Data Domain: Domyślne nazwy społeczności SNMP są oznaczane przez skanery zabezpieczeń (CVE-1999-0517)
Summary: DDOS zawiera agenta SNMP do raportowania stanu i alertów do serwera zarządzania. W zależności od konfiguracji agenta DD SNMP skaner zabezpieczeń może oznaczyć DD jako podatny na "CVE-1999-0517". ...
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Problem występuje, gdy ustawiamy zwykłą nazwę społeczności (która jest jedyną metodą uwierzytelniania w SNMP v2 i która przechodzi w zwykły tekst przez sieć), na przykład "publiczną" i "prywatną", które zwykle są ustawione odpowiednio dla dostępu do odczytu i zapisu do agenta SNMP.
Nazwy społeczności można uznać za hasło wysyłane przez menedżera SNMP, aby domena danych mogła potwierdzić swoją tożsamość i odpowiedzieć na żądane zapytania. Jeśli nazwy te są powszechnie używane i łatwo przewidywalne, każdy intruz może je odgadnąć i spróbować uzyskać szczegółowe informacje na temat urządzeń sieciowych.
Nazwy społeczności można uznać za hasło wysyłane przez menedżera SNMP, aby domena danych mogła potwierdzić swoją tożsamość i odpowiedzieć na żądane zapytania. Jeśli nazwy te są powszechnie używane i łatwo przewidywalne, każdy intruz może je odgadnąć i spróbować uzyskać szczegółowe informacje na temat urządzeń sieciowych.
Skanery zabezpieczeń zgłaszają, że DD z włączonym SNMP podlega "CVE-1999-0517", co może stanowić potencjalny problem z bezpieczeństwem:
CVE-1999-0517: Nazwa społeczności SNMP jest domyślna (na przykład publiczna), null lub brakująca.
CVE-1999-0517: Nazwa społeczności SNMP jest domyślna (na przykład publiczna), null lub brakująca.
Cause
Domyślnie protokół SNMP jest wyłączony w systemach Data Domain i nie skonfigurowano żadnej społeczności. Można skonfigurować i włączyć protokół SNMP, w tym nazwę ciągu społeczności, np. "publiczną", "prywatną" lub inne mniej wrażliwe znane nazwy społeczności.
Niezależnie od konfiguracji DD SNMP, jeśli jest wyłączona, skaner zabezpieczeń nie zgłasza żadnego problemu. Uruchom następujące polecenie w wierszu poleceń DD, aby poznać stan agenta SNMP:
# snmp status SNMP is enabled.
Podczas włączania protokołu SNMP użytkownik musi zdecydować, czy korzystać z protokołu SNMP v2 lub SNMP v3, a w pierwszym przypadku, które ciągi społeczności mają być używane.
W przypadku używania "publicznych" i "prywatnych" dla nazwy ciągu społeczności SNMP skaner spróbuje wypróbować dobrze znane typowe ciągi znaków, a jeśli uzyska odpowiedź z DD, spowoduje to wyświetlenie alertu. Nie jest to problem z bezpieczeństwem DD, ale problem z konfiguracją, który musi rozwiązać administrator.
Resolution
Rozwiązanie polega na wybraniu przez administratora innych (trudnych do odgadnięcia) nazw ciągów społeczności lub przełączeniu na SNMP v3, co ma silniejsze środki do uwierzytelniania. (W dolnej części znajdują się odniesienia do innych artykułów opartych na wiedzy Lightning, które zawierają więcej informacji na temat zarządzania SNMP v3)
Zarządzanie SNMP w domenie danych
- Zamiast "publicznego" / "prywatnego", można określić inny ciąg znaków.
- Można również użyć protokołu SNMP 3, aby całkowicie wyeliminować ten problem.
- Aby uzyskać skonfigurowane nazwy społeczności, uruchom następujące polecenia CLI:
# snmp show config
- Zanotuj bieżącą konfigurację, która używa nazw ciągów społeczności "publicznych" i/lub "prywatnych".
Example:
SNMP v2c Configuration ---------------------- Community Access Hosts --------- --------- ----- public read-only 10.10.10.10 --------- --------- ----- Trap Host Port Community ----------- ---- --------- 10.10.10.10 162 public ----------- ---- ---------
- Ten problem można rozwiązać, usuwając z konfiguracji wszystkie hosty pułapki korzystające z ciągu "publicznego" / "prywatnego" ro_community lub rw_community z konfiguracji:
# snmp del trap-host <trap-host name or IP> {:<port number}
EX: snmp del trap-host 10.10.10.10:162
- Następnie usuń ciąg "publiczny" /"prywatny" ro_community lub rw_community z konfiguracji:
# snmp del ro-community <community-string-list> # snmp del rw-community <community-string-list>
- Używamy następujących poleceń CLI, aby dodać ciąg społeczności SNMP v2, ale używamy innej nazwy ciągu społeczności i wszystkich hostów, które były w oryginalnej konfiguracji.
# snmp add ro-community <new community-string> { hosts <hosts> }
# snmp add rw-community <new community-string> { hosts <hosts> }
- Jeśli wcześniej skonfigurowano hosty trapów przy użyciu "publicznego" / "prywatnego", dodaj je ponownie przy użyciu nowej nazwy ciągu znaków społeczności.
# snmp add trap-host <trap-host name or IP> {:<port number} version v2c community <new community-string>
EX: snmp add trap-host 10.10.10.10:162 version v2c community <new community-string>
- W przypadku systemów zarządzania SNMP lub oprogramowania do tworzenia kopii zapasowych sondujących szczegóły domeny danych przy użyciu tej nazwy ciągu społeczności, musimy zmienić konfigurację w tych systemach zarządzania, a także użyć nowych ciągów znaków
Zarządzanie SNMP w domenie danych
Affected Products
Data Domain, Data Domain Boost – File System, Data Domain Deduplication Storage Systems, DD OSArticle Properties
Article Number: 000078738
Article Type: Solution
Last Modified: 10 Sep 2025
Version: 5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.