5.6.14. Ecran `Config - Gcaps profiles`
de la web UI
`Gcaps profiles`
du menu `Config`
, l'écran suivant est affiché.Repère |
Fonction |
Voir |
---|---|---|
1 |
Nom du GCap associé au GCenter |
|
2 |
Bouton
`Detection Rulesets` :gère l'application des rulesets aux GCaps appairés
|
|
3 |
Bouton
`Base variables` :gère la configuration des paramètres avancés du GCAP
|
|
4 |
Bouton
`Net variables` :gère les variables réseaux utilisées dans les règles Sigflow
|
|
5 |
Bouton
`Flow timeouts` :configure le temps pendant lequel Sigflow garde un flux en mémoire en fonction de son état
|
|
6 |
Bouton
`File rule management` :configure les types de fichiers que le GCap va extraire pour un protocole donné
|
Partie `File rule management` du menu `Config Gcaps profiles` |
7 |
Bouton
`Packet filters` :ajuste les paramètres de capture du GCap grâce aux fonctions avancées de Sigflow
|
|
8 |
Bouton
`Reset to default configuration` :réinitialise la configuration et charge le profil sélectionné dans écran
`GCaps pairing and status` |
|
9 |
Bouton
`ADD GCAP` :affiche l'écran pour ajouter un GCap
|
Note
`APPLY`
déclenche la transmission de la configuration globale au GCap sélectionné.5.6.14.1. Partie `Detection Rulesets`
du menu `Config Gcaps profiles`
`Detection Rulesets`
permet de :configurer les modes de détection pour chacune des trois options ci-dessous :
le
`single tenant`
le
`multi-tenant by interface`
le
`multi-tenant by vlan`
appliquer les rulesets Sigflow précédemment créés aux GCap appairés sur le GCenter
activer le moteur Codebreaker (détection Shellcodes, Powershells)
Pour plus d'information, se reporter au paragraphe Detection Rulesets.
Repère |
Fonction |
---|---|
1 |
Lien pour revenir à l'écran |
2 |
Zone de message pour informer que le ruleset sélectionné a été mis à jour. |
3 |
Bouton
|
4 |
Bouton
|
5 |
Bouton
|
6 |
Bouton |
7 |
Bouton |
8 |
Bouton |
9 |
Bouton |
5.6.14.2. Partie `Base variables`
du menu `Config Gcaps profiles`
`Base variables`
permet d'ajuster les paramètres de capture de la sonde grâce aux fonctions avancées de Sigflow configurable depuis le `GCenter`
.L'écran `Base variables`
est composé des zones suivantes :
5.6.14.2.1. Zone `Stream analysis and file extraction`
La zone d'analyse de flux et d'extraction de fichiers permet de contrôler la façon dont le moteur Sigflow gère les tailles maximum des flux et de l’extraction de fichiers.
5.6.14.2.1.1. Description de la zone `Stream analysis and file extraction`
Cette zone d'analyse de flux et d'extraction de fichiers comprend les éléments suivants :
Repère |
Fonction |
---|---|
1 |
`File extraction (on/off)` : active le contrôle de la taille des fichiers stockés.Voir la Partie `File rule management` du menu `Config Gcaps profiles` pour préciser quels fichiers sont extraits
|
2 |
`Stream reassembly depth (MB)` : taille maximum du flux réseau en mégaoctets.La valeur par défaut est un paramètre qui peut être remplacé par les analyseurs de protocoles qui effectuent l'extraction des fichiers.
L'inspection sera ignorée si cette valeur est atteinte pour un débit en particulier.
Le réglage à 0 de cette valeur permet de stocker n'importe quelle taille de flux.
|
3 |
`MQTT Max message length (MB)` . taille maximum d'un message MQTT pour être parsé.Au-delà de cette valeur, le message ne sera pas parsé.
|
4 |
`File-store stream depth (MB)` : taille maximum d'un fichier reconstruit et stocké en mégaoctets.Si cette valeur est atteinte, le fichier peut être tronqué et peut ne pas être stocké complètement.
Cela signifie qu'après cette valeur, la session HTTP ne sera plus suivie.
Une valeur négative désactive l'option et la valeur 0 permet de stocker n'importe quelle taille de fichier.
Si cette option n'est pas activée, alors la valeur de
`Stream reassembly depth (Mb)` sera prise en compte.Cette valeur doit être plus grande que la valeur de
`Stream reassembly depth (Mb)` . |
5 |
`SMB Stream Depth (MB)` . taille maximum du flux réseau SMB en mégaoctets.Au-delà de cette valeur, aucune reconstruction ne sera effectuée.
Si cette valeur est atteinte, le fichier peut être tronqué et peut ne pas être stocké complètement.
Cela signifie qu'après cette valeur, la session SMB ne sera plus suivie. De plus, les valeurs négatives désactivent l'option.
Le réglage à 0 de cette valeur permet de stocker n'importe quelle taille de fichier.
|
Astuce
Une valeur trop importante pour ces paramètres augmente la détection mais diminue les performances.
Prudence
La modification de ces paramètres peut causer des dysfonctionnements de la solution. Cette partie est réservée au support et aux utilisateurs avancés.
Seule la variable `file_store_stream_depth_mb`
peut être modifiée, sans jamais dépasser 100 MB.
5.6.14.2.1.2. Configuration par défaut de la partie `Base variables`
Variables |
Valeurs |
---|---|
File extraction (On/Off) |
Activé |
File-store stream depth (MB) |
10 |
Stream reassembly depth (MB) |
10 |
SMB Stream Depth (MB) |
10 |
MQTT Max message length (MB) |
10 |
5.6.14.2.2. Zone `HTTP Proxy`
`Proxy HTTP`
permet d'améliorer les métadonnées et les alertes des flux mandatés avec l’en-tête http X-Forwarded-For (XFF).5.6.14.2.2.1. Description de la zone `HTTP Proxy`
Cette zone comprend les éléments suivants :
Repère |
Fonction |
---|---|
1 |
Sélecteur
`XFF (On/Off)` : activation de la gestion de l'entête HTTP X-Forwarded-For en ajoutant un nouveau champ ouen écrasant l'adresse ip source ou destination (suivant le sens du flux) par l'IP renseignée dans cette entête.
Le comportement (ajout de champ ou écrasement) est géré par la directive
`XFF mode` .Cette directive est utile dans le cas de traitement de flux derrière un reverse proxy par exemple.
|
2 |
`XFF deployment` : type de déploiement de XFF. Deux types de déploiement sont disponibles (reverse ou forward).Dans un déploiement reverse, l'adresse IP utilisée est la dernière alors que dans un déploiement forward, l'adresse IP utilisée est alors la première.
|
3 |
`XFF mode` : comportement attendu lors de l'activation de XFF.Deux types de modes de fonctionnement sont disponibles : extra-data ou overwrite.
A noter qu'en mode overwrite, si l'adresse IP rapportée dans l'entête HTTP X-Forwarded-For est d'une version différente du paquet reçu, alors elle passera en mode 'extra-data'
|
4 |
`XFF header` : c'est le nom de l'entête HTTP où l'adresse IP réelle est présente.S'il y a plus d'une adresse IP présente alors c'est la dernière adresse IP qui est prise en compte.
|
5.6.14.2.2.2. Configuration par défaut des paramètres de la zone `HTTP Proxy`
Variables |
Valeurs |
---|---|
XFF (On/Off) |
Activé |
XFF mode |
extra-data |
XFF deployment |
reverse |
XFF header |
X-Forwarded-For |
5.6.14.2.3. Zone `Payload`
Cette zone permet d'enrichir les alertes avec le contenu du flux qui les a déclenché.
Note
5.6.14.2.3.1. Description de la zone `Payload`
Cette zone comprend les éléments suivants :
Repère |
Fonction |
---|---|
1 |
Sélecteur |
2 |
`Http body` : ajoute un champ contenant le body des requêtes HTTP encoder en base64.Pour fonctionner, ce paramètre nécessite des métadonnées.
|
3 |
|
4 |
`Http body printable` : ajoute un champ contenant le body des requêtes HTTP au format ASCII.Pour fonctionner, ce paramètre nécessite des métadonnées.
|
5 |
|
6 |
|
5.6.14.2.3.2. Configuration par défaut des paramètres de la zone `Payload`
Variables |
Valeurs |
---|---|
Payload |
Activé |
Payload printable |
Activé |
Packet |
Activé |
Http body |
Désactivé |
Http body printable |
Désactivé |
Payload buffer size |
4096 |
5.6.14.2.4. Zone `Community ID`
Cette zone permet :
d'activer le champ
`Community ID`
dans les événements. Ce dernier permet d'identifier les flux réseaux analysésde configurer la "seed" afin de la rendre identique à d'autres outils d'un même système d'information
5.6.14.2.4.1. Description de la zone `Community ID`
La zone comprend les éléments suivants :
Repère |
Fonction |
---|---|
1 |
|
2 |
|
5.6.14.2.4.2. Configuration par défaut des paramètres de la zone `Community ID`
Variables |
Valeurs |
---|---|
On/Off |
Activé |
Community ID seed |
0 |
5.6.14.2.5. Zone `Alerting and logging`
Cette zone permet de configurer l'`alerting`
et du `logging`
des protocoles utilisés par le GCap.
Note
Dans le cas où un GCap a une version d'avance sur le GCenter, il est possible que certains protocoles ne soient pas encore implémentés dans ce dernier.
Ce point est abordé plus en détail dans la documentation GCap dans la section Moteur de détection > 3. Sélectionner les protocoles analysés.
5.6.14.2.5.1. Description de la zone `Alerting and logging`
La zone comprend les éléments suivants :
Repère |
Fonction |
---|---|
1 |
Sélecteur de choix de la fonction de hachage pour les fichiers reconstruits (md5, sha1 et sha256).
Par défaut, le md5 est sélectionné. Le hash sha256 est dans tous les cas ajouté par le module Malcore.
|
2 |
Liste de protocoles. Pour chacun de ces protocoles, sont listés :
|
utiliser la commande
`GCaps pairing and status`
de l'Ecran `Admin-GCaps pairing and status` de la legacy web UI.
choisir un profil proposé par défaut (Minimal, Balanced, LPM, Paranoid, Intuitio) : dans l'ordre du plus au moins permissif
charger ce profil dans le GCap avec le bouton`Update`
. A partir de ce moment, ce profil est chargé dans le GCap sélectionné. Il peut donc être visualisé dans la fenêtre`Base variables`
.
- si besoin, utiliser la commande
`Reset to default configuration`
pour recharger ce profil par défaut avec les valeurs par défaut.En plus de ces protocoles, il est également possible de générer des données`Netflow`
et d'activer les`fingerprint JA3`
.Les deux options sont désactivées par défaut (profil`Balanced`
).
Avertissement
L'activation de la génération de données Netflow va créer beaucoup de meta-données.
5.6.14.2.5.2. Paramètres par défaut pour les profils existants disponibles
Protocoles |
Minimal |
Balanced |
LPM |
Paranoid |
Intuitio |
---|---|---|---|---|---|
dns_udp |
Disabled |
Enabled |
Enabled |
Enabled |
Enabled |
dns_tcp |
Disabled |
Enabled |
Enabled |
Enabled |
Enabled |
http |
Enabled |
Enabled |
Enabled |
Enabled |
Enabled |
http2 |
Enabled |
Enabled |
Enabled |
Enabled |
Enabled |
tls |
Disabled |
Enabled |
Enabled |
Enabled |
Enabled |
smtp |
Enabled |
Enabled |
Enabled |
Enabled |
Enabled |
smb |
Disabled |
Enabled |
Disabled |
Enabled |
Enabled |
nfs |
Disabled |
Enabled |
Disabled |
Enabled |
Enabled |
ftp |
Disabled |
Enabled |
Enabled |
Enabled |
Enabled |
tftp |
Disabled |
Enabled |
Disabled |
Enabled |
Enabled |
ssh |
Disabled |
Enabled |
Disabled |
Enabled |
Enabled |
kerberos |
Disabled |
Enabled |
Disabled |
Enabled |
Enabled |
dhcp |
Disabled |
Enabled |
Disabled |
Enabled |
Enabled |
snmp |
Disabled |
Disabled |
Disabled |
Enabled |
Disabled |
rdp |
Disabled |
Disabled |
Disabled |
Enabled |
Enabled |
rfb |
Disabled |
Disabled |
Disabled |
Enabled |
Disabled |
ikev2 |
Disabled |
Disabled |
Disabled |
Enabled |
Disabled |
sip |
Disabled |
Disabled |
Disabled |
Enabled |
Disabled |
modbus |
Disabled |
Disabled |
Disabled |
Enabled |
Disabled |
dhp3 |
Disabled |
Disabled |
Disabled |
Enabled |
Disabled |
dcerpc |
Disabled |
Disabled |
Disabled |
Enabled |
Disabled |
mqtt |
Disabled |
Disabled |
Disabled |
Enabled |
Disabled |
ntp |
Disabled |
Enabled |
Disabled |
Enabled |
Disabled |
enip |
Disabled |
Enabled |
Disabled |
Enabled |
Disabled |
Protocoles |
Minimal |
Balanced |
LPM |
Paranoid |
Intuitio |
---|---|---|---|---|---|
dns_udp |
Disabled |
Enabled |
Enabled |
Enabled |
Enabled |
dns_tcp |
Disabled |
Enabled |
Enabled |
Enabled |
Enabled |
http |
Disabled |
Enabled |
Enabled |
Enabled |
Enabled |
http2 |
Disabled |
Enabled |
Enabled |
Enabled |
Enabled |
tls |
Disabled |
Enabled |
Enabled |
Enabled |
Enabled |
smtp |
Disabled |
Enabled |
Enabled |
Enabled |
Enabled |
smb |
Disabled |
Enabled |
Disabled |
Enabled |
Enabled |
nfs |
Disabled |
Enabled |
Disabled |
Enabled |
Enabled |
ftp |
Disabled |
Enabled |
Enabled |
Enabled |
Enabled |
tftp |
Disabled |
Enabled |
Disabled |
Enabled |
Enabled |
ssh |
Disabled |
Enabled |
Disabled |
Enabled |
Enabled |
kerberos |
Disabled |
Enabled |
Disabled |
Enabled |
Enabled |
dhcp |
Disabled |
Enabled |
Disabled |
Enabled |
Enabled |
snmp |
Disabled |
Disabled |
Disabled |
Enabled |
Disabled |
rdp |
Disabled |
Disabled |
Disabled |
Enabled |
Enabled |
rfb |
Disabled |
Disabled |
Disabled |
Enabled |
Disabled |
ikev2 |
Disabled |
Disabled |
Disabled |
Enabled |
Disabled |
sip |
Disabled |
Disabled |
Disabled |
Enabled |
Disabled |
dhp3 |
Disabled |
Disabled |
Disabled |
Enabled |
Disabled |
dcerpc |
Disabled |
Disabled |
Disabled |
Disabled |
Disabled |
mqtt |
Disabled |
Disabled |
Disabled |
Enabled |
Disabled |
5.6.14.3. Partie `Net variables`
du menu `Config Gcaps profiles`
5.6.14.3.1. Information sur la partie `Net variables`
Au niveau de la structure d'une règle, juste après 'alert' et le mot clé indiquant le protocole, il est possible d'utiliser des variables réseaux qui vont permettre de définir des groupes d'adresses IP.
Dans l'exemple suivant :
alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:”GPL SCAN NULL”; flow:stateless; ack:0; flags:0; seq:0; reference:arachnids,4; classtype:attempted-recon; sid:2100623; rev:7;)
Les variables s'adaptent au besoin et les règles peuvent changer en fonction des valeurs spécifiées :
`list`
: permet de définir l'action de la règle par rapport à la variable
`default (equals to HOME_NET)`
: permet de définir l'action de la règle par rapport aux adresses renseignées dans l'environnement HOME_NET
`exclude (opposite of HOME_NET)`
: permet de définir l'action de la règle par rapport à toutes les adresses ne faisant pas partie de l'environnement HOME_NET
Note
La bonne pratique concernant la variable $EXTERNAL_NET est de choisir la valeur "Opposite of HOME_NET", tout ce qui n'est pas $HOME_NET par définition.
La zone `Net variables`
permet de définir le contenu de ces variables utilisées dans les règles Sigflow.
5.6.14.3.2. Description de la zone `Net variables`
La zone comprend les éléments suivants :
Repère |
Fonction |
Paramètres |
---|---|---|
1 |
GCAP sélectionné |
|
2 |
Zones de Variables : celles-ci sont listés ci dessous : |
|
|
CIDR address / CIDR address / CIDR address |
|
|
List / Equals to HOME_NET / Opposite of HOME_NET |
|
|
List / Equals to HOME_NET / Opposite of HOME_NET |
|
|
List / Equals to HOME_NET / Opposite of HOME_NET |
|
|
List / Equals to HOME_NET / Opposite of HOME_NET |
|
|
List / Equals to HOME_NET / Opposite of HOME_NET |
|
|
List / Equals to HOME_NET / Opposite of HOME_NET |
|
|
List / Equals to HOME_NET / Opposite of HOME_NET |
|
|
List / Equals to HOME_NET / Opposite of HOME_NET |
|
|
List / Equals to HOME_NET / Opposite of HOME_NET |
|
|
List / Equals to HOME_NET / Opposite of HOME_NET |
|
|
List / Equals to HOME_NET / Opposite of HOME_NET |
|
|
List / Equals to HOME_NET / Opposite of HOME_NET |
|
3 |
Bouton |
|
4 |
Bouton |
|
5 |
Bouton |
5.6.14.3.3. Configuration par défaut de la zone `Net variables`
Variables |
Paramètres |
par défaut |
---|---|---|
home_net |
CIDR address, CIDR address, CIDR address |
10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16 |
external_net |
List / Equals to HOME_NET / Opposite of HOME_NET |
Opposite of HOME_NET |
http_servers |
List / Equals to HOME_NET / Opposite of HOME_NET |
Equals to HOME_NET |
smtp_servers |
List / Equals to HOME_NET / Opposite of HOME_NET |
Equals to HOME_NET |
sql_servers |
List / Equals to HOME_NET / Opposite of HOME_NET |
Equals to HOME_NET |
dns_servers |
List / Equals to HOME_NET / Opposite of HOME_NET |
Equals to HOME_NET |
telnet_servers |
List / Equals to HOME_NET / Opposite of HOME_NET |
Equals to HOME_NET |
aim_servers |
List / Equals to HOME_NET / Opposite of HOME_NET |
Equals to HOME_NET |
dnp3_servers |
List / Equals to HOME_NET / Opposite of HOME_NET |
Equals to HOME_NET |
modbus_servers |
List / Equals to HOME_NET / Opposite of HOME_NET |
Equals to HOME_NET |
modbus_clients |
List / Equals to HOME_NET / Opposite of HOME_NET |
Equals to HOME_NET |
enip_servers |
List / Equals to HOME_NET / Opposite of HOME_NET |
Equals to HOME_NET |
enip_clients |
List / Equals to HOME_NET / Opposite of HOME_NET |
Equals to HOME_NET |
Attention
Lors de l'appairage d'un GCap, les `Net variables`
ont les valeurs par défaut ci-dessus (3 home_net déclarés et actifs par défaut).
5.6.14.4. Partie `Flow timeouts`
du menu `Config Gcaps profiles`
La partie `Flow timeouts`
permet de configurer le temps (en secondes) pendant lequel Sigflow garde un flux en mémoire en fonction de son état.
5.6.14.4.1. Description de la zone `Flow timeouts`
Cette partie comprend les éléments suivants :
Repère |
Fonction |
---|---|
1 |
GCap sélectionné |
2 |
Liste des protocoles. Pour chacun de ces protocoles, sont listés :
|
9 |
Bouton |
Prudence
Protocole TCP (11) :
`New`
`Established`
`Closed`
Protocoles UDP (10) et ICMP (12) :
`New`
`Established`
Les modes `Emergency_new`
, `Emergency_established`
et `Emergency_closed`
sont les modes d'urgence des trois états des protocoles TCP, UDP et ICMP.
5.6.14.4.2. Configuration par défaut de la partie `Flow timeouts`
La configuration utilisée par défaut en fonction du protocole (toutes les valeurs sont en secondes) :
protocol |
new |
established |
closed |
emergency new |
emergency established |
emergency closed |
---|---|---|---|---|---|---|
udp |
30 |
300 |
10 |
100 |
||
tcp |
30 |
300 |
0 |
10 |
100 |
0 |
icmp |
30 |
300 |
10 |
100 |
||
default |
30 |
300 |
10 |
100 |
5.6.14.5. Partie `File rule management`
du menu `Config Gcaps profiles`
5.6.14.5.1. Information sur la partie `File rule management`
`File rule management`
permet de configurer les types de fichier que la sonde va extraire pour un protocole donné.l'horodatage
l'adresse IP source/destination
le protocole
le port source/destination
la taille
le md5sum, etc
`File rule management`
correspond à une règle d'extraction d'un type de fichier.Note
Un trop grand nombre de règles d'extraction de fichiers peut avoir un impact significatif sur les performances du GCap.
Note
Les modifications de cette section nécessitent la sauvegarde et l'application de la configuration du GCAP via le bouton `Apply`
.
5.6.14.5.2. Description de la zone `File rule management`
Cette zone comprend les éléments suivants :
Repère |
Fonction |
---|---|
1 |
Définition d'une règle de fichier. Elle comprend les champs suivants :
|
2 |
GCAP sélectionné |
6 |
Bouton |
7 |
Bouton |
9 |
Bouton |
11 |
Bouton |
Note
La commande `file`
sous linux permet d'obtenir cette information.
shell
xxx@debian:~$ file ~/Téléchargements/xxx.exe
/home/xxx/Téléchargements/xxx.exe: PE32 executable (console) Intel 80386, for MS Windows
Note
Il est fortement recommandé d'utiliser le type filemagic. Celui-ci est plus précis car il se base sur le contenu du fichier et non sur son extension. Un fichier est donc reconstruit pour ce qu'il est réellement.
Note
DOWNLOAD TEMPLATE
`DOWNLOAD TEMPLATE`
télécharge un fichier .csv sur le PC de l'utilisateur.utiliser la commande
`GCaps pairing and status`
de la web UIchoisir un profil proposé par défaut (Minimal, Balanced, LPM, Paranoid, Intuitio)
`Reset to default configuration`
.5.6.14.5.3. Règles utilisées en fonction du profil GCap utilisé
Protocoles |
Type |
Valeurs |
Minimal |
Balanced |
LPM |
Paranoid |
Intuitio |
---|---|---|---|---|---|---|---|
ftp |
filemagic |
7-zip archive data |
Désactivé |
Activé |
Activé |
Activé |
Activé |
ftp |
filemagic |
COM executable |
Désactivé |
Activé |
Activé |
Activé |
Activé |
ftp |
filemagic |
Composite Document File V2 |
Désactivé |
Activé |
Activé |
Activé |
Activé |
ftp |
filemagic |
DOS batch |
Désactivé |
Activé |
Activé |
Activé |
Activé |
ftp |
filemagic |
ELF |
Désactivé |
Activé |
Activé |
Activé |
Activé |
ftp |
filemagic |
Java archive data |
Désactivé |
Activé |
Activé |
Activé |
Activé |
ftp |
filemagic |
Javascript |
Désactivé |
Activé |
Désactivé |
Activé |
Activé |
ftp |
filemagic |
MS Windows shortcut |
Désactivé |
Activé |
Activé |
Activé |
Activé |
ftp |
filemagic |
MS-DOS executable |
Désactivé |
Activé |
Activé |
Activé |
Activé |
ftp |
filemagic |
Mach-O |
Désactivé |
Activé |
Activé |
Activé |
Activé |
ftp |
filemagic |
Macromedia Flash |
Désactivé |
Activé |
Activé |
Activé |
Activé |
ftp |
filemagic |
Microsoft Cabinet archive data |
Désactivé |
Activé |
Activé |
Activé |
Activé |
ftp |
filemagic |
Microsoft Excel |
Désactivé |
Activé |
Activé |
Activé |
Activé |
ftp |
filemagic |
Microsoft OOXML |
Désactivé |
Activé |
Activé |
Activé |
Activé |
ftp |
filemagic |
Microsoft Office Document |
Désactivé |
Activé |
Activé |
Activé |
Activé |
ftp |
filemagic |
Microsoft PowerPoint |
Désactivé |
Activé |
Activé |
Activé |
Activé |
ftp |
filemagic |
Microsoft Word |
Désactivé |
Activé |
Activé |
Activé |
Activé |
ftp |
filemagic |
Node.js script text |
Désactivé |
Activé |
Activé |
Activé |
Activé |
ftp |
filemagic |
OS/2 REXX batch file |
Désactivé |
Activé |
Activé |
Activé |
Activé |
ftp |
filemagic |
OpenDocument |
Désactivé |
Activé |
Activé |
Activé |
Activé |
ftp |
filemagic |
PDF document |
Désactivé |
Activé |
Activé |
Activé |
Activé |
ftp |
filemagic |
PE32 executable |
Désactivé |
Activé |
Activé |
Activé |
Activé |
ftp |
filemagic |
PE32 executable (DLL) |
Désactivé |
Activé |
Activé |
Activé |
Activé |
ftp |
filemagic |
PE32+ executable |
Désactivé |
Activé |
Activé |
Activé |
Activé |
ftp |
filemagic |
POSIX tar archive |
Désactivé |
Activé |
Activé |
Activé |
Activé |
ftp |
filemagic |
RAR archive data |
Désactivé |
Activé |
Activé |
Activé |
Activé |
ftp |
filemagic |
Zip archive data |
Désactivé |
Activé |
Activé |
Activé |
Activé |
ftp |
filemagic |
gzip compressed data |
Désactivé |
Activé |
Activé |
Activé |
Activé |
http |
filemagic |
7-zip archive data |
Désactivé |
Activé |
Activé |
Activé |
Activé |
http |
filemagic |
COM executable |
Désactivé |
Activé |
Activé |
Activé |
Activé |
http |
filemagic |
Composite Document File V2 |
Désactivé |
Activé |
Activé |
Activé |
Activé |
http |
filemagic |
DOS batch |
Désactivé |
Activé |
Activé |
Activé |
Activé |
http |
filemagic |
ELF |
Désactivé |
Activé |
Activé |
Activé |
Activé |
http |
filemagic |
Java archive data |
Désactivé |
Activé |
Activé |
Activé |
Activé |
http |
filemagic |
Javascript |
Désactivé |
Activé |
Désactivé |
Activé |
Activé |
http |
filemagic |
MS Windows shortcut |
Désactivé |
Activé |
Activé |
Activé |
Activé |
http |
filemagic |
MS-DOS executable |
Désactivé |
Activé |
Activé |
Activé |
Activé |
http |
filemagic |
Mach-O |
Désactivé |
Activé |
Activé |
Activé |
Activé |
http |
filemagic |
Macromedia Flash |
Désactivé |
Activé |
Activé |
Activé |
Activé |
http |
filemagic |
Microsoft Cabinet archive data |
Désactivé |
Activé |
Activé |
Activé |
Activé |
http |
filemagic |
Microsoft Excel |
Désactivé |
Activé |
Activé |
Activé |
Activé |
http |
filemagic |
Microsoft OOXML |
Désactivé |
Activé |
Activé |
Activé |
Activé |
http |
filemagic |
Microsoft Office Document |
Désactivé |
Activé |
Activé |
Activé |
Activé |
http |
filemagic |
Microsoft PowerPoint |
Désactivé |
Activé |
Activé |
Activé |
Activé |
http |
filemagic |
Microsoft Word |
Désactivé |
Activé |
Activé |
Activé |
Activé |
http |
filemagic |
Node.js script text |
Désactivé |
Activé |
Activé |
Activé |
Activé |
http |
filemagic |
OS/2 REXX batch file |
Désactivé |
Activé |
Activé |
Activé |
Activé |
http |
filemagic |
OpenDocument |
Désactivé |
Activé |
Activé |
Activé |
Activé |
http |
filemagic |
PDF document |
Désactivé |
Activé |
Activé |
Activé |
Activé |
http |
filemagic |
PE32 executable |
Désactivé |
Activé |
Activé |
Activé |
Activé |
http |
filemagic |
PE32 executable (DLL) |
Désactivé |
Activé |
Activé |
Activé |
Activé |
http |
filemagic |
PE32+ executable |
Désactivé |
Activé |
Activé |
Activé |
Activé |
http |
filemagic |
POSIX tar archive |
Désactivé |
Activé |
Activé |
Activé |
Activé |
http |
filemagic |
RAR archive data |
Désactivé |
Activé |
Activé |
Activé |
Activé |
http |
filemagic |
Zip archive data |
Désactivé |
Activé |
Activé |
Activé |
Activé |
http |
filemagic |
gzip compressed data |
Désactivé |
Activé |
Activé |
Activé |
Activé |
nfs |
filemagic |
7-zip archive data |
Désactivé |
Désactivé |
Désactivé |
Activé |
Activé |
nfs |
filemagic |
COM executable |
Désactivé |
Désactivé |
Désactivé |
Activé |
Activé |
nfs |
filemagic |
Composite Document File V2 |
Désactivé |
Désactivé |
Désactivé |
Activé |
Activé |
nfs |
filemagic |
DOS batch |
Désactivé |
Désactivé |
Désactivé |
Activé |
Activé |
nfs |
filemagic |
ELF |
Désactivé |
Désactivé |
Désactivé |
Activé |
Activé |
nfs |
filemagic |
Java archive data |
Désactivé |
Désactivé |
Désactivé |
Activé |
Activé |
nfs |
filemagic |
Javascript |
Désactivé |
Désactivé |
Désactivé |
Désactivé |
Activé |
nfs |
filemagic |
MS Windows shortcut |
Désactivé |
Désactivé |
Désactivé |
Activé |
Activé |
nfs |
filemagic |
MS-DOS executable |
Désactivé |
Désactivé |
Désactivé |
Activé |
Activé |
nfs |
filemagic |
Mach-O |
Désactivé |
Désactivé |
Désactivé |
Activé |
Activé |
nfs |
filemagic |
Macromedia Flash |
Désactivé |
Désactivé |
Désactivé |
Activé |
Activé |
nfs |
filemagic |
Microsoft Cabinet archive data |
Désactivé |
Désactivé |
Désactivé |
Activé |
Activé |
nfs |
filemagic |
Microsoft Excel |
Désactivé |
Désactivé |
Désactivé |
Activé |
Activé |
nfs |
filemagic |
Microsoft OOXML |
Désactivé |
Désactivé |
Désactivé |
Activé |
Activé |
nfs |
filemagic |
Microsoft Office Document |
Désactivé |
Désactivé |
Désactivé |
Activé |
Activé |
nfs |
filemagic |
Microsoft PowerPoint |
Désactivé |
Désactivé |
Désactivé |
Activé |
Activé |
nfs |
filemagic |
Microsoft Word |
Désactivé |
Désactivé |
Désactivé |
Activé |
Activé |
nfs |
filemagic |
Node.js script text |
Désactivé |
Désactivé |
Désactivé |
Activé |
Activé |
nfs |
filemagic |
OS/2 REXX batch file |
Désactivé |
Désactivé |
Désactivé |
Activé |
Activé |
nfs |
filemagic |
OpenDocument |
Désactivé |
Désactivé |
Désactivé |
Activé |
Activé |
nfs |
filemagic |
PDF document |
Désactivé |
Désactivé |
Désactivé |
Activé |
Activé |
nfs |
filemagic |
PE32 executable |
Désactivé |
Désactivé |
Désactivé |
Activé |
Activé |
nfs |
filemagic |
PE32 executable (DLL) |
Désactivé |
Désactivé |
Désactivé |
Activé |
Activé |
nfs |
filemagic |
PE32+ executable |
Désactivé |
Désactivé |
Désactivé |
Activé |
Activé |
nfs |
filemagic |
POSIX tar archive |
Désactivé |
Désactivé |
Désactivé |
Activé |
Activé |
nfs |
filemagic |
RAR archive data |
Désactivé |
Désactivé |
Désactivé |
Activé |
Activé |
nfs |
filemagic |
Zip archive data |
Désactivé |
Désactivé |
Désactivé |
Activé |
Activé |
nfs |
filemagic |
gzip compressed data |
Désactivé |
Désactivé |
Désactivé |
Activé |
Activé |
smb |
filemagic |
7-zip archive data |
Désactivé |
Désactivé |
Désactivé |
Activé |
Activé |
smb |
filemagic |
COM executable |
Désactivé |
Désactivé |
Désactivé |
Activé |
Activé |
smb |
filemagic |
Composite Document File V2 |
Désactivé |
Désactivé |
Désactivé |
Activé |
Activé |
smb |
filemagic |
DOS batch |
Désactivé |
Désactivé |
Désactivé |
Activé |
Activé |
smb |
filemagic |
ELF |
Désactivé |
Désactivé |
Désactivé |
Activé |
Activé |
smb |
filemagic |
Java archive data |
Désactivé |
Désactivé |
Désactivé |
Activé |
Activé |
smb |
filemagic |
Javascript |
Désactivé |
Désactivé |
Désactivé |
Désactivé |
Activé |
smb |
filemagic |
MS Windows shortcut |
Désactivé |
Désactivé |
Désactivé |
Activé |
Activé |
smb |
filemagic |
MS-DOS executable |
Désactivé |
Désactivé |
Désactivé |
Activé |
Activé |
smb |
filemagic |
Mach-O |
Désactivé |
Désactivé |
Désactivé |
Activé |
Activé |
smb |
filemagic |
Macromedia Flash |
Désactivé |
Désactivé |
Désactivé |
Activé |
Activé |
smb |
filemagic |
Microsoft Cabinet archive data |
Désactivé |
Désactivé |
Désactivé |
Activé |
Activé |
smb |
filemagic |
Microsoft Excel |
Désactivé |
Désactivé |
Désactivé |
Activé |
Activé |
smb |
filemagic |
Microsoft OOXML |
Désactivé |
Désactivé |
Désactivé |
Activé |
Activé |
smb |
filemagic |
Microsoft Office Document |
Désactivé |
Désactivé |
Désactivé |
Activé |
Activé |
smb |
filemagic |
Microsoft PowerPoint |
Désactivé |
Désactivé |
Désactivé |
Activé |
Activé |
smb |
filemagic |
Microsoft Word |
Désactivé |
Désactivé |
Désactivé |
Activé |
Activé |
smb |
filemagic |
Node.js script text |
Désactivé |
Désactivé |
Désactivé |
Activé |
Activé |
smb |
filemagic |
OS/2 REXX batch file |
Désactivé |
Désactivé |
Désactivé |
Activé |
Activé |
smb |
filemagic |
OpenDocument |
Désactivé |
Désactivé |
Désactivé |
Activé |
Activé |
smb |
filemagic |
PDF document |
Désactivé |
Désactivé |
Désactivé |
Activé |
Activé |
smb |
filemagic |
PE32 executable |
Désactivé |
Désactivé |
Désactivé |
Activé |
Activé |
smb |
filemagic |
PE32 executable (DLL) |
Désactivé |
Désactivé |
Désactivé |
Activé |
Activé |
smb |
filemagic |
PE32+ executable |
Désactivé |
Désactivé |
Désactivé |
Activé |
Activé |
smb |
filemagic |
POSIX tar archive |
Désactivé |
Désactivé |
Désactivé |
Activé |
Activé |
smb |
filemagic |
RAR archive data |
Désactivé |
Désactivé |
Désactivé |
Activé |
Activé |
smb |
filemagic |
Zip archive data |
Désactivé |
Désactivé |
Désactivé |
Activé |
Activé |
smb |
filemagic |
gzip compressed data |
Désactivé |
Désactivé |
Désactivé |
Activé |
Activé |
smtp |
filemagic |
7-zip archive data |
Désactivé |
Activé |
Activé |
Activé |
Activé |
smtp |
filemagic |
COM executable |
Désactivé |
Activé |
Activé |
Activé |
Activé |
smtp |
filemagic |
Composite Document File V2 |
Désactivé |
Activé |
Activé |
Activé |
Activé |
smtp |
filemagic |
DOS batch |
Désactivé |
Activé |
Activé |
Activé |
Activé |
smtp |
filemagic |
ELF |
Désactivé |
Activé |
Activé |
Activé |
Activé |
smtp |
filemagic |
Java archive data |
Désactivé |
Activé |
Activé |
Activé |
Activé |
smtp |
filemagic |
Javascript |
Désactivé |
Activé |
Activé |
Activé |
Activé |
smtp |
filemagic |
MS Windows shortcut |
Désactivé |
Activé |
Activé |
Activé |
Activé |
smtp |
filemagic |
MS-DOS executable |
Désactivé |
Activé |
Activé |
Activé |
Activé |
smtp |
filemagic |
Mach-O |
Désactivé |
Activé |
Activé |
Activé |
Activé |
smtp |
filemagic |
Macromedia Flash |
Désactivé |
Activé |
Activé |
Activé |
Activé |
smb |
filemagic |
Microsoft Cabinet archive data |
Désactivé |
Activé |
Activé |
Activé |
Activé |
smtp |
filemagic |
Microsoft Excel |
Désactivé |
Activé |
Activé |
Activé |
Activé |
smtp |
filemagic |
Microsoft OOXML |
Désactivé |
Activé |
Activé |
Activé |
Activé |
smtp |
filemagic |
Microsoft Office Document |
Désactivé |
Activé |
Activé |
Activé |
Activé |
smtp |
filemagic |
Microsoft PowerPoint |
Désactivé |
Activé |
Activé |
Activé |
Activé |
smtp |
filemagic |
Microsoft Word |
Désactivé |
Activé |
Activé |
Activé |
Activé |
smtp |
filemagic |
Node.js script text |
Désactivé |
Activé |
Activé |
Activé |
Activé |
smtp |
filemagic |
OS/2 REXX batch file |
Désactivé |
Activé |
Activé |
Activé |
Activé |
smtp |
filemagic |
OpenDocument |
Désactivé |
Activé |
Activé |
Activé |
Activé |
smtp |
filemagic |
PDF document |
Désactivé |
Activé |
Activé |
Activé |
Activé |
smtp |
filemagic |
PE32 executable |
Désactivé |
Activé |
Activé |
Activé |
Activé |
smtp |
filemagic |
PE32 executable (DLL) |
Désactivé |
Activé |
Activé |
Activé |
Activé |
smtp |
filemagic |
PE32+ executable |
Désactivé |
Activé |
Activé |
Activé |
Activé |
smtp |
filemagic |
POSIX tar archive |
Désactivé |
Activé |
Activé |
Activé |
Activé |
smtp |
filemagic |
RAR archive data |
Désactivé |
Activé |
Activé |
Activé |
Activé |
smtp |
filemagic |
Zip archive data |
Désactivé |
Activé |
Activé |
Activé |
Activé |
smtp |
filemagic |
gzip compressed data |
Désactivé |
Activé |
Activé |
Activé |
Activé |
Note
`Value`
sont ceux présents dans la librairie Libmagic.5.6.14.6. Partie `Packet filters`
du menu `Config Gcaps profiles`
5.6.14.6.1. Information sur la partie `Packet filters`
`Packet filters`
permet d'ignorer un ou plusieurs trafics spécifiques directement au niveau de la carte réseau du GCap.Le filtrage des paquets n’est actif que :
pour les interfaces actives monX sur le GCap
avec un MTU inférieur à 3000 octets
avec le moteur de surveillance activé
5.6.14.6.2. Description de la partie `Packet filters`
Cette partie comprend les éléments suivants :
Repère |
Fonction |
---|---|
1 |
GCAP sélectionné |
2 |
Définiton d'une règle de filtrage de paquets. Elle comprend les champs suivants :
|
8 |
Bouton |
9 |
Bouton |
11 |
Bouton |
Note
Si une interface peut utiliser le `Packet filtering`
alors un ligne s'affiche dans la liste des filtres avec les différents champs à vide.