This is an old revision of the document!
Systém se skládá z hlavního Warden serveru, obstarávajícího veškerou zásadní činnosti, a dvou typů klientů. Prvním typem je Odesílající klient, který se stará o dodávání informací poskytovaných zapojenou organizací na Warden server. Druhý typ představuje Odebírající klient určený pro získávaní informací požadovaných zapojenou organizací. Klienta je možné nastavit pro příjem konkrétního typu události požadovaného organizací.
Serverová strana systému Warden (centrum) zajišťuje přijetí a ukládání informací zasílaných klienty. Poskytuje také rozhraní pro přístup ke všem platným uloženým událostem. Vlastní odesílání a přístup k událostem uloženým na serveru je chráněno autentizací pomocí X.509 certifikátu.
Událost v systému Warden představuje informace o zdroji hrozby zaznamenaná některým ze zapojených členů. Informace jsou získávány z detekčních systémů provozovaných v síti spolupracující organizace, jako jsou například IDS, síťové pasti (honeypoty) a monitoring útoků na autentizaci SSH.
Reálný obsah jednotlivých událostí se liší dle jejich typu, ale obecně jsou k dispozici níže uvedené položky. Pokud není některá položka použita, případně není dostupná, je nastavena na hodnotu undef.
id | ID události přidělené Warden serverem. |
hostname | Hostname reportujícho klienta. |
service | Název reportujího klienta (služby). |
detected | Časová známka detekce události. |
received | Časová známka přidělená Warden serverem při uložení události. |
type | Číselník typů zasílaných událostí (portscan, bruteforce, probe, spam, phishing, botnet_c_c, dos, malware, copyright, webattack, test, other). |
source_type | Číselník označující typ pole source (URL, IP, Reply-To:) |
source | Zdroj hrozby odpovídající typem obsahu poli source_type . |
target_proto | Port kam hrozba směřuje, pokud je pro typ události dostupný. |
target_port | Port kam hrozba směřuje, pokud je dostupný. |
note | Pole pro dodatečné informace (např. text phishingového emailu). |
valid | Označuje, zda je událost platná (True/False). |
attack_scale | Odhad závažnosti hrozby (síly útoku). |
priority | Odhad priority hrozby. |
timeout | Odhad aktuálnosti hrozby. |
Odesílající klient poskytuje základní funkcionalitu potřebnou pro odeslání informací o hrozbě zachycené zapojenou organizací na hlavní server systému Warden. V balíčku je dostupný jednoduchý demonstrační klient společně s bohatou dokumentací. Organizace tak může jednoduše odesílat ze svých detekčních nástrojů informace do systému Warden. Aktuální stabilní verze odesílajícího klienta je volně dostupná na stránce Ke stažení.
Odebírající klient poskytuje organizaci jednoduchý nástroj umožňující stáhnout z Warden serveru požadované informace a zobrazit, případně je zapsat do souboru. V balíčku je společně s tímto klientem dostupná rozsáhlá dokumentace umožňující organizaci vytvořit si propojení systému Warden se svými vnitřními systémy. Aktuální stabilní verze odesílajícího klienta je volně dostupná na stránce Ke stažení.
CESNET, z. s. p. o.
Generála Píky 26
160 00 Praha 6
Tel: +420 234 680 222
Fax: +420 224 320 269
info@cesnet.cz
Tel: +420 234 680 222
GSM: +420 602 252 531
Fax: +420 224 313 211
support@cesnet.cz