IMPORTANT
Les versions SNS 3.x ne sont plus maintenues depuis le 1er juillet 2024.
Nous vous recommandons de mettre à jour vos firewalls SNS vers une version maintenue afin d’assurer la protection de votre infrastructure.
Nouvelles fonctionnalités de SNS 3.1.0
Système
Objets réseau
De nouveaux objets correspondant aux services et groupes de services utilisés par la solution Stormshield Endpoint Security ont été intégrés dans la base objets des Firewalls SNS.
VPN IPsec (IKEv2)
Les groupes Diffie-Hellman DH19 NIST Elliptic Curve Group (256-bits) et DH20 NIST Elliptic Curve Group (384-bits) ont été ajoutés aux profils de chiffrement disponibles pour les tunnels IPsec IKEv2.
VPN IPsec
Un bouton permettant de renommer les correspondants IPsec a été ajouté dans l'onglet Correspondants du module VPN IPsec.
Référence support 56589
Notifications
Les noms des objets associés aux adresses IP source et destination ont été ajoutés dans les rapports de notifications envoyés par e-mail.
Certificats et PKI
La période de vérification des CRL (Certificates Revocation List) était fixée à 24h. Elle peut désormais être paramétrée entre 3600 secondes (1 heure) et 604800 secondes (1 semaine). La valeur par défaut est de 21600 secondes (6 heures).
Ce paramétrage est réalisable uniquement via la commande CLI : PKI CONFIG UPDATE checkcrlperiod= xxxxx.
Page de blocage HTTP
Le code de retour associé à la page de blocage HTTP (valeur par défaut : 202 - Accepté) peut être modifié à l'aide de la ligne de commande : config protocol http profile proxy urlfilteringindex=X HTTPCodeOnFail=Y.
Haute disponibilité
Lors d’un changement de qualité du firewall passif (exemple : perte d’un lien, déconnexion d’un module d’alimentation…), une alerte SNMP (TRAP) est émise par le cluster afin d’avertir l’administrateur. Le firewall ajoute également un message du type « La qualité de l'un des nœuds du cluster a été modifiée : SN910XXXXXXXXXX 12 -> 11 » dans le journal des événements système (fichier l_system).
Sur une configuration en Haute Disponibilité, dont le facteur de qualité est inférieur à 100%, un message d'avertissement indiquant le risque de changement de rôle des membres du cluster est affiché dans différents cas, notamment :
- lors de la création, ajout ou suppression d'une interface dans un agrégat,
- en cas de désactivation d'une interface connectée,
- en cas d'activation d'une interface déconnectée.
VPN SSL
Les options Utiliser les serveurs DNS fournis par le firewall (register-dns) et Interdire l'utilisation de serveurs DNS tiers (block-outside-dns) indiquant respectivement au client VPN SSL d'écrire dans sa configuration le(s) serveur(s) DNS précisé(s) par le firewall Stormshield Network et de ne pas utiliser de serveur DNS tiers sont paramétrables depuis le module Configuration > VPN SSL. Cette fonctionnalité réduit le délai nécessaire pour la réception des réponses aux requêtes DNS du client, notamment pour les machines fonctionnant sous Microsoft Windows 10.
VPN SSL Portail
La connexion au VPN SSL Portail utilise l'application Java Webstart en remplacement de l'application Java standard.
Objets globaux
Les firewalls SNS supportent désormais les objets temps et objets routeurs globaux. Ceux-ci peuvent donc être gérés et déployés à l’aide de la solution Stormshield Management Center.
Vérification des CRL et support du BindAddr dans les requêtes LDAP du firewall
Dans la configuration LDAP du firewall, le paramètre BindAddr suivi de l'adresse IP privée du firewall impose à celui-ci de présenter cette adresse IP lors des requêtes LDAP à destination d'un annuaire externe : les flux LDAP peuvent ainsi être encapsulés dans un tunnel IPsec afin de chiffrer les requêtes vers l'annuaire.
Ce paramètre n'est modifiable qu'en ligne de commande : setconf ConfigFiles/ldap LDAP_Name BindAddr FW_Private_IP.
Supervision - Rapports - Journaux d'audit
Supervision
Chaque ligne présentant une vulnérabilité détectée sur une machine inclut désormais un lien vers la page détaillant cette vulnérabilité.
De nouveaux menu contextuels sont accessibles en effectuant un clic droit sur une ligne de données :
- Supervision des machines : rechercher la machine dans les traces, afficher les détails de la machine, réinitialiser le score de réputation, ajouter la machine à la base Objets et/ou l'ajouter dans un groupe...
- Supervision des utilisateurs : rechercher la valeur dans les traces, afficher les détails de la machine sur laquelle est connectée un utilisateur, désauthentifier l'utilisateur...
- Supervision des connexions : afficher la ligne complète, ajouter l'objet source ou destination à la base Objets, afficher les détails de la machine, effectuer un ping vers la source ou la destination...
Prévention d’intrusion
Protocole IEC 60870-5-104
Le moteur de prévention d’intrusion analyse le protocole industriel IEC 60870-5-104 (IEC 104).
Protocole HTTP
Un contexte de signature vbscript a été ajouté à l'inspection de sécurité du protocole HTTP.
Référence support 54140
Le moteur de prévention d’intrusion détecte les tentatives d’altération de cache (cache poisoning) pour les proxies Web de type Squid et déclenche l’alarme bloquante Possible HTTP proxy poisoning.
Proxy SSL
Les algorithmes de chiffrement RC4 et MD5, considérés comme faibles, ont été supprimés de la liste des algorithmes disponibles pour le proxy SSL.
Protocole Modbus
Une alarme est générée lorsque le nombre maximum de serveurs Modbus bénéficiant d'une réservation UMAS est atteint.
Protocoles IP (sauf TCP, UDP et ICMP)
Les connexions correspondant aux protocoles IP autres que TCP, UDP, ICMP (exemple : GRE) sont référencées dans le journal des statistiques de connexions (champs IPStateMem , -IPStateConn, -IPStatePacket, -IPStateByte du fichier l_filterstat).
Firewalls industriels SNi40
Bypass matériel
Lors du déclenchement du bypass matériel, les connexions en cours sur les interfaces incluses dans le bypass n'étaient pas modifiées et finissaient par être clôturées faute de réception d'un trafic réseau correspondant. Ce comportement a été modifié, et ces connexions sont désormais maintenues actives jusqu'au retour à une configuration réseau standard (réarmement du bypass).
Matériel
Haute disponibilité
Dans le cadre d'une remise en configuration d’usine du firewall (defaultconfig), le délai de déclenchement de la fonction de surveillance matérielle (hardware watchdog) est ramené à 120 secondes contre 300 auparavant .