Guide de l'utilisateur de Sun Management Center 3.6

Chiffrement SNMP (Confidentialité)

Sun Management Center prend en charge le chiffrement des communications SNMP entre les composants serveur et agent de Sun Management Center. La prise en charge du chiffrement SNMP utilise l'algorithme de chiffrement symétrique CBC-DES.

Vous pouvez activer le chiffrement SNMP sur les serveurs Sun Management Center à l'aide du script es-config qui vous permet d'activer ou de désactiver la fonction de négociation automatique. Pour de plus amples détails, reportez-vous à Activation du chiffrement SNMP.

Chiffrement sous Solaris 9 ou antérieur

Pour les systèmes qui utilisent Solaris 9 ou antérieur, le chiffrement est basé sur le package SUNWcry.

Les conditions suivantes s'appliquent pour les systèmes sous Solaris 9 :

Le chiffrement SNMP sur le serveur Sun Management Center et les hôtes agents dépend du package SUNWcry, qui contient la bibliothèque de chiffrement /usr/lib/libcrypt_d.so. Vous devez installer ce package séparément.
Le chiffrement SNMP n'est pas pris en charge sur les agents Sun Management Center 3.5 et antérieurs même si le fichier SUNWcry est installé.
La prise en charge du chiffrement SNMP est automatiquement configurée pendant la configuration de l'agent ou du serveur si le package SUNWcry est détecté.

Chiffrement sous Solaris 10

Pour les systèmes qui utilisent Solaris 10, le chiffrement est basé sur la norme PKCS#11 (Public Key Cryptographic Standard).

PKCS#11 spécifie une API, appelée Cryptoki, pour les périphériques stockant des informations cryptographiques et effectuant des fonctions de cryptographie. Pour de plus amples informations sur la norme PKCS#11 définie par la société RSA, consultez le site http://www.rsasecurity.com/rsalabs.

Les conditions suivantes s'appliquent pour les systèmes sous Solaris 10 :

Le chiffrement SNMP sur le serveur Sun Management Center et les hôtes agents dépend du package SUNWcsl, qui contient la bibliothèque de chiffrement /usr/lib/libpkcs11.so. Ce package est installé par défaut.
Le chiffrement SNMP n'est pas pris en charge sur les serveurs et les agents Sun Management Center 3.5 et antérieurs même si le fichier SUNWcsl est installé.
La prise en charge du chiffrement SNMP est automatiquement configurée pendant la configuration de l'agent ou du serveur si le package SUNWcsl est détecté.

Chiffrement sous Linux

Pour les systèmes qui utilisent Linux, le chiffrement est basé sur la norme PKCS#11 (Public Key Cryptographic Standard).

Le chiffrement SNMP dépend de la bibliothèque de chiffrement PKCS11_API.so. Cette bibliothèque n'est pas installée par défaut. Vous devez la copier dans /usr/lib/pkcs11 et activer le démon pkcs_slot pour activer le chiffrement.

Fonctionnalité d'auto-négociation

Les serveurs Sun Management Center 3.6 qui prennent en charge le chiffrement peuvent être configurés pour assurer la prise en charge dynamique des agents indépendamment du fait que ces derniers prennent en charge ou non le chiffrement. Cette fonctionnalité, appelée auto-négociation, peut être activée ou désactivée.

En la définissant sur Off (Désactivée), vous vous assurez que le serveur utilise toujours le chiffrement lorsqu'il commence à communiquer avec des agents. Ce réglage est conseillé dans les environnements à stratégies de sécurité sont très strictes. Si vous désactivez l'auto-négociation :

Si l'agent prend en charge le chiffrement, il comprend les messages chiffrés SNMP.
Si l'agent ne prend pas en charge le chiffrement, il ne comprend pas les messages chiffrés SNMP. Le délai d'attente s'écoule et un message de la console indique “Agent is not responding” (Aucune réponse de l'agent). Le délai d'attente est enregistré dans le journal de l'agent.

Quand vous activez l'auto-négociation, le serveur chiffre ses communications SNMP avec un agent donné uniquement si ce dernier prend en charge le chiffrement. Ce mécanisme a les conséquences suivantes :

Si l'agent prend en charge le chiffrement, il comprend les messages chiffrés SNMP.
Si l'agent ne prend pas en charge le chiffrement, les messages SNMP sont seulement authentifiés (ils ne sont pas chiffrés).

Activation du chiffrement SNMP

Pour connaître l'état courant du chiffrement SNMP, exécutez la commande es-config sans argument.

Pour activer le chiffrement SNMP pour les installations de serveur

Étapes

Vérifiez si le package est installé.
- (Pour les systèmes sous Solaris 9 ou antérieur) Assurez-vous d'avoir installé le package SUNWcry , qui contient la bibliothèque de chiffrement /usr/lib/libcrypt_d.so, sur le système en tapant :
  % pkginfo | grep SUNWcry
  S'il l'est, le système indique ce qui suit :
  application SUNWcry
  Remarque –
  Le package SUNWcry fait partie du Solaris Encryption Kit. Pour vous procurer ce kit, consultez votre représentant commercial Sun. Vous trouverez d'importantes informations sur l'administration des systèmes sécurisés dans la documentation d'administration système Solaris.
- (Pour les systèmes sous Solaris 10) Assurez-vous d'avoir installé le package SUNWcsl, qui contient la bibliothèque de chiffrement /usr/lib/libpkcs11.so, sur le système en tapant :
  % pkginfo | grep SUNWcsl
  S'il l'est, le système indique ce qui suit :
  application SUNWcsl
- (Pour les systèmes sous Linux) Assurez-vous d'avoir copié la bibliothèque de chiffrement PKCS11_API.so dans /usr/lib/pkcs11 et activé le démon pkcs_slot.

Tapez la commande suivante en tant que superutilisateur depuis l'hôte du serveur.
# es-config -r
Le système détecte la présence du package approprié et arrête automatiquement tous les composants Sun Management Center. Le script demande ensuite le germe de sécurité.

Tapez le germe de sécurité.

Le script demande alors la chaîne de communauté SNMPv1.

Quand il vous est demandé si vous voulez lancer la communication chiffrée, tapez y (pour oui) pour accepter ou n (pour non) pour refuser.

quand il vous est demandé si vous voulez activer la fonctionnalité d'auto-négociation, tapez y (pour oui) pour accepter ou n (pour non) pour refuser.

Pour des informations détaillées sur la fonction d'auto-négociation, reportez-vous à Fonctionnalité d'auto-négociation.