Verschlüsselung von SNMP-Verbindungen konfigurieren

Programme von Drittanbietern können Zugriff auf per SNMP-Protokoll übermittelte Daten erhalten oder diese mit eigenen Daten ersetzen. Es wird empfohlen, die Verschlüsselung von SNMP-Verbindungen zu konfigurieren, um eine sichere Datenübermittlung zu gewährleisten.

Stellen Sie vor der Konfiguration sicher, dass auf allen Servern mit Kaspersky Web Traffic Security die Dienste snmpd und snmptrapd installiert sind.

Gehen Sie wie folgt vor, um die Verschlüsselung von SNMP-Verbindungen zu konfigurieren:

  1. Fügen Sie in der Datei /etc/snmp/snmpd.conf die folgende Zeile hinzu:

    view systemview included .1

  2. Rufen Sie die EngineID ab, die für die Verarbeitung von SNMP-Fallen erforderlich ist. Führen Sie dazu auf dem Master-Verwaltungsserver den folgenden Befehl aus:

    snmpget -v2c -cpublic localhost SNMP-FRAMEWORK-MIB::snmpEngineID.0 2>/dev/null | sed -ne 's/ //g; s/.*:/0x/p'

  3. Richten Sie auf jedem dem Cluster angehörenden Knoten den Dienst snmpd ein. Gehen Sie hierzu wie folgt vor:
    1. Stoppen Sie den Dienst snmpd. Führen Sie dazu den folgenden Befehl aus:

      service snmpd stop

    2. Legen Sie einen neuen Benutzer an. Führen Sie dazu den folgenden Befehl aus:

      net-snmp-create-v3-user -ro -a SHA -A <password> -x <password> -X AES kwts-snmp-user

    3. Erstellen Sie die Konfigurationsdatei /etc/snmp/snmpd.conf mit dem folgenden Inhalt:

      # accept KWTS statistics over unix socket

      agentXSocket unix:/var/run/agentx-master

      agentXPerms 770 770 kluser klusers

      master agentx

      # accept incoming SNMP requests over UDP and TCP

      agentAddress udp:localhost:161,tcp:localhost:161

      rouser kwts-snmp-user priv .1.3.6.1

      # comment the following line if you don't need SNMP traps forwarding over SNMPv3 connection

      trapsess -e <EngineID> -v3 -l authPriv -u kwts-snmp-user -a SHA -A <password> -x AES -X <password> udp:localhost:162

    4. Fügen Sie in der Konfigurationsdatei /etc/snmp/snmp.conf die folgenden Zeilen hinzu:

      mibdirs +/opt/kaspersky/kwts/share/snmp-mibs/

      mibs all

    5. Starten Sie den Dienst snmpd. Führen Sie dazu den folgenden Befehl aus:

      service snmpd start

    6. Überprüfen Sie die SNMP-Verbindung. Führen Sie dazu folgende Befehle aus:

      snmpwalk -mALL -v3 -l authPriv -u kwts-snmp-user -a SHA -A <password> -x AES -X <password> udp:localhost:161 .1.3.6.1.4.1.23668

      snmpget -v3 -l authPriv -u kwts-snmp-user -a SHA -A <password> -x AES -X <password> udp:localhost:161 .1.3.6.1.4.1.23668.2022.2.8.1.0

  4. Konfigurieren Sie den Dienst snmptrapd auf dem Server, auf dem Sie SNMP-Fallen erhalten möchten. Gehen Sie hierzu wie folgt vor:
    1. Stoppen Sie den Dienst snmptrapd. Führen Sie dazu den folgenden Befehl aus:

      service snmptrapd stop

    2. Öffnen Sie je nach Betriebssystem die folgende Konfigurationsdatei zum Bearbeiten:
      • Ubuntu oder Debian.

        /var/lib/snmpd/snmptrapd.conf

      • CentOS, SUSE Linux Enterprise Server, AltServer oder Red Hat Enterprise Linux.

        /var/lib/net-snmp/snmptrapd.conf

      Wenn sich im angegebenen Verzeichnis keine Konfigurationsdatei befindet, müssen Sie sie erstellen.

    3. Fügen Sie folgende Zeile zur Konfigurationsdatei hinzu:

      createUser -e <EngineID> kwts-snmp-user SHA "<password>" AES "<password>"

    4. Erstellen Sie die Konfigurationsdatei /etc/snmp/snmptrapd.conf mit dem folgenden Inhalt:

      snmpTrapdAddr udp:<IP-address>:162,tcp:127.0.0.1:162

      authUser log kwts-snmp-user priv

      disableAuthorization no

      Geben Sie als <IP-address> die IP-Adresse an, über die der Dienst snmptrapd Netzwerkverbindungen annimmt.

    5. Starten Sie den Dienst snmptrapd. Führen Sie dazu den folgenden Befehl aus:

      service snmptrapd start

    6. Überprüfen Sie die SNMP-Verbindung mithilfe des folgenden Befehls:

      snmptrap -e <EngineID> -v3 -l authPriv -u kwts-snmp-user -a SHA -A <password> -x AES -X <password> udp:localhost:162 0 .1.3.6.1.4.1.23668.2022.1.411

Die Verschlüsselung von SNMP-Verbindungen ist nun konfiguriert.

Nach oben