Chiffrement SNMP (vie privée)

Sun Management Center 3.5 Update 1 prend en charge le chiffrement des communications SNMP entre les composants serveur et agent de Sun Management Center. La prise en charge du chiffrement SNMP utilise l'algorithme de chiffrement symétrique CBC-DES. Vous remarquerez ce qui suit :

• Le chiffrement SNMP sur les hôtes du serveur et les agents de Sun Management Center dépend du package SUNWcry. Vous devez installer ce package séparément.

• Le chiffrement SNMP n'est pas pris en charge sur les agents Sun Management Center 3.5 et antérieurs même si le fichier SUNWcry est installé.

• La prise en charge du chiffrement SNMP est automatiquement configurée pendant la configuration de l'agent ou du serveur si le package SUNWcry est détecté.

• Si le chiffrement SNMP est pris en charge par l'agent, il peut être activé sur les serveurs Sun Management Center en utilisant le script es-config. En utilisant ce script, vous pouvez activer/désactiver la fonction de négociation automatique. Pour de plus amples informations, reportez-vous à Activation du chiffrement SNMP.

Fonctionnalité d'auto-négociation

Les serveurs Sun Management Center 3.5 Update 1 qui prennent en charge le chiffrement peuvent être configurés pour prendre en charge dynamiquement les agents que ces derniers prennent en charge ou non le chiffrement. Cette fonctionnalité est appelée l'auto-négociation et peut être activée ou désactivée.

Quand vous définissez la fonctionnalité d'auto-négociation sur on (activée) ou off (désactivée), vous vous assurez que le serveur utilise toujours le chiffrement lorsqu'il commence à communiquer avec des agents. Ce réglage est préférable dans les environnements dont les stratégies de sécurité sont très strictes. Si vous désactivez l'auto-négociation :

• Si l'agent prend en charge le chiffrement, il comprend les messages chiffrés SNMP.

• Si l'agent ne prend pas en charge le chiffrement, il ne comprend pas les messages chiffrés SNMP. Le délai d'attente s'écoule et un message de la console indique “Agent is not responding.” Le délai d'attente est enregistré dans le journal de l'agent.

Quand vous activez l'auto-négociation, le serveur chiffre ses communications SNMP avec un agent donné uniquement si ce dernier prend en charge le chiffrement. Ce mécanisme a les conséquences suivantes :

• Si l'agent prend en charge le chiffrement, il comprend les messages SNMP chiffrés.

• Si l'agent ne prend pas en charge le chiffrement, les messages SNMP sont seulement authentifiés (ils ne sont pas chiffrés).

Activation du chiffrement SNMP

Pour connaître l'état courant du chiffrement SNMP, exécutez la commande es-config sans argument.

Activation du chiffrement SNMP pour les installations de serveur

1. Assurez-vous que le package SUNWcry, qui contient la bibliothèque de chiffrement /usr/lib/libcrypt_d.so, est installé sur le système en tapant ce qui suit :

   % pkginfo | grep SUNWcry

   S'il l'est, le système indique ce qui suit :

   application SUNWcry

   ---

   Remarque :

   Le package SUNWcry fait partie du Solaris Encryption Kit. Pour vous procurer ce kit, consultez votre représentant commercial Sun. Vous trouverez d'importantes informations sur l'administration des systèmes sécurisés dans la documentation d'administration système Solaris.

   ---

2. Tapez la commande suivante en tant que superutilisateur depuis l'hôte de l'agent.

   # es-config -r

   Le système détecte si le package SUNWcry est ou non présent et arrête tous les composants de Sun Management Center. Le script demande ensuite le germe de sécurité.

3. Tapez le germe de sécurité.

   Le script demande alors la chaîne de communauté SNMPv1.

4. Quand il vous est demandé si vous voulez lancer la communication chiffrée, tapez o pour la lancer, n pour ne pas le faire.

5. Quand il vous est demandé si vous voulez activer la fonctionnalité d'auto-négociation, tapez o pour l'activer ou n pour ne pas le faire.

   Pour de plus amples détails sur la fonctionnalité d'auto-négociation, consultez Fonctionnalité d'auto-négociation.

Si le package SUNWcry est ajouté ou supprimé après la configuration initiale de l'agent, utilisez le script es-config pour activer le chiffrement SNMP pour l'agent.