Gestion des administrateurs
Accès au serveur SMC en mode console ou en SSH
Tous les administrateurs peuvent désormais se voir accorder le droit d'accès au serveur SMC via la console de l'hyperviseur ou en SSH. Auparavant, seul l'utilisateur "root" était autorisé.
Ceci permet de faciliter l'accès aux fonctions avancées de gestion du serveur SMC et d'identifier dans les journaux du serveur les connexions et actions des administrateurs ainsi que les élévations de privilèges.
Les administrateurs authentifiés via un serveur d'authentification LDAP ou Radius peuvent également accéder à SMC via la console de l'hyperviseur ou en SSH. Le super-administrateur peut leur octroyer les droits via l'interface d'administration.
Gestion des administrateurs provenant de serveurs d'authentification externes
Il est maintenant possible de gérer directement dans l'interface web du serveur SMC les administrateurs et les groupes possédant un compte sur un serveur d'authentification LDAP.
Le fichier rights.csv n'est plus utilisé. Et les commandes smc-auth-check et smc-ui-password ne sont plus disponibles.
De même, il est possible d'ajouter dans l'interface des groupes d'utilisateurs Radius via un attribut VSA, de la même façon que sur les firewalls SNS.
Le serveur d'authentification OpenLDAP 2.5.x est désormais supporté.
Définition d'un serveur d'authentification de secours
Afin de garantir un accès sans interruption des administrateurs au serveur SMC, vous pouvez définir un serveur d'authentification LDAP ou Radius de secours en cas de panne du serveur principal.
Environnement non connecté
Serveur Active Update
Le serveur SMC peut désormais faire office de serveur Active Update communiquant avec les serveurs de mise à jour Stormshield, pour distribuer les bases de données Active Update aux firewalls SNS, même lorsqu'ils ne sont pas connectés à Internet. Le service télécharge automatiquement les bases de données périodiquement. Les firewalls disposent ainsi toujours des dernières bases de données (signatures contextuelles, antivirus, Vulnerability Manager, etc.).
Dans les cas où le serveur SMC et les firewalls SNS opèrent dans un réseau fermé sans accès à Internet, vous pouvez télécharger manuellement les bases de données Active Update et les distribuer aux firewalls SNS via le serveur Active Update du serveur SMC.
Renforcement de la sécurité
Conformité avec le mode "Diffusion restreinte"
Le serveur SMC permet désormais de mettre en œuvre le mode "Diffusion restreinte" sur les firewalls SNS. Ce mode respecte les recommandations de l'ANSSI pour la diffusion de certaines communications transitant par VPN IPsec. Un contrôle de cohérence de la configuration du serveur et des firewalls vous aide à déployer ce mode en détectant automatiquement les paramètres nécessitant des modifications.
L'activation du mode DR sur le serveur SMC entraîne un déploiement de configuration sur les firewalls SNS. Un redémarrage manuel des firewalls est nécessaire.
Configuration des firewalls SNS
Utilisation des propriétés personnalisées des firewalls
Vous pouvez maintenant créer des propriétés personnalisées en plus des propriétés par défaut Nom, Description et Lieu pour les firewalls, et attribuer des valeurs spécifiques à chaque firewall.
Vous pourrez ainsi filtrer la liste des firewalls ou faire des recherches en vous basant sur ces propriétés.
Elles peuvent être importées ou exportées au format CSV et sont également présentes dans l'export des données de supervision.
Supervision des firewalls SNS
Export des données de supervision des firewalls SNS
L'export des données de supervision comprend désormais uniquement les données des firewalls affichés dans le panneau, dans le cas où la liste est filtrée.
Statut des options de licence
Les icônes d'état dans le bandeau supérieur de l'interface d'administration ainsi que la colonne Options de licence dans le panneau de supervision des firewalls alertent désormais lorsqu'une option de votre licence ou sa maintenance est proche d'expirer ou est expirée.
Des variables d'environnement permettent de configurer les seuils d'alerte.
Règles de filtrage et de translation
Consultation des règles locales
Les règles locales d'un firewall sont maintenant affichées en lecture seule dans le panneau des règles de filtrage et de translation.
Configuration du serveur SMC
Attribution dynamique d'une adresse via DHCP
Vous pouvez désormais choisir d'attribuer une adresse IP dynamique au serveur SMC via DHCP. Cette option est disponible dans l'assistant d'initialisation du serveur SMC ou dans les paramètres du serveur, dans l'interface d'administration.
Autorités et certificats
Vérification de la liste de révocation des certificats (CRL)
Pour vérifier la validité des certificats, la variable d'environnement FWADMIN_VPN_CRL_REQUIRED n'est plus supportée. La case à cocher Vérifier la validité des certificats est désormais disponible dans le panneau Configuration > Certificats.
Depuis le panneau de gestion des certificats, l'administrateur peut désormais spécifier pour chaque firewall :
-
l'adresse IP locale de renouvellement des certificats SCEP/EST des firewalls SNS,
-
l'adresse IP locale permettant de vérifier la liste de révocation,
-
la fréquence de vérification de la liste de révocation.
La valeur de l'ancienne variable FWADMIN_VPN_CRL_REQUIRED n'est pas conservée lors de la mise à jour du serveur SMC et le champ Interface de sortie dans le panneau de renouvellement des certificats a été supprimé.
Adresse IP locale de renouvellement des certificats obtenus par SCEP ou EST
Pour les firewalls SNS possédant des certificats obtenus via les protocoles SCEP ou EST, vous pouvez désormais spécifier une adresse IP locale à utiliser pour le renouvellement des certificats pour chacun d'entre eux. Auparavant, l'adresse de renouvellement était indiquée dans le panneau des paramètres de l'autorité de certification et était donc la même pour tous les certificats issus d'une même autorité.
Topologies VPN
Configuration du PRF dans les profils de chiffrement
Vous pouvez maintenant choisir un algorithme devant être négocié en tant que PRF (Pseudo-Random Function) dans l'onglet IKE des profils de chiffrement utilisés dans les topologies VPN. Cette option est supportée à partir de la version 4.2.3 des firewalls SNS et n'est compatible qu'avec les topologies IKEv2.
Nouveaux profils de chiffrement
Les trois profils de chiffrement proposés par le serveur SMC par défaut "Strong encryption", "Mobile encryption" et "Good encryption" ont été renommés "Strong encryption legacy", "Mobile encryption legacy" et "Good encryption legacy". Si vous les aviez modifiés, ils retrouvent leur configuration par défaut.
Le profil "Good encryption legacy" utilise désormais l'algorithme AES à la place de l'algorithme Blowfish et le groupe Diffie-Hellman 2 remplace le groupe Diffie-Hellman 14 en phase 2.
Trois nouveaux profils "Strong encryption", "Mobile" et "Good encryption" remplacent les anciens.
Ces six profils sont en lecture seule.
Base d'objets
Import des objets Routeur
La version 4.3.0 des firewalls SNS permet d'exporter des objets Routeur ainsi que les passerelles associées. Le serveur SMC supporte désormais l'import/export des objets Routeur dans le même format que les firewalls SNS.
L'ancien format CSV (avant SMC 3.1) pour les objets Routeur n'est plus supporté. La configuration de passerelle associée à un objet Routeur est incompatible avec les versions de SMC inférieures à 3.1.
Hébergement Amazon Web Services
Le serveur SMC peut désormais être hébergé par Amazon Web Services (AWS) en mode BYOL (Bring Your Own License).
Vous pouvez choisir entre plusieurs types d'instances afin d'adapter au mieux les ressources du serveur SMC en fonction du nombre de firewalls à administrer.