8. Capacité de reconstruction de fichiers

Certains fichiers sur le GCap sont reconstruits au travers de protocoles (HTTP et SMTP) sélectionnés sur le GCenter.

La génération de certaines règles automatiques ne fonctionne pas sur le GCenter 2.5.3.100 avec la version du 2.5.3.104 du GCap. Cela est dû à un souci de compatibilité de version entre les deux équipements. Le problème sera résolu dans la version 2.5.3.105 du GCap.

Afin de contourner cela, il est nécessaire de créer manuellement les règles adéquates aux protocoles et les ajouter dans la sonde. Il faut utiliser une règle de reconstruction de fichier par extension.

La liste des protocoles est la suivante:

• HTTP

• SMTP

• FTP

• NFS

• SMB

• HTTP2

Important

Pour le moment, les protocoles NFS et HTTP2 ne sont pas supportés par le GCap.

L'administrateur a la possibilité d'ajouter une règle locale depuis le menu Adv Config pour les protocoles FTP et SMB. La syntaxe des règles pour ces protocoles est la suivante:

alert ftp-data any any -> any any (msg:"[ Message regle FTP ] FTP filestore all"; filestore; ftpdata_command:retr; sid:13371340; rev:1;)

alert smb any any -> any any (msg:"[ Message regle SMB ] SMB filestore all"; filestore; ftpdata_command:retr; sid:13371341; rev:1;)

Note

Dans la règle FTP c'est la syntaxe ftp-data qui doit être utilisée