SNMP 接続の暗号化の設定

サードパーティのプログラムが SNMP を使用して送信されたデータにアクセスすることや、そのデータを独自のデータで置き換えることがあります。SNMP を使用したセキュアな通信を確立するためには、SNMP 接続の暗号化を設定してください。

設定前に、Kaspersky Web Traffic Security がインストールされているすべてのサーバーに snmpd サービスと snmptrapd サービスがインストールされていることを確認します。

SNMP 接続の暗号化を設定するには:

  1. ファイル /etc/snmp/snmpd.conf に以下の行を追加します:

    view systemview included .1

  2. SNMP トラップの処理に必要な EngineID を取得します。この操作には、マスターサーバーで次のコマンドを実行します:

    snmpget -v2c -cpublic localhost SNMP-FRAMEWORK-MIB::snmpEngineID.0 2>/dev/null | sed -ne 's/ //g; s/.*:/0x/p'

  3. クラスターに含まれる各サーバーで、snmpd サービスを設定します。この操作を行うには:
    1. snmpd サービスを停止します。この操作には、次のコマンドを実行します:

      service snmpd stop

    2. 新しいユーザーを作成します。この操作には、次のコマンドを実行します:

      net-snmp-create-v3-user -ro -a SHA -A <パスワード> -x <パスワード> -X AES kwts-snmp-user

    3. 次の内容の /etc/snmp/snmpd.conf 設定情報ファイルを作成します:

      # accept KWTS statistics over unix socket

      agentXSocket unix:/var/run/agentx-master.socket

      agentXPerms 770 770 kluser klusers

      master agentx

      # accept incoming SNMP requests over UDP and TCP

      agentAddress udp:localhost:161,tcp:localhost:161

      rouser kwts-snmp-user priv .1.3.6.1

      SNMPv3 接続を使用した SNMP トラップの転送が不要な場合は、次の行を # でコメント化します。

      trapsess -e <EngineID> -v3 -l authPriv -u kwts-snmp-user -a SHA -A <パスワード> -x AES -X <パスワード> udp:localhost:162

    4. 設定情報ファイル /etc/snmp/snmp.conf に次の文字列を追加します。

      mibdirs +/opt/kaspersky/kwts/share/snmp-mibs/

      mibs all

    5. snmpd サービスを開始します。この操作には、次のコマンドを実行します:

      service snmpd start

    6. SNMP 接続を確認します。この操作には、次のコマンドを実行します:

      snmpwalk -mALL -v3 -l authPriv -u kwts-snmp-user -a SHA -A <パスワード> -x AES -X <パスワード> udp:localhost:161 .1.3.6.1.4.1.23668

      snmpget -v3 -l authPriv -u kwts-snmp-user -a SHA -A <パスワード> -x AES -X <パスワード> udp:localhost:161 .1.3.6.1.4.1.23668.2022.2.8.1.0

  4. SNMP トラップを受信するサーバーで、snmptrapd サービスを設定します。この操作を行うには:
    1. snmptrapd サービスを停止します。この操作には、次のコマンドを実行します:

      service snmptrapd stop

    2. オペレーティングシステムに応じて、編集用に次の設定情報ファイルを開きます:
      • Ubuntu、Debian

        /var/lib/snmpd/snmptrapd.conf

      • CentOS、SUSE Linux Enterprise Server、ALT Server、Red Hat Enterprise Linux。

        /var/lib/net-snmp/snmptrapd.conf

      設定情報ファイルが指定されたディレクトリに存在しない場合は作成します。

    3. 設定情報ファイルのに次の行を追加します:

      createUser -e <EngineID> kwts-snmp-user SHA "<パスワード>" AES "<パスワード>"

    4. 次の内容の /etc/snmp/snmptrapd.conf 設定情報ファイルを作成します:

      snmpTrapdAddr udp:<IP アドレス>:162,tcp:127.0.0.1:162

      authUser log kwts-snmp-user priv

      disableAuthorization no

      <IP アドレス>として、snmptrapd サービスがネットワーク接続を受信するために使用する IP アドレスを指定します。

    5. snmptrapd サービスを開始します。この操作には、次のコマンドを実行します:

      service snmptrapd start

    6. 次のコマンドを実行して、SNMP 接続を確認します:

      snmptrap -e <EngineID> -v3 -l authPriv -u kwts-snmp-user -a SHA -A <パスワード> -x AES -X <パスワード> udp:localhost:162 0 .1.3.6.1.4.1.23668.2022.1.411

SNMP 接続の暗号化が設定されます。

ページのトップに戻る