Konfigurace šifrování připojení SNMP

Aplikace třetích stran by mohly potenciálně přistupovat k datům odeslaným přes SNMP nebo tato data nahradit svými vlastními daty. Pro zajištění bezpečného přenosu dat přes SNMP se doporučuje nakonfigurovat šifrování SNMP připojení.

Postup konfigurace šifrování připojení SNMP:

  1. Do konfiguračního souboru /etc/snmp/snmpd.conf přidejte následující řádek:

    view systemview included .1

  2. Získejte EngineID, které je potřeba ke zpracování zachytávání SNMP. Chcete-li tak učinit, spusťte na každém serveru v clusteru následující příkaz:

    snmpget -v2c -c<community name> 127.0.0.1 SNMP-FRAMEWORK-MIB::snmpEngineID.0 2>/dev/null | sed -ne 's/ //g; s/.*:/0x/p'

    Zadejte název komunity, která se používá ve vaší organizaci. V případě potřeby vytvořte novou komunitu. Pro účely zabezpečení přenosu dat se nedoporučuje používat výchozí „veřejnou“ komunitu.

    Před spuštěním příkazu se ujistěte, že je spuštěna služba snmpd.

  3. Nakonfigurujte službu snmpd na každém serveru v clusteru. Postupujte takto:
    1. Zastavte službu snmpd. To provedete následujícím příkazem:

      systemctl stop snmpd

    2. Vytvořte nového uživatele. To provedete následujícím příkazem:

      net-snmp-create-v3-user -ro -a SHA -A <heslo> -x <heslo> -X AES <uživatelské jméno>

    3. Přidejte následující řetězce do konfiguračního souboru /etc/snmp/snmpd.conf:

      # přijímání statistik KSMG přes unixový socket

      master agentx

      agentXSocket unix:/var/run/agentx-master.socket

      agentXPerms 770 770 kluser klusers

      # přijímání příchozích požadavků SNMP přes UDP

      agentAddress udp:127.0.0.1:161

      rouser <uživatelské jméno> priv .1.3.6.1

      # pokud nepotřebujete přesměrovávat zachytávání SNMP přes připojení SNMPv3, označte následující řádek jako komentář

      trapsess -e <EngineID> -v3 -l authPriv -u <uživatelské jméno> -a SHA -A <heslo> -x AES -X <heslo> udp:<IP adresa>:162

      V části <IP adresa> uveďte IP adresu, kterou bude služba snmptrapd používat k přijímání síťových připojení. Pokud chcete ukládat zachytávání SNMP lokálně na server, zadejte 127.0.0.1.

    4. Přidejte následující řetězce do konfiguračního souboru /etc/snmp/snmp.conf:

      mibdirs +/opt/kaspersky/ksmg/share/snmp-mibs/

      mibs all

      Pokud konfigurační soubor snmp.conf v zadaném adresáři neexistuje, vytvořte jej.

    5. Spusťte službu snmpd. To provedete následujícím příkazem:

      systemctl start snmpd

    6. Zkontrolujte připojení SNMP. To provedete následujícím příkazem:

      snmpwalk -mALL -v3 -l authPriv -u <uživatelské jméno> -a SHA -A <heslo> -x AES -X <heslo> udp:127.0.0.1:161 .1.3.6.1.4.1.23668

      snmpget -v3 -l authPriv -u <uživatelské jméno> -a SHA -A <heslo> -x AES -X <heslo> udp:127.0.0.1:161 KSMG-PRODUCTINFO-STATISTICS::applicationName.0

  4. Nakonfigurujte službu snmptrapd na serveru, kde chcete přijímat zachytávání SNMP. Postupujte takto:
    1. Zastavte službu snmptrapd pomocí následujícího příkazu:

      systemctl stop snmptrapd

    2. Do souboru /var/lib/net-snmp/snmptrapd.conf přidejte následující řádek:

      createUser -e <EngineID> <uživatelské jméno> SHA "<heslo>" AES "<heslo>"

      Pokud konfigurační soubor snmptrapd.conf v zadaném adresáři neexistuje, vytvořte jej.

      Přihlašovací údaje uživatelského účtu ( <uživatelské jméno> a <heslo>) musí být pro služby snmpd a snmptrapd stejné.

    3. Přidejte následující řetězce do konfiguračního souboru /etc/snmp/snmptrapd.conf:

      snmpTrapdAddr udp:<IP adresa>:162

      authUser log <uživatelské jméno> priv

      disableAuthorization no

      Pokud konfigurační soubor snmptrapd.conf v zadaném adresáři neexistuje, vytvořte jej.

    4. Spusťte službu snmptrapd. To provedete následujícím příkazem:

      systemctl start snmptrapd

      Ujistěte se, že heslo, které bylo uvedeno jako prostý text v souboru /var/lib/net-snmp/snmptrapd.conf, bylo nahrazeno obfuskovanou sekvencí znaků. Chcete-li tak učinit, může být nutné několikrát restartovat službu snmptrapd pomocí příkazu systemctl restart snmptrapd.

    5. Přidejte službu snmptrapd do automatického spouštění. To provedete následujícím příkazem:

      systemctl enable snmptrapd

    6. Zkontrolujte připojení SNMP spuštěním následujícího příkazu:

      snmptrap -e <EngineID> -v3 -l authPriv -u <uživatelské jméno> -a SHA -A <heslo> -x AES -X <heslo> udp:<IP adresa>:162 0 KSMG-EVENTS-MIB::restartedBinary

      Ujistěte se, že se v souboru /var/log/messages objeví následující řetězec:

      <datum a čas> <název hostitele> snmptrapd[7503]: <datum a čas> localhost [UDP: [127.0.0.1]:26325->[<IP adresa>]:162]:#012DISMAN-EVENT-MIB::sysUpTimeInstance = Timeticks: (0) 0:00:00.00#011SNMPv2-MIB::snmpTrapOID.0 = OID: KSMG-EVENTS-MIB::restartedBinary

    V části <IP adresa> uveďte IP adresu, kterou bude služba snmptrapd používat k přijímání síťových připojení. Pokud chcete ukládat zachytávání SNMP lokálně na server, zadejte 127.0.0.1.

Šifrování připojení SNMP je nyní nakonfigurováno.

Na začátek stránky