Настройка шифрования SNMP-соединений

Сторонние программы могут получать доступ к данным, отправляемым по протоколу SNMP, или заменять эти данные своими данными. Для безопасной передачи данных по протоколу SNMP рекомендуется настроить шифрование SNMP-соединений.

Перед настройкой убедитесь, что на всех серверах с программой Kaspersky Web Traffic Security установлены службы snmpd и snmptrapd.

Чтобы настроить шифрование SNMP-соединений, выполните следующие действия:

  1. Получите EngineID, необходимый для обработки SNMP-ловушек. Для этого на Управляющем сервере выполните команду:

    snmpget -v2c -cpublic localhost SNMP-FRAMEWORK-MIB::snmpEngineID.0 2>/dev/null | sed -ne 's/ //g; s/.*:/0x/p'

  2. На каждом сервере настройте службу snmpd. Для этого выполните следующие действия:
    1. Остановите службу snmpd. Для этого выполните команду:

      service snmpd stop

    2. В зависимости от операционной системы добавьте строку createUser kwts-snmp-user SHA "<password>" AES "<password>" в следующий конфигурационный файл:
      • Ubuntu или Debian.

        /var/lib/snmpd/snmpd.conf

      • CentOS, SUSE Linux Enterprise Server или Red Hat Enterprise Linux.

        /var/lib/net-snmp/snmpd.conf

      Если в указанной директории нет конфигурационного файла, вам необходимо его создать.

    3. Создайте конфигурационный файл /etc/snmp/snmpd.conf со следующим содержанием:
      • Если для получения запросов по протоколу SNMP используется Unix-сокет:

        master agentx

        AgentXSocket udp:localhost:705,tcp:localhost:705,unix:/var/run/agentx-master.socket

        agentXPerms 770 770 kluser klusers

        agentAddress udp:161,tcp:161

        rouser kwts-snmp-user authnopriv .1.3.6.1

        com2sec notConfigUser default public

        group notConfigGroup v1 notConfigUser

        group notConfigGroup v2c notConfigUser

        view systemview included .1

        access notConfigGroup "" any noauth exact systemview none none

        dontLogTCPWrappersConnects yes

        trapsink localhost

        trap2sink localhost

        # comment the following line if you don't need SNMP traps forwarding over SNMPv3 connection

        trapsess -e <EngineID> -v3 -l authPriv -u kwts-snmp-user -a SHA -A <password> -x AES -X <password> udp:localhost:162

      • Если для получения запросов по протоколу SNMP используется сокет TCP или UDP:

        syslocation Server Room

        syscontact Sysadmin (root@localhost)

        rocommunity public 127.0.0.1

        master agentx

        AgentXSocket tcp:127.0.0.1:705

        rocommunity public 0.0.0.0 .1

        trap2sink localhost

        view systemview included .1

        # comment the following line if you don't need SNMP traps forwarding over SNMPv3 connection

        trapsess -e <EngineID> -v3 -l authPriv -u kwts-snmp-user -a SHA -A <password> -x AES -X <password> udp:localhost:162

    4. Добавьте в конфигурационный файл /etc/snmp/snmp.conf следующие строки:

      mibdirs +/opt/kaspersky/kwts-control/share/snmp-mibs/

      mibs all

    5. Запустите службу snmpd. Для этого выполните команду:

      service snmpd start

    6. Проверьте SNMP-соединение. Для этого выполните следующие команды:

      snmpwalk -mALL -v3 -l authPriv -u kwts-snmp-user -a SHA -A <password> -x AES -X <password> udp:localhost:161 .1.3.6.1.4.1.23668

      snmpget -v3 -l authPriv -u kwts-snmp-user -a SHA -A <password> -x AES -X <password> udp:localhost:161 .1.3.6.1.4.1.23668.2022.2.8.1.0

  3. На сервере, на котором вы хотите получать SNMP-ловушки, настройте службу snmptrapd. Для этого выполните следующие действия:
    1. Остановите службу snmptrapd. Для этого выполните команду:

      service snmptrapd stop

    2. В зависимости от операционной системы добавьте строку createUser -e <EngineID> kwts-snmp-user SHA "<password>" AES "<password>" в следующий конфигурационный файл:
      • Ubuntu или Debian.

        /var/lib/snmpd/snmptrapd.conf

      • CentOS, SUSE Linux Enterprise Server или Red Hat Enterprise Linux.

        /var/lib/net-snmp/snmptrapd.conf

      Если в указанной директории нет конфигурационного файла, вам необходимо его создать.

    3. Создайте конфигурационный файл /etc/snmp/snmptrapd.conf со следующим содержанием:

      snmpTrapdAddr udp:<IP-address>:162,tcp:127.0.0.1:162

      authUser log kwts-snmp-user priv

      disableAuthorization no

      В качестве <IP-address> укажите IP-адрес, по которому сервис snmptrapd принимает сетевые соединения.

    4. Запустите службу snmptrapd. Для этого выполните команду:

      service snmptrapd start

    5. Проверьте SNMP-соединение с помощью команды:

      snmptrap -e <EngineID> -v3 -l authPriv -u kwts-snmp-user -a SHA -A <password> -x AES -X <password> udp:localhost:162 0 .1.3.6.1.4.1.23668.2022.1.411

Шифрование SNMP-соединений будет настроено.

В начало