Cisco IOS または IOS-XE デバイスの認証スキャンでは、権限レベル 15 のユーザアカウントを指定する必要があります(推奨)。または、アカウントがこれらのデバイスのスキャンに必要なすべてのコマンドを実行できるように設定されている場合に限り、これより低いレベルのアカウントも指定できます。
重要 - 15 より低い権限レベルのユーザアカウントにコマンドへのアクセス権を付与する場合、機密情報の設定はリスクになる可能性があるので注意してください。業務のニーズと組織のセキュリティポリシーに応じて、適切な権限レベルを割り当ててください。
コンプライアンススキャンの場合 - スキャンを成功させるには、この高レベルの権限が必要です。
脆弱性スキャンの場合 - 設定ベースのチェックでのみこの高レベルの権限が必要です。Cisco IOS の設定 QID は、QID 45229「Cisco IOS Device Configurations Detected」です。
show version
show running-config all
show logging | include Syslog | Trap | Console | Monitor | Buffer logging
show clock detail
show ip ssh
show ip interface
show snmp user
show snmp group
show crypto key mypubkey rsa
show running-config all | i ^interface|shutdown|ip redirects
show running-config all | i ^interface|shutdown|ip unreachables
show running-config all | i ^interface|shutdown|ip proxy-arp
show running-config all | i "^interface|vrf member|ip address"
show running-config all | i "^interface|ip vrf forwarding|ip address"
show snmp user
show snmp group
show snmp engineID
show vtp status
show interfaces status
show version
show running-config
show logging | include Syslog | Trap | Console | Monitor | Buffer logging
show clock detail
show ip ssh
show ip interface
show snmp user
show snmp group
show crypto key mypubkey rsa
show running-config full | i ^interface|shutdown|ip redirects
show running-config full | i ^interface|shutdown|ip unreachables
show running-config full | i ^interface|shutdown|ip proxy-arp
show running-config full | i ^interface|vrf member|ip address
show running-config full | i ^interface|ip vrf forwarding|ip address
show snmp user
show snmp group
show snmp engineID
show vtp status
show interfaces status
show snmp view
上記のコマンドでは、必要な出力が表示されない場合があります。これは、カスタマ設定によります(“ show version ”および“ show running-configuration all ”コマンドを除く)。“ show running-config all ”および“ show version ”に出力がない場合、コンプライアンススキャンは失敗します。
デフォルトでは、ルータに次の 3 つの権限レベルがあります。
レベル 0 - 基本コマンド(無効化、有効化、終了、ヘルプ、ログアウト)のみ含まれます。
レベル 1 - User EXEC コマンドモードで使用できるすべてのコマンドが含まれます。
レベル 15 - Privileged EXEC コマンドモードで使用できるすべてのコマンドが含まれます。
最低から最高までのこれらのレベルは、管理者がコマンド/ユーザを割り当てるまでは未定義となります。したがって、管理者は、これらの最低から最高までの異なる権限レベルをユーザに割り当てることで、ユーザが所有するアクセス権を区分できます。
管理者は、個々のコマンド(およびさまざまな他のオプション)を個々の権限レベルに割り当てることで、このレベルのあらゆるユーザがコマンドを使用できるようになります。
例えば、権限レベル 2 を持つユーザ「priv2」と権限レベル 15 を持つユーザ「root」がいるとします。
権限レベル 2 のアカウントで対象のバージョンを確認してみましょう。出力から、このユーザには“ show ”コマンドを実行する権限がないことがわかります。
|
User: priv2 |
|
iosxe-device#show ? % Unrecognized command |
こちらに示すように、権限レベル 15 を持つユーザのみが“ show ”を実行できます。
|
User: root |
|
iosxe-device#show running-config all | include ^privilege privilege exec level 15 show |
ここで、権限レベル 2 を持つユーザに“ show version ”を実行するためのアクセス権を付与します。
|
User: root |
|
iosxe-device#conf t iosxe-device(config)#privilege exec level 2 show iosxe-device(config)#privilege exec level 2 show version iosxe-device#show running-config all | include ^privilege privilege exec level 2 show privilege exec level 2 show version |
もう一度、権限レベル 2 を持つユーザで“ show version ”コマンドを実行します。今回は、コマンドの実行が成功しました。
|
User: priv2 |
|
iosxe-device#show version Cisco IOS XE Software, Version xx.xx.xx Cisco IOS Software [xxx], Catalyst L3 Switch Software (xxx), Version xx.x.x, RELEASE SOFTWARE (xxx) Technical Support: http://www.cisco.com/techsupport Copyright (c) 1986-2019 by Cisco Systems, Inc. Compiled Thu 22-Aug-19 17:33 by mcpre ...... ...... |
権限レベル 15 を持つユーザと権限レベル 2 を持つユーザの“ show running-config all ”コマンドの出力を比較してみましょう。
|
User: root |
User: priv2 |
|
iosxe-device#show running-config all Building configuration...
Current configuration with default configurations exposed : 104810 bytes ! ! Last configuration change at 07:09:34 UTC Thu Jul 16 2020 by root ! no issu config-sync policy lbl prc no issu config-sync policy bulk prc version xx.x downward-compatible-config xx.x no service log backtrace no service config no service exec-callback no service nagle no service pad to-xot no service pad from-xot no service pad cmns no service pad no service telnet-zeroidle no service tcp-keepalives-in no service tcp-keepalives-out service timestamps debug datetime msec service timestamps log datetime msec service password-encryption --More-- |
iosxe-device#show running-config all ^ % Invalid input detected at '^' marker. |
権限レベル 2 を持つユーザに“ show running-config all ”を実行するためのアクセス権を付与します。
|
User: root |
|
iosxe-device(config)#privilege exec level 2 show running-config iosxe-device(config)#privilege exec level 2 show running-config all iosxe-device#show running-config all | include ^privilege privilege exec level 2 show privilege exec level 2 show version privilege exec level 2 show running-config privilege exec level 2 show running-config all |
もう一度、priv2 ユーザで“ show running-config all ”コマンドを実行します。
|
User: priv2 |
|
iosxe-device#show running-config all Building configuration...
Current configuration with default configurations exposed : 121 bytes ! ! Last configuration change at 07:06:39 UTC Thu Jul 16 2020 by root ! ! ! ! ! ! wsma id hostname xmpp id hostname end |
出力には設定内容が表示されていないため、ユーザがルータの設定に関する情報を収集するには不便です。
priv2 ユーザに“ aaa new-model ”への権限を付与します。
|
User: root |
|
iosxe-device(config)#privilege configure level 2 aaa new-model iosxe-device#show running-config all | include ^privilege privilege configure level 2 aaa new-model privilege exec level 2 show privilege exec level 2 show version privilege exec level 2 show running-config privilege exec level 2 show running-config all |
もう一度、priv2 ユーザで“ show running-config all ”コマンドを実行します。
|
User: priv2 |
|
iosxe-device#show running-config all Building configuration...
Current configuration with default configurations exposed : 135 bytes ! ! Last configuration change at 07:09:34 UTC Thu Jul 16 2020 by root ! aaa new-model ! ! ! ! ! wsma id hostname xmpp id hostname end |
“ show running-config ”コマンドにより、ユーザが自分の現在の権限レベルで変更できるコマンドのみが表示されます。これは、ユーザが自分の現在の権限レベルを超えている設定コマンドにアクセスするのを防ぐためのセキュリティ設定として設計されています。コンプライアンススキャンが成功するかどうかは、さまざまな設定/コマンドに対するユーザ権限によって異なります。
コンプライアンススキャンを実行するには、“ show running-config all ”コマンド以外の他のコマンドの権限も必要です。「スキャンに必要なコマンド」を参照してください。