Configuração da criptografia de conexões SNMP

Programas de terceiros podem acessar dados enviados por meio de SNMP ou substitui-los por seus próprios dados. Para garantir a comunicação segura por meio de SNMP, é recomendado configurar a criptografia das conexões SNMP.

Antes da configuração, certifique-se de que os serviços snmpd e snmptrapd estejam instalados em todos os servidores em que o Kaspersky Web Traffic Security estiver instalado.

Para configurar a criptografia de conexões SNMP:

  1. Adicione a seguinte linha ao arquivo /etc/snmp/snmpd.conf:

    view systemview included .1

  2. Receba um EngineID, necessário para processar as interceptações de SNMP. Para fazer isso, no Servidor mestre, execute o comando:

    snmpget -v2c -cpublic localhost SNMP-FRAMEWORK-MIB::snmpEngineID.0 2>/dev/null | sed -ne 's/ //g; s/.*:/0x/p'

  3. Configure o serviço snmpd em cada servidor parte do cluster. Para fazer isso:
    1. Interrompa o serviço snmpd. Para fazer isso, execute o comando:

      service snmpd stop

    2. Crie um novo usuário. Para fazer isso, execute o comando:

      net-snmp-create-v3-user -ro -a SHA -A <password> -x <password> -X AES kwts-snmp-user

    3. Crie o arquivo de configuração /etc/snmp/snmpd.conf com o seguinte conteúdo:

      # accept KWTS statistics over unix socket

      agentXSocket unix:/var/run/agentx-master.socket

      agentXPerms 770 770 kluser klusers

      master agentx

      # accept incoming SNMP requests over UDP and TCP

      agentAddress udp:localhost:161,tcp:localhost:161

      rouser kwts-snmp-user priv .1.3.6.1

      # comment the following line if you don't need SNMP traps forwarding over SNMPv3 connection

      trapsess -e <EngineID> -v3 -l authPriv -u kwts-snmp-user -a SHA -A <senha> -x AES -X <senha> udp:localhost:162

    4. Adicione as seguintes cadeias de caracteres ao arquivo de configuração /etc/snmp/snmp.conf:

      mibdirs +/opt/kaspersky/kwts/share/snmp-mibs/

      mibs all

    5. Inicie o serviço snmpd. Para fazer isso, execute o comando:

      service snmpd start

    6. Verifique a conexão SNMP. Para fazer isso, execute os seguintes comandos:

      snmpwalk -mALL -v3 -l authPriv -u kwts-snmp-user -a SHA -A <password> -x AES -X <password> udp:localhost:161 .1.3.6.1.4.1.23668

      snmpget -v3 -l authPriv -u kwts-snmp-user -a SHA -A <password> -x AES -X <password> udp:localhost:161 .1.3.6.1.4.1.23668.2022.2.8.1.0

  4. Configure o serviço snmptrapd no servidor em que deseja receber as interceptações de SNMP. Para fazer isso:
    1. Interrompa o serviço snmptrapd. Para fazer isso, execute o comando:

      service snmptrapd stop

    2. Dependendo do sistema operacional, abra o seguinte arquivo de configuração para edição:
      • Ubuntu ou Debian.

        /var/lib/snmpd/snmptrapd.conf

      • CentOS, SUSE Linux Enterprise Server, ALT Server ou Red Hat Enterprise Linux.

        /var/lib/net-snmp/snmptrapd.conf

      Se um arquivo de configuração não existir no diretório especificado, crie-o.

    3. Adicione a seguinte linha ao arquivo de configuração:

      createUser -e <EngineID> kwts-snmp-user SHA "<password>" AES "<password>"

    4. Crie o arquivo de configuração /etc/snmp/snmptrapd.conf com o seguinte conteúdo:

      snmpTrapdAddr udp:<endereço IP>:162,tcp:127.0.0.1:162

      authUser log kwts-snmp-user priv

      disableAuthorization no

      Como o <endereço IP>, especifique o endereço IP usado pelo serviço snmptrapd para receber as conexões da rede.

    5. Inicie o serviço snmptrapd. Para fazer isso, execute o comando:

      service snmptrapd start

    6. Verifique a conexão SNMP com o seguinte comando:

      snmptrap -e <EngineID> -v3 -l authPriv -u kwts-snmp-user -a SHA -A <senha> -x AES -X <senha> udp:localhost:162 0 .1.3.6.1.4.1.23668.2022.1.411

A criptografia da conexões SNMP é configurada.

Topo da página