Nouvelles fonctionnalités de la version 3.0.0

Interface Web unifiée

L’interface Web unifiée couvre dorénavant l'administration, la supervision et le reporting des firewalls Stormshield Network.

Un nouvel écran de supervision propose des graphiques (temps-réel et sous forme d’historique) sur les ressources systèmes utilisées (mémoire et CPU), les débits par interfaces, les utilisateurs connectés ainsi que des informations détaillées sur les machines (connexions en cours, applications utilisées, vulnérabilités détectées, etc.).

De nombreuses interactions facilitent la recherche d’incidents et l’administration des firewalls Stormshield Network.

Gestion des utilisateurs temporaires

Pour faciliter l’accès à Internet aux personnes externes à l’entreprise ou sur des lieux publics, les produits Stormshield Network offrent des fonctionnalités avancées de gestion des utilisateurs temporaires.

En plus du mode invité déjà disponible, la version 3 intègre un nouveau portail de création de « comptes temporaires » et un mode « parrainage ».

Le portail « invité » actuel peut être enrichi de nouveaux champs (prénom, nom, adresse mail, etc.) que l’utilisateur devra renseigner avant d’accepter la charte d’accès à Internet.

La création des comptes temporaires peut facilement être réalisée grâce à un écran simplifié, accessible uniquement par les personnes habilitées à la création de ces comptes.

Le mode « parrainage » offre la possibilité de déléguer, à une personne habilitée, le droit d’accepter ou non la demande d’accès à Internet d’une personne externe à l’entreprise.

De nombreuses améliorations permettent de personnaliser les différents portails d’accès des utilisateurs.

Intégration dans un environnement multidomaine

L’authentification des utilisateurs peut désormais être réalisée sur plusieurs domaines Active Directory. Il est donc possible d’authentifier des utilisateurs provenant de différents domaines et de leur appliquer des politiques de sécurité distinctes.

Les annuaires multiples offrent également la possibilité d'enregistrer les administrateurs du firewall dans un annuaire interne, et de gérer les utilisateurs sans privilèges dans un annuaire externe.

Géolocalisation IP - Filtrage par pays

Grâce à la fonctionnalité de géolocalisation, l’administrateur bénéficie d'une meilleure visibilité sur la provenance ou la destination de son trafic réseau. Il est alors possible d’adapter la politique de sécurité et de filtrer les flux selon un nouveau critère représenté par des objet géographiques de type « Pays » ou « Continent ».

L’ensemble des fichiers de traces et des rapports est désormais enrichi d’un nouvel élément correspondant au pays.

IP Reputation – Réputation des machines externes

Cette fonctionnalité, qui peut être combinée à la géolocalisation, permet de limiter le risque d’attaques subies par une entreprise.

Les IP publiques, dont la réputation est mauvaise (exemple : noeuds de sortie du réseau Tor), sont classifiées dans une des sept catégories : Spam, Phishing, Anonymizer, Botnet, Malware, Tor et Scanneur. Ces catégories sont mises à jour très fréquemment grâce au mécanisme Active Update.

Via sa politique de sécurité, l’administrateur peut ainsi bloquer les tentatives d’accès à l’entreprise des machines externes ayant une mauvaise réputation, mais aussi interdire les connexions des postes internes vers des machines réputées à risques.

Dynamic Host Reputation – Réputation des machines internes

Il est désormais possible d’affecter une politique de sécurité basée sur la réputation des machines internes.

Cette réputation, qui se caractérise par un score, est calculée dynamiquement grâce aux différentes remontées faites par les moteurs d’inspection intégrés aux firewalls Stormshield. Un virus détecté, une alarme majeure ou un malware identifié par notre solution de sandboxing provoque une augmentation automatique du score de la machine.

L’administrateur peut visualiser l’historique du score de réputation d’une machine dans le nouveau module « supervision ». D’autres indicateurs comme le score moyen de son réseau et le score maximum, sont autant d’informations disponibles pour l’aider à définir sa politique de sécurité et intervenir sur les machines concernées.

Cette fonctionnalité nécessite la présence d'une carte SD pour les firewalls ne disposant pas d'un disque dur.

Objets « Noms DNS (FQDN) »

Afin d’affiner une politique de sécurité, il est désormais possible d'utiliser des objets réseau uniquement définis par leur FQDN (adresse(s) IP récupérée(s) automatiquement à l'aide de résolutions DNS) comme « google.com » ou « office365.com ».

Envoi sécurisé des flux Syslog au travers du protocole TLS

L'envoi de traces vers un ou plusieurs serveurs Syslog (4 maximum) via TCP, peut désormais être sécurisé au travers du protocole TLS avec une authentification par certificats client et serveur.

Cet envoi sécurisé de flux Syslog est compatible avec la solution Stormshield Visibility Center.

Les Firewalls Stormshield Network supportent plusieurs formats normalisés de messages Syslog (RFC3164, RFC5424, RFC5425 et RFC6587).

Possibilité de configurer l'algorithme de hachage dans la PKI interne et le proxy SSL

Le module Certificats et PKI offre la possibilité de sélectionner l'algorithme de hachage (notamment l'algorithme SHA256) utilisé pour les certificats du proxy SSL et de la PKI interne du firewall.

Support IPFIX/Netflow

La compatibilité avec les collecteurs Netflow/IPfix permet à un administrateur d’identifier facilement d’éventuels problèmes réseaux.

Signatures personnalisées du moteur de prévention d'intrusion (IPS)

Les administrateurs peuvent désormais créer leurs propres signatures contextuelles afin de détecter des applications internes à l’entreprise.

SNi40 - Bypass matériel

Afin d’assurer une continuité de service dans les milieux industriels, le firewall SNi40 est équipé d’un bypass matériel qui permet, une fois activé, de laisser passer le trafic réseau en cas de coupure électrique ou de défaillance du boîtier.

Import et export du contenu de la base des objets réseau

L'export au format CSV de la base objets permet ainsi de sauvegarder la base et de la réimporter directement dans la solution d'administration centralisée Stormshield Management Center.

La structure des lignes constituant la base objets au format CSV est disponible dans la section Structure d'une base objets au format CSV du Manuel de Configuration et d'Administration Stormshield Network.

Support officiel des plate-formes de virtualisation KVM et Hyper-V

Le firewalls virtuels Stormhield Network sont disponibles pour les plate-formes Microsoft Hyper-V (format VHD) et KVM (Kernel-based Virtual Machine - format QCOW2). Les version d’hyperviseurs supportées sont disponibles dans la section Compatibilité de ce document.

Analyse IPS des flux HTTP avec décompression à la volée

Le moteur de prévention d'intrusion est désormais capable de décompresser les données HTTP à la volée afin de réaliser les analyses IPS de ce protocole. Le firewall ne doit donc plus modifier l'en-tête des paquets HTTP envoyés par le client afin de masquer le support de la compression (accept-encoding). Ce mécanisme réduit ainsi la latence et la quantité de données nécessaires au transfert des paquets HTTP, mais sollicite les ressources du firewall de manière plus importante.

Cette fonctionnalité est activée par défaut et peut être suspendue dans le module de configuration du protocole HTTP.

Possibilité d'ajouter une contrainte sur le Domain name du certificat présenté par un correspondant IPSec.

Lorsqu'une autorité de certification (CA) est spécifiée dans les autorités de confiance pour l'établissement de tunnels IPSec, il est possible d'ajouter une contrainte sur le Domain Name (DN) du certificat présenté par le correspondant afin de renforcer la sécurité.

Analyse IPS du protocole industriel Ethernet/IP

Le moteur de prévention d'intrusion offre désormais la possibilité de filtrer (Analyser / Bloquer) les jeux de commandes publiques de ce protocole. Il est également possible de spécifier une liste personnalisée de commandes Ethernet/IP devant être autorisés.

Analyse IPS du protocole SNMP

SNMP (Simple Network Management Protocol) est un protocole de supervision d'équipements réseaux. L'analyse IPS de ce protocole a été notablement enrichie. Il est ainsi possible d'autoriser ou de bloquer les paquets SNMP selon la version du protocole (SNMPv1, v2c ou v3), de créer des listes noires/blanches de communautés (SNMPv1 et v2c), d'identifiants (SNMPv3) ou d'OID (Object Identifier).

Support du NAT pour le DNS Dynamique

Le module émettant l'adresse IP publique à destination du fournisseur de service d'enregistrement DNS dynamique, différencie désormais l'adresse IP publique réelle, portée par un routeur effectuant du NAT, de l'adresse locale. Cette fonctionnalité s'active en cochant la case Supporter la translation d'adresses (NAT) dans la configuration avancée du module DNS dynamique.

Proxy SSL - Support de nouveaux algorithmes de chiffrement

Le proxy SSL supporte de nouveaux algorithmes de chiffrement basés sur des courbes elliptiques (algorithme ECDSA : Elliptic Curve Digital Signature Algorithm).

Vérification systématique des objets non utilisés

Le module Objets réseau affiche la liste des objets présents dans la base du firewall; les objets sont classés par catégorie (machines, réseaux, Nom de domaine DNS [FQDN],…).

Chaque objet est précédé d’un symbole de couleur indiquant dynamiquement si l’objet est utilisé dans la configuration du firewall (puce verte) ou non (puce grise). Un clic sur l’icône « œil » située à droite d'une puce verte liste l’ensemble des modules utilisant l’objet considéré.

Noms des règles dans les traces IPS et le journal des connexions actives

Le module Filtrage et Nat permet d’affecter un nom à chacune des règles créées. Notez que la colonne « Nom » est masquée par défaut.

Ce nom de règle (rulename) est référencé dans les journaux de traces IPS et le journal des connexions. Il présente l’avantage de ne pas évoluer en fonction des critères de la règle (« via », « interface », …) mais aussi de la position de celle-ci dans la politique de filtrage, contrairement à l'identifiant de règle (ruleid). Il est ainsi possible de manipuler ou de filtrer aisément les règles de filtrage ou de NAT en fonction de leur nom.

Export des données de supervision et des journaux d’audit

A l'image des données des rapports, les informations affichées dans les journaux d’audit et les données présentées dans les grilles du module de supervision peuvent elles-aussi être exportées dans un fichier au format CSV.

Sandboxing – Formulaire de signalement de faux positifs

Les interactions proposées sur les journaux d’audit permettent d’avertir Stormshield d’une catégorisation erronée issue de l’analyse Sandboxing. Cette fonctionnalité permet ainsi de faire débloquer une pièce-jointe considérée à tort comme malveillante.

Authentification

La longueur maximale d’un identifiant a été portée à 255 caractères. De plus, un utilisateur peut désormais être inclus dans 250 groupes (cette limite était de 50 dans les versions antérieures).

VPN SSL

Le fichier de configuration de SSL VPN Client inclut désormais les options register-dns et block-outside-dns lui indiquant respectivement d'écrire dans sa configuration le(s) serveur(s) DNS précisé(s) par le firewall Stormshield Network et de ne pas utiliser de serveur DNS tiers. Cette fonctionnalité réduit ainsi le délai nécessaire pour la réception des réponses aux requêtes DNS du client, notamment pour les machines fonctionnant sous Microsoft Windows 10.

Connexions filles (FTP actif) au travers d’interfaces IPSec virtuelles

Les flux engendrant des connexions filles (exemple : FTP actif) sont désormais compatibles avec l’utilisation d’interfaces IPSec virtuelles (VTI).

Requêtes DNS basées sur le protocole TCP

Les firewalls Stormshield Network basculent automatiquement leurs requêtes DNS sur le protocole TCP lorsqu’ils reçoivent une réponse excédant 512 octets (réponse avec beaucoup d’entrées comme pour les objets dynamiques et les objets de type Nom DNS [FQDN]).

Ajout de traces pour les pseudo-connexions stateful

Les pseudo-connexions stateful (protocoles GRE, ESP, ...) génèrent désormais des enregistrements dans les fichiers de traces des connexions (l_connection) et des statistiques de filtrage (l_filterstat).

Support des modem génériques 3G/4G

Pour les modems génériques 3G/4G dont les caractéristiques ne sont pas reconnues automatiquement, il est possible de définir jusqu'à deux profils regroupant les informations de configuration (modèle, identifiant constructeur, ...) renseignées manuellement. Les différents champs à paramétrer sont présentés dans la section Création d'un modem du Manuel de Configuration et d'Administration Stormshield Network.

Renforcement de l'analyse IPS du protocole TCP

L'analyse IPS du protocole TCP a été renforcée, afin de détecter la présence de données dans un paquet de RESET et de déclencher l'alarme spécifique "TCP RST with data". Elle peut désormais également prendre en charge un nombre de données non acquittées plus conséquent, sans déclencher l'alarme n°84 "TCP data queue overflow".

Autres fonctionnalités

  • Amélioration de l'analyse IPS du protocole SSL au sujet des en-têtes fragmentées
  • Support des caractères internationaux Unicode dans les certificats
  • Présence des noms d'objets sources et destinations dans les e-mails d'alarmes
  • Ajout du nom système du firewall dans les invites de commande Shell