギングを容易にするため、標準化されたロギングと時間設定をすべてのネットワークデバイスに導入する必要があります。さらに、ネットワーク内のAAA機能からのロギングは、中央集中型のロギング実装に含める必要があります。

ネットワーク上で包括的なロギングを実行した後は、収集したデータを使用して、ネットワークデバイスへの不正アクセスや正当なユーザによる不正アクションを示すイベントがないか、ネットワークアクティビティを監視する必要があります。これらのタイプのイベントは、Cisco IOSデバイスのセキュリティを低下させる最初のステップとなる可能性があります。次の項目は不正アクセスまたは不正アクションを表す可能性があるため、注意深く監視する必要があります。

• copyコマンドまたはローカルSCP、TFTP、またはFTPサーバ機能を使用して、Cisco IOSソフトウェアイメージをCisco IOSデバイスに送信すること。
• 特定の高リスクEXECコマンドの試行された実行。copy、gdb、およびtclshコマンドは、監視する必要があるコマンドの例です。このリストはすべてを網羅しているわけではありません。
• ネットワークデバイスで使用されているブート環境の変更。具体的には、bootおよびconfig-registerグローバルコンフィギュレーションコマンドが含まれます。
• Cisco IOSデバイスのセキュリティ設定の変更。これには、VTYアクセスクラスやロギング設定の削除、または新しい管理ユーザの追加が含まれます。
• フラッシュデバイスなどのストレージメディアの挿入または取り外しに関連するロギング。
• Cisco IOSデバイス設定の変更またはファイル管理タスクの実行を試みるSNMP関連のロギング。
• ソフトウェアのクラッシュまたはreloadコマンドの使用による、Cisco IOSソフトウェアの計画済みおよび計画外のリロード。

詳細については、『Cisco Guide to Harden Cisco IOS Devices』の「Centralize Log Collection and Monitoring」(http://www.cisco.com/en/US/tech/tk648/tk361/technologies_tech_note09186a0080120f48.shtml#logから入手可能)および「Logging Best Practices」(http://www.cisco.com/en/US/tech/tk648/tk361/technologies_tech_note09186a0080120f48.shtml#logbestから入手可能)というセクションを参照してください。

Cisco IOSイメージファイルの確認

ネットワーク管理者は、ネットワークデバイスで使用されているCisco IOSソフトウェアイメージの信頼性と整合性を確認するために、複数のセキュリティ機能のいずれかを使用できます。また、Cisco IOSソフトウェア自体の機能に依存しないプロセスを使用することもできます。

次の項では、Cisco IOSソフトウェアイメージの信頼性と整合性の確認に使用できるCisco IOSソフトウェアの機能と管理プロセスについて説明します。

MD5ファイル検証機能の使用

Cisco IOSソフトウェアリリース12.2(4)Tおよび12.0(22)Sで追加されたMD5ファイル検証機能を使用すると、ネットワーク管理者はデバイスにロードされているCisco IOSソフトウェアイメージファイルのMD5ハッシュを計算できます。また、管理者は計算されたMD5ハッシュをユーザが提供したハッシュと照合することもできます。インストールされたCisco IOSイメージのMD5ハッシュ値が決定されると、シスコが提供するMD5ハッシュと比較して、イメージファイルの整合性を確認することもできます。

注：MD5ファイル検証機能は、Cisco IOSデバイスに保存されているCisco IOSソフトウェアイメージの整合性をチェックする場合にのみ使用できます。メモリ内で実行されているイメージの整合性のチェックには使用できません。

MD5ファイル検証機能を使用したMD5ハッシュの計算と検証は、次のコマンドを使用して実行できます。

verify /md5 filesystem:filename [md5-hash]

ネットワーク管理者は、verify /md5特権EXECコマンドを使用して、デバイスのCisco IOSファイルシステムに保存されているイメージファイルの整合性を確認できます。次に、Cisco IOSデバイスでverify /md5コマンドを使用する方法を示します。

router#verify /md5 disk0:c7301-jk9s-mz.124-10.bin
.....<output truncated>.....Done!
verify /md5 (disk0:c7301-jk9s-mz.124-10.bin) = ad9f9c902fa34b90de8365c3a5039a5b

router#

ネットワーク管理者は、verifyコマンドにMD5ハッシュを指定することもできます。verifyコマンドを指定すると、次の例に示すように、計算されたMD5ハッシュと指定されたMD5ハッシュが比較されます。

router#verify /md5 disk0:c7301-jk9s-mz.124-10.bin ad9f9c902fa34b90de8365c3a5039a5b
.....<output truncated>.....Done!
Verified (disk0:c7301-jk9s-mz.124-10.bin) = ad9f9c902fa34b90de8365c3a5039a5b

router#

ネットワーク管理者から提供されたMD5ハッシュが、MD5ファイル検証機能によって計算されたハッシュと一致しない場合、エラーメッセージが表示されます。これを次の例で説明します。

router#verify /md5 disk0:c7301-jk9s-mz.124-10.bin 0c5be63c4e339707efb7881fde7d5324
.....<output truncated>.....Done!

%Error verifying disk0:c7301-jk9s-mz.124-10.bin
Computed signature  = ad9f9c902fa34b90de8365c3a5039a5b
Submitted signature = 0c5be63c4e339707efb7881fde7d5324

router#

前記の例では、verify /md5コマンドにより、Cisco IOSイメージファイル全体のMD5ハッシュが計算されて表示されます。このアプローチは、「イメージ検証」機能を備えた更新されたverifyコマンドとは対照的です。この機能では、Cisco IOSイメージ全体と、非圧縮のCisco IOSイメージファイルの特定の部分のハッシュが計算されます。

この機能の使用方法の詳細については、「MD5 File Validation」というタイトルのドキュメント(http://www.cisco.com/en/US/docs/ios/fundamentals/configuration/guide/cf_ md5_ps6350_TSD_Products_Configuration_Guide_Chapter.html)を参照してください。

イメージ検証機能の使用

Cisco IOSソフトウェアリリース12.3(4)T、12.0(26)S、および12.2(18)Sで追加されたイメージ検証機能は、MD5ファイル検証機能を基盤としており、ネットワーク管理者は、デバイスのCisco IOSファイルシステムにロードされたイメージファイルの整合性をより簡単に検証できます。イメージ検証機能の目的は、Cisco IOSソフトウェアイメージファイルが破損していないことを確認することです。この機能によって検出された破損は、Cisco.comからのダウンロード中やインストールプロセス中など、いつでも発生する可能性があります。

注：イメージ検証機能では、メモリ内で実行されているイメージの整合性はチェックされません。

この機能を使用したCisco IOSソフトウェアイメージファイルの確認は、次のコマンドを使用して実行できます。

• file verify auto
• copy [/erase] [/verify | /noverify] source-url destination-url
• reload [warm] [/verify | /noverify] [text | in time [text] | at time [text] | cancel]

注：このセキュリティ応答で扱われるのは、file verify autoグローバルコンフィギュレーションコマンドとverify特権EXECコマンドだけです。copy /verifyコマンドおよびreload /verifyコマンドの詳細については、「イメージの確認」(『Cisco IOSセキュリティコンフィギュレーションガイド』のhttp://www.cisco.com/en/US/docs/ios/sec_user_services/configuration/guide/sec_image_verifctn.htmlから入手可能)というタイトルのセクションを参照してください(http://www.cisco.com/en/US/docs/ios/security/configuration/guide/12_4/sec_12_4_book.htmlから入手できます)。

file verify autoコマンドの設定

ネットワーク管理者は、file verify autoグローバルコンフィギュレーションコマンドを使用して、特権EXECコマンドcopyを使用してコピーされたイメージ、または特権EXECコマンドreloadを使用してロードされたイメージすべての確認を有効にできます。これらのイメージは、イメージファイルの整合性について自動的に検証されます。

次の例は、file verify auto Cisco IOS機能を設定する方法を示しています。

router#configure terminal
router(config)#file verify auto
router(config)#exit
router#

file verify autoコマンドに加えて、copyコマンドとreloadコマンドの両方に/verify引数があり、これによりイメージ検証機能でCisco IOSイメージファイルの整合性をチェックできます。グローバルコンフィギュレーションコマンドfile verify autoが存在しない場合、Cisco IOSデバイスにイメージがコピーまたはリロードされるたびに、この引数を使用する必要があります。

イメージ検証Cisco IOS検証コマンドの使用

また、ネットワーク管理者はverify特権EXECコマンドを使用して、ローカルでデバイスに保存されているイメージファイルの整合性を確認することもできます。このコマンドは、元々「MD5 File Validation」機能で導入され、「Image Verification」機能によって更新されたものです。次の例は、Cisco IOSデバイスで更新されたverifyコマンドを使用する方法を示しています。

router#verify disk0:c7301-jk9s-mz.124-10.bin 
Verifying file integrity of disk0:c7301-jk9s-mz.124-10.bin
.....<output truncated>.....Done!
Embedded Hash  MD5 : 0C5BE63C4E339707EFB7881FDE7D5324
Computed Hash  MD5 : 0C5BE63C4E339707EFB7881FDE7D5324
CCO Hash       MD5 : AD9F9C902FA34B90DE8365C3A5039A5B

Signature Verified

router#

上記の出力では、3つのMD5ハッシュ値がverifyコマンドによって表示されています。これらの各MD5ハッシュ値の意味を次に説明します。

• 埋め込みハッシュ：イメージ構築プロセス中にCiscoによってCisco IOSイメージファイルのセクションに保存されるMD5ハッシュ。Cisco IOSソフトウェアイメージファイルのセクションの整合性を確認するために使用されます。このMD5ハッシュ値は、Cisco IOSイメージファイルの特定のセクションについて計算されます。
• 計算ハッシュ：verifyコマンドの実行時に、「イメージ検証」機能がCisco IOSソフトウェアイメージファイルの特定のセクションについて計算するMD5ハッシュ。この値は、Cisco IOSイメージファイルのセクションの整合性を確認するための埋め込みハッシュと同じである必要があります。この値がEmbedded Hashと等しくない場合、Cisco IOSイメージファイルが破損しているか、意図的に変更されている可能性があります。
• CCOハッシュ：Cisco IOSイメージファイル全体のMD5ハッシュ。このハッシュはverifyコマンドで計算され、Cisco IOSソフトウェアイメージには保存されません。

詳細については、『Cisco IOS Security Configuration Guide』(http://www.cisco.com/en/US/docs/ios/security/configuration/guide/12_4/sec_12_4_book.html)の「Image Verification」(http://www.cisco.com/en/US/docs/ios/sec_user_services/configuration/guide/sec_image_verifctn.htmlで入手可能)というタイトルのセクションを参照してください。

Cisco IOSデバイスからのイメージファイルのダウンロード

状況によっては、ネットワーク管理者が既存のCisco IOSソフトウェアイメージファイルをCisco IOSデバイスから管理ワークステーションに移動することを検討する場合があります。管理ワークステーションに入ると、独立したツールを使用してファイルのMD5ハッシュを計算できます。

管理者がこのタスクを実行するには、次の2つのオプションを使用できます。1つのオプションでは、管理者はデバイスで使用中のCisco IOSソフトウェアを使用して、保存されているCisco IOSソフトウェアイメージファイルを管理ワークステーションにコピーできます。セキュリティ上の理由からこのプロセスを実行する場合、管理者はファイルを転送するために安全なプロトコル（SCPなど）を使用することをお勧めします。ただし、RCP、TFTP、FTP、HTTP、HTTPSなどの他のプロトコルを使用してこのプロセスを実行することは技術的に可能です。このプロセスは、次の例に示すように、copyコマンドを使用して実行されます。

router#copy flash:c7301-jk9s-mz.124-10.bin scp:c7301-jk9s-mz.124-10.bin
Address or name of remote host []? 10.1.1.1
Destination username [cisco]? user 
Destination filename [c7301-jk9s-mz.124-10.bin]? 
Writing c7301-jk9s-mz.124-10.bin 
Password: 
! Sink: C0644 28905508 c7301-jk9s-mz.124-10.bin
!!!!!<output truncated>!!!!!
28905508 bytes copied in 22.280 secs (1297375 bytes/sec)
router#

2番目の推奨オプションは、さらにセキュリティレベルを高めるもので、正常なバージョンのCisco IOSソフトウェアを使用して、Cisco IOSデバイスを信頼できる場所から再起動します。管理者は、次の例に示すように、boot systemグローバルコンフィギュレーションコマンドを使用してこのタスクを実行できます。

router#configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
router(config)#boot system ftp c7301-jk9s-mz.124-10.bin 10.1.1.1
router(config)#end
router#copy running-config startup-config
Destination filename [startup-config]? 

Building configuration...
[OK]
router#reload

ネットワークデバイスが正常なCisco IOSイメージで再起動されたら、ネットワーク管理者はverifyコマンドを使用するか、またはオフラインで確認するためにCisco IOSソフトウェアイメージをリモートファイルサーバにコピーして、ローカルに保存されているイメージを確認できます。

オフラインイメージファイルの確認

ファイルが管理ワークステーションに保存されると、ネットワーク管理者はMD5ハッシュユーティリティを使用して、そのCisco IOSイメージファイルのMD5ハッシュを確認できます。このようなユーティリティには、Linuxオペレーティングシステムの場合はmd5sum、BSDオペレーティングシステムの場合はmd5、Microsoft Windowsプラットフォームの場合はfsum、MD5summer、およびWinMD5があります。また、Cisco IOSイメージファイルのサイズは、LinuxおよびBSDオペレーティングシステムではlsコマンド、Microsoft Windowsプラットフォームではdirコマンドを使用して取得できます。

次の例は、LinuxベースのシステムのMD5計算とファイルサイズ表示を示しています。

$
$ md5sum c7301-jk9s-mz.124-10.bin
ad9f9c902fa34b90de8365c3a5039a5b c7301-jk9s-mz.124-10.bin
$
$ ls -l c7301-jk9s-mz.124-10.bin
-r--r--r--   1 user user 28905508 May 16 15:17 c7301-jk9s-mz.124-10.bin
$

次の例は、BSD由来のシステムに対するこのプロセスを示しています。

$
$ md5 c7301-jk9s-mz.124-10.bin
MD5 (c7301-jk9s-mz.124-10.bin) = ad9f9c902fa34b90de8365c3a5039a5b
$
$ ls -l c7301-jk9s-mz.124-10.bin
-r--r--r--  1 user  user  28905508 May 16 21:36 c7301-jk9s-mz.124-10.bin
$

次の例は、Windowsシステムでのfsumユーティリティとdirコマンドの使用方法を示しています。

C:\>fsum -md5 c7301-jk9s-mz.124-10.bin
  
SlavaSoft Optimizing Checksum Utility - fsum 2.52.00337
Implemented using SlavaSoft QuickHash Library <www.slavasoft.com>
Copyright (C) SlavaSoft Inc. 1999-2007. All rights reserved.
  
; SlavaSoft Optimizing Checksum Utility - fsum 2.52.00337 <www.slavasoft.com>
;
; Generated on 05/20/08 at 00:01:13
;
ad9f9c902fa34b90de8365c3a5039a5b *c7301-jk9s-mz.124-10.bin
 

C:\>
C:\>dir c7301-jk9s-mz.124-10.bin
Directory of C:\
 
05/20/2008  00:10 AM         28,905,508 c7301-jk9s-mz.124-10.bin
               1 File(s)     28,905,508 bytes

               0 Dir(s)   1,207,291,904 bytes free
C:\>

注：fsumユーティリティの使用は説明のみを目的としており、ツールの推奨と解釈しないでください。

Cisco IOS Upgrade Plannerを使用したイメージファイル情報

Cisco IOSソフトウェアイメージのMD5ハッシュとファイルサイズを収集したら、ネットワーク管理者はダウンロードプロセス中にCisco IOS Upgrade Plannerツールから提供される情報を使用して、イメージの信頼性を確認できます。Cisco IOS Upgrade Plannerツールには有効なCisco.comアカウントが必要で、公開されている各IOSイメージの詳細が表示されます。

ネットワーク管理者は、使用しているCisco IOSソフトウェアリリース(show versionコマンドで得られる出力から得られる情報を使用して確認できます)を特定し、Cisco IOS Upgrade Plannerツールに移動して、Cisco IOSデバイスで使用中のイメージを見つける必要があります。ネットワーク管理者は、Cisco IOSのverifyコマンド（Cisco IOSの「イメージ検証」機能の一部）で計算されたCCOハッシュ、verify /md5コマンドで計算されたMD5ハッシュ（Cisco IOSの「MD5ファイル検証」機能の一部）、またはサードパーティのユーティリティで計算されたMD5ハッシュが、Cisco IOS Upgrade Plannerツールで提供されるMD5ハッシュと一致していることを確認する必要があります。

Cisco IOSイメージファイル全体のMD5ハッシュ値がシスコが提供するMD5ハッシュと一致しない場合、ネットワーク管理者はCisco IOS Upgrade PlannerからCisco IOSイメージファイルをダウンロードし、このドキュメントで説明するファイル検証方法を使用してCisco IOSイメージファイルの整合性を確認する必要があります。

次に、www.cisco.comからCisco IOSソフトウェアイメージファイルをダウンロードするために必要なステップの1つにおいて、Cisco IOS Upgrade Plannerツールによって提供される情報の例を示します。

www.cisco.comアカウントではCisco IOS Upgrade Plannerツールにアクセスできないため、特定のCisco IOSソフトウェアイメージに対してシスコが計算した既知のMD5ハッシュ値を取得できないお客様、または独自のツールを使用してMD5ハッシュを検証するプロセスを自動化したいお客様に対して、Cisco IOSソフトウェアイメージ名と正常なMD5ハッシュを含む圧縮ファイルを公開しています15.1ベース、15.2ベース、15.3ベース、および15.4ベースのCisco IOSソフトウェアリリース。 このファイルはhttp://www.cisco.com/c/dam/assets/about/security/resources/ioshashes.zipにあります。

シスコのセキュリティ手順

シスコ製品のセキュリティの脆弱性に関するレポート、セキュリティ障害に対する支援、およびシスコからのセキュリティ情報を受信するための登録に関するすべての情報は、シスコのワールドワイド ウェブサイト https://sec.cloudapps.cisco.com/security/center/resources/security_vulnerability_policy.html から入手できます。この情報には、シスコのセキュリティ通知に関して、報道機関が問い合せる場合の説明も含まれています。すべての Cisco セキュリティ アドバイザリは、http://www.cisco.com/go/psirt から入手できます。

本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証も示唆するものではありません。 本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。 また、シスコは本ドキュメントの内容を予告なしに変更したり、更新したりする権利を有します。
本アドバイザリの記述内容に関して情報配信の URL を省略し、単独の転載や意訳を施した場合、当社が管理した情報とは見なされません。そうした情報は、事実誤認を引き起こしたり、重要な情報が欠落していたりする可能性があります。 このドキュメントの情報は、シスコ製品のエンドユーザを対象としています。