Nouvelles fonctionnalités de SNS 4.0.1

Filtrage

Filtrage des adresses MAC

SNS permet maintenant de définir et d'utiliser dans les politiques de filtrage des objets réseau basés sur les adresses MAC seules afin de faire du filtrage de niveau 2 à l'image du mode Stateful.

Industrie

Support de PROFINET

PROFINET est un ensemble de protocoles utilisés dans les secteurs de la production, de l'agroalimentaire et des transports. PROFINET est composé entre autre de quatre protocoles principaux que sont PROFINET-IO, PROFINET-RT, PROFINET-DCP et PROFINET-PTCP.

SNS permet maintenant le filtrage de ces protocoles pour sécuriser ces environnements.

Licence industrielle

L'option de licence industrielle est maintenant vérifiée et la configuration des protocoles industriels est gelée si cette licence n'est pas présente (ou lorsque la maintenance du firewall est expirée).

Ergonomie

Nouvelle interface graphique

L'interface graphique de SNS version 4.0.1 a été totalement repensée pour améliorer l'ergonomie du produit (navigation entre configuration et monitoring facilitée).

Nouveau Tableau de bord simplifié

Le Tableau de bord a été simplifié pour apporter une meilleure visibilité de l'état du firewall. Un mécanisme d'analyse en profondeur (drill down) permet d'accéder aux informations détaillées en cas d'investigation.

Nouveau panneau de configuration du réseau

Le panneau de configuration du réseau a été simplifié afin de faciliter la configuration des interfaces.

Nouveau panneau de gestion des certificats

Le panneau de gestion des certificats a été simplifié pour faciliter la configuration de la PKI.

Nouveau panneau d'affichage des logs

Le panneau d'affichage des logs a été simplifié et propose exclusivement les logs sous formes de vues (regroupements thématiques).

Nouveau design Responsive du portail captif

Le portail captif adopte un nouveau design Responsive afin d'adapter son affichage à la taille d'écran utilisée et ainsi permettre son utilisation depuis un smartphone ou une tablette.

Suppression de l'assistant d'installation initiale

L'assistant d'installation initiale a été supprimé.

Management

Nouveaux indicateurs de santé

Deux nouveaux indicateurs de santé sont disponibles : le premier relatif à la température du CPU, et le second relatif au mot de passe d'administration si celui-ci est trop ancien ou est encore issu de la configuration par défaut.

Supervision des interfaces Wi-Fi

Il est maintenant possible de visualiser le monitoring des interfaces Wi-Fi.

Support de ARPING

La commande ARPING est maintenant disponible pour faciliter l'analyse.

Exporter une identité (contenant la clé privée) ou un certificat

Il est désormais possible d'exporter une identité (certificat utilisateur, serveur ou smartcard et clé privée associée) ou uniquement un certificat (utilisateur, serveur ou smartcard).

Optimisation de la procédure de mise à jour en mode cluster

La procédure de mise à jour d'un cluster a été optimisée afin d'éviter le double téléchargement du fichier de mise à jour.

Rafraîchissement de la configuration de SSHD

La configuration du service SSHD a été revue pour se conformer aux derniers standards de sécurité.

Télémétrie

Un service de télémétrie est désormais disponible sur SNS afin de maintenir des statistiques anonymes sur le cycle de vie des firewalls SNS. Ces statistiques sont destinées à améliorer la qualité et les performances des produits. Les indicateurs remontés dans cette version sont :

  • Le pourcentage d'utilisation de CPU,
  • Le pourcentage d'utilisation de mémoire,
  • Le volume de logs générés.

Ce service (désactivé par défaut) peut être activé / désactivé au sein du module Configuration > onglet Configuration Générale > Configuration avancée.

Stabilité et performances

Refonte des mécanismes de la HA

Le mécanisme de synchronisation de la Haute Disponibilité a été simplifié pour offrir une meilleure stabilité et des performances accrues.

Refonte des mécanismes de proxy

Les fonctionnalités d'analyse antivirale et d'analyse par détonation (sandboxing - Breach Fighter) ont été extraites du service de proxy et fonctionnent dans un service séparé pour offrir plus de stabilité.

Amélioration des performances IPS

Le mécanisme de gestion des connexions de l'IPS a été amélioré pour gagner en performances.

Simplification du plugin DCERPC

Le plugin DCERPC a été modifié pour faciliter sa configuration.

Amélioration générale des performances

Le système d'exploitation des firewalls SNS a été mis à jour pour de meilleures performances.

Antivirus ClamAV

Un nouveau paramètre mis à disposition par l'éditeur de l'antivirus ClamAV permet de limiter la durée d'analyse antivirale. Ceci ajoute une protection supplémentaire contre les attaques de type bombes de décompression (Zip bombs). Ainsi, si la durée d'une analyse laisse penser qu'un fichier analysé présente un volume de données excessivement important, celle-ci sera interrompue.

Ce paramètre, par défaut à 120 secondes, est uniquement modifiable à l'aide de la commande :

CONFIG ANTIVIRUS LIMITS MaxProcTime=<time>

Pour plus d'informations concernant la syntaxe de ces commandes, veuillez-vous référer au Guide de référence des commandes CLI / Serverd.

Matériel

Sécurisation matérielle des secrets des VPNs sur les modèles SN3100 compatibles

Depuis la révision A2 des firewalls modèles SN3100, ces derniers implémentent un module matériel (trusted platform module: TPM) dédié à la sécurisation des secrets de VPN. Celui-ci permet d'ajouter un niveau de sécurité additionnel pour les SN3100 dédiés à la concentration de VPNs et dont la sécurité physique n'est pas garantie. Cette version 4.0.1 introduit le support de ce module et permet sa configuration via l'interface et en ligne de commande.

SN6100 - Support des 7e et 8e modules 8x1G

SNS version 4.0.1 introduit le support de huit modules 8x1G sur le SN6100.