cs:participation
Action unknown: indexoauthloginauth

Zapojení

Možnosti

Data lze přijímat a odesílat některým z následujících způsobů:

  • Na klientskou knihovnu Wardenu (warden_client) napojíte svůj vlastní přijímací či odesílací kód napsaný v Pythonu.
  • Využijete warden_filer dostupný z balíčku „contrib“. Ten běží jako démon, komunikuje se serverem, a podle zvoleného směru buď přijímá zprávy a ukládá do zvoleného adresáře jako jednotlivé soubory ve formátu IDEA, nebo z adresáře naopak soubory vybírá a odesílá na server. Soubory můžete potom vytvářet nebo zpracovávat ve svém oblíbeném frameworku či jazyce.
  • Budete komunikovat přímo se serverem pomocí HTTP API (viz README pro warden_client). Opět můžete použít libovolné vhodné nástroje, včetně řádkových (curl, wget).

Klientskou knihovnu a další podpůrné skripty najdete na stránce ke stažení.

Registrace

Vyberte si jméno klienta - začíná doménou organizace v obráceném pořadí. Lze použít reverzní DNS jméno stroje doplněné názvem aplikace či senzoru. U detektorů, kde není rozumné zveřejňovat DNS jméno (honeypoty), je vhodné konec jména od DNS neodvozovat. U větších organizací doporučujeme použít i jméno příslušného oddělení (cz.organizace.ict.probe1) či jinou logickou strukturu (cz.organizace.detectors.probe1). Jméno se smí skládat pouze z písmen, číslic, podtržítek a teček. Jméno nesmí začínat číslicí.

Na kontaktní adresu pošlete podepsaným emailem (nejlépe osobním certifikátem TCS) tyto údaje:

  • zvolené jméno klienta
  • DNS jméno stroje
  • jméno a emailovou adresu správce (kam se mohou obracet správci Wardenu a automatizované kontrolní skripty)
  • o jakého klienta se jedná (příjímací či odesílající, testovací) a jeho stručný popis (detekční metody, software, typ produkovaných událostí, využití odebíraných dat)
  • můžete samozřejmě doplnit další informace či dotazy k nasazení

Po úspěšné registraci, která od Vás může vyžadovat další informace, získáte od správců šifrovaný email s úvodním tokenem pro vygenerování certifikátu.

Konfigurace

Po instalaci požádejte o certifikát spuštěním:

./warden_apply.sh "https://warden-hub.cesnet.cz/warden-ra" jmeno.vaseho.klienta token

(Skript najdete v sekci Ke stažení.)

V aktuálním adresáři vzniknou soubory key.pem a cert.pem (a csr.pem, který nadále není důležitý, ale můžete ho uschovat pro případné ladění).

Nastavte si konfigurační soubor klienta warden_client.cfg, například podle následujícího vzoru:

{
    "url": "https://warden-hub.cesnet.cz/warden3-sandbox",
    "certfile": "cert.pem",
    "keyfile": "key.pem",
    "filelog": {"level": "debug"},
    "name": "_jmeno_vaseho_klienta_"
}

V „url“ může být testovací server, tj. https://warden-hub.cesnet.cz/warden3-sandbox, nebo ostrý server https://warden-hub.cesnet.cz/warden3, záleží na domluvě se správci Wardenu na způsobu záběhu a testovacího provozu.

V případě použití warden_fileru může být výše uvedená konfigurace součástí přímo jeho konfiguračního souboru.

Uvedení do provozu

  • Zkuste přijmout, případně odeslat události, v případě neúspěchu zkontrolujte cesty k certifikátům a klíči a případnou chybu hledejte v logových hlášeních (standardně standardní chybový výstup či soubor _jmeno_vaseho_klienta_.log).
  • Odesílající klient může testovat na sandbox serveru, viz Konfigurace, ten je zcela oddělen od hlavního provozu.
  • Je také možné do do pole Category odesílaných zpráv přidat kategorii Test.
  • Jelikož jste vždy registrováni i pro příjem, můžete si pomocí přijímacího klienta ověřit, že události od Vás odcházejí ve správném formátu. Zejména tedy zkontrolujte, že:
    • honeypot v záznamech nehlásí svou IP adresu (nejlépe je-li anonymizovaná),
    • jako IP adresa se neobjeví nic z rozsahů z RFC1918, ani z dalších rozsahů, které byste neradi zveřejňovali.
  • Je-li vše v pořádku, požádejte na kontaktní adrese o zrušení testovacího provozu a po schválení správci změňte URL na ostrý server (viz Konfigurace), případně zrušte kategorii Test.
  • Znovu ověřte, že se vše odesílá správně. Pro opětovné testování lze i na ostrém Warden serveru kdykoli využít kategorii incidentů *Test*, která je standardně ignorována příjemci i moduly pro statistická pozorování.
  • Případné problémy či další dotazy směrujte opět na kontaktní adresu.
Last modified:: 10.01.2022 14:08