1. Présentation des équipements
1.1. GCenter
Le GCENTER est l'équipement de gestion centralisée de la solution TRACKWATCH, il permet d'une part de recevoir et d'analyser les alertes émises depuis les sondes GCAP et d'autre part de configurer la solution TRACKWATCH de façon intuitive.
Le GCENTER dispose donc de 5 interfaces ayant les rôles suivants :
KVM/IDRAC : Interface d'administration à distance
SUP0 : Interaction avec Nagios
ICAP0 : Interaction avec le Proxy
VPN0 : Interface dédiée aux VPN avec les GCAP (optionnel)
MGMT0 : Interface de management
Note
Bien que le nom des interfaces puisse laisser penser que ces interfaces sont dédiées, il est possible d'utiliser ces interfaces pour d'autres besoins via les options "output interfaces".
1.2. GCAP
Les sondes GCAP permettent d'analyser le flux reçu afin de détecter, capturer, reconstruire, trier et transmettre les fichiers, codes malveillants, évènements au GCENTER
En plus des 3 interfaces de gestion, les sondes GCAP disposent d'un nombre variable d'interface de capture :
KVM/IDRAC : Interface d'administration à distance
GCP0 : Interface VPN (et optionnellement interface de management)
GCP1 : Interface dédiée de management (optionnel)
mon0-monX : Interface de capture
L'utilisation de l'interface GCP1 afin de séparer le flux de management du trafic IPSec du VPN peut être obligatoire dans le cas d'environnement sensible. Dans le cas contraire il est possible de n'utiliser que l'interface GCP0 pour faire transiter les flux de management et VPN.
2. Matrice de flux
Comme expliqué précédemment, deux modes de communication sont possible concernant la communication entre les GCAP et le GCENTER.
Le premier mode, qui est le mode obligatoire dans le cas d'un environnement sensible est le suivant :
Le second mode, permet quant à lui de mutualisé une interface pour y faire transiter les flux de management et du VPN.
3. Exemple d'architectures
Bien que l'implantation de la solution TRACKWATCH soit dépendante de l'architecture du SI, voici trois exemples d'implémentation type.
Dans le cas de système d'information sensible (soumis à la LPM par exemple), parmi les exemples fournis seuls les deux derniers sont possibles.
4. Configuration
4.1. Configuration initiale
Note
L'installation et la configuration des sondes GCAP sont abordées dans la documentation GCAP disponible à l'adresse https://docs.gatewatcher.com/gcap.html.
Bien qu'une grande partie de la solution soit déjà configurée par les équipes Gatewatcher, il sera nécessaire d'effectuer, a minima, la configuration réseau du GCenter afin de pouvoir accéder à l'interface.
Lors de la première connexion il sera nécessaire d'accéder au GCENTER via l'interface iDRAC ou un terminal afin d'effectuer la configuration réseau.
L'utilisateur à utiliser est l'utilisateur setup, par défaut le mot de passe de cet utilisateur est : default.
Important
Il est important de changer ce mot de passe dès que possible.
Une fois connecté, le menu de configuration s'affichera :
Si nécessaire, sélectionner l'entrée Keyboard afin d'utiliser une configuration de touche azerty.
Puis en sélectionnant l'entrée Network, il suffira de répondre au différentes questions. Voici un exemple des questions posées lors de la configuration initiale
Une fois cette première configuration effectuée, il est possible de se connecter à l'interface du GCENTER via un navigateur web en https à l'adresse configurée.
4.2. Configuration globale
Une fois connecté à l'interface, dans le menu présent sur la gauche se trouve deux sections : Operators et Administrators correspondant aux actions pouvent être effectuées par les utilisateurs de ces groupes.
La partie Gcenter - Configuration de la section ADMINISTRATORS du GCENTER est tout particulièrement importante car elle permettra d'apporter des modifications majeures sur l'équipement, les fonctionnalités, les interconnexions ou même sur les résultats d'analyse.
Depuis cette interface de configuration, l'administrateur pourra personnaliser les paramètres de la solution de management GCENTER avec ces sept onglets :
4.2.1. Global Settings
Menu : Administrators > GCenter > Configuration > Global Settings
Chacune des sous options du menu va être détaillée pour une meilleure compréhension du produit. Ces options vont vous permettre d'affiner au maximum vos critères pour optimiser au mieux le fonctionnement général.
Company (valeur par défaut : vide): Ce champ permet d'ajouter le nom de la société sur les rapports d'analyse de détection. Ces rapports peuvent être téléchargés après avoir fait une association entre la solution TRACKWATCH et la plateforme Intelligence.
Password for zipped malware files (valeur par défaut : vide) : permet de changer le mot de passe qui protégera l'archive lors du téléchargement des malwares et de les décompresser afin d'éviter un clic malheureux. Ce mot de passe sera le même pour le téléchargement des shellcodes. Le détail de cette fonctionnalité est décrit plus en détail dans les parties Malcore
Data retention (in days) (valeur par défaut : 15 ) : permet de choisir le nombre de jours où les fichiers et l'index de la solution TRACKWATCH sont conservés sur disque. A noter que la configuration s'applique en deux étapes : la première sur le GCENTER au niveau de ce champs, la deuxième au niveau de la sonde de détection GCAP dans les paramètres de configuration.
GScan enable (valeur par défaut : activé) : permet d'analyser de manière locale en temps réel des malwares ou des exécutables suspects. Dans le cadre de la Loi de Programmation Militaire, la fonctionnalité GScan est désactivée par défaut dans cette interface de gestion.
Privacy SMTP enable (valeur par défaut : désactivé) fait en sorte de respecter les droits relatifs à la protection des données personnelles en cachant le champ email.subject des alertes SMTP dans les dashboards GATEWATCHER pour les emails privés. Un email est considéré comme privé si son sujet commence par les mots privé, prive ou private (non sensible à la casse). Cette option est désactivée par défaut.
GeoIP enable (valeur par défaut : désactivé) : active la géolocalisation des ip sources et destination dans les évènements. Cette option doit être activée pour que la fonction SmartMap puisse fonctionner. Les champs suivants seront ajoutés aux évènements
| Champ | exemple |
|---|---|
| (src|dest)_geoip.city_name | Tokyo |
| (src|dest)_geoip.continent_code | AS |
| (src|dest)_geoip.coordinates | 8, 16, 8, 16, 139.753, 35.688 |
| (src|dest)_geoip.country_code2 | JP |
| (src|dest)_geoip.country_code3 | JP |
| (src|dest)_geoip.country_name | Japan |
| (src|dest)_geoip.ip | 27.0.0.146 |
| (src|dest)_geoip.latitude | 35.688 |
| (src|dest)_geoip.location | { "lon": 139.7532, "lat": 35.6882 } |
| (src|dest)_geoip.longitude | 139.753 |
| (src|dest)_geoip.postal_code | 102-0082 |
| (src|dest)_geoip.region_code | 13 |
| (src|dest)_geoip.region_name | Tokyo |
| (src|dest)_geoip.timezone | Asia/Tokyo |
Input interface : permet d'activer/désactiver les interfaces sur lequel le GCENTER se mettra en écoute sur les ports ci-après .
HTTP listening port (valeur par défaut : 80) : le port d'écoute lié au protocole http.
HTTPs listening port (valeur par défaut : 80) : le port d'écoute lié au protocole https.
Outbound HTTP interface : l'interface physique de sortie pour tous les flux http.
SSH banner (valeur par défaut : vide ) : bannière SSH présentée lors de la pré-authentification sur l'ensemble des GCaps appairés ainsi que le GCenter.
Une fois les modifications effectuées, il sera nécessaire d'enregistrer ces changements en cliquant sur le bouton Save.
Important
Si les équipements GCENTER et GCAP sont dans un environnement faisant partie du cadre LPM (Loi de Programmation Militaire) le service GSCAN est automatiquement désactivé et ne peut être activé. Pour plus d'informations, se reporter à la section LPM de ce document pour la désactivation du GScan.
4.2.2. Proxy Settings
Menu : Administrators > GCenter > Configuration > Proxy Settings
La solution TRACKWATCH offre la possibilité de configurer un serveur mandataire (ou proxy) afin de récupérer les updates (mise à jour de signatures) via celui-ci.
Enable Web Proxy : Active/Désactive l'utilisation du proxy
Proxy address : Adresse du serveur mandataire sous forme d'adresse IP ou de FQDN
Proxy port : Port d'écoute du proxy (1-65535)
Output interface : l'interface du GCENTER à utiliser pour joindre le proxy.
Do not use proxy for Hurukai/MISP/GBOX/GUM : permet à l'administrateur de décider s'il souhaite utiliser les paramètres du proxy pour l'intégration avec des serveurs Hurukai/MISP ou pour l'accès à une GBOX ou GUM.
Une fois les modifications effectuées, il sera nécessaire d'enregistrer ces changements en cliquant sur le bouton Save.
Ce mode de mise à jour fait partie de la conformité de la Loi de Programmation Militaire (LPM). De ce fait l'entité concernée fera ses mises à jour sur un serveur de mise à jour dédié. Pour plus d'informations, se reporter à l'annexe concernant les spécificités liés à la LPM de ce document et la section update.
4.2.3. SSL Settings
Menu : Administrators > GCenter > Configuration > SSL Settings
Cette interface permet de configurer le certificat SSL (Secure Socket Layer) du GCENTER. Le certificat généré attestera de l'identité du GCENTER et permettra de chiffrer les données échangées. Il est également possible depuis cette page de configurer l'authentification mutuelle (mTLS).
La section Security details permet d'obtenir des informations sur le certificat en cours d'utilisation pas le GCENTER.
In use certificate details : affiche les informations sur le certificat comme la date d'émission et d'expiration, l'émetteur de ce certificat, etc. CA certificate informations : affiche les informations que le serveur possède sur l'autorité de certification permettant d'identifier l'identité des correspondants dans la partie Dual Authentication.
CRL informations : énumère les identifiants qui ont été révoqués ou invalidés et qui ne sont plus dignes de confiances.
La section Custom Certificate, permet d'utiliser un certificat spécifique.
Pour cela il suffit de spécifique la clé privée dans le champs GCenter Key et le certificat au format PEM dans le champs GCENTER certificate et également d'activer ce certificat en cochant la case Enable Custom Certificate
Enfin, la section Dual Authentication permet d'activer l'authentification mutuelle (mTLS). Cela permet à l'utilisateur de s'assurer de l'identité du serveur, mais également au serveur de s'assurer de l'identité de l'utilisateur.
Afin de valider cette option, il est nécessaire d'ajouter auparavant le certificat de l'autorité émettant les certificats utilisateurs au format PEM dans le champ Client CA Authentication, ainsi que la liste des certificats révoqués dans le champ Client CRL Validation. Puis sélectionner le type d'authentification Forced (rendant obligatoire pour les utilisateurs l'utilisation d'un certificat émis par l'autorité de certification) ou Optional (qui ne vérifie que si un certificat est présent) depuis 'Authentication mode' après avoir activé l'option Enable Dual Authentication.
Une fois les modifications effectuées, il sera nécessaire d'enregistrer ces changements en cliquant sur le bouton Save pour chacune des sections modifiées.
4.2.4. Session age settings
Menu : Administrators > GCenter > Configuration > Session age settings
Cette section permet de configurer la durée totale maximum d'une session sur l'interface web du GCenter.
Il suffit de renseigner la durée maximum d'une session via les champs Days et Hours, puis de valider.
4.2.5. Licenses
Menu : Administrators > GCenter > Configuration > License
La section License, permet d'obtenir des informations sur la licence en cours, d'en vérifier la validité et des fonctionnalités disponibles.
La section Licence details permet d'obtenir des informations sur le matériel pour lequel cette licence a été émise via son modèle et son numéro de série, mais également la période de validité de celle-ci et l'adresse de contact associée et le type de license.
Puis dans la partie Licence features, il est possible de constater la disponibilité des différents modules qui seront expliqués dans la suite de cette documentation.
Enfin, il est possible en bas de page de renseigner une nouvelle licence, et également de régler la notification dans l'interface d'une date d'expiration proche en renseignant le nombre de jour avant l'expiration.
Pour l'obtention de licence GCENTER merci de vous rapprocher de votre ingénieur d'affaire GATEWATCHER ou contacter le à l'adresse commerciaux@GATEWATCHER.com.
Une fois la licence, validée et activée le contenu de la page se met à jour et affiche le détail du contenu de la licence.
En cas de licence absente ou expirée, l'interface redirigera automatiquement vers cette page afin de résoudre la situation.