Zapojení

Možnosti

Data lze přijímat a odesílat některým z následujících způsobů:

Na klientskou knihovnu Wardenu (warden_client) napojíte svůj vlastní přijímací či odesílací kód napsaný v Pythonu.
Využijete warden_filer dostupný z balíčku „contrib“. Ten běží jako démon, komunikuje se serverem, a podle zvoleného směru buď přijímá zprávy a ukládá do zvoleného adresáře jako jednotlivé soubory ve formátu IDEA, nebo z adresáře naopak soubory vybírá a odesílá na server. Soubory můžete potom vytvářet nebo zpracovávat ve svém oblíbeném frameworku či jazyce.
Budete komunikovat přímo se serverem pomocí HTTP API (viz README pro warden_client). Opět můžete použít libovolné vhodné nástroje, včetně řádkových (curl, wget).

Klientskou knihovnu a další podpůrné skripty najdete na stránce ke stažení.

Registrace

Vyberte si jméno klienta - začíná doménou organizace v obráceném pořadí. Lze použít reverzní DNS jméno stroje doplněné názvem aplikace či senzoru. U detektorů, kde není rozumné zveřejňovat DNS jméno (honeypoty), je vhodné konec jména od DNS neodvozovat. U větších organizací doporučujeme použít i jméno příslušného oddělení (cz.organizace.ict.probe1) či jinou logickou strukturu (cz.organizace.detectors.probe1). Jméno se smí skládat pouze z písmen, číslic, podtržítek a teček. Jméno nesmí začínat číslicí.

Na kontaktní adresu pošlete podepsaným emailem (nejlépe osobním certifikátem TCS) tyto údaje:

zvolené jméno klienta
DNS jméno stroje
jméno a emailovou adresu správce (kam se mohou obracet správci Wardenu a automatizované kontrolní skripty)
o jakého klienta se jedná (příjímací či odesílající, testovací) a jeho stručný popis (detekční metody, software, typ produkovaných událostí, využití odebíraných dat)
můžete samozřejmě doplnit další informace či dotazy k nasazení

Po úspěšné registraci, která od Vás může vyžadovat další informace, získáte od správců šifrovaný email s úvodním tokenem pro vygenerování certifikátu.

Konfigurace

Po instalaci požádejte o certifikát spuštěním:

./warden_apply.sh "https://warden-hub.cesnet.cz/warden-ra" jmeno.vaseho.klienta token

(Skript najdete v sekci Ke stažení.)

V aktuálním adresáři vzniknou soubory key.pem a cert.pem (a csr.pem, který nadále není důležitý, ale můžete ho uschovat pro případné ladění).

Nastavte si konfigurační soubor klienta warden_client.cfg, například podle následujícího vzoru:

{
    "url": "https://warden-hub.cesnet.cz/warden3-sandbox",
    "certfile": "cert.pem",
    "keyfile": "key.pem",
    "filelog": {"level": "debug"},
    "name": "_jmeno_vaseho_klienta_"
}

V „url“ může být testovací server, tj. https://warden-hub.cesnet.cz/warden3-sandbox, nebo ostrý server https://warden-hub.cesnet.cz/warden3, záleží na domluvě se správci Wardenu na způsobu záběhu a testovacího provozu.

V případě použití warden_fileru může být výše uvedená konfigurace součástí přímo jeho konfiguračního souboru.

Uvedení do provozu

Zkuste přijmout, případně odeslat události, v případě neúspěchu zkontrolujte cesty k certifikátům a klíči a případnou chybu hledejte v logových hlášeních (standardně standardní chybový výstup či soubor _jmeno_vaseho_klienta_.log).
Odesílající klient může testovat na sandbox serveru, viz Konfigurace, ten je zcela oddělen od hlavního provozu.
Je také možné do do pole Category odesílaných zpráv přidat kategorii Test.
Jelikož jste vždy registrováni i pro příjem, můžete si pomocí přijímacího klienta ověřit, že události od Vás odcházejí ve správném formátu. Zejména tedy zkontrolujte, že:
- honeypot v záznamech nehlásí svou IP adresu (nejlépe je-li anonymizovaná),
- jako IP adresa se neobjeví nic z rozsahů z RFC1918, ani z dalších rozsahů, které byste neradi zveřejňovali.
Je-li vše v pořádku, požádejte na kontaktní adrese o zrušení testovacího provozu a po schválení správci změňte URL na ostrý server (viz Konfigurace), případně zrušte kategorii Test.
Znovu ověřte, že se vše odesílá správně. Pro opětovné testování lze i na ostrém Warden serveru kdykoli využít kategorii incidentů *Test*, která je standardně ignorována příjemci i moduly pro statistická pozorování.
Případné problémy či další dotazy směrujte opět na kontaktní adresu.