SNMP を介した Kaspersky Web Traffic Security との対話は、オペレーティングシステムの「snmpd」サービスを使用して実現されます。snmpd サービスはマスターエージェントとして動作し、SNMP 経由で監視システムやその他の外部利用者からのリクエストを受信して処理します。Kaspersky Web Traffic Security は、UNIX™ ソケット経由で AgentX プロトコル上のサブエージェントとして snmpd サービスに接続します。
snmpd サービスのインストール
Kaspersky Web Traffic Security が ISO ファイルからインストールされた場合、それ以上の操作は必要ありません。Kaspersky Web Traffic Security が RPM または DEB パッケージからインストールされた場合は、オペレーティングシステムに snmpd サービスがインストールされていることを確認します。サービスがインストールされていない場合は、適切なパッケージをインストールします。
snmpd サービスと補助ユーティリティをインストールするには
次のコマンドを入力します:
yum install net-snmp net-snmp-utils
apt install snmp snmpd
データにアクセスするためのユーザーアカウントの作成
アカウントを作成する前に、snmpd サービスを停止してください。
認証と暗号化を使用して SNMPv3 経由でデータにアクセスするセキュリティを確保するには、次の情報を使用して snmpd サービス側でユーザーアカウントを作成する必要があります:
セキュリティ上の理由から、Kaspersky Web Traffic Security クラスタの各ノードで独立したユーザーアカウントを使用することを推奨します。
ユーザーアカウントは、次の方法で作成できます:
net-snmp-create-v3-user ユーティリティを使用してユーザーアカウントを作成するには:
Kaspersky Web Traffic Security が RPM または DEB パッケージからインストールされた場合は、オペレーティングシステムのコマンドシェルを起動して、スーパーユーザー(システム管理者)権限でコマンドを実行します。
net-snmp-create-v3-user -ro -a <
認証アルゴリズム
> -x <
暗号化アルゴリズム
> <
ユーザー名
>
認証および暗号化パスワードは対話的に要求されます。
例:
|
ユーティリティを使用せずにユーザーアカウントを作成するには:
touch /var/lib/snmp/snmpd.conf
createUser <
ユーザー名
> <
認証アルゴリズム
> "<
認証パスワード
>" <
暗号化アルゴリズム
> "<
暗号化パスワード
>"
例:
|
SNMPトラップを受信するためのユーザーアカウントの作成
認証と暗号化を使用して SNMPv3 経由で SNMP トラップを受信するには、対応するサービス(通常は snmptrapd サービス)のコンテキストで監視システム側にアカウントを作成する必要があります。
アカウントには次の情報が含まれている必要があります:
セキュリティ上の理由から、データへのアクセスと SNMP トラップの受信には、それぞれ別のユーザーアカウントを使用する必要があります。
各ノードから SNMP トラップを受信するために、独立したユーザーアカウントを作成することを推奨します。
SNMP トラップを受信するためのユーザーアカウントを作成する手順については、使用している監視システムのマニュアルを参照してください。
snmpd サービスの設定
snmpd サービスの設定は、ファイル /etc/snmp/snmpd.conf に保存されます。新しい設定情報ファイルを作成し、次の行を指定された順序で追加する必要があります。
snmpd サービスを設定するには:
Kaspersky Web Traffic Security が RPM または DEB パッケージからインストールされた場合は、オペレーティングシステムのコマンドシェルを起動して、スーパーユーザー(システム管理者)権限でコマンドを実行します。
mv -f /etc/snmp/snmpd.conf /etc/snmp/snmpd.conf.backup
touch /etc/snmp/snmpd.conf
chown root:root /etc/snmp/snmpd.conf
chmod 600 /etc/snmp/snmpd.conf
# Listen for incoming SNMP requests via UDP
agentAddress udp:161
# Listen for incoming SNMP requests via UDP
agentAddress udp:127.0.0.1:161
# Listen for subagent connections via UNIX socket
master agentx
agentXSocket unix:/var/run/agentx-master.socket
agentXPerms 770 770 kluser klusers
# Basic system information
sysDescr <
システムの説明
>
sysLocation <
システムの場所
>
sysContact <
管理者の連絡先アドレス
>
sysServices 72
# Kaspersky Web Traffic Security SNMP statistics
view monitoring included .1.3.6.1.4.1.23668.2022
オペレーティングシステムに関する情報には、たとえば、CPU と RAM の使用状況、ディスクパーティションの空き容量、ネットワークインターフェイスの負荷、インストールされているソフトウェアのリスト、オープンネットワーク接続のリスト、実行中のプロセスのリストなどが含まれます。一部に機密情報が含まれる場合があります。
# SNMPv2-MIB - Basic system information
view monitoring included .1.3.6.1.2.1.1
# HOST-RESOURCES-MIB - CPU, Memory, Filesystems
view monitoring included .1.3.6.1.2.1.25.1
view monitoring included .1.3.6.1.2.1.25.2
view monitoring included .1.3.6.1.2.1.25.3
view monitoring included .1.3.6.1.2.1.25.5
# UCD-SNMP-MIB - Memory and CPU usage
view monitoring included .1.3.6.1.4.1.2021.4
view monitoring included .1.3.6.1.4.1.2021.10
view monitoring included .1.3.6.1.4.1.2021.11
# UCD-SNMP-DISKIO-MIB - Block devices I/O statistics
view monitoring included .1.3.6.1.4.1.2021.13
# IF-MIB - Network interfaces I/O statistics
view monitoring included .1.3.6.1.2.1.2
view monitoring included .1.3.6.1.2.1.31
# Allow access to the whole OID tree
view monitoring included .1
# Access control for SNMPv3 monitoring system user
rouser <
ユーザー名
> priv -V monitoring
# Send SNMPv3 traps to the monitoring system
trapsess -Ci -v3 -t0.1 -r1 -l authPriv -u <
トラップを受信するためのユーザー名
> -a <
認証アルゴリズム
> -A "<
トラップを受信するためのユーザーパスワード
>" -x <
暗号化アルゴリズム
> -X "<
暗号化パスワード
>" udp:<
IP アドレス
>:162
snmpd サービスが設定されます。
複数の監視システムと連携するには、システムごとに個別のユーザーアカウントを作成し、各ユーザーアカウントで使用可能な情報の範囲を指定し(「view」および「rouser」ディレクティブ)、SNMP トラップの送信を設定します(「trapsess」ディレクティブ)。
新しい設定での snmpd サービスの開始
新しい設定を適用するには:
systemctl restart snmpd
systemctl status snmpd
ステータスが running である必要があります。
systemctl enable snmpd
snmpd サービスが設定されています。
snmpd サービスの健全性のチェック
snmpd サービスをテストするには、Kaspersky Web Traffic Security Web インターフェイスで SNMP の使用を設定し、「snmpwalk」ユーティリティを使用して SNMP データを要求します。
Kaspersky Web Traffic Security が提供する SNMP データの範囲を取得するには、次のコマンドを実行します:
snmpwalk -v3 -l authPriv -u <
ユーザー名
> -a <
認証アルゴリズム
> -A "<
認証パスワード
>" -x <
暗号化アルゴリズム
> -X "<
暗号化パスワード
>" <
IP アドレス
> .1.3.6.1.4.1.23668.2022
例: snmpwalk -v3 -l authPriv -u MonitoringUser -a SHA -A "MonitoringAuthSecret" -x AES -X "MonitoringPrivSecret" 127.0.0.1 .1.3.6.1.4.1.23668.2022 |