Data Domain: Výchozí názvy komunit protokolu SNMP jsou označeny bezpečnostními skenery (CVE-1999-0517).
Summary: Systém DDOS obsahuje agenta SNMP pro hlášení stavu a výstrah na server pro správu. V závislosti na konfiguraci agenta DD SNMP může skener zabezpečení označit systém DD jako zranitelný vůči "CVE-1999-0517". ...
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
K problému dochází, když nastavíme obvyklý název komunity (jedná se o jedinou metodu ověřování v protokolu SNMP v2, která prochází běžným textem prostřednictvím sítě), například "public" a "private", které jsou obvykle nastaveny pro přístup pouze pro čtení a zápis do agenta SNMP.
Názvy komunity můžeme považovat za heslo, které odesílá správce SNMP, aby mohla ověřit svou identitu a odpovědět znovu s požadovanými dotazy. Pokud se tyto názvy běžně používají a snadno předvídají, každý narušitelný uhodne a pokusí se získat podrobnosti o síťových zařízeních.
Názvy komunity můžeme považovat za heslo, které odesílá správce SNMP, aby mohla ověřit svou identitu a odpovědět znovu s požadovanými dotazy. Pokud se tyto názvy běžně používají a snadno předvídají, každý narušitelný uhodne a pokusí se získat podrobnosti o síťových zařízeních.
Skenery zabezpečení hlásí, že systém DD s povoleným protokolem SNMP podléhá tématu "CVE-1999-0517", což by mohl být potenciální bezpečnostní problém:
CVE-1999-0517: Název komunity SNMP je výchozí název (například public), null nebo missing.
CVE-1999-0517: Název komunity SNMP je výchozí název (například public), null nebo missing.
Cause
Ve výchozím nastavení je protokol SNMP v systémech Data Domain zakázán a není nakonfigurována žádná komunita. Můžete konfigurovat a povolit protokol SNMP, včetně názvu řetězce komunity, například "public", "private" nebo některých dalších, méně zranitelných známých názvů komunity.
Bez ohledu na konfiguraci DD SNMP, pokud je zakázána, skener zabezpečení nenahlásí žádný problém. Chcete-li zjistit stav agenta SNMP, spusťte v rozhraní příkazového řádku DD následující příkaz:
# snmp status SNMP is enabled.
Při povolování protokolu SNMP musí uživatel rozhodnout, zda se má použít protokol SNMP v2 nebo SNMP v3, a v dřívějším případě také ty řetězce komunity, které se mají použít.
Při použití názvu komunitního řetězce SNMP "public" a "private" se skener pokusí o známé obvyklé řetězce, a pokud uspějete při zpětné odpovědi ze systému DD, zobrazí se výstraha. Nejedná se o problém se zabezpečením systému DD, ale o problém s konfigurací, který musí správce opravit.
Resolution
Řešení sestává ze správce, který volí jiné (špatně odhadné) názvy komunitních řetězců nebo přepíná přes protokol SNMP v3 se silnějším způsobem ověřování. (Odkazy na další články na základě znalostí o nástroji Lightning, které obsahují další podrobnosti o správě protokolu SNMP v3, naleznete ve spodní části))
Správa protokolu SNMP v systému Data Domain
- Namísto "public" / "private" můžete zadat jiný řetězec.
- K úplnému odstranění tohoto problému můžete také použít protokol SNMP v3.
- Chcete-li získat nakonfigurovaný název komunity, spusťte následující příkazy příkazového řádku:
# snmp show config
- Poznamenejte si aktuální konfiguraci, která používá názvy komunitních řetězců "public" nebo "private".
Example:
SNMP v2c Configuration ---------------------- Community Access Hosts --------- --------- ----- public read-only 10.10.10.10 --------- --------- ----- Trap Host Port Community ----------- ---- --------- 10.10.10.10 162 public ----------- ---- ---------
- Tento problém můžete vyřešit odebráním všech hostitelů depeše, kteří používají "public" / "private" ro_community nebo rw_community řetězec z konfigurace, pokud existují:
# snmp del trap-host <trap-host name or IP> {:<port number}
EX: snmp del trap-host 10.10.10.10:162
- Poté z konfigurace odeberte "veřejný" / "soukromý" ro_community nebo rw_community řetězec:
# snmp del ro-community <community-string-list> # snmp del rw-community <community-string-list>
- Následující příkazy příkazového řádku používáme k přidání řetězce komunity SNMP v2 zpět, ale používáme jiný název řetězce komunity a všechny hostitele, kteří byli v původní konfiguraci.
# snmp add ro-community <new community-string> { hosts <hosts> }
# snmp add rw-community <new community-string> { hosts <hosts> }
- Pokud jste dříve nakonfigurovali hostitele typu trap pomocí "public" / "private", přidejte je zpět pomocí nového názvu řetězce komunity.
# snmp add trap-host <trap-host name or IP> {:<port number} version v2c community <new community-string>
EX: snmp add trap-host 10.10.10.10:162 version v2c community <new community-string>
- Pokud používáte systémy pro správu PROTOKOLU SNMP nebo zálohujeme software dotazování na podrobnosti datové domény pomocí tohoto názvu řetězce komunity, je třeba změnit konfiguraci v těchto systémech pro správu a použít nové řetězce.
Správa protokolu SNMP v systému Data Domain
Affected Products
Data Domain, Data Domain Boost – File System, Data Domain Deduplication Storage Systems, DD OSArticle Properties
Article Number: 000078738
Article Type: Solution
Last Modified: 10 Sep 2025
Version: 5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.