Mettre à jour un firewall SNS déjà configuré en mode DR

Pour mettre à jour un firewall déjà configuré en mode DR vers une version SNS plus récente respectant les recommandations IPsec DR de l'ANSSI, des manipulations supplémentaires peuvent être nécessaires selon la version d'origine.

Depuis une version SNS 4.3.21 LTSB et versions 4.3 LTSB supérieures ou SNS 4.7 et supérieures

Reportez-vous à la section Installer cette version des Notes de Version Stormshield Network Security (SNS) pour mettre à jour le firewall.

Depuis une version SNS 4.2, 4.3 LTSB inférieure à 4.3.21 LTSB ou 4.6

  1. Consultez impérativement la section Évaluer l'impact de l'activation du mode DR.

  2. Si vous utilisez des clients VPN Exclusive Stormshield, assurez-vous que chaque client est en version 7.4.018 ou supérieure, puis ajoutez des paramètres personnalisés dans la configuration des passerelles (IKE Auth). Pour plus d'informations, reportez-vous à la section Mettre la configuration d'un client mobile IPsec en conformité avec le mode DR.

  3. Reportez-vous ensuite à la section Installer cette version des Notes de Version Stormshield Network Security (SNS) pour mettre à jour le firewall.

Depuis une version SNS inférieure à 4.2

Le mode DR implémenté dans les versions SNS 4.2 apporte des modifications importantes par rapport au mode DR des versions précédentes. Il n'est donc pas possible de mettre à jour en version SNS 4.2 et supérieure un firewall sur lequel le mode DR était déjà activé.

Lors d'une telle tentative, une erreur s'affiche :

Pour mettre à jour le firewall SNS :

  1. Consultez impérativement la section Évaluer l'impact de l'activation du mode DR.

  2. Dans le module Configuration > onglet Configuration Générale > cadre Paramètres cryptographiques, décochez la case Activer le Mode "Diffusion restreinte" (DR) pour désactiver le mode DR. L'intitulé peut-être différent d'une version SNS à une autre.
  3. Redémarrez le firewall SNS pour prendre en compte la désactivation du mode DR.
  4. Mettez à jour le firewall SNS. Pour plus d'informations, reportez-vous aux Notes de Version Stormshield Network Security (SNS).
  5. Mettez en conformité la configuration du firewall SNS avec le mode DR.
  6. Cochez la case Activer le mode de conformité « Diffusion Restreinte (DR) » version 2021 pour activer le mode DR.
  7. Redémarrez le firewall SNS pour prendre en compte l'activation du mode DR.

    8. IMPORTANT
    Si la politique IPsec nouvellement configurée sur le firewall utilise des paramètres incompatibles avec le mode DR, son activation entraîne la désactivation de cette politique IPsec et l'affichage du message d'avertissement : "Le mode 'Diffusion Restreinte' a désactivé la configuration VPN non conforme".

  8. Si vous utilisez des clients VPN IPsec Stormshield, assurez-vous de bien utiliser SN VPN Client Exclusive en version 7.4.018 ou supérieure, puis vérifiez leur configuration. Pour plus d'informations, reportez-vous à la section Mettre la configuration d'un client mobile IPsec en conformité avec le mode DR.