Système
Redondance du serveur SMC
IMPORTANT
Cette fonctionnalité est en accès anticipé.
Veuillez impérativement consulter le Guide d'administration avant d'activer cette fonctionnalité.
Vous pouvez désormais mettre en place un système de redondance entre deux serveurs SMC, permettant d'assurer la continuité de service. En cas de panne du nœud primaire, les firewalls SNS se connectent automatiquement au nœud secondaire. La configuration des deux nœuds est synchronisée toutes les heures.
Modification des répertoires système
Les fichiers présents dans le répertoire /var/tmp ont été déplacés dans le répertoire /data/tmp.
Le répertoire /var/fwadmin a été supprimé et les fichiers ont été déplacés vers le répertoire /data/fwadmin.
Le lien symbolique entre les répertoires /var/tmp et /data/tmp a été supprimé. Les fichiers présents dans /var/tmp ne sont désormais plus conservés d'une mise à jour à la suivante.
Rapport de diagnostic du serveur SMC
Le rapport de diagnostic du serveur contient une nouvelle section qui fournit des statistiques sur la taille de vos configurations dans SMC : nombre de firewalls administrés, nombres de règles, de routes, d'interfaces, etc. Ces statistiques permettent de mieux diagnostiquer d'éventuels problèmes de performance.
Journalisation
Les fichiers de journaux /var/log/fwadmin-server/cfg2ini.log et /var/log/fwadmin-server/connections.log ont été supprimés et leur contenu a été déplacé dans le fichier /var/log/fwadmin-server/server.log.
Mécanismes de type MAC-then-Encrypt
Pour des raisons de sécurité, les mécanismes de type MAC-then-Encrypt ont été supprimés du serveur SMC.
Configuration des firewalls SNS
Avertissement de modification de la configuration des firewalls
IMPORTANT
Cette fonctionnalité est en accès anticipé.
Veuillez impérativement consulter la liste des limitations dans le Guide d'administration avant d'activer cette fonctionnalité.
Cette nouvelle fonctionnalité est désactivée par défaut. Si vous l'activez, un avertissement s'affiche désormais au moment du déploiement de configuration sur les firewalls SNS, dans le cas où d'autres administrateurs auraient fait des modifications de configuration depuis le dernier déploiement. L'administrateur peut alors choisir de poursuivre le déploiement ou de l'annuler.
Configuration du réseau
Mot-clé blackhole
A partir des versions des firewalls SNS :
-
4.3.21 LTSB et 4.3 LTSB supérieures,
-
4.7 et supérieures,
vous pouvez désormais sélectionner le mot-clé blackhole en tant que passerelle de la route par défaut ou d'une route statique destinée à détruire un trafic identifié.
Ce mécanisme peut notamment être utilisé dans une configuration comportant des tunnels IPsec : en cas d’indisponibilité d’un tunnel, les paquets qui lui étaient destinés sont ainsi détruits au lieu d’être redirigés vers la passerelle par défaut du firewall.
Compatibilité Microsoft Windows
Support de Windows Server 2022
SMC est désormais compatible avec l'hyperviseur Microsoft Hyper-V pour Windows Server 2022 pour l'installation. Il est également compatible avec des serveurs LDAP et Radius sur Windows Server 2022 pour l'authentification des utilisateurs.
Authentification
Protection contre les attaques par force brute
Lorsqu'un administrateur se connecte à l'interface de ligne de commande de SMC via son compte SSH ou le compte "root" SSH, la connexion se bloque désormais pendant 15 minutes après cinq erreurs successives d'authentification.
Paramétrage d'un serveur Radius
Référence support 85187
Vous pouvez maintenant configurer les valeurs des attributs NAS-IP-Address et NAS-IP-Identifier utilisés dans les requêtes Radius, avec les variables d'environnement :
-
SMC_RADIUS_NAS_IP_ADDRESS
-
SMC_RADIUS_NAS_IDENTIFIER
API publique de SMC
Topologies et tunnels VPN
Trois nouvelles routes API sont disponibles dans l'API publique de SMC pour gérer les topologies et les tunnels VPN :
| Route | Permet de |
|---|---|
| GET /papi/v1/vpn/topologies |
Lister toutes les topologies VPN configurées dans SMC, qu'elles soient déployées ou non. La route remonte tous les éléments de configuration tels que le nom de la topologie, la méthode d'authentification, le nom et le contenu du profil de chiffrement, les correspondants, etc. La route permet également de filtrer les topologies via leur nom ou la version IKE utilisée. Le champ "name" autorise la recherche partielle, et la casse est ignorée. |
| GET /papi/v1/vpn/topologies/{uuid} |
Lister tous les éléments de configuration d'une topologie VPN spécifique configurée sur SMC, qu'elle soit déployée ou non. |
| GET /papi/v1/vpn/tunnels |
Lister tous les tunnels VPN déployés depuis SMC. La route remonte tous les éléments de supervision d'un tunnel VPN tels que le nom de la topologie, l'état du tunnel, les extrémités de trafic, etc. La route permet également de filtrer les tunnels via un nom de topologie, le type, la forme ou l'état d'une topologie. Le champ "topologyName" autorise la recherche partielle, et la casse est ignorée. |
Déploiement de configuration
Deux nouvelles routes API sont disponibles dans l'API publique de SMC pour gérer les déploiements de configuration :
| Route | Permet de |
|---|---|
| POST /papi/v1/deployment | Déployer la configuration sur les firewalls. |
| GET /papi/v1/deployment | Connaître le statut du déploiement en cours ou du dernier déploiement. |
Règles de filtrage et de translation
Huit nouvelles routes API sont disponibles dans l'API publique de SMC pour gérer les règles de filtrage et de translation spécifiques à un firewall ou partagées entre plusieurs firewalls :
| Route | Permet de |
|---|---|
| GET /papi/v1/folders/{uuidOrName}/filter-policy | Lister les règles de filtrage présentes dans un dossier. Seules les règles contenues dans le dossier sont remontées et non les règles du dossier parent ou des sous-dossiers. Les règles sont triées par priorité haute ou basse. |
| GET /papi/v1/folders/{uuidOrName}/nat-policy | Lister les règles de translation présentes dans un dossier. Seules les règles contenues dans le dossier sont remontées et non les règles du dossier parent ou des sous-dossiers. Les règles sont triées par priorité haute ou basse. |
| PUT /papi/v1/folders/{uuidOrName}/filter-policy | Modifier les règles de filtrage d'un dossier. |
| PUT /papi/v1/folders/{uuidOrName}/nat-policy | Modifier les règles de translation d'un dossier. |
| PUT /papi/v1/firewalls/{uuidOrName}/filter-policy | Définir des règles de filtrage spécifiques à un firewall. |
| PUT /papi/v1/firewalls/{uuidOrName}/nat-policy | Définir des règles de translation spécifiques à un firewall. |
| GET /papi/v1/firewalls/{uuidOrName}/filter-policy | Lister les règles de filtrage spécifiques à un firewall. Seules les règles spécifiques au firewall sont remontées et non les règles présentes dans le dossier auquel le firewall appartient. |
| GET /papi/v1/firewalls/{uuidOrName}/nat-policy | Lister les règles de translation spécifiques à un firewall. Seules les règles spécifiques au firewall sont remontées et non les règles présentes dans le dossier auquel le firewall appartient. |
Dossiers
Une nouvelle route API est disponible dans l'API publique de SMC pour gérer les dossiers :
| Route | Permet de |
|---|---|
| GET /papi/v1/folders |
Lister tous les dossiers présents sur SMC et pour chacun des dossiers, leur nom et leur UUID ainsi que les firewalls qu'il contiennent. |
Base d'objets
27 nouvelles routes API sont disponibles dans l'API publique de SMC pour gérer la base d'objets :
| Route | Permet de |
|---|---|
| GET /papi/v1/objects |
Lister tous les objets présents dans la base d'objets de SMC. |
| POST /papi/v1/objects/[type de l'objet] |
Ajouter des objets de type "Machine", "Groupe", "Réseau", "Port", "Nom DNS", "Temps", "Routeur", "SLA", "Protocole IP", "Plage d'adresses", "Groupe de Ports" et "Géolocalisation". Par exemple : POST /papi/v1/objects/hosts |
| PUT /papi/v1/objects/[type de l'objet]/{uuidOrName} |
Modifier des objets de type "Machine", "Groupe", "Réseau", "Port", "Nom DNS", "Temps", "Routeur", "SLA", "Protocole IP", "Plage d'adresses", "Groupe de Ports" et "Géolocalisation". Par exemple : PUT /papi/v1/objects/hosts/{uuidOrName} |
| DELETE /papi/v1/objects/{type}/{name} DELETE /papi/v1/objects/{uuid} |
Supprimer des objets de la base d'objets de SMC à partir de leur nom ou de leur UUID. |