Nouvelles fonctionnalités de la version 3.5.0

Prévention d'intrusion

Analyse Sandboxing

Les rapports d'activité et logs de l'analyse Sandboxing permettent d'accéder en un clic à la page descriptive du fichier malveillant détecté sur le portail Stormshield Breach Fighter.

Protocole industriel CIP

Les firewalls SNS détectent et analysent désormais le protocole CIP (Common Industrial Protocol).

Le protocole CIP englobe une suite compréhensive de messages et des services pour des applications d’automatisation industrielles comprenant le contrôle, la sécurité, la synchronisation, le mouvement, la configuration et des informations. Il est notamment mis en œuvre dans les couches supérieures du protocole Ethernet/IP. Pour plus de détail, consultez le Manuel d'utilisation et de configuration SNSv3.

Protocole industriel UMAS

Les firewalls SNS détectent et analysent désormais les codes de fonction UMAS (Unified Messaging Application Services). Le protocole UMAS est une extension du protocole Modbus. Il est la propriété intellectuelle de Schneider Electric. Pour plus de détail, consultez le Manuel d'utilisation et de configuration SNSv3.

Protocole NTP

L'analyse du protocole NTP a été enrichie et dispose désormais d'un panneau de configuration dédié permettant notamment d'analyser ou de bloquer les modes et opérations de ce protocole (NTPv3 et NTPv4). Pour plus de détail, consultez le Manuel d'utilisation et de configuration SNSv3.

Protocole SSL

La présentation d'un certificat client non sollicité par le serveur déclenche une nouvelle alarme (non bloquante par défaut) : "SSL : Certificat client non sollicité".

Configuration

Nom du firewall

Le nom du firewall peut désormais contenir 127 caractères contre 15 auparavant.

Filtrage et NAT

Option "IPSec only"

Deux conditions optionnelles ont été ajoutées dans le panneau Action du paramétrage d'une règle de filtrage afin de n'autoriser les paquets correspondant à cette règle que s'ils traversent un tunnel IPSec en sortie du traitement de la règle :

  • Forcer en IPSec les paquets source pour les paquets traversant la règle dans le sens source vers destination,
  • Forcer en IPSec les paquets retour pour les paquets retour d'une connexion correspondant à la règle.

Ceci permet par exemple de rejeter les paquets si le tunnel IPSec n'est pas configuré ou s'il est inactif.

Authentification

Portail captif - Page de déconnexion

Il est possible d'activer, pour chaque profil du portail captif (portail d'authentification), une page réservée à la déconnexion. Une fois l'utilisateur authentifié, cette page s'affiche à la place du portail captif tandis que la page Web demandée s'ouvre dans un nouvel onglet.

VPN

VPN IPSec IKEv2

Une option permettant de ne pas provoquer une ré-authentification complète lors du renouvellement des SA a été ajoutée. Dans ce cas, seul un renouvellement des clés est effectué afin d'éviter d'éventuelles pertes de paquets lors de la ré-authentification.

Cette option entraîne donc une dégradation de la sécurité puisque la vérification de l’identité du correspondant, et en particulier de la CRL, n’est réalisée qu’à l’initialisation du tunnel et non plus à chaque renouvellement de phase IKE.

Ce comportement peut être activé uniquement en ligne de commande :

config ipsec peer update name=Site_Name reauth=0

L'activation de ce comportement entraîne ainsi l’affichage d'un message d’avertissement : « L'option de ré-authentification étant désactivée, les éléments d'authentification seront vérifiés uniquement lors la négociation initiale des SA IKE ».

Réseau

DHCP

La limite du nombre d'adresses IP pouvant être distribuées par le serveur DHCP était fixée selon le type de firewall (S, M, M-VM, L, XL, XL-VM). Elle est désormais propre à chaque modèle.

Machines virtuelles

Surveillance - Watchdog

Les firewalls virtuels disposent désormais d'un mécanisme de surveillance (watchdog) leur permettant de redémarrer automatiquement en cas d'inactivité prolongée d'une durée déterminée.

Notifications

Alertes e-mail

Le firewall peut désormais vérifier l'identité du serveur SMTP par lequel les e-mails de notification sont émis. Ceci n'est possible que lorsque le chiffrement est activé et requiert donc la présence de l'option STARTTLS sur le serveur SMTP. Cette vérification se base sur le certificat présenté par le serveur lors du chiffrement.

Interface Web d'administration

Bridge et interface Wi-Fi

L'ajout ou le retrait d'une interface Wi-Fi dans un bridge peut désormais être réalisé à l'aide d'un glisser / déplacer dans le module de configuration Réseau > Interfaces.

Alertes e-mail

Un bouton permettant d'envoyer un e-mail de test pour vérifier la configuration SMTP du firewall a été ajouté dans le module de paramétrage des Alertes e-mail.