Обработка SNMP сообщений - ядро
SNMP сообщение, содержащее IP адрес коммутатора и номер вновь включившегося порта, посылается сетевым коммутатором на центральный сервер мониторинга при изменении статуса любого порта с "Выключен" на "Включен". Отправку таких сообщений поддерживают даже самые простые модели сетевых коммутаторов, поэтому реализовать инфраструктуру мониторинга всех портов локальной сети достаточно просто.
В качестве серверной части, обеспечивающей сбор SNMP сообщений, может выступать существующий в компании сервер сетевого мониторинга (HP OpenView, IBM Tivoli, Microsoft MOM, и т.п.).
Далее сообщение поступает на обработку, где производится определение (discovery) основных идентификационных параметров подключения.
Первым делом необходимо определить всю возможную информацию о новом соединении. Как показано на , в качестве источников информации о соединении могут быть сами сетевые коммутаторы, база данных СКС компании (о ней мы поговорим отдельно), а также база данных разрешенных соединений, в которой сохраняются все когда-либо обнаруженные подключения.
Анализ соединения позволяет определить важную информацию о сетевых свойствах (MAC адрес, IP адрес, VLAN, номер порта сетевого коммутатора, сетевое имя), и месторасположение подключенного компьютера.
После этого, с помощью базы данных соединений, хранящей информацию о соединениях и их статусе "Разрешено/Запрещено", производится проверка соединения на легитимность. Если обрабатываемое соединение зарегистрировано в базе, как разрешенное, то на этом его обработка завершается. Т.е. система просто игнорирует произошедшее события, расценивая его, как нормальную активность.
Если же соединение опознано как Запрещенное или неопознанное (новое) на консоль Администратора безопасности высылается Тревожное сообщение, а в БД Соединений заносится информация о факте нового или запрещенного соединения.