1.3. Présentation du GCap
de capturer et d'analyser le trafic réseau venant des TAPs
de reconstruire les fichiers présents dans le flux analysé (suivant des paramètres de type et de taille)
de réaliser une première analyse
de générer les événements de type alertes et/ou métadonnées
de transmettre les fichiers / codes / événements au GCenter
1.3.1. Différents modèles de serveurs
Pour plus d'informations, se référer à la partie Caractéristiques mécaniques des GCaps.
1.3.2. Description des entrées / sorties du GCap
1.3.2.1. Exemple d'un serveur GCenter DELL R340
1.3.2.2. Exemple d'un serveur GCenter DELL R360
1.3.2.3. Exemple d'un serveur GCenter DELL R640
1.3.2.4. Exemple d'un serveur GCenter DELL R660
1.3.2.5. Exemple d'un serveur GCenter DELL R840
1.3.2.6. Descriptif
Entrées /sorties |
Utilisation |
|---|---|
Connecteurs USB et VGA |
Accès direct avec un clavier et un écran
Ce mode de connexion est déprécié au profit de KVM/IDRAC/XCC et ne doit être utilisé qu’en dernier recours
|
Connecteur USB |
Branchement de la clé USB permettant le déchiffrement des disques (standard Linux Unified Key Setup) |
Connecteur RJ-45 |
Accès distant à l'interface de gestion et de configuration du serveur |
Connecteur RJ-45 |
Dans la configuration double interface: utilisée pour les rôles Management et tunnel
Dans la configuration de l’interface unique: utilisé pour le rôle Management uniquement
|
Connecteur RJ-45 |
Dans la configuration double interface : utilisée pour l’interface VPN dédiée du rôle tunnel
Dans la configuration de l’interface unique: non utilisé
|
Deux alimentations électriques |
Redondance des alimentations électriques du serveur |
Connecteurs SFP, SFP+, RJ-45 (
`MON1`, `MON0`, `MON3`, `MON2`) |
interfaces de capture reçoivent les flux issus des TAPs
|
La sonde de détection GCap possède :
deux connecteurs réseau (RJ-45...)
`management`et`tunnel`des connecteurs réseau (RJ-45 ou SFP..) pour la surveillance
`mon0`(rôle`capture`)deux alimentations électriques
1.3.2.7. Utilisation des connecteurs USB et VGA
Le branchement d'un clavier et d'un écran permet l'accès direct à l'interface console du serveur.
Important
1.3.2.8. Accès à l'interface de gestion et de configuration du serveur
L'accès à cette interface de gestion se fait en HTTPS :
sur un serveur Dell, ce connecteur est appelé iDRAC et est noté sur le schéma KVM/IDRAC GCap
sur un serveur Lenovo, ce connecteur est appelé TSM : ce connecteur est identifiable grâce au symbole d’une clé anglaise présent en dessous
1.3.2.9. Interfaces réseau management et tunnel (`gcp0`)
Important
Le concept de rôle est introduit dans la version 2.5.4.0.
Ces interfaces ont les rôles suivants :
rôle 1 : appelé
`tunnel`, communication sécurisée entre la sonde et le GCenter au travers d’un tunnel IPSEC afin de :remonter des informations (fichiers, alertes, metadata…), issues de l’analyse des flux surveillés
remonter des informations sur l’état de santé de la sonde au GCenter
piloter la sonde (règles d’analyses, signatures, etc)
rôle 2 : appelé
`management`, administration distante au travers du protocole SSH avec l’accès :à la CLI de la sonde
au menu graphique d’installation/configuration (déprécié)
1.3.2.9.1. Configuration des interfaces réseau `management` et `tunnel`
Pour plus d'informations sur ces interfaces et leur configuration, voir Présentation de la gestion des interfaces `Management` et `Tunnel`.
1.3.2.10. Interfaces de capture
Ces interfaces reçoivent :
les flux issus des TAPs sur les interfaces indiquées (
`mon0`à`monx`) appelés`capture`le flux venant de fichiers préalablement enregistrés (fichiers pcap) sur un interface dédié
`monvirt`
Note
Le nombre d'interfaces de capture est variable en fonction des spécificités de chaque modèle.
1.3.2.10.1. Activation des interfaces de capture `monx`
Pour plus d'informations, se référer au paragraphe Présentation de la gestion des interfaces de capture.
1.3.2.10.2. Agrégation des interfaces de capture `monx`
Pour plus d'informations, se référer à Interfaces de capture `monx` entre TAP et GCap : possibilité d'agrégation.