Настройка шифрования SNMP-соединений
03 июля 2024
ID 184759
Сторонние программы могут получать доступ к данным, отправляемым по протоколу SNMP, или заменять эти данные своими данными. Для безопасной передачи данных по протоколу SNMP рекомендуется настроить шифрование SNMP-соединений.
Перед настройкой убедитесь, что на всех серверах с программой Kaspersky Web Traffic Security установлены службы snmpd и snmptrapd.
Чтобы настроить шифрование SNMP-соединений, выполните следующие действия:
- Добавьте в файл /etc/snmp/snmpd.conf следующую строку:
view systemview included .1
- Получите EngineID, необходимый для обработки SNMP-ловушек. Для этого на Управляющем сервере выполните команду:
snmpget -v2c -cpublic localhost SNMP-FRAMEWORK-MIB::snmpEngineID.0 2>/dev/null | sed -ne 's/ //g; s/.*:/0x/p'
- На каждом сервере, входящем в кластер, настройте службу snmpd. Для этого выполните следующие действия:
- Остановите службу snmpd. Для этого выполните команду:
service snmpd stop
- Создайте нового пользователя. Для этого выполните команду:
net-snmp-create-v3-user -ro -a SHA -A <password> -x <password> -X AES kwts-snmp-user
- Создайте конфигурационный файл /etc/snmp/snmpd.conf со следующим содержанием:
# accept KWTS statistics over unix socket
agentXSocket unix:/var/run/agentx-master.socket
agentXPerms 770 770 kluser klusers
master agentx
# accept incoming SNMP requests over UDP and TCP
agentAddress udp:localhost:161,tcp:localhost:161
rouser kwts-snmp-user priv .1.3.6.1
# comment the following line if you don't need SNMP traps forwarding over SNMPv3 connection
trapsess -e <EngineID> -v3 -l authPriv -u kwts-snmp-user -a SHA -A <password> -x AES -X <password> udp:localhost:162
- Добавьте в конфигурационный файл /etc/snmp/snmp.conf следующие строки:
mibdirs +/opt/kaspersky/kwts/share/snmp-mibs/
mibs all
- Запустите службу snmpd. Для этого выполните команду:
service snmpd start
- Проверьте SNMP-соединение. Для этого выполните следующие команды:
snmpwalk -mALL -v3 -l authPriv -u kwts-snmp-user -a SHA -A <password> -x AES -X <password> udp:localhost:161 .1.3.6.1.4.1.23668
snmpget -v3 -l authPriv -u kwts-snmp-user -a SHA -A <password> -x AES -X <password> udp:localhost:161 .1.3.6.1.4.1.23668.2022.2.8.1.0
- Остановите службу snmpd. Для этого выполните команду:
- На сервере, на котором вы хотите получать SNMP-ловушки, настройте службу snmptrapd. Для этого выполните следующие действия:
- Остановите службу snmptrapd. Для этого выполните команду:
service snmptrapd stop
- В зависимости от операционной системы откройте на редактирование следующий конфигурационный файл:
- Ubuntu или Debian.
/var/lib/snmpd/snmptrapd.conf
- CentOS, SUSE Linux Enterprise Server, Альт Сервер или Red Hat Enterprise Linux.
/var/lib/net-snmp/snmptrapd.conf
Если в указанной директории нет конфигурационного файла, вам необходимо его создать.
- Ubuntu или Debian.
- Добавьте в конфигурационный файл следующую строку:
createUser -e <EngineID> kwts-snmp-user SHA "<password>" AES "<password>"
- Создайте конфигурационный файл /etc/snmp/snmptrapd.conf со следующим содержанием:
snmpTrapdAddr udp:<IP-address>:162,tcp:127.0.0.1:162
authUser log kwts-snmp-user priv
disableAuthorization no
В качестве
<IP-address>
укажите IP-адрес, по которому сервис snmptrapd принимает сетевые соединения. - Запустите службу snmptrapd. Для этого выполните команду:
service snmptrapd start
- Проверьте SNMP-соединение с помощью команды:
snmptrap -e <EngineID> -v3 -l authPriv -u kwts-snmp-user -a SHA -A <password> -x AES -X <password> udp:localhost:162 0 .1.3.6.1.4.1.23668.2022.1.411
- Остановите службу snmptrapd. Для этого выполните команду:
Шифрование SNMP-соединений будет настроено.