Configuração da criptografia de conexões SNMP
13 de dezembro de 2023
ID 184759
Programas de terceiros podem acessar dados enviados por meio de SNMP ou substitui-los por seus próprios dados. Para garantir a comunicação segura por meio de SNMP, é recomendado configurar a criptografia das conexões SNMP.
Antes da configuração, certifique-se de que os serviços snmpd e snmptrapd estejam instalados em todos os servidores em que o Kaspersky Web Traffic Security estiver instalado.
Para configurar a criptografia de conexões SNMP:
- Adicione a seguinte linha ao arquivo /etc/snmp/snmpd.conf:
view systemview included .1
- Receba um EngineID, necessário para processar as interceptações de SNMP. Para fazer isso, no Servidor mestre, execute o comando:
snmpget -v2c -cpublic localhost SNMP-FRAMEWORK-MIB::snmpEngineID.0 2>/dev/null | sed -ne 's/ //g; s/.*:/0x/p'
- Configure o serviço snmpd em cada servidor parte do cluster. Para fazer isso:
- Interrompa o serviço snmpd. Para fazer isso, execute o comando:
service snmpd stop
- Crie um novo usuário. Para fazer isso, execute o comando:
net-snmp-create-v3-user -ro -a SHA -A <password> -x <password> -X AES kwts-snmp-user
- Crie o arquivo de configuração /etc/snmp/snmpd.conf com o seguinte conteúdo:
# accept KWTS statistics over unix socket
agentXSocket unix:/var/run/agentx-master.socket
agentXPerms 770 770 kluser klusers
master agentx
# accept incoming SNMP requests over UDP and TCP
agentAddress udp:localhost:161,tcp:localhost:161
rouser kwts-snmp-user priv .1.3.6.1
# comment the following line if you don't need SNMP traps forwarding over SNMPv3 connection
trapsess -e <EngineID> -v3 -l authPriv -u kwts-snmp-user -a SHA -A <senha> -x AES -X <senha> udp:localhost:162
- Adicione as seguintes cadeias de caracteres ao arquivo de configuração /etc/snmp/snmp.conf:
mibdirs +/opt/kaspersky/kwts/share/snmp-mibs/
mibs all
- Inicie o serviço snmpd. Para fazer isso, execute o comando:
service snmpd start
- Verifique a conexão SNMP. Para fazer isso, execute os seguintes comandos:
snmpwalk -mALL -v3 -l authPriv -u kwts-snmp-user -a SHA -A <password> -x AES -X <password> udp:localhost:161 .1.3.6.1.4.1.23668
snmpget -v3 -l authPriv -u kwts-snmp-user -a SHA -A <password> -x AES -X <password> udp:localhost:161 .1.3.6.1.4.1.23668.2022.2.8.1.0
- Interrompa o serviço snmpd. Para fazer isso, execute o comando:
- Configure o serviço snmptrapd no servidor em que deseja receber as interceptações de SNMP. Para fazer isso:
- Interrompa o serviço snmptrapd. Para fazer isso, execute o comando:
service snmptrapd stop
- Dependendo do sistema operacional, abra o seguinte arquivo de configuração para edição:
- Ubuntu ou Debian.
/var/lib/snmpd/snmptrapd.conf
- CentOS, SUSE Linux Enterprise Server, ALT Server ou Red Hat Enterprise Linux.
/var/lib/net-snmp/snmptrapd.conf
Se um arquivo de configuração não existir no diretório especificado, crie-o.
- Ubuntu ou Debian.
- Adicione a seguinte linha ao arquivo de configuração:
createUser -e <EngineID> kwts-snmp-user SHA "<password>" AES "<password>"
- Crie o arquivo de configuração /etc/snmp/snmptrapd.conf com o seguinte conteúdo:
snmpTrapdAddr udp:<endereço IP>:162,tcp:127.0.0.1:162
authUser log kwts-snmp-user priv
disableAuthorization no
Como o
<endereço IP>
, especifique o endereço IP usado pelo serviço snmptrapd para receber as conexões da rede. - Inicie o serviço snmptrapd. Para fazer isso, execute o comando:
service snmptrapd start
- Verifique a conexão SNMP com o seguinte comando:
snmptrap -e <EngineID> -v3 -l authPriv -u kwts-snmp-user -a SHA -A <senha> -x AES -X <senha> udp:localhost:162 0 .1.3.6.1.4.1.23668.2022.1.411
- Interrompa o serviço snmptrapd. Para fazer isso, execute o comando:
A criptografia da conexões SNMP é configurada.