Nouvelles fonctionnalités de la version 3.8.0

Machines virtuelles

Stormshield Network EVA

La version 3.8.0 de firmware assure la compatibilité avec les nouveaux firewalls virtuels de la gamme Elastic Virtual Appliance (EVA).

Ces firewalls virtuels adaptent automatiquement leurs limites (nombre de connexions, de tunnels IPSec,...) en fonction de la mémoire affectée à l'instance. Ils offrent ainsi un réglage possible de la quantité de RAM utilisée et du nombre de processeurs virtuels (vCPU) selon les valeurs suivantes :

  • EVA1 : jusqu'à 2 Go de RAM et 1vCPU.
  • EVA2 : jusqu'à 3 Go de RAM et 2vCPU.
  • EVA3 : jusqu'à 6 Go de RAM et 4vCPU.
  • EVA4 : jusqu'à 8 Go de RAM et 4vCPU.
  • EVAU : jusqu'à 64 Go de RAM et 16vCPU.

Une modification de la capacité mémoire d'un EVA génère un événement système ainsi qu'une entrée dans le fichier de log système (fichier l_system) afin d'informer l'administrateur d'un éventuel changement de modèle et donc de licence.

Veuillez noter qu'en configuration d'usine (nouvelle installation ou remise en configuration d'usine avec la commande defaultconfig), les EVA disposent de deux interfaces réseau routées (et non réunies dans un bridge). De plus, ces deux interfaces sont configurées en DHCP par défaut.

Pour plus d'informations sur l'installation d'un firewall modèle EVA ou sur la mise à jour d'un modèle V / VS-VU vers un modèle EVA, veuillez consulter le document Firewalls virtuels EVA - Guide d'installation.

Les firewalls virtuels des gammes V et VS-VU supportent uniquement les versions 3.8.x dans le but d'une mise à jour vers la gamme EVA.

Instanciation des machines virtuelles

La création de machines virtuelles peut être automatisée à l'aide d'une image disque lue lors du premier démarrage du firewall virtuel.

Cette image disque comporte au minimum un fichier "user-data" comprenant le mot de passe du super-utilisateur (compte admin) et le nom d'hôte devant être affecté au firewall. Elle peut également inclure un script shell (nommé script.sh) ou un script nsrpc (nommé script.nsrpc) afin d'ajouter des paramètres supplémentaires de configuration automatique (ajout de règles de filtrage, ...).

Matériel

Stormshield Network SN710, SN910, SN2000 et SN3000

Ces modèles de firewalls supportent les cartes 4 ports cuivre 10 Gigabit Ethernet (uniquement en mode de détection automatique du média).

Prévention d'intrusion

Le mécanisme destiné à détecter et bloquer les attaques de type SYN Flood contre les machines du réseau interne peut être étendu à la protection des services internes du firewall. Dans ce cas, le firewall génère des logs spécifiques permettant de tracer les tentatives de déni de service via ce type d'attaques.

Pour activer cette protection supplémentaire, les règles implicites à destination des services internes du firewall doivent être désactivées et remplacées par des règles explicites équivalentes.

Pour plus de précisions concernant la mise en oeuvre de cette protection, nous vous invitons à consulter l'article de la base de connaissances Stormshield.

Protocole SSL

Une action supplémentaire est disponible pour le paramétrage d'analyse du protocole SSL (Protection applicative > Protocoles > SSL > onglet Proxy) : Déléguer à l'utilisateur.

Cette action force le navigateur du client à présenter une alarme de sécurité afin de l'informer des risques potentiels encourus. L'utilisateur prend alors la responsabilité de passer outre l'alarme s'il veut néanmoins accéder au site demandé.

Dans ce cas, l'administrateur est informé par la levée d'une alarme et l'écriture d'une entrée spécifique dans le fichier de log des alarmes (l_alarm).

La note technique Configurer le filtrage HTTPS a été mise à jour pour décrire ce nouveau fonctionnement.

Protocole NTP

L'analyse de ce protocole a été étendue. Le module de configuration du protocole NTP permet ainsi d'analyser ou de bloquer l'une ou l'autre des différentes versions (v1, v2, v3 et v4) de NTP. Pour chaque version du protocole analysée, un onglet dédié offre la possibilité d'autoriser ou de bloquer des commandes NTP spécifiques.

Liste blanche de protocoles

Une liste blanche de protocoles ne devant pas être analysés par le moteur de prévention d'intrusion a été ajoutée. Cette liste ne peut être alimentée qu'en ligne de commande (module Système > Console CLI) à l'aide de la commande suivante :

CONFIG PROTOCOL IP COMMON IPS CONFIG UnanalyzedIpProto="liste_de_numéros_de_protocoles"

Les numéros de protocoles sont disponibles sur le site de l'IANA (Internet Assigned Numbers Authority).

Notez que cette liste contient par défaut les protocoles VRRP (112) et SCTP (132). Pour afficher le contenu de la liste, utilisez la commande :

CONFIG PROTOCOL IP COMMON SHOW

Pour plus d'informations concernant la syntaxe de ces commandes, veuillez-vous référer au Guide de référence des commandes CLI / Serverd.

Réseau

En version 3.8.0, la gestion des adresses MAC a été modifiée afin de corriger des problèmes rencontrés sur la prise en charge de certaines configurations avancées des interfaces.

Stormshield applique ainsi un usage plus strict du mode promiscuous.

Ces modifications peuvent se traduire par un changement de comportement dans les configurations suivantes :

  • Interface Ethernet portant au moins un VLAN sur lequel l'adresse MAC a été forcée [1],
  • Interface Ethernet désactivée portant un ou plusieurs VLAN(s),
  • Interface Ethernet porteuse d'un ou plusieurs VLANs inclus dans un bridge,
  • Interface HA portant un ou plusieurs VLANs.

[1] La Haute Disponibilité implique le forçage des adresses MAC sur l'un des membres du cluster.

Si vous êtes concerné par l'une de ces configurations, veuillez vérifier que tous vos équipements réseau s'adressent à l'adresse MAC réelle de votre firewall.

Pour de plus amples informations, veuillez consulter cet article de la Base de Connaissances Stormshield.

Système

Autorités de certification de confiance

Le nombre d'autorités de certification racines embarquées sur les firewalls a été augmenté de manière conséquente. La taille de la partition /var des modèles SN210(W), SN310, SN510, SN710 et SNi40 a donc été augmentée en conséquence.

VPN IPSec

Depuis la version 3.8.0, il est possible de construire une politique IPSec nomade contenant plusieurs correspondants dès lors qu'ils utilisent le même profil de chiffrement IKE.

En cas d'authentification par certificats, les certificats des différents correspondants doivent être issus d'une même CA.

VPN IPSec - IKEv2

La version 3.8.0 introduit le support du protocole OCSP pour la vérification des certificats utilisés lors de l'établissement de tunnels IKEv2.

VPN IPSec (IKEv2 et IKEv1 + IKEv2)

Un utilisateur nomade (correspondant anonyme) peut établir simultanément plusieurs tunnels IPSec avec un firewall en s'authentifiant sur des domaines (annuaires) différents. Des groupes utilisateurs peuvent également être précisés sur ces domaines (optionnel).

Un utilisateur nomade peut ainsi établir simultanément un tunnel vers un réseau spécifique en tant que membre du groupe Administrateurs du domaine Domain1.org, et un tunnel vers une machine particulière en tant que membre du groupe Utilisateurs du domaine Domain2.org.

Maintenance

Les machines virtuelles des gammes V, VS et VU déjà initialisées autorisent l'installation d'un nouveau pack d'initialisation afin d'être mises à jour vers une machine virtuelle de la gamme EVA.

VPN SSL

Le niveau de sécurité mis en œuvre lors de la négociation et de l'utilisation de tunnels VPN SSL a été accru :

  • Algorithmes d'authentification et de chiffrement de force supérieure (SHA256, ECDHE-RSA-AES128-SHA256 et AES-256-GCM),
  • Compression des données activable basée sur les algorithmes LZ4,
  • Vérification stricte du certificat présenté par le serveur (nom du certificat, et certificat de type "serveur").

Si vous n'utilisez pas le client VPN SSL Stormshield, notez qu'il est impératif de :

  • Tavailler avec une version récente des clients OpenVPN (2.4.x) ou OpenVPN Connect (smartphones et tablettes),
  • Télécharger à nouveau la configuration du client sur le portail captif du firewall hébergeant le VPN SSL.

Affichage LCD

Sur les firewalls disposant d'un écran LCD en façade (SN910, SN6000), la commande système (module Système > Console CLI) SYSTEM LCD state=on/off permet d'activer ou de désactiver l'affichage d'informations sur cet écran LCD.

Stormshield Management Center

Après installation du package de rattachement, les adresses de connexion aux serveurs SMC peuvent être gérées via les commandes système (module Système > Console CLI) suivantes :

config fwadmin contact add | remove | list.

Pour plus d'informations sur ces commandes, veuillez-vous référer au Guide de référence des commandes CLI / Serverd.

Logs (Journaux d'audit) - VPN IPSec

Le nom affecté à une règle IPSec est affiché dans le fichier de logs VPN IPSec (fichier l_vpn) pour faciliter sa lecture. Lorsqu'aucun nom n'est affecté à une règle, celle-ci est identifiée dans le fichier de log par un hash MD5 constitué des différents composants de la règle (Réseau local, Réseau distant, Correspondant ...)

Pour rappel, le nom d'une règle IPSec ne peut être défini qu'en ligne de commande (module Système > Console CLI) à l'aide des commandes suivantes :

  • CONFIG IPSEC POLICY GATEWAY add,
  • CONFIG IPSEC POLICY GATEWAY update,
  • CONFIG IPSEC POLICY MOBILE add,
  • CONFIG IPSEC POLICY MOBILE update.

Pour plus d'informations concernant la syntaxe de ces commandes, veuillez-vous référer au Guide de référence des commandes CLI / Serverd.

Logs (Journaux d'audit) - Événements système

Deux événements ont été créés pour le suivi des connexions SSH au firewall : un événement pour les connexions réussies et un second pour les échecs de connexion. Ces événements sont visibles dans le journal des événements système (fichier l_system).

Proxies

Le proxy du firewall supporte la méthode HTTP PATCH décrite dans la RFC 5789.

Interface Web d'administration

Menu contextuel via clic droit

Les actions affichées dans la barre d'outils sont également accessibles via un clic droit dans les modules affichant des grilles de données :

  • Système : Administrateurs,
  • Réseau : Interfaces virtuelles, Routage, Routage multicast, DHCP,
  • Objets : Objets réseau,
  • Utilisateurs : Utilisateurs, Droits d'accès, Authentification,
  • Politique de sécurité : Filtrage et NAT, Filtrage URL, Filtrage SSL, Filtrage SMTP,
  • Protection applicative : Réputation des machines (onglet Machines), Antispam,
  • Notifications : Configuration de la supervision.

Filtrage et NAT

Une colonne Protocole a été ajoutée dans l'onglet NAT afin de pouvoir aisément réaliser une règle de translation d'adresses sur un protocole complet.

Traces - Syslog - IPFIX (onglet Stockage local)

Le champ Action en cas de saturation du support n'est plus disponible.
En cas de saturation du support de stockage, les traces les plus récentes effacent automatiquement les traces les plus anciennes.

Logs (Journaux d'audit)

Une plage de temps "Hier" a été ajoutée dans les critères de recherche des modules Vues et Logs - Journaux.

Logs (Journaux d'audit) - Alarmes

Un menu contextuel (accessible par un clic-droit) a été ajouté dans les journaux des alarmes (colonne Paquet capturé) afin de pouvoir exporter le paquet réseau capturé au format pcap.

Notez que pour provoquer la capture d'un paquet, la case Capturer le paquet responsable de la remontée de l'alarme doit avoir été cochée dans la configuration de l'alarme concernée (module Protection applicative > Applications et protections > colonne Avancé > clic sur Configurer).

Logs (Journaux d'audit) - Alarmes - Vulnérabilités

Un menu contextuel (accessible par un clic-droit) a été ajouté dans les journaux des alarmes et des vulnérabilités afin de pouvoir afficher l'aide en ligne de l'alarme ou de la vulnérabilité sélectionnée.

Logs (Journaux d'audit) et Supervision

Une info-bulle présentant des informations complémentaires est affichée lors du survol d'une machine ou d'un port :

  • Machine : Nom, Adresse IP, Système d'exploitation, Nombre de vulnérabilités détectées, Score de réputation, Octets reçus, Octets envoyés, Débit entrant, Débit sortant, Interface d'entrée, Adresse MAC.
  • Port : Nom, Numéro de port ou Plage de ports, Protocole, Commentaire éventuel.

Tableau de bord

Pour les machines virtuelles modèle EVA, les informations concernant la quantité de mémoire actuellement utilisée et la quantité de mémoire maximale pouvant être utilisée (en cas d'augmentation de la taille mémoire allouée à la machine virtuelle) ont été ajoutées dans le widget Propriétés du Tableau de bord.