SNMP 接続の暗号化の設定

サードパーティのプログラムが SNMP を使用して送信されたデータにアクセスすることや、そのデータを独自のデータで置き換えることがあります。SNMP を使用した安全な通信を確立するためには、SNMP 接続の暗号化を設定してください。

設定前に、Kaspersky Web Traffic Security がインストールされているすべてのサーバーに snmpd サービスと snmptrapd サービスがインストールされていることを確認します。

SNMP 接続の暗号化を設定するには:

  1. SNMP トラップの処理に必要な EngineID を取得します。この操作には、マスターサーバーで次のコマンドを実行します:

    snmpget -v2c -cpublic localhost SNMP-FRAMEWORK-MIB::snmpEngineID.0 2>/dev/null | sed -ne 's/ //g; s/.*:/0x/p'

  2. 各サーバーで snmpd サービスを設定します。この操作を行うには:
    1. snmpd サービスを停止します。この操作には、次のコマンドを実行します:

      service snmpd stop

    2. オペレーティングシステムに応じて、「createUser kwts-snmp-user SHA "<パスワード>" AES "<パスワード>"」の行を、以下の設定情報ファイルに追加します:
      • Ubuntu、Debian

        /var/lib/snmpd/snmpd.conf

      • CentOS、SUSE Linux Enterprise Server、Red Hat Enterprise Linux

        /var/lib/net-snmp/snmpd.conf

      設定情報ファイルが指定されたディレクトリに存在しない場合は作成します。

    3. 次の内容の /etc/snmp/snmpd.conf 設定情報ファイルを作成します:
      • SNMP プロトコル経由のリクエストの受信に UNIX ソケットを使用している場合:

        master agentx

        AgentXSocket udp:localhost:705,tcp:localhost:705,unix:/var/run/agentx-master.socket

        agentXPerms 770 770 kluser klusers

        agentAddress udp:161,tcp:161

        rouser kwts-snmp-user authnopriv .1.3.6.1

        com2sec notConfigUser default public

        group notConfigGroup v1 notConfigUser

        group notConfigGroup v2c notConfigUser

        view systemview included .1

        access notConfigGroup "" any noauth exact systemview none none

        dontLogTCPWrappersConnects yes

        trapsink localhost

        trap2sink localhost

        SNMPv3 接続を使用した SNMP トラップの転送が不要な場合は、次の行を # でコメント化します。

        trapsess -e <EngineID> -v3 -l authPriv -u kwts-snmp-user -a SHA -A <パスワード> -x AES -X <パスワード> udp:localhost:162

      • SNMP プロトコル経由のリクエストの受信に TCP ソケットまたは UDP ソケットを使用している場合:

        syslocation Server Room

        syscontact Sysadmin (root@localhost)

        rocommunity public 127.0.0.1

        master agentx

        AgentXSocket tcp:127.0.0.1:705

        rocommunity public 0.0.0.0 .1

        trap2sink localhost

        view systemview included .1

        SNMPv3 接続を使用した SNMP トラップの転送が不要な場合は、次の行を # でコメント化します。

        trapsess -e <EngineID> -v3 -l authPriv -u kwts-snmp-user -a SHA -A <パスワード> -x AES -X <パスワード> udp:localhost:162

    4. 設定ファイル /etc/snmp/snmp.conf に次の文字列を追加します。

      mibdirs +/opt/kaspersky/kwts-control/share/snmp-mibs/

      mibs all

    5. snmpd サービスを開始します。この操作には、次のコマンドを実行します:

      service snmpd start

    6. SNMP 接続を確認します。この操作には、次のコマンドを実行します:

      snmpwalk -mALL -v3 -l authPriv -u kwts-snmp-user -a SHA -A <パスワード> -x AES -X <パスワード> udp:localhost:161 .1.3.6.1.4.1.23668

      snmpget -v3 -l authPriv -u kwts-snmp-user -a SHA -A <パスワード> -x AES -X <パスワード> udp:localhost:161 .1.3.6.1.4.1.23668.2022.2.8.1.0

  3. SNMP トラップを受信するサーバーで、snmptrapd サービスを設定します。この操作を行うには:
    1. snmptrapd サービスを停止します。この操作には、次のコマンドを実行します:

      service snmptrapd stop

    2. オペレーティングシステムに応じて、「createUser -e <EngineID> kwts-snmp-user SHA "<パスワード>" AES "<パスワード>"」の行を、以下の設定情報ファイルに追加します:
      • Ubuntu、Debian

        /var/lib/snmpd/snmptrapd.conf

      • CentOS、SUSE Linux Enterprise Server、Red Hat Enterprise Linux

        /var/lib/net-snmp/snmptrapd.conf

      設定情報ファイルが指定されたディレクトリに存在しない場合は作成します。

    3. 次の内容の /etc/snmp/snmptrapd.conf 設定情報ファイルを作成します:

      snmpTrapdAddr udp:<IP アドレス>:162,tcp:127.0.0.1:162

      authUser log kwts-snmp-user priv

      disableAuthorization no

      <IP アドレス>として、snmptrapd サービスがネットワーク接続を受信するために使用する IP アドレスを指定します。

    4. snmptrapd サービスを開始します。この操作には、次のコマンドを実行します:

      service snmptrapd start

    5. 次のコマンドを実行して、SNMP 接続を確認します:

      snmptrap -e <EngineID> -v3 -l authPriv -u kwts-snmp-user -a SHA -A <パスワード> -x AES -X <パスワード> udp:localhost:162 0 .1.3.6.1.4.1.23668.2022.1.411

SNMP 接続の暗号化が設定されます。

ページのトップに戻る