Verschlüsselung von SNMP-Verbindungen konfigurieren

Programme von Drittanbietern können Zugriff auf per SNMP-Protokoll übermittelte Daten erhalten oder diese mit eigenen Daten ersetzen. Es wird empfohlen, die Verschlüsselung von SNMP-Verbindungen zu konfigurieren, um eine sichere Datenübermittlung zu gewährleisten.

Stellen Sie vor der Konfiguration sicher, dass auf allen Servern mit Kaspersky Web Traffic Security die Dienste snmpd und snmptrapd installiert sind.

Gehen Sie wie folgt vor, um die Verschlüsselung von SNMP-Verbindungen zu konfigurieren:

  1. Rufen Sie die EngineID ab, die für die Verarbeitung von SNMP-Fallen erforderlich ist. Führen Sie dazu auf dem Master-Verwaltungsserver den folgenden Befehl aus:

    snmpget -v2c -cpublic localhost SNMP-FRAMEWORK-MIB::snmpEngineID.0 2>/dev/null | sed -ne 's/ //g; s/.*:/0x/p'

  2. Konfigurieren Sie auf jedem Server den Dienst snmpd an. Gehen Sie hierzu wie folgt vor:
    1. Stoppen Sie den Dienst snmpd. Führen Sie dazu den folgenden Befehl aus:

      service snmpd stop

    2. Je nach Betriebssystem fügen Sie die Zeile createUser kwts-snmp-user SHA "<password>" AES "<password>" zur folgenden Konfigurationsdatei hinzu:
      • Ubuntu oder Debian.

        /var/lib/snmpd/snmpd.conf

      • CentOS, SUSE Linux Enterprise Server oder Red Hat Enterprise Linux.

        /var/lib/net-snmp/snmpd.conf

      Wenn sich im angegebenen Verzeichnis keine Konfigurationsdatei befindet, müssen Sie sie erstellen.

    3. Erstellen Sie die Konfigurationsdatei /etc/snmp/snmpd.conf mit dem folgenden Inhalt:
      • Wenn ein UNIX-Socket für den Erhalt von Anfragen per SNMP-Protokoll verwendet wird:

        master agentx

        AgentXSocket udp:localhost:705,tcp:localhost:705,unix:/var/run/agentx-master.socket

        agentXPerms 770 770 kluser klusers

        agentAddress udp:161,tcp:161

        rouser kwts-snmp-user authnopriv .1.3.6.1

        com2sec notConfigUser default public

        group notConfigGroup v1 notConfigUser

        group notConfigGroup v2c notConfigUser

        view systemview included .1

        access notConfigGroup "" any noauth exact systemview none none

        dontLogTCPWrappersConnects yes

        trapsink localhost

        trap2sink localhost

        # comment the following line if you don't need SNMP traps forwarding over SNMPv3 connection

        trapsess -e <EngineID> -v3 -l authPriv -u kwts-snmp-user -a SHA -A <password> -x AES -X <password> udp:localhost:162

      • Wenn ein TCP- oder UDP-Socket für den Erhalt von Anfragen per SNMP-Protokoll verwendet wird:

        syslocation Server Room

        syscontact Sysadmin (root@localhost)

        rocommunity public 127.0.0.1

        master agentx

        AgentXSocket tcp:127.0.0.1:705

        rocommunity public 0.0.0.0 .1

        trap2sink localhost

        view systemview included .1

        # comment the following line if you don't need SNMP traps forwarding over SNMPv3 connection

        trapsess -e <EngineID> -v3 -l authPriv -u kwts-snmp-user -a SHA -A <password> -x AES -X <password> udp:localhost:162

    4. Fügen Sie in der Konfigurationsdatei /etc/snmp/snmp.conf die folgenden Zeilen hinzu:

      mibdirs +/opt/kaspersky/kwts-control/share/snmp-mibs/

      mibs all

    5. Starten Sie den Dienst snmpd. Führen Sie dazu den folgenden Befehl aus:

      service snmpd start

    6. Überprüfen Sie die SNMP-Verbindung. Führen Sie dazu folgenden Befehl aus:

      snmpwalk -mALL -v3 -l authPriv -u kwts-snmp-user -a SHA -A <password> -x AES -X <password> udp:localhost:161 .1.3.6.1.4.1.23668

      snmpget -v3 -l authPriv -u kwts-snmp-user -a SHA -A <password> -x AES -X <password> udp:localhost:161 .1.3.6.1.4.1.23668.2022.2.8.1.0

  3. Konfigurieren Sie den Dienst snmptrapd auf dem Server, auf dem Sie SNMP-Fallen erhalten möchten. Gehen Sie hierzu wie folgt vor:
    1. Stoppen Sie den Dienst snmptrapd. Führen Sie dazu den folgenden Befehl aus:

      service snmptrapd stop

    2. Je nach Betriebssystem fügen Sie die Zeile createUser -e <EngineID> kwts-snmp-user SHA "<password>" AES "<password>“ zur folgenden Konfigurationsdatei hinzu:
      • Ubuntu oder Debian.

        /var/lib/snmpd/snmptrapd.conf

      • CentOS, SUSE Linux Enterprise Server oder Red Hat Enterprise Linux.

        /var/lib/net-snmp/snmptrapd.conf

      Wenn sich im angegebenen Verzeichnis keine Konfigurationsdatei befindet, müssen Sie sie erstellen.

    3. Erstellen Sie die Konfigurationsdatei /etc/snmp/snmptrapd.conf mit dem folgenden Inhalt:

      snmpTrapdAddr udp:<IP-address>:162,tcp:127.0.0.1:162

      authUser log kwts-snmp-user priv

      disableAuthorization no

      Geben Sie als <IP-address> die IP-Adresse an, über die der Dienst snmptrapd Netzwerkverbindungen annimmt.

    4. Starten Sie den Dienst snmptrapd. Führen Sie dazu den folgenden Befehl aus:

      service snmptrapd start

    5. Überprüfen Sie die SNMP-Verbindung mithilfe des folgenden Befehls:

      snmptrap -e <EngineID> -v3 -l authPriv -u kwts-snmp-user -a SHA -A <password> -x AES -X <password> udp:localhost:162 0 .1.3.6.1.4.1.23668.2022.1.411

Die Verschlüsselung von SNMP-Verbindungen ist nun konfiguriert.

Nach oben