Data Domain: Standaard SNMP-communitynamen worden gemarkeerd door beveiligingsscanners (CVE-1999-0517)
Summary: DDOS bevat een SNMP-agent voor rapportagestatus en waarschuwingen aan een beheerserver. Afhankelijk van de configuratie van de DD SNMP-agent kan een beveiligingsscanner de DD als kwetsbaar markeren voor "CVE-1999-0517". ...
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Het probleem doet zich voor wanneer we een gebruikelijke communitynaam instellen (de enige verificatiemethode in SNMP v2 en die in platte tekst via het netwerk wordt weergegeven), bijvoorbeeld 'openbaar' en 'privé', die doorgaans zijn ingesteld voor respectievelijk alleen-lezen en lezen/schrijven, op de SNMP-agent.
We kunnen de communitynamen beschouwen als het wachtwoord dat de SNMP-manager verzendt, zodat het Data Domain de identiteit kan bevestigen en terug kan antwoorden met de gevraagde query's. Als deze namen vaak worden gebruikt en gemakkelijk kunnen worden voorspeld, kan elke indringer ze raden en proberen informatie te krijgen over de netwerkapparaten.
We kunnen de communitynamen beschouwen als het wachtwoord dat de SNMP-manager verzendt, zodat het Data Domain de identiteit kan bevestigen en terug kan antwoorden met de gevraagde query's. Als deze namen vaak worden gebruikt en gemakkelijk kunnen worden voorspeld, kan elke indringer ze raden en proberen informatie te krijgen over de netwerkapparaten.
Beveiligingsscanners melden dat de DD met ingeschakelde SNMP onderhevig is aan "CVE-1999-0517", wat een mogelijk beveiligingsprobleem zou zijn:
CVE-1999-0517: De SNMP-communitynaam is de standaardnaam (bijvoorbeeld openbaar), null of ontbrekend.
CVE-1999-0517: De SNMP-communitynaam is de standaardnaam (bijvoorbeeld openbaar), null of ontbrekend.
Cause
SNMP is standaard uitgeschakeld op de Data Domain-systemen en er is geen community geconfigureerd. U kunt SNMP configureren en inschakelen, inclusief de community-tekenreeksnaam voor bijvoorbeeld 'public', 'privé' of een andere specifieke, minder kwetsbare, bekende communitynaam.
Ongeacht de DD SNMP-configuratie, als deze is uitgeschakeld, meldt de beveiligingsscanner geen enkel probleem. Voer de volgende opdracht uit vanuit de DD CLI om de status van de SNMP-agent te kennen:
# snmp status SNMP is enabled.
Wanneer u SNMP inschakelt, moet de gebruiker beslissen of u SNMP v2 of SNMP v3 wilt gebruiken en in het eerste geval, welke community-tekenreeksen moet worden gebruikt.
Wanneer u 'public' en 'private' gebruikt voor de naam van de SNMP-community-tekenreeks, zal de scanner bekende gebruikelijke tekenreeksen proberen en als het lukt om een antwoord terug te krijgen van de DD, wordt de waarschuwing geactiveerd. Dit is geen beveiligingsprobleem met de DD, maar een configuratieprobleem dat de administrator moet corrigeren.
Resolution
De oplossing bestaat uit het kiezen van andere (moeilijk te raden) community-tekenreeksnamen of het overschakelen naar de SNMP v3 die een krachtigere manier voor authenticatie heeft. (Zie onderaan voor verwijzingen naar andere Lightning Knowledge Base-artikelen die meer informatie geven over SNMP v3-beheer)
Data Domain-beheer SNMP
- In plaats van 'openbaar' / 'privé', kunt u een andere tekenreeks opgeven.
- U kunt ook SNMP v3 gebruiken om dit probleem volledig op te lossen.
- Voer de volgende CLI-opdrachten uit om de geconfigureerde communitynaam op te halen:
# snmp show config
- Noteer de huidige configuratie die gebruikmaakt van 'public' en/of 'private' community string names.
Voorbeeld:
SNMP v2c Configuration ---------------------- Community Access Hosts --------- --------- ----- public read-only 10.10.10.10 --------- --------- ----- Trap Host Port Community ----------- ---- --------- 10.10.10.10 162 public ----------- ---- ---------
- U kunt dit probleem oplossen door alle traphosts die gebruikmaken van "public" / "private" ro_community of rw_community tekenreeks uit de configuratie te verwijderen als deze aanwezig zijn:
# snmp del trap-host <trap-host name or IP> {:<port number}
EX: snmp del trap-host 10.10.10.10:162
- Verwijder vervolgens de "public" / "private" ro_community of rw_community tekenreeks uit de configuratie:
# snmp del ro-community <community-string-list> # snmp del rw-community <community-string-list>
- We gebruiken de volgende CLI-opdrachten om de SNMP v2 community-tekenreeks terug te voegen, maar gebruiken een andere community-tekenreeksnaam en alle hosts die zich in de oorspronkelijke configuratie bevonden.
# snmp add ro-community <new community-string> { hosts <hosts> }
# snmp add rw-community <new community-string> { hosts <hosts> }
- Als u eerder trap-hosts had geconfigureerd met behulp van 'public' / 'private', voegt u deze weer toe met behulp van de nieuwe community-tekenreeksnaam.
# snmp add trap-host <trap-host name or IP> {:<port number} version v2c community <new community-string>
EX: snmp add trap-host 10.10.10.10:162 version v2c community <new community-string>
- Als we SNMP-beheersystemen of back-upsoftware hebben die de datadomeingegevens polling met behulp van die community-tekenreeksnaam, moeten we ook de configuratie op die beheersystemen wijzigen om de nieuwe tekenreeksen te gebruiken
Data Domain-beheer SNMP
Affected Products
Data Domain, Data Domain Boost – File System, Data Domain Deduplication Storage Systems, DD OSArticle Properties
Article Number: 000078738
Article Type: Solution
Last Modified: 10 Sep 2025
Version: 5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.