3. Autres caractéristiques et améliorations

3.1. Changement du système d’exploitation

Un refonte complète du système d’exploitation du GCap a eu lieu en V2.5.3.105.

---

3.2. Changement du langage de développement

Le langage principal de développement a évolué en V2.5.3.105.

---

3.3. Mise à jour du noyau

Le noyau du système d’exploitation a été mis à jour avec la dernière version LTS (Long-Term Support).

---

3.4. Amélioration des performances

3.4.1. Amélioration des performances de Codebreaker

A partir de la V2.5.3.105, afin d’améliorer les performances de Codebreaker, un nouveau langage de programmation a été utilisé et le code a été optimisé.

---

3.4.2. Optimisation de la communication réseau entre le GCap et le GCenter

Jusqu’à la V2.5.3.104, il y a un échange systématique des fichiers entre le GCap et le GCenter.

A partir de la V2.5.3.105 :

• seuls les fichiers mis à jour sont compressés et téléchargés en plusieurs sessions parallélisées et non plus fichier par fichier,

• pour gérer l’envoi des eve-logs entre GCap et GCenter, un nouveau mécanisme d’échange a été mis en place,

• pour télécharger les configurations et fichiers entre le GCenter et le GCap :

  • pour le GCenter en V2.5.3.104, utilisation de rsync,

  • pour le GCenter en V2.5.3.105, mise en place d’un nouveau mécanisme d’échange uniquement compatible avec la version 102 du GCenter (pour les GCenters en version 101 rsync restera la méthode utilisée).

---

3.4.3. Amélioration de la gestion de la charge des interfaces de capture monx

Jusqu’à la V2.5.3.104, l’équilibrage de la charge venant des interfaces de capture monx vers les CPU du GCap a été mis en place de façon expérimentale.

A partir de la V2.5.3.105, cette fonctionnalité est arrivée à maturité mais la fonctionnalité est compatible uniquement avec certains modèles de GCap.

Pour plus d’informations sur cette amélioration, veuiller contacter le support technique Gatewatcher.

---

3.5. Améliorations globales de sécurité

3.5.1. Sécurité réseau

3.5.1.1. Isolation plus stricte du service SSH à l’aide de VRF

A partir de la V2.5.3.105, afin de durcir le service SSH, des VRF sont utilisées pour un meilleur cloisonnement.

---

3.5.1.2. Refonte des règles internes du pare-feu

A partir de la V2.5.3.105, iptables a été remplacé par nftables pour le filtrage des flux internes du GCap et les règles gérées dynamiquement ont été abondonnées au profit de règles statiques prédéfinies en fonction de l’état du GCap.

---

3.5.1.3. Refonte de la gestion IPsec entre le GCap et le GCenter

A partir de la V2.5.3.105, des modifications en profondeur du service IPSec ont été opérées afin d’améliorer la stabilité et la sécurité des échanges entre le GCap et le GCenter.

---

3.5.2. Sécurité système

3.5.2.1. Amélioration de la qualité des clés cryptographiques

A partir de la V2.5.3.105, un mécanisme d’injection d’entropie a été mis en place pour améliorer la qualité des clés cryptographiques générées notamment lors du premier démarrage.

---

3.5.2.2. Durcissement de la configuration du service SSH

En V2.5.3.105, le service SSH a été durci pour suivre les recommandations de l’ANSSI.

---

3.5.2.3. Amélioration de l’isolation des processus

A partir de la V2.5.3.105, une meilleure isolation des processus est présente grâce à Systemd (limitation des espaces mémoire alloués aux processus, accès en lecture seule…).

---

3.5.2.4. Politique PAM et gestion des verrouillages de comptes

A partir de la V2.5.3.105, une refonte complète de la politique PAM et de la gestion des verrouillages de comptes a été opérée.

---

3.5.2.5. Protection des partitions disques en lecture seule

A partir de la V2.5.3.105, les partitions contenant le code du GCap sont montées en lecture seule dès le démarrage du serveur et non lors du démarrage du moteur de détection.

---

3.5.2.6. Modification de la stratégie du mot de passe root

A partir de la V2.5.3.105, le mot de passe root est généré aléatoirement et n’est plus disponible pour les utilisateurs de la solution.

Pour plus d’information sur ce sujet, veuiller contacter le support technique GATEWATCHER.

---

3.5.2.7. Sanctuarisation de la gestion de configuration et des droits associés

A partir de la V2.5.3.105, un système central de gestion des droits et des contrôles d’accès a été mis en place ainsi les demandes de modifications de configuration sont soumises à ce système.

---

3.5.2.8. Réduction des risques sur les droits SUID

A partir de la V2.5.3.105, tous les programmes ayant la propriété SUID et qui ne sont pas utilisés sont soit supprimés soit désactivés.

---

3.5.2.9. Amélioration du démon en charge des filtres XDP

A partir de la V2.5.3.105, les améliorations suivantes ont été appliquées au démon en charge des filtres XDP :

• réduction de la surface d’attaque (plus de compilation dynamique du code, durcissement du démon..),

• augmentation de ses performances.

---

3.5.2.10. Amélioration de la sécurité de Netdata

A partir de la V2.5.3.105, les modules natifs de prises de mesures de Netdata sont remplacés par un démon sécurisé, développé par Gatewatcher.

---

3.5.2.11. Création d’une Image initrd spécifique

A partir de la V2.5.3.105, une image initrd sécurisée, générée par Gatewatcher est dorénavant utilisée.

---

3.5.2.12. Remplacement du système d’initialisation

A partir de la V2.5.3.105, le système d’initialisation OpenRC est remplacé par systemd.

---

3.6. Modification sur la CLI

3.6.1. Modification du champ d’action des commandes liées aux interfaces

Jusqu’à la V2.5.3.104, les commandes permettant d’interagir avec les interfaces de détection sont :

• `show monitoring-interfaces`,

• `set monitoring interfaces`.

A partir de la V2.5.3.105, les interfaces de management et les interfaces de détection sont gérées par les mêmes commandes :

• `show interfaces`,

• `set interfaces`.

---

3.6.2. Sélection des protocoles qui sont analysés par le moteur de détection

Jusqu’à la V2.5.3.104, la sélection des protocoles qui sont analysés par le moteur de détection se fait par la GUI ou la commande `Protocols-selector`.

A partir de la V2.5.3.105, cette fonction est effectuée via les règles du moteur de détection et donc gérée par le GCenter.

La commande `Protocols-selector` a donc été retirée de la CLI.

---

3.6.3. La GUI de configuration est marquée obsolète

A partir de la V2.5.3.105, la GUI est considérée comme dépréciée (ou obsolète).

Les nouvelles fonctionnalités ne seront donc pleinement utilisables qu’au travers de la CLI.

3.7. Fonctionnalités pour extraction des données de diagnostic à destination du support technique de Gatewatcher

Afin de pouvoir collecter facilement les données nécessaires au diagnostic par le support technique de Gatewatcher, une extraction automatisée des données de fonctionnement du GCap a été développée.

Cette extraction est effectuée grâce à la commande `tech-support` du sous-groupe `show`.

---

3.8. Modification de la stratégie de rechargement des pilotes

Jusqu’à la V2.5.3.104, c’est un redémarrage qui est effectué (arrêt des pilotes puis redémarrage services + chargement des fichiers) : commande `system restart-drivers`.

A partir de la V2.5.3.105, c’est un rechargement des fichiers de configuration qui est effectué) : `commande system reload-drivers`.

---

3.9. Modification de la stratégie de la gestion des situations de crises (emergency mode)

A partir de la V2.5.3.105, une gestion des espaces disques a été ajoutée avec la mise en place de quota pour éviter la saturation de ces espaces qui renderaient le GCap inopérant.

Lorsque ces quotas sont dépassés l’emergency mode est déclenché et va modifier dynamiquement la durée de rétention des données du GCap pour la passer à 2 min.

Ainsi tous les fichiers plus vieux que cette durée de rétention sont supprimés, en commençant par les plus anciens jusqu’à la sortie de l’emergency mode.

Pour plus d’informations sur cette fonctionnalité, veuiller consulter la documentation.