1.5. Présentation de la GBox

La GBox est un équipement pouvant fonctionner de manière autonome ou conjointement avec le GCenter.
Cette appliance permet :

  • de recevoir automatiquement des fichiers suspicieux et donc nécessitant une analyse approfondie des malwares sans avoir recours à un service externe

  • d'analyser à la demande des fichiers suspicieux depuis l'interface Web UI du GCenter

  • de renvoyer des rapports au GCenter pour les fichiers qui lui ont été soumis et visibles depuis l'interface Web UI du GCenter et dans celle de la GBox

  • d'analyser des fichiers directement sur la Web UI de la GBox et de générer un rapport correspondant

  • à l'utilisateur d'effectuer manuellement une analyse sur les noms de domaines ayant été générés par des DGA (Domain Generation Algorithm)

Elle dispose de quatre moteurs d'analyse complémentaires, permettant une analyse statique, dynamique et heuristique ainsi que la détection de shellcode et d'un moteur pour détecter des noms de domaines ayant été générés par des DGA
Ces moteurs d'analyse sont abordés plus en détail dans la section Moteurs d'analyse.

1.5.1. Modèles de serveur

Pour plus d'informations, se référer à la partie Caractéristiques mécaniques.

1.5.2. Liste des entrées / sorties de la GBox

../_images/gbox_back.png

La GBox possède :

Repère

Nom

4
Connecteur RJ-45 `GBX0` : interface de management et lien avec le GCenter .
Connecteur RJ-45 `GBX1` : interface dédiée aux Machines Virtuelles pour l'accès Internet, l'accès des VMs de Gnest peut se faire par ce lien
Connecteur RJ-45 `GBX2` : Non utilisé
Connecteur RJ-45 `GBX3` : Non utilisé

5
Connecteur USB : branchement de la clé USB permettant le déchiffrement des disques (standard Linux Unified Key Setup)
Connecteur USB : accès direct avec un clavier
Ce mode de connexion est déprécié au profit de KVM/IDRAC/XCC et ne doit être utilisé qu’en dernier recours

6
Connecteur VGA : accès direct avec un écran.
Ce mode de connexion est déprécié au profit de KVM/IDRAC/XCC et ne doit être utilisé qu’en dernier recours

Note

Le détail des connecteurs est indiqué dans le Manuel d’installation et de maintenance Dell EMC PowerEdge R640.

1.5.2.1. Utilisation des connecteurs USB et VGA

Le branchement d'un clavier et d'un écran permet l'accès direct à l'interface console du GCenter.

Important

Ce mode est déprécié.
Il ne doit être utilisé qu’à l’installation initiale et pour du diagnostic avancé.

1.5.2.2. Accès à l'interface de gestion et de configuration du serveur

L'accès à cette interface de gestion se fait en HTTPS :

  • sur un serveur Dell, ce connecteur est appelé iDRAC et est noté sur le schéma KVM/IDRAC

  • sur un serveur Lenovo, ce connecteur est appelé TSM : ce connecteur est identifiable grâce au symbole d’une clé anglaise présent en dessous

1.5.2.3. Interface réseau `Gbx0`

Cette interface permet l'administration distante au travers du protocole SSH pour l'accès :

  • au menu d’installation/configuration

  • à l'interface Web d'utilisation / administration

Cette interface sert aussi à l'envoi des fichiers à analyser depuis le GCenter vers la GBox.

1.5.2.4. Interface réseau `Gbx1`

Cette interface réseau permet aux machines virtuelles (sandbox) du moteur Gnest d'accéder à Internet directement ou via un proxy.
Cet accès est optionnel et doit être configuré.

1.5.2.5. Raccordement électrique

Le serveur possède deux alimentations électriques qui ont chacune la puissance nécessaire au bon fonctionnement de l’équipement.
Il est fortement recommandé de raccorder chaque alimentation sur une arrivée électrique distincte.

1.5.2.6. Connecteur USB et clé LUKS

Lors de l’installation, le contenu des disques (hors /boot) est chiffré grâce au standard LUKS.
Lors de ce processus, une clé de chiffrement unique est générée et placée sur la clé USB connectée à l'équipement.
Au démarrage, la clé USB doit impérativement être branchée sur l'équipement afin que les disques puissent être déchiffrés.
Il est fortement recommandé de faire une copie de cette clé car, en cas de défaillance, les données présentes sur les disques ne seront plus accessibles.
Une fois le système démarré, il est recommandé de retirer cette clé USB et de la placer dans un endroit sûr (ex: coffre-fort).