1.3. Le GCap
Le GCap est un composant de type sonde.
Il permet :
de capturer et d'analyser le trafic réseau venant des TAPs
de générer les événements, les alertes et les métadonnées
de reconstruire les fichiers présents dans le flux
de communiquer avec le GCenter
1.3.1. Différents modèles de serveurs
Pour plus d'informations , se référer à la partie Caractéristiques.
1.3.2. Description des entrées / sorties du GCap
La sonde de détection GCap possède :
un connecteur USB et VGA pour accès direct avec un clavier et un écran. Ce mode de connexion est déprécié au profit de KVM/IDRAC/XCC et ne doit être utilisé qu’en dernier recours
un connecteur USB pour accueillir la clé USB permettant le déchiffrement des disques (standard Linux Unified Key Setup)
un connecteur RJ-45 pour l'accès à l'interface de gestion et de configuration du serveur (KVM/IDRAC/XCC)
deux connecteurs RJ-45
gcp0etgcp1des connecteurs RJ-45 et/ou fibre pour la surveillance
mon0deux alimentations électriques
1.3.2.1. Utilisation des connecteurs USB et VGA
Le branchement d'un clavier et d'un écran permet l'accès direct à l'interface console du serveur.
Important
Ce mode est déprécié, il ne doit être utilisé qu’à l’installation initiale et pour du diagnostic avancé.
1.3.2.2. Accès à l'interface de gestion et de configuration du serveur
L'accès à cette interface de gestion se fait en HTTPS :
sur un serveur Dell, ce connecteur est appelé iDRAC et est noté sur le schéma KVM/IDRAC GCap
sur un serveur Lenovo, ce connecteur est appelé TSM : ce connecteur est identifiable grâce au symbole d’une clé anglaise présent en dessous
1.3.2.3. Interfaces réseau gcp0 et gcp1
Ces interfaces ont les fonctions suivantes :
fonction 1 : communication sécurisée entre la sonde et le GCenter au travers d’un tunnel IPSEC afin de :
remonter des informations (fichiers, alertes, metadata…), issues de l’analyse des flux surveillés
remonter des informations sur l’état de santé de la sonde au GCenter
piloter la sonde (règles d’analyses, signatures...)
fonction 2 : administration distante au travers du protocole SSH avec l’accès :
à la CLI de la sonde
au menu graphique d’installation/configuration (déprécié)
En configuration mono-interface, ces fonctions sont portées uniquement par l’interface gcp0.
En configuration double-interface :
la fonction 1 est portée par l’interface
gcp0la fonction 2 est portée par l’interface
gcp1.
1.3.2.3.1. Configuration des interfaces réseau gcp0 et gcp1
Pour plus d'informations sur ces interfaces et leur configuration, se référer au paragraphe Interfaces réseau gcp0 et gcp1.
1.3.2.4. Interfaces de capture et de surveillance
Ces interfaces reçoivent :
les flux issus des TAPs sur les interfaces indiquées (
mon0àmonx),le flux venant de fichiers préalablement enregistrés (fichiers pcap) sur un interface dédié
monvirt.
Note
Le nombre de interfaces de capture est variable en fonction des spécificités de chaque modèle.
1.3.2.4.1. Activation des interfaces de capture et de surveillance monx
Pour plus d'informations, se référer au paragraphe Interfaces de capture et de surveillance : activation.
1.3.2.4.2. Agrégation des interfaces de capture et de surveillance monx
Pour plus d'informations, se référer au paragraphe Interfaces de capture et de surveillance mon entre TAP et GCap : possibilité d'agrégation.
1.3.3. Raccordement électrique
La sonde possède deux alimentations électriques qui ont chacune la puissance nécessaire au bon fonctionnement de l’équipement.
Il est fortement recommandé de raccorder chaque alimentation sur une arrivée électrique distincte.
1.3.4. Connecteur usb et clé LUKS
Lors de l’installation, le contenu des disques (hors /boot) est chiffré grâce au standard LUKS.
Lors de ce processus, une clé de chiffrement unique est générée et placée sur la clé USB connectée à la sonde.
Il est fortement recommandé de faire une copie de cette clé car, en cas de défaillance, les données présentes sur les disques ne seront plus accessibles.
Une fois le système démarré, la clé USB doit être retirée et placée dans un endroit sûr (ex: coffre-fort).