配置 SNMP 連線的加密

協力廠商程式可以存取透過 SNMP 傳送的資料或用自己的資料替代那些資料。為了確保透過 SNMP 的通信安全,我們建議您配置 SNMP 連線的加密。

在配置之前,請確保在安裝了 Kaspersky Web Traffic Security 的所有伺服器上安裝 snmpd 和 snmptrapd 服務。

要配置 SNMP 連線的加密:

  1. 新增以下行到 /etc/snmp/snmpd.conf 檔案:

    view systemview included .1

  2. 接收 EngineID,這是處理 SNMP TRAP 所必需的。為此,在主伺服器上執行該指令:

    snmpget -v2c -cpublic localhost SNMP-FRAMEWORK-MIB::snmpEngineID.0 2>/dev/null | sed -ne 's/ //g; s/.*:/0x/p'

  3. 在作為叢集一部分的每台伺服器上配置 snmpd 服務。要執行此操作:
    1. 停止 snmpd 服務。為此,請執行指令:

      service snmpd stop

    2. 建立一個新使用者。為此,請執行指令:

      net-snmp-create-v3-user -ro -a SHA -A <密碼> -x <密碼> -X AES kwts-snmp-user

    3. 建立含以下內容的 /etc/snmp/snmpd.conf 設定檔:

      # 透過 unix 介面接受 KWTS 統計資料

      agentXSocket unix:/var/run/agentx-master.socket

      agentXPerms 770 770 kluser klusers

      master agentx

      # 透過 UDP 和 TCP 接受傳入 SNMP 請求

      agentAddress udp:localhost:161,tcp:localhost:161

      rouser kwts-snmp-user priv .1.3.6.1

      #如果您不需要透過 SNMPv3 連線轉發 SNMP TRAP,請註釋以下行

      trapsess -e <EngineID> -v3 -l authPriv -u kwts-snmp-user -a SHA -A <密碼> -x AES -X <密碼> udp:localhost:162

    4. 將以下字串新增到設定檔/etc/snmp/snmpn.conf:

      mibdirs +/opt/kaspersky/kwts/share/snmp-mibs/

      mibs all

    5. 啟動 snmpd 服務。為此,請執行指令:

      service snmpd start

    6. 檢查 SNMP 連線。為此,執行以下指令:

      snmpwalk -mALL -v3 -l authPriv -u kwts-snmp-user -a SHA -A <密碼> -x AES -X <密碼> udp:localhost:161 .1.3.6.1.4.1.23668

      snmpget -v3 -l authPriv -u kwts-snmp-user -a SHA -A <密碼> -x AES -X <密碼> udp:localhost:161 .1.3.6.1.4.1.23668.2022.2.8.1.0

  4. 在想要接收 SNMP TRAP 的伺服器上配置 snmptrapd 服務。要執行此操作:
    1. 停止 snmptrapd 服務。為此,請執行指令:

      service snmptrapd stop

    2. 根據您的作業系統,開啟以下設定檔進行編輯:
      • Ubuntu 或 Debian。

        /var/lib/snmpd/snmptrapd.conf

      • CentOS、SUSE Linux Enterprise Server、ALT Server 或 Red Hat Enterprise Linux。

        /var/lib/net-snmp/snmptrapd.conf

      如果指定目錄中不存在設定檔,請建立。

    3. 將下列行新增到設定檔:

      createUser -e <EngineID> kwts-snmp-user SHA “<密碼>” AES “<密碼>"

    4. 建立含以下內容的 /etc/snmp/snmptrapd.conf 設定檔:

      snmpTrapdAddr udp:<IP-位址>:162,tcp:127.0.0.1:162

      authUser log kwts-snmp-user priv

      disableAuthorization no

      作為 <IP-位址>,指定 snmptrapd 服務用來接收網路連線的 IP 位址。

    5. 啟動 snmptrapd 服務。為此,請執行指令:

      service snmptrapd start

    6. 使用以下指令檢查 SNMP 連線:

      snmptrap -e <EngineID> -v3 -l authPriv -u kwts-snmp-user -a SHA -A <密碼> -x AES -X <密碼> udp:localhost:162 0 .1.3.6.1.4.1.23668.2022.1.411

已配置 SNMP 連線加密。

頁面頂端