IMPORTANT
Les versions SNS 3.x ne sont plus maintenues depuis le 1er juillet 2024.
Nous vous recommandons de mettre à jour vos firewalls SNS vers une version maintenue afin d’assurer la protection de votre infrastructure.
Nouvelles fonctionnalités de SNS 3.2.0
Système
Active update
Pour les configurations utilisant des signatures de protection contextuelle personnalisées, le module Active Update permet de renseigner les URL des machines hébergeant ces signatures, afin de bénéficier de mises à jour automatiques.
Filtrage et NAT
Les règles d'un slot de filtrage et de NAT peuvent être exportées au format CSV (Comma-Separated Values).
Haute disponibilité
Lors d'un problème de communication entre les membres d'un cluster bien que le firewall actif soit joignable, le firewall passif effectue une vérification des priorités réciproques afin de ne pas passer actif en cas de redémarrage.
Un critère de durée minimum pour la sélection des connexions à synchroniser (ConnOlderThan) a été ajouté au mécanisme de HA. Il permet, par exemple, de ne synchroniser que les connexions dont la durée excède 10 secondes. Ce paramètre n'est modifiable qu'à l'aide de la commande CLI : config ha update ConnOlderThan=xx
Agent SNMP
L'ensemble des MIB NETASQ a été renommé en Stormshield (Exemple : STORMSHIELD-SMI-MIB).
Plusieurs tables ont été ajoutées à STORMSHIELD-SYSTEM-MONITOR-MIB afin de fournir :
- des informations sur le statut du bypass matériel (firewalls industriels SNi40),
- l'état des alimentations électriques,
- la température des processeurs,
- l'état des disques et du RAID éventuel.
Dans le cas d'une configuration en Haute Disponibilité, les informations concernant l'état de synchronisation des membres du cluster, le numéro de révision de déploiement via Stormshield Management Center, l'état des alimentations, la température des processeurs et l'état des disques sont également disponibles pour le firewall actif et le firewall passif en interrogeant STORMSHIELD-HA-MIB
Objets réseau
Lors de la vérification de l'utilisation d'un objets réseau, le nom appliqué à la règle de filtrage ou de NAT concernée est ajouté aux informations affichées.
Droits d'accès
La commande MONITOR USER affiche les droits d'accès des utilisateurs (Accès VPN, Parrainage,...). Un lien dans la fiche d'un utilisateur mène directement dans l'onglet Accès détaillé du module Droits d'accès en filtrant sur l'utilisateur sélectionné. Ces droits sont également disponibles dans les sauvegardes de configuration.
Notifications
La connexion (Interface Web d'administration / Stormshield Management Center / NSRPC) d'un utilisateur ayant les droits d'administration sur un firewall déclenche une notification de ce firewall à destination des autres administrateurs.
Configuration des annuaires
Un groupe d'utilisateurs peut contenir d'autres groupes. Cette fonctionnalité s'applique à tous les types d'annuaires supportés par les firewalls SNS (Annuaire LDAP interne, Annuaires LDAP externes, Annuaires LDAP externes de type POSIX, Annuaires Microsoft Active Directory).
Proxies
L'analyse Sandboxing a été étendue aux fichiers issus des technologies Java et Flash.
VPN SSL
Le service VPN SSL supporte les connexions basées sur le protocole UDP ou TCP. En cas de défaut de connexion sur UDP, le client bascule alors automatiquement sur le protocole TCP.
Cette fonctionnalité nécessite l'utilisation du logiciel SSL VPN CLient en version 2.4 ou supérieure.
VPN IPsec (IKEv1)
L'authentification d'utilisateurs nomades à l'aide de certificats peut être réalisée au travers d'un annuaire LDAP externe autre que l'annuaire par défaut.
VPN IPsec (IKEv2)
La version 3.2.0 de firmware assure le support du mécanisme de fragmentation pour le protocole IKEv2.
Réseau
Routage dynamique
Une option a été ajoutée afin d'injecter automatiquement, dans la table des réseaux protégés du moteur de prévention d'intrusion, les réseaux propagés par le moteur de routage dynamique (IPv4 / IPv6).
Le nom personnalisé d’une interface réseau est pris en compte par la configuration du moteur de routage dynamique. En cas de restauration de cette configuration sur un équipement ne connaissant pas ce nom personnalisé, c’est le nom système de l’interface qui est automatiquement utilisé.
Réseau Wi-Fi
Une option a été ajoutée afin d'empêcher les connexions directes entre machines connectées au réseau Wi-Fi géré par le firewall (AP Isolation). Cette option (module Réseau > Interfaces) est activée par défaut (configuration type Point d'accès Wi-Fi publique); lorsqu'elle est désactivée, les connexions directes entre équipements connectés au réseau Wi-Fi ne sont plus filtrées.
Prévention d’intrusion
Protocole OPC DA
Le moteur de prévention d’intrusion analyse le protocole industriel OPC DA (OPC Data Access).
Protocole TDS (Microsoft SQL Server)
Le moteur de prévention d’intrusion analyse les paquets de flux de données tabulaires (TDS - Tabular Data Stream) utilisés par l'application Microsoft SQL Server.
Protocole DCE/RPC (Microsoft RPC)
Le module de configuration pour l'analyse de prévention d'intrusion du protocole DCE/RPC a été modifié : il est désormais possible de définir des UUID de services DCE/RPC non prédéfinis dans une liste blanche des services à autoriser.
Interface Web d'administration
Journaux d'audit
Le journal d'événements des alarmes (fichier l_alarm) précise le nom des applications détectées par le moteur de prévention d'intrusion et ayant généré une alarme.
Supervision
Les données de supervision peuvent être imprimées sous forme graphique.
Rapports
Le rapport présentant les scores de réputation les plus élevés prend également en compte les machines internes destinataires de flux.
Un rapport présentant les applications ayant généré le plus d'alarmes est disponible dans le module Rapports > Sécurité.