Configuration du chiffrement des connexions SNMP

Les applications tiers peuvent avoir accès aux données expédiées via le protocole SNMP ou remplacer ces données par leurs données. Pour assurer la sécurité de la transmission de données via le protocole SNMP, il est recommandé de configurer le chiffrement des connexions SNMP.

Avant la configuration, assurez-vous les services snmpd et snmptrapd sont installés sur tous les serveurs avec l'application Kaspersky Web Traffic Security.

Pour configurer le chiffrement des connexions SNMP, procédez comme suit :

  1. Recevez EngineID nécessaire pour le traitement des pièges SNMP. Pour cela, exécutez la commande ci-dessous sur le Serveur maître :

    snmpget -v2c -cpublic localhost SNMP-FRAMEWORK-MIB::snmpEngineID.0 2>/dev/null | sed -ne 's/ //g; s/.*:/0x/p'

  2. Configurez le service snmpd sur chaque serveur. Pour ce faire, procédez comme suit :
    1. Arrêtez le service snmpd. Pour ce faire, saisissez la commande :

      service snmpd stop

    2. En fonction du système d'exploitation, ajoutez la ligne createUser kwts-snmp-user SHA "<password>" AES "<password>" dans le prochain fichier de configuration :
      • Ubuntu ou Debian.

        /var/lib/snmpd/snmpd.conf

      • CentOS, SUSE Linux Enterprise Server ou Red Hat Enterprise Linux.

        /var/lib/net-snmp/snmpd.conf

      Si le répertoire indiqué ne contient aucun fichier de configuration, vous devez en créer un.

    3. Créez le fichier de configuration /etc/snmp/snmpd.conf avec le contenu suivant :
      • Si le socket Unix est utilisé pour la réception des requêtes via le protocole SNMP :

        master agentx

        AgentXSocket udp:localhost:705,tcp:localhost:705,unix:/var/run/agentx-master.socket

        agentXPerms 770 770 kluser klusers

        agentAddress udp:161,tcp:161

        rouser kwts-snmp-user authnopriv .1.3.6.1

        com2sec notConfigUser default public

        group notConfigGroup v1 notConfigUser

        group notConfigGroup v2c notConfigUser

        view systemview included .1

        access notConfigGroup "" any noauth exact systemview none none

        dontLogTCPWrappersConnects yes

        trapsink localhost

        trap2sink localhost

        # comment the following line if you don't need SNMP traps forwarding over SNMPv3 connection

        trapsess -e <EngineID> -v3 -l authPriv -u kwts-snmp-user -a SHA -A <password> -x AES -X <password> udp:localhost:162

      • Si le socket TCP ou UDP est utilisé pour la réception des requêtes via le protocole SNMP :

        syslocation Server Room

        syscontact Sysadmin (root@localhost)

        rocommunity public 127.0.0.1

        master agentx

        AgentXSocket tcp:127.0.0.1:705

        rocommunity public 0.0.0.0 .1

        trap2sink localhost

        view systemview included .1

        # comment the following line if you don't need SNMP traps forwarding over SNMPv3 connection

        trapsess -e <EngineID> -v3 -l authPriv -u kwts-snmp-user -a SHA -A <password> -x AES -X <password> udp:localhost:162

    4. Ajoutez au fichier de configuration /etc/snmp/snmp.conf les lignes suivantes :

      mibdirs +/opt/kaspersky/kwts-control/share/snmp-mibs/

      mibs all

    5. Lancez le service snmpd. Pour ce faire, saisissez la commande :

      service snmpd start

    6. Vérifiez la connexion SNMP. Pour ce faire, procédez comme suit :

      snmpwalk -mALL -v3 -l authPriv -u kwts-snmp-user -a SHA -A <password> -x AES -X <password> udp:localhost:161 .1.3.6.1.4.1.23668

      snmpget -v3 -l authPriv -u kwts-snmp-user -a SHA -A <password> -x AES -X <password> udp:localhost:161 .1.3.6.1.4.1.23668.2022.2.8.1.0

  3. Configurez le service snmptrapd sur le serveur sur lequel vous voulez recevoir les pièges SNMP. Pour ce faire, procédez comme suit :
    1. Arrêtez le service snmptrapd. Pour ce faire, saisissez la commande :

      service snmptrapd stop

    2. Selon le système d'exploitation, ajoutez la ligne createUser-e <EngineID> kwts-snmp-user SHA "<password>"AES"<password>" dans le fichier de configuration suivant :
      • Ubuntu ou Debian.

        /var/lib/snmpd/snmptrapd.conf

      • CentOS, SUSE Linux Enterprise Server ou Red Hat Enterprise Linux.

        /var/lib/net-snmp/snmptrapd.conf

      Si le répertoire indiqué ne contient aucun fichier de configuration, vous devez en créer un.

    3. Créez le fichier de configuration/etc/snmp/snmptrapd.conf avec le contenu suivant :

      snmpTrapdAddr udp:<IP-address>:162,tcp:127.0.0.1:162

      authUser log kwts-snmp-user priv

      disableAuthorization no

      En qualité de <IP-address>, indiquez l'adresse IP à laquelle le service snmptrapd accepte les connexions réseau.

    4. Lancez le service snmptrapd. Pour ce faire, saisissez la commande :

      service snmptrapd start

    5. Analysez la connexion SNMP à l'aide de la commande :

      snmptrap -e <EngineID> -v3 -l authPriv -u kwts-snmp-user -a SHA -A <password> -x AES -X <password> udp:localhost:162 0 .1.3.6.1.4.1.23668.2022.1.411

Le chiffrement des connexions SNMP sera configuré.

Haut de page