How to save in the configuration files of Huawi MA5600T Series

How to save in the configuration files of Huawi MA5600T Series

The device configuration file contains the SNMPv3 packet encryption key in plaintext, compromising 

the confidentiality of the management channel. 

[Problem Description]

Trigger conditions:

This problem exists when the following conditions are met:

The device software version is within V800R006C02-V800R013C10 and no patch for resolving this 

problem is installed. (For mapping between the software versions and patch versions for resolving this 

problem, see the preventive measures.) 

The device system has SNMPv3 users and the authentication-mode or privacy-mode 

parameters are configured for the SNMPv3 users.

Symptom:

An unauthorized user may be able to decrypt SNMPv3 packets exchanged between the network 

management system (NMS) and the device after obtaining the device configuration file. Based on the 

decrypted packets, the user can deduce the operations issued by the NMS and the NMS operation 

principles. In this case, the confidentiality of the management channel is compromised. 

Identification method:

Check whether the software version of the device is within V008R006C02–V008R013C10. 

If the software version is within V008R006C02–V008R013C10, go to step 2.

Check whether a patch for resolving this problem has been installed. For example, if the software 

version is V008R010, check whether patch SPH116 or later is installed. (For mapping between the 

software versions and patch versions for resolving this problem, see the preventive measures.) 
If the patch for resolving this problem has not been installed, go to step 3. 

Command for querying the device software and patch versions: display version

Run the following command to query the device configuration. 

MA5600T(config)#display current-configuration section public-config  

If the command output contains snmp-agent usm-use-r v3 xxx authentication-mode xxx privacy-mode xxx, this problem may occur. 

----End

[Root Cause]

When SNMPv3 is used for communication, information transmitted through SNMPv3 packets is encrypted. However, the encryption key is stored in the device configuration file in plaintext, which brings security risks.

[Impact and Risk]

If an unauthorized user obtains the key in the device configuration file and the SNMPv3 packets exchanged between the NMS and the device, the user can deduce the operations issued by the NMS and the responses of the device. In this case, the confidentiality of the management channel is compromised. 

[Measures and Solutions]

Recovery measures:

Change the encryption keys in device configuration files. 

Command for changing the encryption: snmp-agent usm-user v3 …

Workarounds:

Restrict the disclosure of device configuration files. 

Change the encryption keys periodically.

Preventive measures:

Install a patch for resolving the problem. After patch installation, the encryption keys in device configuration files are saved in cipertext. 

The following lists the mapping between the software versions and patch versions for resolving this problem: 

V008R008: HP3032 and later

V008R010: SPH116 and later

V008R011: SPH110 and later

V008R012: SPC107 and later

V008R013C00: SPH105 and later

V008R013C10: SPC205 and later

[Precaution Expiration]

This precaution expires when one of the trigger conditions is not met. 

[Attachment]

N/A

More blog:

How to precaution the using problem of Huawei MA5603T product?

Some Abnormal OLT GPON CLASS B+ Optical Modules at High Temperature

How to change the MA5600T Boards

How to Upgrade the LSW Chip of the H801SCUN Board

H801SCUN is a control board for the MA5600T and uses the BCM56820 LAN switch chip. After the hardware of the BCM56820 LAN switch chip is upgraded (that is, the BCM56820 LAN switch chip of a new hardware version is used), the software of the H801SCUN board needs to be changed accordingly. It is learnt that from Mar. 2010, the H801SCUN board to be delivered will use the LAN switch chip of Ver.B. In this case, if the software version of the H801SCUN board is earlier than V800R006C02SPC110, the H801SCUN board will fail to start.

Sub-product line: Access                     Product: MA5600T

Problem Description

Trigger condition: 

In terms of the H801SCUN board (the LAN switch chip used is of Ver.B) to be delivered from Mar. 2010, 

1. If you downgrade the H801SCUN board to a version earlier than V800R006C02SPC110, the H801SCUN board will fail to start.

2. If you delete the patch of V800R006C02SPC110, the H801SCUN board fails to start.

Problem phenomena: 

When the H801SCUN board fails to start, the following information is displayed:

Transferring control to the loaded program...OK!

Starting system application init......successfully! 

Starting system configuration data init...successfully!

Drv_Lsw_Init: Drv_StackInit return error!

PHY initial step 2  error!  ---> Init LSW card error!

A Fatal Error Occured!!! System Must be reboot!!

Judge method: 

1. If you downgrade the H801SCUN board to a version earlier than V800R006C02SPC110

2. If you delete the patch of V800R006C02SPC110, the H801SCUN board fails to start

Cause Analysis

When the hardware of the BCM56820 LAN switch chip used by the H801SCUN board is upgraded from Ver.A to Ver.B, the software of the H801SCUN board is incorrect. 

Impact and Risk

The H801SCUN board fails to start.

Measures and Solutions

Recover Measures:

Upgrade the software version of the H801SCUN board to V800R006C02SPC110 or later.

Avoidance Measures:

None

Solution:

Scenario 1: The software version of the H801SCUN board is downgraded from V800R006C02SPC110 to V800R006C02SPC100, and as a result the H801SCUN board fails to start.

If the SPH110 hot patch is not deleted, during the H801SCUN board startup process, reload the V800R006C02SPC110 version during the extended BIOS booting. 

Operation: In the following stage,

The last update date of extended BIOS is : Feb 16 2009, 11:29:49

Extended BIOS version is 105 

Press <D> key to stop auto-boot    0              //Input d.

Load the package file of V800R006C02SPC110 through TFTP.

Scenario 2: The SPH110 hot patch of V800R006C02SPC110 is deleted, and as a result the H801SCUN board fails to start.

In such a condition, load the firm file to the H801SCUN board. The firm file is not available to technical support engineers. Therefore, contact the MA5600T-related R&D engineer Li Chao (67686) for a solution.

Disposal for Replaced Material：

None

Reconstruction Scope and End time

The software version of the H801SCUN board on the current network is upgraded to V800R006C02SPC110 or V800R007C00 or their later versions.

Reconstruction Guidance]

None

Attachment

None 

More blog:

How to Upgrade the LSW Chip of the H801SCUN Board

How to change the MA5600T Boards

The Issue that the MA5600T H802GPBD Board Resets Repeatedly