Nouvelles fonctionnalités de la version 3.6.0

VPN IPSec - Algorithme de chiffrement AES-GCM

L'algorithme de chiffrement AES-GCM est désormais disponible pour les profils de chiffrement VPN IPSec. Ses caractéristiques sont les suivantes :

  • Il réalise à la fois l'authentification et le chiffrement,
  • Il n'est supporté qu'en version IKEv2,
  • Lorsqu'il est utilisé, la fonction pseudo aléatoire (PRF) est forcée sur la valeur SHA2 256, conforme aux exigences de l'ANSSI Diffusion Restreinte,
  • Les performances de chiffrement sont étroitement liées aux capacités matérielles du firewall.

Indicateur de santé du firewall

SNS fournit un système d'indicateurs de santé sous forme d'icônes colorées dans le bandeau supérieur de l'interface Web d'administration. L'icône n'est affichée que lorsque le firewall présente un défaut mineur (jaune) ou majeur (rouge).

L'indicateur tient compte de l'état de l'équipement matériel (e.g., CPU, mémoire, alimentation, disques...) et de la Haute disponibilité. Des informations plus détaillées s'affichent au survol de la souris sur l'icône.

Une nouvelle MIB, Stormshield Health Monitor, est également disponible pour superviser cet indicateur de santé via SNMP. Téléchargez-la sur https://www.stormshield.com/products-services/services/mibs/.

Supervision

Le menu Supervision s'est enrichi des modules suivants :

  • Supervision DHCP qui permet de visualiser la liste de toutes les machines ayant obtenu une adresse IP par le serveur DHCP du firewall.
  • Supervision des tunnels VPN SSL qui permet de visualiser la liste de tous les utilisateurs connectés au firewall par le biais d'un tunnel VPN SSL. Un bouton permet également de provoquer la renégociation du tunnel sélectionné.
  • Supervision des tunnels VPN IPSec qui permet de visualiser les politiques IPSec définies sur le firewall et les tunnels correspondants.
  • Supervision des listes noires/blanches qui permet de visualiser la liste noire des machines ajoutées en quarantaine, ainsi que la liste blanche des machines autorisées à traverser le firewall sans aucune surveillance de celui-ci.

Message d'avertissement personnalisé

Il est désormais possible d'ajouter un message d'avertissement personnalisé sur la page d'authentification de l'interface Web d'administration.

Système

Haute disponibilité

Les messages d'avertissement liés à la Haute disponibilité sont désormais affichés dans la vue Supervision matérielle / Haute disponibilité. Cela permet d'analyser plus facilement l'état du cluster.

Antivirus Kaspersky

Il est désormais possible de supprimer complètement du firewall les librairies du moteur antiviral Kaspersky via la commande serverd CONFIG ANTIVIRUS ERASEKAV [force=<on|off>]. Notez que la suppression des librairies Kaspersky empêchera dans tous les cas l'utilisation du proxy, même si aucun antivirus n’est activé.

Antispam

Les bases de données antispam ne sont désormais mises à jour que lorsque l'antispam est utilisé dans une politique de sécurité. Si vous sélectionnez l'antispam dans une politique, le log La base antispam est manquante. La fonction antispam ne fonctionnera pas correctement est généré. A l'activation de cette politique, les bases de données antispam seront rechargées et fonctionneront correctement.

VPN IPSec - IKEv2

L'option Ne pas initier le tunnel (responder only) est désormais disponible pour les correspondants IKEv2. Ce mode est particulièrement adapté pour le centre d'une configuration en étoile où seuls les correspondants montent les tunnels.

Prévention d'intrusion

Protocole industriel S7

Le tableau des opérations prédéfinies du protocole industriel S7 a été mis à jour, ce qui permet d'autoriser ou bloquer des codes fonctions S7 supplémentaires.

Machines virtuelles

Assistant de déploiement vSphere

Il est désormais possible de renseigner les paramètres IP et le mot de passe de l'administrateur de la machine virtuelle dans l'assistant de déploiement vSphere. Cela évite d'ouvrir la console lors du premier démarrage de la machine virtuelle pour fournir ces informations.

 

 

Interface Web d'administration

Filtrage

A la création d'une nouvelle règle, un nom de règle prédéfini est ajouté automatiquement. Ce nom est utilisé pour passer de la vue Filtrage et NAT à la vue Journaux d'audit ou Supervision.

Si vous copiez-collez une règle dont le commentaire est généré automatiquement, ce commentaire est mis à jour en fonction de la date et de l'utilisateur connecté.

 

Interface de ligne de commande

Il est désormais possible d'exécuter un script de plusieurs lignes dans le champ Configuration > Système > Console CLI. Ce bloc de commandes peut, par exemple, être issu d'un enregistrement de séquence de commandes (bouton Enregistrement de commandes).

Glisser-déposer d'objets

La fonction de glisser-déposer est désormais disponible pour les objets FQDN et Temps.

Filtrage de logs

De nouveaux critèresde filtrage sont disponibles pour les champs Reçu et Envoyé : Supérieur à 1 Mo, Supérieur à 10 Mo, et Supérieur à 100 Mo. Ils permettent notamment d'identifier la connexion consommant le plus de ressources.

Supervision - Nouvelles interactions

Vous pouvez maintenant effectuer les actions suivantes via un clic droit dans les vues de supervision :

  • Ajout d'une machine à la liste noire,
  • Ajout d'une machine à la base objet ou à un groupe.

Utilisateurs et groupes

Lorsque la supervision est activée, le survol à la souris du nom d'un utilisateur permet d'afficher des informations complémentaires sur sa connexion :

  • Adresse IP du poste de travail de l'utilisateur,
  • Pays d'origine de la connexion,
  • Réputation de l'adresse IP de la machine de connexion,
  • Bande passante consommée,
  • Adresse MAC de la machine de connexion,
  • Interface du firewall par laquelle la connexion de l'utilisateur est établie.

Une vue Utilisateurs est désormais disponible dans le menu Logs - Journaux d'audit. Elle affiche le journal Authentification qui présente les actions d'authentification des utilisateurs.