Préconisations

Avant de migrer une configuration existante vers la version 3 de firmware, veuillez :

  • Lire attentivement la section Problèmes connus de la Base de connaissance Stormshield (anglais uniquement - identifiants identiques à ceux de votre espace client MyStormshield),
  • Lire attentivement la section Précisions sur les cas d’utilisation,
  • Réaliser une sauvegarde de la partition principale vers la partition secondaire ainsi qu'une sauvegarde de configuration.

Gestion des adresses MAC

En version 3.8.0, la gestion des adresses MAC a été modifiée afin de corriger des problèmes rencontrés sur la prise en charge de certaines configurations avancées des interfaces.

Stormshield applique ainsi un usage plus strict du mode promiscuous.

Ces modifications peuvent se traduire par un changement de comportement dans les configurations suivantes :

  • Interface Ethernet portant au moins un VLAN sur lequel l'adresse MAC a été forcée [1],
  • Interface Ethernet désactivée portant un ou plusieurs VLAN(s),
  • Interface Ethernet porteuse d'un ou plusieurs VLANs inclus dans un bridge,
  • Interface HA portant un ou plusieurs VLANs.

[1] La Haute Disponibilité implique le forçage des adresses MAC sur l'un des membres du cluster.

Si vous êtes concerné par l'une de ces configurations, veuillez vérifier que tous vos équipements réseau référencent bien l'adresse MAC réelle de votre firewall.

Pour de plus amples informations, veuillez consulter cet article de la Base de Connaissances Stormshield.

Protocole SSL

Depuis la version 3.7.0 de firmware, les suites de chiffrement présentant un niveau de sécurité faible (suites basées sur MD5, SHA1 et DES) ne sont plus disponibles pour le protocole SSL utilisé par les différents composants du firewall (VPN SSL, Proxy SSL,...).

Pour les configurations qui utilisent ces suites de chiffrement, il est nécessaire de choisir des algorithmes de niveau de sécurité supérieur avant d'effectuer la migration du firewall en version SNS 3.7.0 ou supérieure. Dans le cas contraire, les services concernés ne fonctionneront pas ou refuseront de démarrer.

VPN IPSec

Référence support 66421

Avant de mettre à jour le firewall en v3, vérifiez votre configuration VPN IPSec de la manière suivante :

Dans le menu Configuration > VPN > VPN IPSEC > Onglet Identification, vérifiez que les adresses e-mail indiquées dans la zone Tunnels nomades : Clés-prépartagées soient correctement formées, et corrigez-les si besoin.

Si une adresse contient une irrégularité (e.g., product@stormshield ou product@stormshield.e), l'activation de la politique IPSec échouera avec l'erreur Failed to parse PSK list from slotfile.

Machines Virtuelles EVA

Il est recommandé de positionner la mémoire d'une machine EVA à 2 Go minimum en cas d'utilisation intensive de l'antivirus et du sandboxing.

Microsoft Internet Explorer

L’utilisation du navigateur Microsoft Internet Explorer, y compris dans sa version 11, peut entraîner une importante dégradation de l’expérience utilisateur. Il est donc fortement recommandé d'utiliser l'un des navigateurs listés dans la section Compatibilité.

Extended Web Control

Si le mode synchrone est activé pour la solution de filtrage d’URL Extended Web Control (paramètre X-CloudURL_Async=0 dans la section [Config] du fichier de configuration ConfigFiles/proxy), il est impératif de le désactiver avant de mettre à jour le firewall en v3. Pour ce faire, supprimez la ligne contenant ce paramètre X-CloudURL_Async.

Mise à jour d'un cluster avec plusieurs liens de haute disponibilité

Pour un cluster mettant en œuvre plus d'un lien dédié à la haute disponibilité, il est nécessaire de s'assurer que le lien principal est actif avant de procéder à la mise à jour en version 3.

Méthode d'authentification "Agent SSO"

Dans une configuration utilisant la méthode d'authentification "Agent SSO", il est nécessaire d'effectuer la migration de l'agent SSO dans une version égale ou supérieure à la version 1.4 avant de réaliser celle du firewall.

Il est également nécessaire de renseigner le champ "Nom de domaine" dans la configuration de l'agent SSO avant migration du firewall. Ce nom de domaine doit correspondre au nom réel du domaine (exemple : stormshield.eu) pour permettre le fonctionnement de l'agent SSO.

Routage par politique de filtrage

Si une remise en configuration d’usine du firewall (defaultconfig) est réalisée suite à une migration d'une version 1 vers une version 2 puis vers une version 3, l’ordre d’évaluation du routage est modifié et le routage par politique de filtrage [PBR] devient prioritaire (routage par politique de filtrage > routage statique > routage dynamique >…> routage par défaut). En revanche, en l’absence de remise en configuration d’usine du firewall, l’ordre d’évaluation reste inchangé par rapport à la version 1 (routage statique > routage dynamique > routage par politique de filtrage [PBR] > routage par interface > routage par répartition de charge > routage par défaut).

Politique de filtrage et utilisateurs

Dans les versions précédentes de firmware, la politique de filtrage ne distinguait pas les utilisateurs des groupes. En version 3, la gestion des annuaires multiples impose une vérification stricte des utilisateurs. Une migration de configuration vers la version 3 de firmware peut ainsi générer des avertissements invitant l'administrateur à ressaisir les utilisateurs dans sa politique de filtrage pour lever cette ambiguïté.