Cisco Nexus PowerOn自動プロビジョニング機能を保護するために推奨されるアクション

ダウンロード オプション

  • PDF     (360.9 KB)
    Adobe Reader を使ってさまざまなデバイスで表示
  • ePub     (83.9 KB)
    iPhone、iPad、Android、ソニーの Reader、または Windows Phone 上で、さまざまなアプリを使って表示
  • Mobi (Kindle)     (71.8 KB)
    Kindle デバイスで、または Kindle アプリを使って複数のデバイスで表示
Updated: 2019 年 3 月 6 日
Document ID:SA214162

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。

Informational

Informational

アドバイザリーID : cisco-sa-20190306-info-poap
初公開日 : 2019-03-06 16:00
バージョン 1.0 : Final
回避策 : No workarounds available
Cisco バグ ID :
 

日本語による情報は、英語による原文の非公式な翻訳であり、英語原文との間で内容の齟齬がある場合には、英語原文が優先します。

概要

Cisco Nexusデバイスは、PowerOn Auto Provisioning(POAP)と呼ばれる自動プロビジョニングまたはゼロタッチ導入機能をサポートしています。この機能は、Nexusスイッチの初期導入と設定を自動化するのに役立ちます。POAPはデフォルトで有効になっており、スタートアップコンフィギュレーションがないデバイス、またはboot poap enableコマンドを使用して永続的POAPが設定されているデバイスでアクティブになります。

Cisco Zero-Touch ProvisioningやCisco Smart Installなどの他の自動プロビジョニングテクノロジーと同様に、初期導入環境に関する基本的な前提条件がいくつかあります。最初に、その機能が存在し、デフォルトで有効になっていることを管理者が認識していることを確認します。2つ目は、デバイスが最初に接続するレイヤ2(L2)ネットワークが安全であることです。

設計上、POAP機能は複数の非認証プロトコルを利用して、デバイスの初期設定ファイルを取得します。POAPを使用するデバイスが起動した後、開梱後の最初の起動時設定や工場出荷時のデフォルトに戻った後など、起動設定の検出に失敗すると、デバイスはPOAPモードに入ります。デバイスは、接続された管理インターフェイス1を介してDHCPサーバの検出を試みます。その後、スイッチは少なくとも次を含むDHCP応答をリッスンします。

  • IPアドレス
  • デフォルトゲートウェイ
  • Option 66(TFTPサーバ名)またはOption 150(TFTPサーバアドレス)
  • オプション67(ブートファイル名)

Nexusデバイスがこれらの要件を満たす複数のDHCP応答を受信すると、受信した最初のDHCP応答が受け入れられ、POAPはデバイス設定の次の段階に進みます。これらの要件を満たすDHCP応答がタイムアウト期間前に受信されなかった場合、デバイスはPOAPモードを終了します。

DHCP応答が受け入れられると、Nexusデバイスは提供されたTFTPサーバへの接続を試み、ブートファイルオプション内で指定されたPythonまたはTool Command Language(Tcl)POAP設定スクリプトを取得します。スイッチはスクリプトを実行して、指定されたソフトウェアとデバイスの設定を取得します。Nexusデバイスのソフトウェアと設定は、Secure Copy Protocol(SCP)、FTP、またはSFTPを使用して取得できます。ダウンロードしたNexusソフトウェアがアクティブイメージとして割り当てられ、設定ファイルはデバイスの再起動時に適用されるようにスケジュールされます。

POAP設定プロセスのいくつかの手順は、重要な起動情報を取得するためにセキュアなネットワークセグメントに依存しています。POAP機能はデバイス2に設定が適用された後に無効になりますが、POAPが使用される可能性があるネットワークを適切に保護することが重要です。一部のお客様は、POAP機能を無効にし、他の方法を使用してNexusデバイスをすぐに設定することができます。このため、シスコはPOAPを無効にする複数の新しいコマンドを追加しました。このコマンドは、工場出荷時のデフォルトへのリセットと設定の削除を行っても有効です。POAP環境の保護に関するガイドライン、および機能の無効化の詳細については、「詳細」および「推奨事項」のセクションを参照してください。

このアドバイザリは、次のリンクより確認できます。
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190306-info-poap

1Nexusシャーシベースのデバイスによっては、インストールされているルータプロセッサのすべての前面パネルイーサネットインターフェイスを使用して、DHCP要請を送信することもできます。

2永続的POAPがboot poap enableコマンドを使用して設定されている場合、POAP機能は無効にならず、デバイスがリロードされるたびに実行されます。

脆弱性のある製品

POAP機能は、次のCisco NX-OSプラットフォームでサポートされています。

  • MDS 9000 シリーズ マルチレイヤ スイッチ
  • Nexus 2000 シリーズ ファブリック エクステンダ
  • Nexus 3000 シリーズ スイッチ
  • Nexus 3500 プラットフォーム スイッチ
  • Nexus 3600 プラットフォーム スイッチ
  • Nexus 5500 プラットフォーム スイッチ
  • Nexus 5600 プラットフォーム スイッチ
  • Nexus 6000 シリーズ スイッチ
  • Nexus 7000 シリーズ スイッチ
  • Nexus 7700 シリーズ スイッチ
  • スタンドアロン NX-OS モードの Nexus 9000 シリーズ スイッチ
  • Nexus 9500 R シリーズ ラインカードおよびファブリック モジュール

脆弱性を含んでいないことが確認された製品

次のCisco NX-OSプラットフォームは、POAP機能をサポートしていません。

  • Nexus 1000V Switch for Microsoft Hyper-V
  • Nexus 1000V Switch for VMware vSphere
  • Nexus 9000 シリーズ ファブリック スイッチ(アプリケーション セントリック インフラストラクチャ(ACI)モード)

詳細

POAPを実行するNX-OSデバイスのセキュリティ保護が必要な理由

POAPは応答する最初のDHCPサーバから設定スクリプトを受け入れ、DHCPサーバとの信頼を確立するメカニズムはありません。DHCP応答を送信できる攻撃者は、悪意のある設定をデバイスに提供し、攻撃者が管理者特権レベルでコマンドを実行することを可能にする可能性があります。

初期のPOAP実装には、POAPを必要としないお客様に対しても、この機能を無効にするオプションは含まれていませんでした。また、CLIコマンドwrite eraseを発行してユニットを工場出荷時のデフォルトにリセットした場合、POAPが再度実行されることをお客様が認識していない可能性があります。

POAPは、システムに設定がない場合に有効になり、ブートアップの一部として実行されます。ただし、お客様は初期設定中にPOAPの有効化をバイパスできます。POAP機能を使用しないお客様は、NX-OSデバイスでPOAPを永続的に無効にすることを推奨します。

POAP機能の永続的な無効化

POAP機能のセキュリティをさらに強化し、現在のステータスを提供するために、次のCLIコマンドオプションが追加されました。

switch# system no poap

switch# show system poap
System-wide POAP is disabled  using exec command 'system no poap'
POAP will be bypassed on write-erase reload.

POAPを永続的に無効にするには、システムに設定がない場合でも、CLIコマンドsystem no poapを使用できます。このコマンドを使用すると、設定がない場合でも、次回のブート時にPOAPが起動されなくなります。system [no] poap コマンドとshow system poap コマンドは、次のNX-OSソフトウェアリリースで最初に追加されました。

Cisco NX-OSソフトウェアプラットフォーム
 新しいPOAPコマンドを使用した最初のリリース
MDS 9000 シリーズ マルチレイヤ スイッチ
 6.2(27)1
Nexus 2000 シリーズ スイッチ
Nexus 5500 プラットフォーム スイッチ
Nexus 5600 プラットフォーム スイッチ
Nexus 6000 シリーズ スイッチ 		7.3(5)N1(1)
Nexus 3000 シリーズ スイッチ 9.2(2)、7.0(3)I7(6)
Nexus 3500 プラットフォーム スイッチ 9.2(2)、7.0(3)I7(6)、7.0(3)I4(9)、6.0(2)A8(11)
Nexus 3600 プラットフォーム スイッチ
Nexus 9500 R シリーズ ラインカードおよびファブリック モジュール		 9.2(2)、7.0(3)F3(5)
Nexus 7000 シリーズ スイッチ
Nexus 7700 シリーズ スイッチ		 8.3(2)、7.3(3)D1(1)、6.2(22)
スタンドアロン NX-OS モードの Nexus 9000 シリーズ スイッチ 9.2(2)、7.0(3)I7(6)、7.0(3)I4(9)
 1 MDSソフトウェアリリース6.2(27)は、2019年3月下旬にリリースされる予定です。

POAP機能の使用方法およびCLIコマンドを使用してPOAPを有効にする方法の詳細については、『Cisco NX-OS Fundamentals Configuration Guide』の「Using PowerOn Auto Provisioning」の章を参照してください。

推奨事項

POAP機能は、DHCPを使用してDHCPサーバを検索し、特定のインターフェイスIPアドレス、ゲートウェイ、およびDNSサーバIPアドレスを適用します。POAPが信頼できるDHCPサーバからのみ設定を受信するようにすることが重要です。

DHCPスヌーピングを有効にすると、POAPをより安全な方法で使用できるようになります。DHCPスヌーピングは、次のアクティビティを実行することにより、信頼できないホストと信頼できるDHCPサーバ間のファイアウォールのように動作します。

  • 信頼できない送信元から受信したDHCPメッセージを検証し、無効なメッセージをフィルタリングする
  • DHCPスヌーピングバインディングデータベースの構築と維持(リースされたIPアドレスを持つ信頼できないホストに関する情報を含む)
  • DHCPスヌーピングバインディングデータベースを使用して、信頼できないホストからの後続の要求を検証する

さらに、ネットワークファイアウォールルールは、意図しない、または悪意のあるDHCPサーバをブロックするように設定できます。

POAP機能を使用したくない場合は、NX-OSデバイスでPOAPを永続的に無効にすることを推奨します。

URL

改訂履歴

バージョン 説明 セクション ステータス 日付
1.0 初回公開リリース Final 2019 年 3 月 6 日

利用規約

本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証も示唆するものではありません。 本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。 また、シスコは本ドキュメントの内容を予告なしに変更したり、更新したりする権利を有します。
本アドバイザリの記述内容に関して情報配信の URL を省略し、単独の転載や意訳を施した場合、当社が管理した情報とは見なされません。そうした情報は、事実誤認を引き起こしたり、重要な情報が欠落していたりする可能性があります。 このドキュメントの情報は、シスコ製品のエンドユーザを対象としています。