Einstellungen des Dienstes snmpd im Betriebssystem

Um Kaspersky Web Traffic Security über das SNMP-Protokoll zu verwenden, wird der Betriebssystemdienst "snmpd" verwendet. Der Dienst "snmpd" fungiert als Master-Agent und akzeptiert und verarbeitet Anfragen von Überwachungssystemen und anderen externen Verbrauchern über das SNMP-Protokoll. Kaspersky Web Traffic Security stellt als Subagent mittels AgentX-Protokoll über einen UNIX™-Socket eine Verbindung zum snmpd-Dienst her.

Installation des snmpd-Dienstes

Wenn Kaspersky Web Traffic Security aus einer ISO-Datei installiert wurde, sind keine weiteren Maßnahmen erforderlich. Wenn Kaspersky Web Traffic Security aus einem RPM- oder DEB-Paket installiert wurde, überprüfen Sie, ob der snmpd-Dienst in Ihrem Betriebssystem installiert ist. Wenn kein Dienst verfügbar ist, installieren Sie die entsprechenden Pakete.

Um den snmpd-Dienst und unterstützende Tools zu installieren,

führen Sie den folgenden Befehl aus:

• Auf den Betriebssystemen Red Hat Enterprise Linux, Rocky Linux, RED OS und CentOS:

  yum install net-snmp net-snmp-utils

• Auf den Betriebssystemen Ubuntu, Debian und Astra Linux Special Edition:

  apt install snmp snmpd

Benutzerkonto für den Datenzugriff erstellen

Stoppen Sie den Dienst "snmpd", bevor Sie ein Benutzerkonto erstellen.

Um mithilfe des SNMPv3-Protokolls mit Authentifizierung und Verschlüsselung sicher auf Daten zuzugreifen, müssen Sie auf der Seite des Dienstes "snmpd" ein Benutzerkonto mit den folgenden Daten erstellen:

• Benutzername (Groß-/Kleinschreibung beachten)
• Authentifizierungsalgorithmus (MD5 oder SHA, SHA empfohlen)
• Kennwort für die Authentifizierung
• Verschlüsselungsalgorithmus (unterstützt nur AES).
• Kennwort für die Verschlüsselung

Aus Sicherheitsgründen wird es empfohlen, auf den verschiedenen Cluster-Knoten von Kaspersky Web Traffic Security unterschiedliche Benutzerkonten zu verwenden.

Sie können ein Benutzerkonto auf folgende Weise erstellen:

• Mithilfe des Tools "net-snmp-create-v3-user", sofern es auf dem Betriebssystem verfügbar ist
• Manuell durch Hinzufügen der entsprechenden Direktive zur snmpd-Dienstkonfigurationsdatei

Um ein Benutzerkonto mit dem Tool "net-snmp-create-v3-user" zu erstellen, gehen Sie wie folgt vor:

1. Wenn Kaspersky Web Traffic Security aus einer ISO-Datei installiert wurde, stellen Sie mittels privaten SSH-Schlüssel und unter dem root-Benutzerkonto eine Verbindung zur Verwaltungskonsole der virtuellen Maschine mit Kaspersky Web Traffic Security her. Sie gelangen in den Technical Support Mode.

   Wenn Kaspersky Web Traffic Security aus einem RPM- oder DEB-Paket installiert wurde, starten Sie die Befehls-Shell des Betriebssystems, um darin als Superuser (Systemadministrator) Befehle auszuführen.

2. Führen Sie den folgenden Befehl aus:

   net-snmp-create-v3-user -ro -a <Authentifizierungsalgorithmus> -x <Verschlüsselungsalgorithmus> <Benutzername>

Kennwörter zur Authentifizierung und Verschlüsselung werden interaktiv abgefragt.

Beispiel: net-snmp-create-v3-user -ro -a SHA -x AES MonitoringUser

So erstellen Sie ein Benutzerkonto ohne Dienstprogramm:

1. Starten Sie die Kommando-Shell des Betriebssystems, um Befehle mit Superuser-Rechten (Systemadministrator) auszuführen.
2. Erstellen Sie die Konfigurationsdatei /var/lib/snmp/snmpd.conf mit dem Befehl:

   touch /var/lib/snmp/snmpd.conf

3. Fügen Sie der Konfigurationsdatei eine Zeile wie diese hinzu:

   createUser <Benutzername> <Authentifizierungsalgorithmus> "<Kennwort für die Authentifizierung>" <Verschlüsselungsalgorithmus> "<Kennwort für die Verschlüsselung>"

   Beispiel: createUser MonitoringUser SHA "MonitoringAuthSecret" AES "MonitoringPrivSecret"

Benutzerkonto zum Empfang von SNMP-Traps erstellen

Um SNMP-Traps über das SNMPv3-Protokoll mit Authentifizierung und Verschlüsselung zu empfangen, müssen Sie auf der Seite des Überwachungssystems im Kontext des entsprechenden Dienstes (normalerweise des snmptrapd-Dienstes) ein Benutzerkonto erstellen.

Das Benutzerkonto muss folgende Informationen enthalten:

• Benutzername.
• Authentifizierungsalgorithmus
• Kennwort für die Authentifizierung
• Verschlüsselungsalgorithmus
• Kennwort für die Verschlüsselung

Aus Sicherheitsgründen müssen Sie unterschiedliche Benutzerkonten verwenden, um auf Daten zuzugreifen und SNMP-Traps zu empfangen.
Es wird empfohlen, separate Benutzerkonten zu erstellen, um SNMP-Traps von verschiedenen Knoten des Clusters von Kaspersky Web Traffic Security zu empfangen.

Anweisungen zum Erstellen eines Benutzerkontos zum Empfang von SNMP-Traps finden Sie in der Dokumentation Ihres Überwachungssystems.

Dienst "snmpd" konfigurieren

Die Konfiguration des Dienstes "snmpd" wird in der Datei /etc/snmp/snmpd.conf gespeichert. Sie müssen eine neue Konfigurationsdatei erstellen und ihr nacheinander die folgenden Zeilen hinzufügen.

Um den snmpd-Dienst zu konfigurieren, gehen Sie wie folgt vor:

1. Wenn Kaspersky Web Traffic Security aus einer ISO-Datei installiert wurde, stellen Sie mittels privaten SSH-Schlüssel und unter dem root-Benutzerkonto eine Verbindung zur Verwaltungskonsole der virtuellen Maschine mit Kaspersky Web Traffic Security her. Sie gelangen in den Technical Support Mode.

   Wenn Kaspersky Web Traffic Security aus einem RPM- oder DEB-Paket installiert wurde, starten Sie die Befehls-Shell des Betriebssystems, um darin als Superuser (Systemadministrator) Befehle auszuführen.

2. Erstellen Sie eine neue Konfigurationsdatei und legen Sie mit den folgenden Befehlen die Berechtigungen zum Zugriff auf diese fest:

   mv -f /etc/snmp/snmpd.conf /etc/snmp/snmpd.conf.backup

   touch /etc/snmp/snmpd.conf

   chown root:root /etc/snmp/snmpd.conf

   chmod 600 /etc/snmp/snmpd.conf

3. Geben Sie das Protokoll, die Netzwerkschnittstellenadresse und die Portnummer an, auf denen der Dienst "snmpd" eingehende Anforderungen akzeptiert.
   • Wenn Sie Anfragen auf allen Netzwerkschnittstellen akzeptieren möchten, fügen Sie der Konfigurationsdatei die folgenden Zeilen hinzu:

     # Listen for incoming SNMP requests via UDP

     agentAddress udp:161

   • Wenn Sie Anfragen nur auf der lokalen Netzwerkschnittstelle akzeptieren möchten, beispielsweise wenn das Überwachungssystem auf demselben Computer installiert ist, fügen Sie die folgenden Zeilen hinzu:

     # Listen for incoming SNMP requests via UDP

     agentAddress udp:127.0.0.1:161

4. Geben Sie den Pfad und die Berechtigungen für den UNIX-Socket an, auf dem der Dienst "snmpd" Verbindungen vom Subagenten über das AgentX-Protokoll akzeptiert. Fügen Sie dazu der Konfigurationsdatei folgende Zeilen hinzu:

   # Listen for subagent connections via UNIX socket

   master agentx

   agentXSocket unix:/var/run/agentx-master

   agentXPerms 770 770 kluser klusers

5. Bei Bedarf können Sie eine Beschreibung des Systems, den Standort des Systems und die Kontaktadresse des Administrators angeben. Fügen Sie dazu der Konfigurationsdatei folgende Zeilen hinzu:

   # Basic system information

   sysDescr    <Systembeschreibung>

   sysLocation <Systemstandort>

   sysContact  <Kontaktadresse des Administrators>

   sysServices 72

6. Geben Sie den Bereich der OID-Struktur an, der Ihrem Überwachungssystem über das SNMP-Protokoll zur Verfügung stehen soll. Um auf Daten von Kaspersky Web Traffic Security zuzugreifen, fügen Sie der Konfigurationsdatei die folgenden Zeilen hinzu:

   # Kaspersky Web Traffic Security SNMP statistics

   view monitoring included .1.3.6.1.4.1.23668.2022

7. Bei Bedarf können Sie zusätzlich den Bereich der OID-Struktur angeben, der Betriebssysteminformationen enthält, die der Dienst "snmpd" speichert. Dieser Bereich steht Ihrem Überwachungssystem zur Verfügung.

   Zu den Informationen über das Betriebssystem gehören beispielsweise Daten zur Nutzung des Prozessors und des Arbeitsspeichers, Daten zum freien Speicherplatz auf Festplattenpartitionen, zur Auslastung der Netzwerkschnittstellen, eine Liste der installierten Software, eine Liste der offenen Netzwerkverbindungen und eine Liste von Laufende Prozesse. Diese Informationen können vertrauliche Daten enthalten.

   • Wenn Sie den Zugriff nur auf allgemeine Systeminformationen sowie Daten zur Nutzung von Speicher, Prozessor, Netzwerk und Festplatten zulassen möchten, fügen Sie der Konfigurationsdatei die folgenden Zeilen hinzu:

     # SNMPv2-MIB - Basic system information

     view monitoring included .1.3.6.1.2.1.1

     # HOST-RESOURCES-MIB - CPU, Memory, Filesystems

     view monitoring included .1.3.6.1.2.1.25.1

     view monitoring included .1.3.6.1.2.1.25.2

     view monitoring included .1.3.6.1.2.1.25.3

     view monitoring included .1.3.6.1.2.1.25.5

     # UCD-SNMP-MIB - Memory and CPU usage

     view monitoring included .1.3.6.1.4.1.2021.4

     view monitoring included .1.3.6.1.4.1.2021.10

     view monitoring included .1.3.6.1.4.1.2021.11

     # UCD-SNMP-DISKIO-MIB - Block devices I/O statistics

     view monitoring included .1.3.6.1.4.1.2021.13

     # IF-MIB - Network interfaces I/O statistics

     view monitoring included .1.3.6.1.2.1.2

     view monitoring included .1.3.6.1.2.1.31

   • Wenn Sie den Zugriff auf alle Systeminformationen zulassen möchten, fügen Sie der Konfigurationsdatei die folgenden Zeilen hinzu:

     # Allow access to the whole OID tree

     view monitoring included .1

8. Geben Sie den Zugriffsmodus und den Datenbereich für das erstellte Benutzerkonto an. Fügen Sie dazu der Konfigurationsdatei folgende Zeilen hinzu:

   # Access control for SNMPv3 monitoring system user

   rouser <Benutzername> priv -V monitoring

9. Um SNMP-Traps zu senden, geben Sie die IP-Adresse des Überwachungssystems und die Anmeldedaten des Benutzers zum Empfang von Traps an. Fügen Sie dazu der Konfigurationsdatei folgende Zeilen hinzu:

   # Send SNMPv3 traps to the monitoring system

   trapsess -Ci -v3 -t0.1 -r1 -l authPriv -u <Benutzername für das Annehmen von Traps> -a <Authentifizierungsalgorithmus> -A "<Kennwort des Benutzers für das Annehmen von Trap>" -x <Verschlüsselungsalgorithmus> -X "<Kennwort für die Verschlüsselung>" udp:<IP-адрес>:162

Der snmpd-Dienst wird konfiguriert.

Für die Integration mit mehreren Überwachungssystemen erstellen Sie für jedes System ein separates Benutzerkonto, geben den Bereich der verfügbaren Daten für die Benutzerkonten an (Anweisungen "view" und "rouser") und konfigurieren das Senden von SNMP-Traps (Anweisung "trapsess").

Beispiel einer snmpd-Dienstkonfigurationsdatei

Dienst "snmpd" mit neuer Konfiguration starten

So wenden Sie die neue Konfiguration an:

1. Starten Sie den Dienst "snmpd" mit dem folgenden Befehl neu:

   systemctl restart snmpd

2. Überprüfen Sie den Status des Dienstes "snmpd" mit dem folgenden Befehl:

   systemctl status snmpd

   Der Status sollte running anzeigen.

3. Erlauben Sie dem Dienst mit dem folgenden Befehl, automatisch zu starten, wenn das Betriebssystem hochfährt:

   systemctl enable snmpd

4. Wenn Sie in Ihrem Betriebssystem oder Netzwerkgerät eine Firewall verwenden, fügen Sie entsprechende Regeln hinzu, um SNMP-Protokollpakete durchzulassen.

Der Dienst "snmpd" ist konfiguriert.

Funktionalität des Dienstes "snmpd" überprüfen

Um die Funktionalität des snmpd-Dienstes zu überprüfen, konfigurieren Sie die Verwendung von SNMP in der Web-Oberfläche von Kaspersky Web Traffic Security und fragen Sie SNMP-Daten mit dem Tool "snmpwalk" ab.

Um die von Kaspersky Web Traffic Security bereitgestellten SNMP-Datenbereiche abzurufen, führen Sie den folgenden Befehl aus:

snmpwalk -v3 -l authPriv -u <Benutzername> -a <Authentifizierungsalgorithmus> -A "<Kennwort zur Authentifizierung>" -x <Verschlüsselungsalgorithmus> -X "<Kennwort für die Verschlüsselung>" <IP-Adresse> .1.3.6.1.4.1.23668.2022

Beispiel: snmpwalk -v3 -l authPriv -u MonitoringUser -a SHA -A "MonitoringAuthSecret" -x AES -X "MonitoringPrivSecret" 127.0.0.1 .1.3.6.1.4.1.23668.2022

Nach oben