Nouvelles fonctionnalités et améliorations de SMC 3.5.3

Système

Redondance du serveur SMC

IMPORTANT
Cette fonctionnalité est en accès anticipé.
Veuillez impérativement consulter le Guide d'administration avant d'activer cette fonctionnalité.

Vous pouvez désormais mettre en place un système de redondance entre deux serveurs SMC, permettant d'assurer la continuité de service. En cas de panne du nœud primaire, les firewalls SNS se connectent automatiquement au nœud secondaire. La configuration des deux nœuds est synchronisée toutes les heures.

En savoir plus

Modification des répertoires système

Les fichiers présents dans le répertoire /var/tmp ont été déplacés dans le répertoire /data/tmp.

Le répertoire /var/fwadmin a été supprimé et les fichiers ont été déplacés vers le répertoire /data/fwadmin.

Le lien symbolique entre les répertoires /var/tmp et /data/tmp a été supprimé. Les fichiers présents dans /var/tmp ne sont désormais plus conservés d'une mise à jour à la suivante.

Rapport de diagnostic du serveur SMC

Le rapport de diagnostic du serveur contient une nouvelle section qui fournit des statistiques sur la taille de vos configurations dans SMC : nombre de firewalls administrés, nombres de règles, de routes, d'interfaces, etc. Ces statistiques permettent de mieux diagnostiquer d'éventuels problèmes de performance.

Mécanismes de type MAC-then-Encrypt

Pour des raisons de sécurité, les mécanismes de type MAC-then-Encrypt ont été supprimés du serveur SMC.

Configuration des firewalls SNS

Avertissement de modification de la configuration des firewalls

IMPORTANT
Cette fonctionnalité est en accès anticipé.
Veuillez impérativement consulter la liste des limitations dans le Guide d'administration avant d'activer cette fonctionnalité.

Cette nouvelle fonctionnalité est désactivée par défaut. Si vous l'activez, un avertissement s'affiche désormais au moment du déploiement de configuration sur les firewalls SNS, dans le cas où d'autres administrateurs auraient fait des modifications de configuration depuis le dernier déploiement. L'administrateur peut alors choisir de poursuivre le déploiement ou de l'annuler.

En savoir plus

Configuration du réseau

Mot-clé blackhole

A partir des versions des firewalls SNS :

  • 4.3.21 LTSB et 4.3 LTSB supérieures,

  • 4.7 et supérieures,

vous pouvez désormais sélectionner le mot-clé blackhole en tant que passerelle de la route par défaut ou d'une route statique destinée à détruire un trafic identifié.

Ce mécanisme peut notamment être utilisé dans une configuration comportant des tunnels IPsec : en cas d’indisponibilité d’un tunnel, les paquets qui lui étaient destinés sont ainsi détruits au lieu d’être redirigés vers la passerelle par défaut du firewall.

Compatibilité Microsoft Windows

Support de Windows Server 2022

SMC est désormais compatible avec l'hyperviseur Microsoft Hyper-V pour Windows Server 2022 pour l'installation. Il est également compatible avec des serveurs LDAP et Radius sur Windows Server 2022 pour l'authentification des utilisateurs.

Authentification

Protection contre les attaques par force brute

Lorsqu'un administrateur se connecte à l'interface de ligne de commande de SMC via son compte SSH ou le compte "root" SSH, la connexion se bloque désormais pendant 15 minutes après cinq erreurs successives d'authentification.

Paramétrage d'un serveur Radius

Référence support 85187

Vous pouvez maintenant configurer les valeurs des attributs NAS-IP-Address et NAS-IP-Identifier utilisés dans les requêtes Radius, avec les variables d'environnement :

  • SMC_RADIUS_NAS_IP_ADDRESS

  • SMC_RADIUS_NAS_IDENTIFIER

API publique de SMC

Topologies et tunnels VPN

Trois nouvelles routes API sont disponibles dans l'API publique de SMC pour gérer les topologies et les tunnels VPN :

Route Permet de
GET /papi/v1/vpn/topologies

Lister toutes les topologies VPN configurées dans SMC, qu'elles soient déployées ou non. La route remonte tous les éléments de configuration tels que le nom de la topologie, la méthode d'authentification, le nom et le contenu du profil de chiffrement, les correspondants, etc. La route permet également de filtrer les topologies via leur nom ou la version IKE utilisée. Le champ "name" autorise la recherche partielle, et la casse est ignorée.

GET /papi/v1/vpn/topologies/{uuid}

Lister tous les éléments de configuration d'une topologie VPN spécifique configurée sur SMC, qu'elle soit déployée ou non.

GET /papi/v1/vpn/tunnels

Lister tous les tunnels VPN déployés depuis SMC. La route remonte tous les éléments de supervision d'un tunnel VPN tels que le nom de la topologie, l'état du tunnel, les extrémités de trafic, etc. La route permet également de filtrer les tunnels via un nom de topologie, le type, la forme ou l'état d'une topologie. Le champ "topologyName" autorise la recherche partielle, et la casse est ignorée.

Déploiement de configuration

Deux nouvelles routes API sont disponibles dans l'API publique de SMC pour gérer les déploiements de configuration :

Route Permet de
POST /papi/v1/deployment Déployer la configuration sur les firewalls.
GET /papi/v1/deployment Connaître le statut du déploiement en cours ou du dernier déploiement.

Règles de filtrage et de translation

Huit nouvelles routes API sont disponibles dans l'API publique de SMC pour gérer les règles de filtrage et de translation spécifiques à un firewall ou partagées entre plusieurs firewalls :

Route Permet de
GET /papi/v1/folders/{uuidOrName}/filter-policy Lister les règles de filtrage présentes dans un dossier. Seules les règles contenues dans le dossier sont remontées et non les règles du dossier parent ou des sous-dossiers. Les règles sont triées par priorité haute ou basse.
GET /papi/v1/folders/{uuidOrName}/nat-policy Lister les règles de translation présentes dans un dossier. Seules les règles contenues dans le dossier sont remontées et non les règles du dossier parent ou des sous-dossiers. Les règles sont triées par priorité haute ou basse.
PUT /papi/v1/folders/{uuidOrName}/filter-policy Modifier les règles de filtrage d'un dossier.
PUT /papi/v1/folders/{uuidOrName}/nat-policy Modifier les règles de translation d'un dossier.
PUT /papi/v1/firewalls/{uuidOrName}/filter-policy Définir des règles de filtrage spécifiques à un firewall.
PUT /papi/v1/firewalls/{uuidOrName}/nat-policy Définir des règles de translation spécifiques à un firewall.
GET /papi/v1/firewalls/{uuidOrName}/filter-policy Lister les règles de filtrage spécifiques à un firewall. Seules les règles spécifiques au firewall sont remontées et non les règles présentes dans le dossier auquel le firewall appartient.
GET /papi/v1/firewalls/{uuidOrName}/nat-policy Lister les règles de translation spécifiques à un firewall. Seules les règles spécifiques au firewall sont remontées et non les règles présentes dans le dossier auquel le firewall appartient.

Dossiers

Une nouvelle route API est disponible dans l'API publique de SMC pour gérer les dossiers :

Route Permet de
GET /papi/v1/folders

Lister tous les dossiers présents sur SMC et pour chacun des dossiers, leur nom et leur UUID ainsi que les firewalls qu'il contiennent.

Base d'objets

27 nouvelles routes API sont disponibles dans l'API publique de SMC pour gérer la base d'objets :

Route Permet de
GET /papi/v1/objects

Lister tous les objets présents dans la base d'objets de SMC.

POST /papi/v1/objects/[type de l'objet]

Ajouter des objets de type "Machine", "Groupe", "Réseau", "Port", "Nom DNS", "Temps", "Routeur", "SLA", "Protocole IP", "Plage d'adresses", "Groupe de Ports" et "Géolocalisation".

Par exemple : POST /papi/v1/objects/hosts

PUT /papi/v1/objects/[type de l'objet]/{uuidOrName}

Modifier des objets de type "Machine", "Groupe", "Réseau", "Port", "Nom DNS", "Temps", "Routeur", "SLA", "Protocole IP", "Plage d'adresses", "Groupe de Ports" et "Géolocalisation".

Par exemple : PUT /papi/v1/objects/hosts/{uuidOrName}

DELETE /papi/v1/objects/{type}/{name}
DELETE /papi/v1/objects/{uuid}

Supprimer des objets de la base d'objets de SMC à partir de leur nom ou de leur UUID.