SNMP und SHA256

Servus liebe Community,

wir haben wieder mal ein Problem.
Uns ist bereits vor längerer Zeit aufgefallen, daß bei vielen unserer per SNMP V3 abgefragten Geräte
authentication nur mit SHA-1 (SHA96) möglich ist, bei SHA-2 (SHA256) bekommen wir authentication errors.
In der Hauptsache sind das HP-Systeme und Fortigate-FWs.

Bisher hat uns das nicht gestört, wir wußten es und haben eben nur mit SHA1 gearbeitet. Nun haben wir Auditoren “im Nacken”, die durchaus zu Recht bemängeln, daß SHA1 unsicher ist.
Wir würden das gerne umstellen, bekommen aber eben dann sofort einen entprechenden Error.
Das sollte nach unserem Verständnis eigentlich ohne weiteres Zutun funktionieren.
Gibt es ähnliche Erfahrungen bei jemandem von Euch und vor allem, gibt es eine Lösung dafür?

Vielen Dank schon mal.

Uwe Jentsch
IT Consultant

matrix technology AG
Nymphenburger Str. 1
80335 München

Das Problem mit SHA256 für die Authentifizierung liegt mehr bei den abgefragten Geräten.
Auf Linux Seite gibt es eher Probleme bei der Verwendung der neueren Privacy Protokolle.

Wenn Ihr das Netzwerkgerät und die Regel im CMK umgestellt habt was kommt dann als Fehler?
Oder besser gesagt kommt auch ein Fehler wenn Ihr einen normalen SNMPwalk gegen so ein Gerät laufen lasst?

Servus Andreas,

nach Deinem Hinweis habe ich das jetzt mal ohne Check-MK nachgestellt.
Es tritt das von Dir beschriebene Verhalten ein. Danke für den richtungweisenden Hinweis.

Abfrage mit SHA-2 (SHA256) funktioniert nicht:
[root@ ~]# snmpwalk -v3 -L o -l authPriv -u HPE-hwbak72 -a SHA -A “***password” -x AES -X “***password1” 10.110.90.24
snmpwalk: Authentication failure (incorrect password, community or key)

Abfrage mit SHA-1 (SHA96) funktioniert problemlos:
[root@ ~]# snmpwalk -v3 -L o -l authPriv -u HPE-hwbak72 -a SHA -A “***password” -x AES -X “***password1” 10.110.90.24
SNMPv2-MIB::sysDescr.0 = STRING: Integrated Lights-Out 5 2.31 Oct 13 2020
SNMPv2-MIB::sysObjectID.0 = OID: SNMPv2-SMI::enterprises.232.9.4.11
DISMAN-EVENT-MIB::sysUpTimeInstance = Timeticks: (3089812261) 357 days, 14:48:42.61
SNMPv2-MIB::sysContact.0 = STRING:
SNMPv2-MIB::sysName.0 = STRING: HWBAK72-con.
SNMPv2-MIB::sysLocation.0 = STRING: unknown
IF-MIB::ifNumber.0 = INTEGER: 24

Ich habe das jetzt mal schnell vertieft.
Wir haben im konkreten Fall einen CMK-Host auf CentOS6 am Laufen. Die installierte net-snmp-Version ist 5.5.60. Dieser Version kann max. SHA-1. Für SHA-2 und höher muß mindestens net-snmp ab Version 5.7, besser 5.8, installiert sein. Per yum bekommt man aber keine höhere Version als 5.5 angeboten.

D.h., in diesem konkreten Fall werden wir mit diesem Umstand leben müssen, bis das System (ist schon in Planung) durch einen Host mit entsprechend aktuellerem OS (bspw. CentOS7 oder RHEL8) abgelöst wird.

Vielleicht hilft diese Erklärung auch dem einen oder anderen von Euch.

VG,
Uwe

Genau das darf nicht funktionieren. Im SNMPwalk Aufruf steht “SHA” müsste “SHA-256” sein.

Nicht dein Ernst oder? Das is schon arg EOL :wink:

Das Problem werdet Ihr mit solchen alten Systemen auch ganz schnell bei anderen Sachen bekommen wenn es um Verschlüsselung geht. RedHat/CentOS sind halt bei solchen Problemen was aktuelle Pakete angeht immer bisl im Hintertreffen.
Hab das auch schon bei einigen meiner Monitoring Systeme auf RedHat gemerkt.