Nouvelles fonctionnalités de SNS 4.1.1
Option de désactivation du mode furtif (stealth mode)
Des améliorations ont été amenées au mode furtif (stealth mode) en permettant sa désactivation, autorisant la réponse aux requêtes ICMP (option Activer le mode furtif du module Protection applicative > Protocoles > Protocoles IP > IP > onglet Configuration globale).
Cette option permet une intégration plus simple du firewall dans les infrastructures existantes en modérant le mode furtif du firewall et permet d'éviter les paquets ignorés silencieusement. Cela autorise par exemple le firewall à se comporter comme un équipement visible du réseau lorsque :
-
Un paquet dépasse la MTU et possède un bit DF à 1 (dfbit=1) : le firewall bloque le paquet et émet un paquet ICMP de réponse.
-
Un paquet traverse correctement le firewall : le TTL ("Time To Live") est décrémenté par le firewall.
La valeur de cette nouvelle option, inscrite dans la configuration des traitements protocolaires IP du moteur IPS, supplante les anciennes méthodes de paramétrage basées sur les commandes sysctl net.inet.ip.icmpreply=1 et net.inet.ip.stealth=0.
Prévention d'intrusion
Filtrage et analyse des protocoles IEC61850
La version SNS 4.1 assure le support de l'analyse protocolaire IEC61850 (MMS, Goose et SV) et vérifie la conformité des paquets IEC61850 traversant le firewall.
Ces protocoles sont principalement utilisés dans les infrastructures de transport d'électricité pour la commande, la supervision et le monitoring des contrôleurs électriques.
Protocole RDP
Des améliorations ont été apportées à l'analyse protocolaire des flux RDP.
Protocole HTTP
Les protocoles dérivés de HTTP remontent une alarme spécifique (alarme n°732 "HTTP : pile de protocoles upgrade invalide") permettant à l'utilisateur de configurer plus finement les alarmes et le filtrage pour ces protocoles.
Client DHCP
De nouvelles options DHCP (60 [vendor-class-identifier], 77 [user-class] et 90 [authsend]) permettent aux firewalls SNS de s'authentifier sur les réseaux d'opérateurs de télécommunications qui proposent des services de VLAN. Cela permet d'intégrer le firewall SNS dans le réseau opérateur sans nécessité d'utiliser le mode de connexion PPPOE.
Ces options sont paramétrables uniquement à l'aide la commande CLI / Serverd :
config network interface update ifname=xxx DHCPVendorClassId="aaa" DHCPUserClass="bbb" DHCPAuthsend="ccc"
config network interface activate
Le détail de cette commande est disponible dans le Guide de référence des commandes CLI / Serverd.
Mise à jour
L'algorithme de hachage des fichiers de mise à jour du firmware a été modifié pour être conforme aux meilleurs standards
Nouveaux firewalls modèles SNi20
Compatibilité
La version de firmware 4.1.0 assure la compatibilité avec les nouveaux firewalls industriels SNi20.
Afin d’assurer une continuité de service dans les milieux industriels, le firewall SNi20 est équipé d’un bypass matériel qui permet, une fois activé, de laisser passer le trafic réseau en cas de coupure électrique ou de défaillance du boîtier.
Sécurisation matérielle des secrets des VPNs
Les firewalls SNi20 disposent d'un module matériel TPM (pour Trusted Platform Module) dédié à la sécurisation des secrets de VPN. Celui-ci permet d'ajouter un niveau de sécurité pour les SNi20 dédiés à la concentration de VPNs et dont la sécurité physique n'est pas garantie. Cette version 4.1.0 introduit le support de ce module.
Firewalls modèles SNi20 et SNi40
Agrégation de liens
La version 4.1.0 introduit le support de l'agrégation de liens (LACP) sur les firewalls modèles SNi20 et SNi40.
Protocoles de gestion des boucles réseau
La version 4.1.0 introduit le support des protocoles de gestion des boucles réseau (RSTP et MSTP) sur les firewalls modèles SNi20 et SNi40.
Serverd
Afin de réduire la surface d'attaque sur SNS, le service Serverd peut être paramétré pour écouter uniquement sur l'adresse locale (loopback) du firewall. Ce comportement est activé par défaut sur les firewalls en configuration d'usine.
Il est uniquement modifiable à l'aide de la commande :
CONFIG CONSOLE SERVERDLOOPBACK state=0/1
Le détail de cette commande est disponible dans le Guide de référence des commandes CLI / Serverd.
Correspondants mobiles VPN IPsec
Il est désormais possible de supporter plus d'une politique mobile simultanément en distinguant les correspondants par leur identifiant (ID). Ces modifications s'effectuent depuis le module Configuration > VPN > VPN IPsec, onglet Correspondants.
L'utilisation de l'identifiant (ID) permet également de modifier la configuration VPN liée à un correspondant mobile particulier, distingué grâce à son identifiant, sans affecter les tunnels des autres correspondants mobiles.
Compte admin
Pour changer le mot de passe du compte admin (super administrateur), il est désormais nécessaire de saisir l'ancien mot de passe.
VPN IPsec et groupes LDAP
Lors de la connexion en VPN IPsec via une authentification SSO, le firewall récupère dorénavant les groupes associés à l’utilisateur venant du LDAP pour permettre leur utilisation dans les règles de filtrage.
VPN SSL et certificats
Pour authentifier un correspondant (client ou serveur) en TLS, les firewalls Stormshield acceptent désormais uniquement les certificats disposant du champ Key Usage avec l'attribut "ServerAuth", c'est-à-dire les certificats conformes à la norme X509 v3.
Autorités de certification (CA) et certificats globaux
Les certificats et autorités de certification globaux sont désormais affichés et identifiés comme tels lorsque l'option Afficher les politiques globales (Objets réseau, Certificats, Filtrage, NAT et VPN IPsec) du module Préférences est activée.
Certificats et PKI
Lors de l'import d'un certificat au format p12, le type de certificat (certificat serveur ou certificat utilisateur) est désormais automatiquement détecté.
Enrôlement des certificats
Les firewalls Stormshield supportent désormais le protocole d'enrôlement de certificats EST (Enrollment over Secure Transport) qui se distingue notamment par l'utilisation de requêtes HTTPS, bénéficiant ainsi de toute la sécurité du protocole TLS.
Sa mise en œuvre sur les firewalls Stormshield permet de réaliser les opérations suivantes :
- Distribution de la clé publique de l'autorité de certification (CA) signant les certificats,
- Requêtes de création ou de renouvellement de certificat à l'initiative de l'administrateur de la PKI,
- Requêtes de création ou de renouvellement de certificat à l'initiative du titulaire du certificat (enrôlement).
Les requêtes de renouvellement peuvent être authentifiées directement par le certificat existant et ne nécessitent donc pas de mot de passe si le serveur EST le permet.
Ces opérations sont exclusivement réalisables à l'aide des commandes CLI / Serverd débutant par :
PKI EST
Pour plus d'informations concernant la syntaxe de ces commandes, veuillez vous référer au Guide de référence des commandes CLI / Serverd.
Génération des certificats
Il est désormais possible de générer des certificats avec de nouveaux algorithmes plus performants à base de courbes elliptiques. Les commandes CLI / Serverd suivantes offrent maintenant le choix de l'algorithme SECP, Brainpool ou RSA :
PKI CA CREATE
PKI CERTIFICATE CREATE
PKI REQUEST CREATE
PKI CA CONFIG UPDATE
Vous devez positionner aussi le paramètre size de ces commandes. Sa valeur doit correspondre à l'algorithme choisi :
| Algorithme | Tailles autorisées |
| RSA | 768, 1024, 1536, 2048, ou 4096 |
| SECP | 256, 384, ou 521 |
| Brainpool | 256, 384, ou 512 |
Pour plus d'informations concernant la syntaxe de ces commandes, veuillez vous référer au Guide de référence des commandes CLI / Serverd.
Haute disponibilité
Agrégation de liens LACP
Sur un firewall contenant des agrégats LACP, vous pouvez désormais attribuer un poids à chaque interface de l'agrégat dans le calcul de la qualité de la haute disponibilité.
Attribuez la valeur 1 au nouveau paramètre LACPMembersHaveWeight des commandes CLI / Serverd suivantes :
CONFIG HA CREATE
CONFIG HA UPDATE
Ceci active l'affichage des interfaces de l'agrégat dans le tableau Impact de l’indisponibilité d’une interface dans l’indicateur de qualité d’un firewall du module Haute disponibilité de l'interface web d'administration.
Sans ces commandes, le comportement par défaut reste le même : l'agrégat est vu comme une seule interface et le basculement du cluster n’a lieu qu'en cas de perte de toutes les interfaces de l’agrégat.
Pour plus d'informations concernant la syntaxe de ces commandes, veuillez vous référer au Guide de référence des commandes CLI / Serverd.
Monitoring de la haute disponibilité via SMC
Des optimisations ont été apportées pour le monitoring via SMC des firewalls configurés en haute disponibilité (récupération de la valeur du champ (Nom de nœud système).
Perte d'un module réseau
Le calcul de santé qui détermine le basculement d'un nœud à l'autre du cluster a été amélioré afin de mieux prendre en compte la perte d'un module réseau, même après un redémarrage.
Règle de NAT avec publication ARP
Dans une configuration en haute disponibilité (HA), afin de maintenir le routage du trafic, un firewall peut envoyer un Gratuitous ARP (GARP) pour toutes ses interfaces dans le but de notifier le réseau lorsqu'une adresse MAC change d'emplacement.
Ce fonctionnement a été amélioré afin que toutes les adresses IP virtuelles issues d'une Publication ARP d'une règle de NAT envoient une série de Gratuitous ARP (GARP) lors d'une bascule.
Authentification
Nouvel SN SSO Agent pour Linux
Un nouvel SN SSO Agent est disponible sous Linux et supporte les annuaires non Windows (par exemple Samba 4). Sa configuration s'effectue dans le module Authentification de l'interface web d'administration et la détection au travers de logs exportés via Syslog. Les logs exportés sont filtrés selon des expressions régulières pré-configurées dans l'interface.
Pour plus d'informations sur la configuration et le fonctionnement de SN SSO Agent pour Linux, veuillez consulter la note technique Agent SSO pour Linux.
Agent SSO - Syslog
Il est désormais possible de configurer un serveur syslog de secours pour la méthode d'authentification Agent SSO.
Comptes temporaires
Le mot de passe généré automatiquement par le firewall à la création d'un compte temporaire (module Utilisateurs > Comptes temporaires) respecte dorénavant la longueur minimale des mots de passe définie dans la politique de mots de passe du firewall (module Système > Configuration > onglet Configuration générale).
LDAP
Il est désormais possible de configurer le serveur LDAP de secours sur un port différent du serveur LDAP principal.
Firewall SN6100 - Performances
La configuration des occupations mémoire a été optimisée sur le moteur IPS du SN6100.
Les performances des firewalls modèles SN6100 peuvent être consultées dans la fiche produit Network Security SN6100.
Synchronisation SNS - SMC
La synchronisation entre SNS et SMC a été améliorée afin de fluidifier les échanges de données entre les deux produits, notamment lors de l'accès direct à l'interface d'administration des firewalls depuis SMC.
Client NTP
Il est désormais possible de configurer l'interface par laquelle les requêtes NTP transitent. Auparavant, le démon en charge de la synchronisation du temps sur un firewall SNS faisait transiter ses requêtes par l'interface par défaut.
Ce nouveau paramètre est uniquement modifiable à l'aide de la commande CLI / Serverd :
CONFIG NTP SERVER ADD name=<hostname|groupname> bindaddr=<Firewall_obj>
Pour plus d'informations concernant la syntaxe de cette commande, veuillez vous référer au Guide de référence des commandes CLI / Serverd.
Objets réseau
Les objets de type Plage d'adresses permettent désormais de configurer des plages d'adresses MAC.
Proxy SSL
Les clés générées par le proxy SSL utilisent désormais les mêmes algorithmes de chiffrement que l'autorité de certification du proxy SSL en lieu et place des algorithmes définis par défaut.
Sauvegardes de configuration
L'algorithme de dérivation des mots de passe protégeant les sauvegardes de configuration a été mis à jour pour être conforme aux meilleurs standards.
Système
Le générateur aléatoire du noyau a été modernisé pour se baser sur un algorithme à la fois plus rapide et plus robuste.
Configuration initiale via USB
Routage dynamique (Bird)
Il est désormais possible de définir la configuration du routage dynamique en important des fichiers de configuration bird.conf pour l'IPv4 et bird6.conf pour l'IPv6. Le format CSV du fichier de commandes a également été enrichi pour l'occasion.
Pour plus d'informations concernant la préparation des fichiers .bird et .bird6, veuillez vous référer à la note technique Configuration initiale par clé USB.
Opération setconf
Dans le cadre de la configuration initiale par clé USB, la commande setconf dispose d'une nouvelle fonctionnalité permettant d'écrire des lignes dans des sections en plus d'écrire des valeurs dans des clés (token). Le format CSV du fichier de commandes a été enrichi pour l'occasion.
Pour plus d'informations concernant la commande setconf, veuillez vous référer à la note technique Configuration initiale par clé USB.
Nouvelle opération sethostname
Dans le cadre de la configuration initiale par clé USB, une nouvelle opération sethostname est disponible permettant de définir notamment le nom d'hôte (hostname) du firewall. Le format CSV du fichier de commandes a été enrichi pour l'occasion.
Pour plus d'informations concernant l'opération sethostname, veuillez vous référer à la note technique Configuration initiale par clé USB.
Tableau de bord
Les agents SSO et serveurs syslog sont désormais supervisés et leur état apparaît dans le tableau de bord.
Annuaires LDAP
Les connexions sécurisées aux annuaires LDAP internes sont désormais basées sur le protocole standard TLS 1.2.
Option d’exclusion du proxy pour la sauvegarde automatique
La sauvegarde automatique peut à présent être paramétrée pour ne pas passer à travers le proxy configuré sur le firewall.
Ce nouveau paramètre est uniquement modifiable à l'aide de la commande CLI / Serverd :
CONFIG AUTOBACKUP SET
Pour plus d'informations concernant la syntaxe de cette commande, veuillez vous référer au Guide de référence des commandes CLI / Serverd.
Interface Web d'administration
Nom de nœud système
Il est désormais possible de définir un nom de nœud système pour le firewall (Configuration > onglet Configuration générale > Configuration avancée).
Ce nom est particulièrement utile dans le cadre d'une configuration en haute disponibilité, puisqu'il permet d'identifier aisément le membre du cluster sur lequel vous êtes connecté lorsque vous ouvrez une session en mode console via SSH par exemple.
Lorsqu'il est configuré, ce nom du nœud système apparaît dans le bandeau supérieur de l'interface Web d’administration, entre parenthèses, derrière le nom du firewall.
Filtrage et NAT - Fonctionnalité de Cache HTTP
La possibilité d'utiliser la fonction Cache HTTP au sein d'une règle de filtrage n'est plus disponible.
Si un firewall utilisait cette fonction dans une version précédente de firmware, cette fonction est automatiquement désactivée lors de la mise à jour en version 4.1.0 ou supérieure.
Récupération régulière des CRL
Il est désormais possible de préciser l'adresse IP présentée par le firewall pour la Récupération régulière des listes de révocation de certificats (CRL).
Cette adresse est exclusivement configurable à l'aide de la commande CLI / Serverd :
PKI CONFIG UPDATE CHECKBINDADDR=ip_address
Pour plus d'informations concernant la syntaxe de cette commande, veuillez vous référer au Guide de référence des commandes CLI / Serverd.