Verschlüsselung von SNMP-Verbindungen konfigurieren

Programme von Drittanbietern können Zugriff auf per SNMP-Protokoll übermittelte Daten erhalten oder diese mit eigenen Daten ersetzen. Es wird empfohlen, die Verschlüsselung von SNMP-Verbindungen zu konfigurieren, um eine sichere Datenübermittlung zu gewährleisten.

Stellen Sie vor der Konfiguration sicher, dass auf allen Servern mit Kaspersky Web Traffic Security die Dienste snmpd und snmptrapd installiert sind.

Gehen Sie wie folgt vor, um die Verschlüsselung von SNMP-Verbindungen zu konfigurieren:

Fügen Sie in der Datei /etc/snmp/snmpd.conf die folgende Zeile hinzu:
view systemview included .1
Rufen Sie die EngineID ab, die für die Verarbeitung von SNMP-Fallen erforderlich ist. Führen Sie dazu auf dem Master-Verwaltungsserver den folgenden Befehl aus:
snmpget -v2c -cpublic localhost SNMP-FRAMEWORK-MIB::snmpEngineID.0 2>/dev/null | sed -ne 's/ //g; s/.*:/0x/p'
Richten Sie auf jedem dem Cluster angehörenden Knoten den Dienst snmpd ein. Gehen Sie hierzu wie folgt vor:
1. Stoppen Sie den Dienst snmpd. Führen Sie dazu den folgenden Befehl aus:
  service snmpd stop
2. Legen Sie einen neuen Benutzer an. Führen Sie dazu den folgenden Befehl aus:
  net-snmp-create-v3-user -ro -a SHA -A <password> -x <password> -X AES kwts-snmp-user
3. Erstellen Sie die Konfigurationsdatei /etc/snmp/snmpd.conf mit dem folgenden Inhalt:
  # accept KWTS statistics over unix socket
  
  agentXSocket unix:/var/run/agentx-master
  
  agentXPerms 770 770 kluser klusers
  
  master agentx
  
  # accept incoming SNMP requests over UDP and TCP
  
  agentAddress udp:localhost:161,tcp:localhost:161
  
  rouser kwts-snmp-user priv .1.3.6.1
  
  # comment the following line if you don't need SNMP traps forwarding over SNMPv3 connection
  
  trapsess -e <EngineID> -v3 -l authPriv -u kwts-snmp-user -a SHA -A <password> -x AES -X <password> udp:localhost:162
4. Fügen Sie in der Konfigurationsdatei /etc/snmp/snmp.conf die folgenden Zeilen hinzu:
  mibdirs +/opt/kaspersky/kwts/share/snmp-mibs/
  
  mibs all
5. Starten Sie den Dienst snmpd. Führen Sie dazu den folgenden Befehl aus:
  service snmpd start
6. Überprüfen Sie die SNMP-Verbindung. Führen Sie dazu folgende Befehle aus:
  snmpwalk -mALL -v3 -l authPriv -u kwts-snmp-user -a SHA -A <password> -x AES -X <password> udp:localhost:161 .1.3.6.1.4.1.23668
  
  snmpget -v3 -l authPriv -u kwts-snmp-user -a SHA -A <password> -x AES -X <password> udp:localhost:161 .1.3.6.1.4.1.23668.2022.2.8.1.0
Konfigurieren Sie den Dienst snmptrapd auf dem Server, auf dem Sie SNMP-Fallen erhalten möchten. Gehen Sie hierzu wie folgt vor:
1. Stoppen Sie den Dienst snmptrapd. Führen Sie dazu den folgenden Befehl aus:
  service snmptrapd stop
2. Öffnen Sie je nach Betriebssystem die folgende Konfigurationsdatei zum Bearbeiten:
  - Ubuntu oder Debian.
    /var/lib/snmpd/snmptrapd.conf
  - CentOS, SUSE Linux Enterprise Server, AltServer oder Red Hat Enterprise Linux.
    /var/lib/net-snmp/snmptrapd.conf
  Wenn sich im angegebenen Verzeichnis keine Konfigurationsdatei befindet, müssen Sie sie erstellen.
3. Fügen Sie folgende Zeile zur Konfigurationsdatei hinzu:
  createUser -e <EngineID> kwts-snmp-user SHA "<password>" AES "<password>"
4. Erstellen Sie die Konfigurationsdatei /etc/snmp/snmptrapd.conf mit dem folgenden Inhalt:
  snmpTrapdAddr udp:<IP-address>:162,tcp:127.0.0.1:162
  
  authUser log kwts-snmp-user priv
  
  disableAuthorization no
  
  Geben Sie als <IP-address> die IP-Adresse an, über die der Dienst snmptrapd Netzwerkverbindungen annimmt.
5. Starten Sie den Dienst snmptrapd. Führen Sie dazu den folgenden Befehl aus:
  service snmptrapd start
6. Überprüfen Sie die SNMP-Verbindung mithilfe des folgenden Befehls:
  snmptrap -e <EngineID> -v3 -l authPriv -u kwts-snmp-user -a SHA -A <password> -x AES -X <password> udp:localhost:162 0 .1.3.6.1.4.1.23668.2022.1.411

Die Verschlüsselung von SNMP-Verbindungen ist nun konfiguriert.

Nach oben