SNMP 接続の暗号化の設定
2023年12月13日
ID 184759
サードパーティのプログラムが SNMP を使用して送信されたデータにアクセスすることや、そのデータを独自のデータで置き換えることがあります。SNMP を使用したセキュアな通信を確立するためには、SNMP 接続の暗号化を設定してください。
設定前に、Kaspersky Web Traffic Security がインストールされているすべてのサーバーに snmpd サービスと snmptrapd サービスがインストールされていることを確認します。
SNMP 接続の暗号化を設定するには:
- ファイル /etc/snmp/snmpd.conf に以下の行を追加します:
view systemview included .1
- SNMP トラップの処理に必要な EngineID を取得します。この操作には、マスターサーバーで次のコマンドを実行します:
snmpget -v2c -cpublic localhost SNMP-FRAMEWORK-MIB::snmpEngineID.0 2>/dev/null | sed -ne 's/ //g; s/.*:/0x/p'
- クラスターに含まれる各サーバーで、snmpd サービスを設定します。この操作を行うには:
- snmpd サービスを停止します。この操作には、次のコマンドを実行します:
service snmpd stop
- 新しいユーザーを作成します。この操作には、次のコマンドを実行します:
net-snmp-create-v3-user -ro -a SHA -A <パスワード> -x <パスワード> -X AES kwts-snmp-user
- 次の内容の /etc/snmp/snmpd.conf 設定情報ファイルを作成します:
# accept KWTS statistics over unix socket
agentXSocket unix:/var/run/agentx-master.socket
agentXPerms 770 770 kluser klusers
master agentx
# accept incoming SNMP requests over UDP and TCP
agentAddress udp:localhost:161,tcp:localhost:161
rouser kwts-snmp-user priv .1.3.6.1
SNMPv3 接続を使用した SNMP トラップの転送が不要な場合は、次の行を # でコメント化します。
trapsess -e <EngineID> -v3 -l authPriv -u kwts-snmp-user -a SHA -A <パスワード> -x AES -X <パスワード> udp:localhost:162
- 設定情報ファイル /etc/snmp/snmp.conf に次の文字列を追加します。
mibdirs +/opt/kaspersky/kwts/share/snmp-mibs/
mibs all
- snmpd サービスを開始します。この操作には、次のコマンドを実行します:
service snmpd start
- SNMP 接続を確認します。この操作には、次のコマンドを実行します:
snmpwalk -mALL -v3 -l authPriv -u kwts-snmp-user -a SHA -A <パスワード> -x AES -X <パスワード> udp:localhost:161 .1.3.6.1.4.1.23668
snmpget -v3 -l authPriv -u kwts-snmp-user -a SHA -A <パスワード> -x AES -X <パスワード> udp:localhost:161 .1.3.6.1.4.1.23668.2022.2.8.1.0
- snmpd サービスを停止します。この操作には、次のコマンドを実行します:
- SNMP トラップを受信するサーバーで、snmptrapd サービスを設定します。この操作を行うには:
- snmptrapd サービスを停止します。この操作には、次のコマンドを実行します:
service snmptrapd stop
- オペレーティングシステムに応じて、編集用に次の設定情報ファイルを開きます:
- Ubuntu、Debian
/var/lib/snmpd/snmptrapd.conf
- CentOS、SUSE Linux Enterprise Server、ALT Server、Red Hat Enterprise Linux。
/var/lib/net-snmp/snmptrapd.conf
設定情報ファイルが指定されたディレクトリに存在しない場合は作成します。
- Ubuntu、Debian
- 設定情報ファイルのに次の行を追加します:
createUser -e <EngineID> kwts-snmp-user SHA "<パスワード>" AES "<パスワード>"
- 次の内容の /etc/snmp/snmptrapd.conf 設定情報ファイルを作成します:
snmpTrapdAddr udp:<IP アドレス>:162,tcp:127.0.0.1:162
authUser log kwts-snmp-user priv
disableAuthorization no
<IP アドレス>
として、snmptrapd サービスがネットワーク接続を受信するために使用する IP アドレスを指定します。 - snmptrapd サービスを開始します。この操作には、次のコマンドを実行します:
service snmptrapd start
- 次のコマンドを実行して、SNMP 接続を確認します:
snmptrap -e <EngineID> -v3 -l authPriv -u kwts-snmp-user -a SHA -A <パスワード> -x AES -X <パスワード> udp:localhost:162 0 .1.3.6.1.4.1.23668.2022.1.411
- snmptrapd サービスを停止します。この操作には、次のコマンドを実行します:
SNMP 接続の暗号化が設定されます。