Об аутентификации SNMP v3 MD5 и CISCO ASA
У меня есть 2 CISCO ASA 5505 для двух почти равных сетей в моем офисе, одна для нашей операционной платформы, а другая для тестовой платформы. Каждая сеть имеет сервер, выделенный для Nagios.
Когда я приехал, я унаследовал все эти устройства и их конфигурацию. Похоже, мой предшественник настроил службы Nagios для проверки брандмауэра с использованием запросов SNMP, и они настроены для SNMP v3. Эти проверки работают в тестовой платформе, но не проходят проверку подлинности в операционной платформе.
Поэтому я начал проверять команду, используемую в Negios. На обеих платформах команды Nagios SNMP одинаковы:
check_snmp! -H 192.168.1.1 -o sysUpTime.0 -P 3 -L authPriv -U MyUser -a md5 -A 'mKo45s8p' -X 'ryp9Utl7'
Я проверил в документации Nagios, что check_snmp отслеживает UNIX snmpget, Следовательно, -U представляет пользователя (в данном случае MyUser), -a определяет шифрование для пароля аутентификации -A, а -X кажется паролем шифрования DES (я не понимаю, для чего предназначен -X, но это это не проблема).
Затем я перешел к настройке Cisco ASA и проверил, что эти пароли хранятся в виде шестнадцатеричных хэшей, а каждое устройство имеет свою пару хэшей. Например, для тестового устройства у нас есть:
snmp-server user MyUser MyTeam v3 encrypted auth md5 c0:77:58:25:10:4e:58:bf:e4:e6:4d:b7:d6:28:9e:a6 priv des a7:00:24:2b:28:e6:4d:11:56:be:30:69:77:47:c7:1a
В этот момент я предположил, что тестовые хеш-коды брандмауэра соответствуют MD5 пароля аутентификации и DES пароля шифрования, как они определены в команде Nagios. И поэтому, поскольку хеш-коды в операционной платформе различны, а используемая команда одинакова, они просто не совпадают.
Хотя это утверждение, вероятно, верно, это моя настоящая проблема: если я проверяю MD5 с помощью любого онлайн-инструмента, то MD5 для mKo45s8p будет 00c3669318eeee45b5b4d2ffde58c323. Это не соответствует хэшу, настроенному на брандмауэре. Что касается пароля шифрования DES, я даже не знаю, как его проверить, поскольку онлайн-инструменты запрашивают разные входные данные.
Так что, поскольку нет пути назад из MD5, я не могу получить правильный пароль, который будет использоваться в команде Nagios для операционной платформы. Я не могу определить новый пароль, так как мое преобразование в хэш выглядит неправильно. Единственное решение, которое я могу придумать, - это использовать тот же хэш, что и на тестовом брандмауэре, на рабочем брандмауэре, но я определенно предпочитаю понять, что происходит, и решить его с помощью новых паролей.
Любая помощь?