CheckMK - LANCOM - SNMPv3 mittels CheckMK abfragen

[vinet]

Hi,
wenn ich mittels CheckMK via SNMP die Werte vom Lancom Router abfragen möchte geht dies nur mit folgenden Sicherheitseinstellungen:

Was mich wundert, höher als "SHA 1" Version führt dazu dass CheckMK nicht mehr auslesen kann.

Und hier ist noch ein kurzes Skript um im Lancom einen entsprechenden User anzulegen:

Code: Alles auswählen

# Script (10.42.0284 / 25.03.2021) (0x0430c01c,IDs:2,3,4,e,f,14,15,1a,2b;0x0c0000e3)

lang English
flash No
cd /Setup/SNMP/Groups 

#    Security-Model   Security-Name                     Group-Name                        Status    
#    ===================================================--------------------------------------------
add  SNMPv3(USM)      "checklive"                      {Group-Name}  "SNMP-Checklive"                 {Status}  active
cd /
cd /Setup/SNMP/Accesses 
#    Group-Name                        Security-Model  Min-Security-Level  Read-View-Name                    Write-View-Name                   Notify-View-Name                  Status    
#    ======================================================================----------------------------------------------------------------------------------------------------------------
add  "SNMP-Checklive"                  Any             Auth-Priv          {Read-View-Name}  "Full-Access"                    {Write-View-Name}  "Full-Access"                    {Notify-View-Name}  "Full-Access"                    {Status}  active

cd /Setup/SNMP/Users 
#    User-Name                         Authentication-Protocol       Authentication-Password      Authentication-Key                                                                                                                Privacy-Protocol             Privacy-Password            Privacy-Key                                                                                                                       Status         
#    ==================================-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
add  "checklive"                      {Authentication-Protocol}  HMAC-SHA                     {Authentication-Password}  "XXXXXXXXXXX"                {Authentication-Key}  "aefc90XXXXXXXXXXXbde3f0f59"                                                                                       {Privacy-Protocol}  AES128                      {Privacy-Password}  "XXXXXXXXXXX"               {Privacy-Key}  "aefc90XXXXXXXXXXX8bde3f0f59"                                                                                       {Status}  active
cd /


cd /
flash Yes

# done
exit

[tstimper]

welche Firmware ist auf dem Lancom installiert?
Wir hatten Probleme mit SNMPv3, das führte zu CVE-2021-33903, gefixt in LCOS 10.42.0611-ru4.
Die sollte mindestes installiert sein.

Wieauchimmer, soweit ich das sehe hast Du für den user HMAC-SHA eingestellt, das ist HMAC-SHA-96.
Du kannst beim SNMP User User im Lancom auch auch andere Algorithmen einstellen.

Viele Grüße

ts

[vinet]

puhh ich hab aktuell 10.42.0284
ist das ein Sicherheitsrisiko?

möchte eigentlich nicht auf 10.50 RU7


andere Algorithmen funktionieren nicht bei mir mit CheckMK, alles schon ausprobiert, sehr komisch.
"Du kannst beim SNMP User User im Lancom auch auch andere Algorithmen einstellen."

[tstimper]

Du kannst sicher problemlos auf 10.42-ru7 gehen,
10.50-ru7 brauchst Du nur, wenn Du Features aus der 10.50 brauchst.

CVE-2021-33903 beschreibt das Problem, das bei einer Root Passwort Änderung an der ClI das SNMP Passwort nicht mit geändert wurde.

Es war also , wenn SNMPv3 z.b. von Remote erlaubt war,
nach einer Passwort Änderung an der CLI
mittels SNMPv3 weiterhin der Zugriff mit dem alten
Passwort möglich.

Nachdem das klar war, hat LANCOM sehr schnell gefixt.

Wenn das Passwort mit Lanconfig geändert wurde, passierte das nicht.

Viele Grüße

ts

[GrandDixence]

Aus BSI TR-02102-1:
https://www.bsi.bund.de/DE/Themen/Unter ... _node.html

SHA1 ist keine kollisionsresistente Hashfunktion; die Erzeugung von SHA1-
Kollisionen ist zwar mit moderatem Aufwand verbunden, aber praktisch möglich [73, 72, 107],
auch wenn gegen die Verwendung von SHA1 in Konstruktionen, die keine Kollisionsresistenz
benötigen (zum Beispiel als Grundlage für einen HMAC, als Teil der Mask Generation Func-
tion in RSA-OAEP oder als Komponente eines Pseudozufallsgenerators) nach gegenwärtigem
Kenntnisstand sicherheitstechnisch nichts spricht. Als grundsätzliche Sicherungsmaßnahme wird
empfohlen, auch in diesen Anwendungen eine Hashfunktion der SHA2- oder der SHA3-Familie
einzusetzen.

SNMP-Datenverkehr sollte sowieso aus Sicherheitsgründen per VLAN/ARP komplett vom restlichen Netzwerk abgeschottet sein. Als Einstieg in dieses Thema dient:
fragen-zum-thema-firewall-f15/schulnetz ... 18890.html