Avertissement

Les clients ayant un équipement avec un des numéros de série disponibles sur ce lien sont concernés par la mise à jour référencée dans le tableau. Les autres numéros de série ne sont pas concernés.

Avertissement

Pour des raisons de performances, il est conseillé d’installer directement la version 2.5.3.104 du GCap

2. Nouvelles fonctionnalités

2.1. Agrégation des interfaces de monitoring

Le système d’agrégation des interfaces de monitoring (clusters d’interfaces) a été revu, afin de le fiabiliser. Il est désormais possible de brancher un GCap sur un TAP haut débit divisant le flux montant et le flux descendant.

Un cluster est constitué d’exactement deux interfaces de monitoring. Ces clusters sont paramétrables grâce aux interfaces de configuration du GCap.

2.2. Règles de détection par interfaces de monitoring et par VLAN (multi-tenancy)

La prise en charge de jeux de règles de détection distincts a été ajoutée. Ces jeux de règles peuvent être appliqués à des interfaces de monitoring ou à des VLAN spécifiques. Cette configuration est effectuée depuis un GCenter compatible (voir les notes de version des GCenter).

Le support de règles de détection par interface est, pour le moment, limité en combinaison avec les clusters d’interfaces.

2.3. Moteur de détection

La procédure de démarrage et d’arrêt du moteur de détection a été revue, afin d’améliorer les contrôles sur l’intégrité de ses composants.

À chaque démarrage, il vérifie la connectivité des interfaces de monitoring reliées au GCap. Il doit avoir au minimum une interface ou un cluster actif pour se lancer. Il vérifie également que les règles de filtrage sont bien appliquées sur les interfaces de monitoring pertinentes.

Les journaux du moteur de détection ont été unifiés, pour plus de simplicité.

Le durcissement du moteur de détection a été effectué, en créant un environnement aux ressources plus contraintes, et aux permissions plus restrictives.

2.4. Commande Line Interface (CLI)

Il est désormais possible de manipuler la configuration du GCap via une interface utilisateur en ligne de commande (CLI).

La CLI devient l’interface de configuration par défaut du GCap pour tous les utilisateurs. Chaque utilisateur peut choisir de remettre l’interface graphique comme son interface par défaut.

Cette interface est adaptative, en fonction de l’état actuel du GCap et des privilèges de l’utilisateur. Cela vise à proposer uniquement à l’utilisateur des commandes pertinentes.

La configuration des règles de détection locale ainsi que le filtrage des paquets (XDP) n’est possible qu’au travers de l’interface graphique.

2.5. Compte utilisateur et Mot de passe

Depuis la version 2.5.3.103 du GCap, il est possible de changer les mots de passe utilisateurs à tout moment, y compris lorsque le moteur de détection est lancé.

Cette modification permet de forcer le changement de mots de passe lors de la première connexion. Cela a également permis l’ajout de la notion d’un âge maximum dans la politique de mots de passe.

Par ailleurs, une durée maximale de connexion à une session a été ajoutée. Passé ce délai, la session est clôturée automatiquement. Cette durée est configurable et optionnelle.

Un avertissement a été inclus quant à l’utilisation du compte ‘root’, qui invalide le support.

2.6. Niveaux de criticité des journaux applicatifs

La cohérence des niveaux de criticité des journaux applicatifs a été améliorée.

2.7. Bannière SSH préauthentification

Une bannière affichée avant l’authentification SSH peut être configurée sur les GCenter compatibles.

2.8. Éditeur de texte pour la saisie des règles de détection locales

L’interface de saisie des règles de détection locale a été améliorée. Elle s’effectue désormais dans un éditeur de texte plus évolué.

2.9. Durcissement système

Une protection contre la corruption des programmes est désormais mise en place dès le démarrage du GCap.

2.10. Gestion des protocoles et journalisation

Le moteur de détection est désormais capable d’analyser de nouveaux protocoles :

  • Kerberos

  • DHCP

  • TFTP

  • IKEv2

  • NFS

  • NTP

Par défaut, tous ces nouveaux protocoles sont analysés et leurs métadonnées sont journalisées.

La gestion de certains protocoles (FTP, DNS, SMB) a également été améliorée.

Pour des raisons de sécurité, la reconstruction des flux SMB et FTP a été limitée à 10MB.

La gestion des eve-logs DNS a été améliorée.

2.11. Nouveau mode de compatibilité avec le GCenter

Un nouveau mode de compatibilité « GCenter v101+ » a été ajouté au GCap.

Avec ce mode, il est possible de déléguer la configuration des nouveaux protocoles (c.f. Gestion des protocoles et journalisation) aux GCenter en version 2.5.3.101 ou supérieure.

Dans les autres modes de compatibilité possibles, l’activation/désactivation de ces nouveaux protocoles se fait au travers des interfaces de configuration du GCap.

2.12. Rejouer un flux au format PCAP

Il est possible de rejouer un flux au format PCAP. Cela permet d’émuler un trafic réseau, afin d’effectuer des tests fonctionnels de la sonde.

Cette fonctionnalité est activable uniquement en combinaison avec un GCenter compatible.

2.13. Amélioration de la journalisation système

Les journaux système ont été étoffés d’information sur le succès et l’échec du transfert de fichiers vers le GCenter.

2.14. Protection bruteforce

Une protection contre le bruteforce de mots de passe par SSH a été ajoutée au GCap. Il est possible de configurer le nombre de tentatives et la durée de verrouillage.

2.15. Préfiltrage des eve-log

Les évènements de type fileinfo pour les fichiers non conservés pour analyse ultérieure peuvent désormais être éliminés par le GCap. Cela évite de surcharger le GCenter avec des informations potentiellement jugées inutiles.

Ce préfiltrage peut être activé ou désactivé.

2.16. Compression des journaux

Il est désormais possible de compresser les journaux en attente d’envoi au GCenter. Il est conseillé d’activer cette fonctionnalité en cas de connectivité intermittente, ou tout autre problème prévenant l’envoi des journaux au GCenter.

Elle est désactivée par défaut pour des raisons de performances.

2.17. Réduction de la surface d’attaque sur le GCap

Le composant logiciel sécurisant les applications en conteneurs a été remplacé par un utilitaire plus léger et plus configurable. Cela permet de réduire la surface d’attaque et d’affiner les contrôles de sécurité effectués sur les conteneurs.

2.18. GCap 1000 series

La version 2.5.3.103 prend en charge les GCaps 1000 series.