Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie
Toon posts:

RHEL 7.6: snmpwalk met AES-256

Pagina: 1
Acties:

Vraag


  • ddkiller0900
  • Registratie: juli 2001
  • Laatst online: 14-10 07:54
Mijn vraag

Op een Cisco switch met fictief ip adres 1.1.1.1 is SNMP v3 geconfigureerd met SHA en AES-256.
Vanaf een RHEL 7.6 server dient deze switch uitgelezen te worden met behulp van snmpwalk.
Er wordt namelijk gebruik gemaakt van een applicatie die snmpwalk gebruikt om netwerk gegevens op te halen.

Uit onderzoek bleek dat onze gebruikte net-snmp versie 5.7.2 betreft. Deze versie heeft geen ondersteuning voor AES hoger dan 128. Na alle vereiste packages te installeren (perl-devel en openssl-devel) heb ik dan ook net-snmp 5.8 gedownload en compileerd als volgt:


code:
1
./configure --with-perl-modules --enable-blumenthal-aes



De eerste poging om de switch uit te lezen ziet er als volgt uit:


code:
1
snmpwalk -v 3 -u myuser -l authPriv -a SHA -A testauth -x AES256 -X testpriv 1.1.1.1



Output: Timeout: No Response from 1.1.1.1

Wanneer AES-128 geconfigureerd is op de switch werkt de snmpwalk zonder problemen.

Relevante software en hardware die ik gebruik

Net-snmp 5.8 (http://www.net-snmp.org/download.html)
snmpclitools (https://github.com/etingof/snmpclitools)

Wat ik al gevonden of geprobeerd heb

Een collega gaf aan dat hij met Solarwinds zonder problemen de switch uit kan lezen met SNMP v3 met AES-256. Ik ben dan ook vrij zeker dat het probleem zich in Net-snmp bevindt.

Om de proef op de som te nemen heb ik snmpclitools geïnstalleerd (https://github.com/etingof/snmpclitools).
Hiermee is het wel mogelijk om een snmpwalk uit te voeren met dezelfde parameters als in bovenstaand voorbeeld.

Alle reacties


  • Hero of Time
  • Registratie: oktober 2004
  • Laatst online: 22:02

Hero of Time

Moderator NOS/CSA

There is only one Legend

Zie je het verzoek wel op je Cisco aankomen? En moet je niet nog een community (-c) meegeven? Mag hopelijk aannemen dat als je de moeite neemt om SNMPv3 met SHA256 te configureren, dat je niet een standaard communityname gebruikt zoals public.

Spekkies | Commandline FTW


  • ddkiller0900
  • Registratie: juli 2001
  • Laatst online: 14-10 07:54
Ik heb vergeten te vermelden dat ik een tcpdump heb uitgevoerd tijdens het uitvoeren van de snmpwalk. Ik zie dat het verkeer aankomt op de switch. Er wordt vanuit de switch een security engine id doorgestuurd en daarna blijft het stil.

Wanneer ik de python libraries gebruik in plaats van net-snmp krijg ik wel de verwachtte response.

SNMP v3 is gekoppeld aan een user die vervolgens rechten krijgt op een view. Een community string is dus niet van toepassing.

  • Hero of Time
  • Registratie: oktober 2004
  • Laatst online: 22:02

Hero of Time

Moderator NOS/CSA

There is only one Legend

Op m'n werk hebben we ook Cisco Switches (dacht ik). Ik kan daar eens naar kijken voor je. Moet die dingen toch nog eens in onze monitoring hangen. Daarnaast hebben we ook een ASA en kan ik zo voor mijzelf een SNMPv3 context aanmaken om te testen. Enige verschil is, ik gebruik Debian en geen CentOS. Debian kan deze net anders compileren. Ze leveren wel versie 5.7.3 mee, dus dat is iig iets wat overeenkomt.

Spekkies | Commandline FTW



Apple iPhone 11 Nintendo Switch Lite LG OLED C9 Google Pixel 4 FIFA 20 Samsung Galaxy S10 Sony PlayStation 5 Elektrisch rijden

'14 '15 '16 '17 2018

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True