1.4. Présentation du GCenter

Le GCenter est le deuxième composant de la solution qui fonctionne conjointement avec la sonde de détection GCap.
Il a pour fonctions principales :

  • le pilotage de la sonde GCap (gestion des règles d’analyse, des signatures, supervision de l’état de santé, etc)

  • l’analyse approfondie des fichiers remontés par la sonde

  • l’administration de la solution

  • l’affichage du résultat des différentes analyses dans des tableaux de bord

  • le stockage long-terme des données

  • l’export des données dans des solutions tierces de type SIEM (Security Information and Event Management)

  • l'envoie des fichiers à analyser à la GBox et récupérer des rapports

1.4.1. Différents modèles de serveurs

Pour plus d'informations, se référer à la partie Caractéristiques mécaniques des GCenter.

1.4.2. Liste des entrées / sorties du GCenter

Exemple d'un serveur GCenter 7100/8100/9100 :

../_images/gcenter-backv2.drawio-fr.png

Le GCenter possède :

Entrées /sorties

Utilisation

Connecteur USB et VGA
Accès direct avec un clavier et un écran.
Ce mode de connexion est déprécié au profit de KVM/IDRAC/XCC et ne doit être utilisé qu’en dernier recours

Connecteur USB

Branchement de la clé USB permettant le déchiffrement des disques (standard Linux Unified Key Setup)

Connecteur RJ-45 `KVM/IDRAC`

Accès distant à l'interface de gestion et de configuration du serveur

Connecteur RJ-45 `MGMT0`

Interface de management et au VPN avec le/les GCAP

Connecteur RJ-45 `VPN0`

Interface dédiée au VPN avec le/les GCAP (optionnel)

Connecteur RJ-45 `ICAP0`

Interaction avec des services externes

Connecteur RJ-45 `SUP0`

Interaction avec des services externes

Deux alimentations électriques

Redondance des alimentations électriques du serveur

Exemple d'un serveur GCenter 9900/10500 :

../_images/vue_arriere_dell840.png

Note

Bien que le nom des interfaces puisse laisser penser que ces interfaces sont dédiées, il est possible d'utiliser ces interfaces pour d'autres besoins via les options "output interfaces".

La visualisation de ces liens de communication est donnée dans la section Interconnexion entre équipements.

1.4.2.1. Utilisation des connecteurs USB et VGA

Le branchement d'un clavier et d'un écran permet l'accès direct à l'interface console du GCenter.

Important

Ce mode est déprécié, il ne doit être utilisé qu’à l’installation initiale et pour du diagnostic avancé.

1.4.2.2. Accès à l'interface de gestion et de configuration du serveur

L'accès à cette interface de gestion se fait en HTTPS :

  • sur un serveur Dell, ce connecteur est appelé iDRAC et est noté sur le schéma KVM/IDRAC

  • sur un serveur Lenovo, ce connecteur est appelé TSM : ce connecteur est identifiable grâce au symbole d’une clé anglaise présent en dessous

1.4.2.3. Interfaces réseau `MGMT0` et `VPN0`

Les interfaces réseau `MGMT0` et `VPN0` sont connectées aux interfaces réseau `gcp0` et `gcp1`.
Ces interfaces permettent les 2 fonctions suivantes :

  • fonction 1 : administration distante au travers du protocole SSH avec l’accès :

    • au menu graphique d’installation/configuration

  • fonction 2 : communication sécurisée entre le GCenter et la sonde au travers d’un tunnel IPSEC afin de :

    • remonter des informations (fichiers, alertes, méta-data…), issues de l’analyse des flux surveillés

    • remonter des informations sur l’état de santé de la sonde au GCenter

    • piloter la sonde (règles d’analyses, signatures, etc)

Il y a 2 possibilités de configuration :

  • la configuration mono-interface

  • la configuration double-interface

En configuration mono-interface :

  • l'interface `MGMT0` est utilisée et est connectée à l'interface réseau `gcp0` du GCap
    Cette interface assure les fonctions 1 et 2.

  • l'interface `VPN0` n'est pas utilisée

En configuration double-interface :

  • l'interface `MGMT0` est utilisée et est connectée à l'interface réseau `gcp0` du GCap
    Cette interface assure les fonctions 1.
  • l'interface `VPN0` est utilisée et est connectée à l'interface réseau `gcp1` du GCap
    Cette interface assure les fonctions 2.

Le but de la configuration double-interface est de faire en sorte que le flux de management et le flux d'interconnexion entre le GCap et le GCenter soient isolés l'un de l'autre.

Important

Cette configuration (séparation des flux par interface) est obligatoire lorsque l'on utilise le mode LPM sur le GCenter.

1.4.2.4. Interfaces réseaux `ICAP0` et `SUP0`

Ces deux interfaces permettent, si besoin, de communiquer avec des services externes à la solution tel que :

  • un serveur de mises à jour

  • un serveur de supervision

  • un serveur LDAP

  • un serveur de log ou un SIEM

  • un serveur de stockage de sauvegarde de la solution

  • etc

1.4.2.5. Raccordement électrique

Le serveur possède deux alimentations électriques qui ont chacune la puissance nécessaire au bon fonctionnement de l’équipement.
Il est fortement recommandé de raccorder chaque alimentation sur une arrivée électrique distincte.

1.4.2.6. Connecteur USB et clé LUKS

Lors de l’installation, le contenu des disques (hors /boot) est chiffré grâce au standard LUKS.
Lors de ce processus, une clé de chiffrement unique est générée et placée sur la clé USB connectée à l'équipement.
Au démarrage, la clé USB doit impérativement être branchée sur l'équipement afin que les disques puissent être déchiffrés
Il est fortement recommandé de faire une copie de cette clé car, en cas de défaillance, les données présentes sur les disques ne seront plus accessibles.
Une fois le système démarré, la clé USB doit être retirée et placée dans un endroit sûr (ex: coffre-fort).