Nouvelles fonctionnalités de SNS 4.2.1

Système

Mode Diffusion Restreinte (DR)

Les firewalls SNS proposent l'implémentation d'un mode IPsec renforcé appelé Mode Diffusion Restreinte (DR) et respectant les recommandations de l'Agence Nationale de la Sécurité des Systèmes d'Information (ANSSI).

En version SNS 4.2, de nombreuses mesures de renforcement ont été apportées au Mode DR, notamment :

  • La négociation des tunnels IPsec est désormais exclusivement réalisée sur le port UDP/4500, rendant la détection du NAT-T (NAT traversal) inutile,
  • Les tunnels VPN IPsec peuvent être uniquement basés sur le protocole IKEv2,
  • Le support de l'ESN pour l'anti-rejeu ESP est implémenté,
  • La création d'une politique VPN IPsec active le jeton de configuration CRLRequired,
  • Restrictions concernant les algorithmes d'authentification et de chiffrement autorisés,
  • Deux profils de chiffrement spécifiques "Mode DR" (un pour IKE, un pour IPsec) ont été ajoutés aux profils existants (StrongEncryption, GoodEncryption et Mobile).

IMPORTANT
Le Mode DR de la version SNS 4.2 n'est pas compatible avec le Mode DR des versions SNS précédentes et la mise à jour d'un firewall avec le Mode DR activé vers la version SNS 4.2.0 (ou supérieure) est refusée par le firewall. Il est nécessaire de désactiver le mode DR pour pouvoir réaliser la mise à jour du firewall.

En savoir plus

Modification des traces activées par défaut

Le stockage sur disque de certaines traces (dont les connexions) est désormais désactivé par défaut sur un firewall en version SNS 4.2 en configuration d'usine. Les seules traces activées et stockées par défaut sont les suivantes :

  • Administration (fichier log l_server),
  • Authentification (fichier log l_auth),
  • Événements système (fichier l_system),
  • Alarmes (fichier l_alarm),
  • Politiques de filtrage (fichier log l_filter),
  • Négociation IKE/ IPsec (fichier log l_vpn),
  • VPN IPsec (fichier log l_vpn),
  • VPN SSL (fichier log l_xvpn),
  • Statistiques du filtrage et statistiques IPsec (fichier log l_monitor),
  • Sandboxing (fichier log l_sandboxing).

Le stockage sur disque des autres traces peut être activé manuellement dans le module Traces - Syslog - IPFIX.

En savoir plus

VPN IPsec IKEv1

Le moteur de gestion des tunnels VPN IPsec IKEv1 est désormais identique à celui gérant les VPN IPsec IKEv2 (Strongswan Charon).

Les configurations listées ci-dessous ne sont plus autorisées en version 4.2 :

  • Règles IKEv1 basées sur l'authentification par clé pré-partagée en mode agressif (tunnels nomades et tunnels site à site),
  • Règles IKEv1 basées sur l'authentification en mode hybride (tunnels nomades),
  • Correspondants de secours IKEv1.

Il est donc nécessaire de mettre en conformité la politique IPsec active (respect des restrictions pour une politique mixte IKEv1 / IKEv2) avant de mettre à jour le firewall en version 4.2.

En savoir plus

VPN IPsec

La répartition des opérations de chiffrement / déchiffrement du module IPsec a été améliorée : ceci induit une amélioration notable des débit IPsec dans le cas d'une configuration comportant un seul tunnel IPsec.

Ce mécanisme d'optimisation peut être activé ou désactivé manuellement à l'aide de la commande CLI / Serverd  :

CONFIG IPSEC UPDATE slot=<x> CryptoLoadBalance=<0|1>

où <x> est le N° de la politique IPsec active.

Le détail de cette commande est disponible dans le Guide de référence des commandes CLI / Serverd.

En savoir plus

Une nouvelle commande CLI / Serverd PKI CA CHECKOCSP a été ajoutée afin de pouvoir surcharger l'URL d'un serveur OCSP dans les certificats utilisés pour la négociation de tunnels IPsec.

En savoir plus

Logs - Type de règle VPN IPsec

Un champ précisant le type de règle VPN (tunnel mobile ou tunnel site à site) a été ajouté aux logs VPN IPsec.

En savoir plus

Logs - Nom de règle VPN IPsec

Il est désormais possible, depuis le module de configuration VPN IPsec, de rechercher directement le nom d'une règle dans les logs VPN IPsec afin d'afficher les traces correspondantes.

Agent SNMP

Dans le cas d'une politique IPsec IKEv2 ou IKEv1 + IKEv2, un événement (trap) SNMP est désormais émis lorsqu'un correspondant VPN IPsec est injoignable.

Une nouvelle MIB (STORMSHIELD-OVPNTABLE-MIB) permet de superviser via SNMP les utilisateurs connectés au travers du VPN SSL.

La MIB STORMSHIELD-VPNSA-MIB propose des statistiques IPsec complémentaires. Deux nouvelles MIB IPsec lui ont été adjointes :

  • STORMSHIELD-VPNIKESA-MIB : cette MIB propose des informations sur les SA IKE négociées,
  • STORMSHIELD-VPNSP-MIB : cette MIB présente propose des informations sur les SP (Security Policies).

En savoir plus

Calcul d'entropie - TPM (Trusted Platform Module)

Les firewalls équipés d'un module TPM utilisent désormais ce TPM comme source d'entropie dans les fonctions cryptographiques. L'entropie de ces fonctions cryptographiques en est donc améliorée.

Calcul d'entropie - Politique de mots de passe

L'entropie, dont le calcul prend en compte l'imprédictibilité d'un mot de passe et le nombre de caractères le composant, a été intégrée à la définition de la politique de mot de passe pour assurer la robustesse de ces mots de passe.

Il est donc désormais possible d'imposer une valeur minimale d'entropie pour les mots de passe définis sur le firewall (comptes de services, comptes d'administration, mots de passe de sauvegardes automatiques,...).

En savoir plus

Haute disponibilité

Dans une configuration en haute disponibilité, en cas de défaillance d'une interface d'un nœud du cluster, le temps de bascule du nœud passif en état actif a été significativement réduit sur les modèles SN500, SN510, SN700, SN710, SN900, SN910, SN2000, SN2100, SN3000, SN3100, SN6000 et SN6100, réduisant ainsi la coupure du trafic réseau.

En savoir plus

Authentification SPNEGO

Référence support 73844

La version 4.2 de firmware introduit le support de Windows Server 2019 pour la méthode d'authentification SPNEGO. La version 1.7 du script spnego.bat, disponible dans l'espace client Mystormshield, doit être utilisée sur cette version de Windows Server.
Cette version du script est également compatible avec Windows Server 2016, 2012 et 2012 R2.

Authentification - Annuaire LDAP interne

Pour une sécurité accrue, le hachage des mots de passe contenus dans l'annuaire LDAP interne peut désormais être réalisé à l'aide des algorithmes SHA2 ou PBKDF2.

En savoir plus

Authentification - Portail captif

Sur un firewall configuré en mode HTTPS strict (à l'aide la commande CLI / Serverd CONFIG AUTH HTTPS sslparanoiac=1), la configuration du portail captif n'accepte plus la sélection de certificats autres que des certificats serveur comportant l'ExtendedKeyUsage ServerAuth.

Avant de mettre à jour un firewall en version 4.2, il est donc nécessaire de sélectionner un certificat de portail captif conforme à cette exigence.

Authentification - Agent SSO

La connexion des agents SSO au service d'authentification du firewall est désormais basée sur le protocole TLS v1.2 en lieu et place de SSLv3. Il est donc nécessaire d'utiliser l'Agent SSO v3.0 (ou supérieur) avec les firewalls SNS en version 4.2

Logs - Emplacement des fichiers verbose.*

Les fichiers de logs créés lors de l'activation du mode verbeux des services du firewall sont désormais placés dans un répertoire dédié /log/verbose et non plus directement dans le répertoire /log. Les fichiers existants sont automatiquement déplacés vers ce nouveau répertoire lors de la mise à jour du firewall en version 4.2.

Commandes CLI / Serverd

Les commandes CLI / Serverd sont désormais versionnées pour permettre un meilleur suivi des changements. Une section présentant les modifications, ajouts ou suppressions de commandes CLI / Serverd entre la dernière version SNS et la version SNS LTSB précédente a été ajouté en première partie du Guide de référence des commandes CLI / Serverd.

Les commandes CLI / Serverd relatives à la gestion du VPN IPsec (CONFIG IPSEC PROFILE PHASE1 et CONFIG IPSEC PROFILE PHASE2) ont été modifiées afin d'offrir la possibilité de vérifier la configuration avant que celle-ci ne soit appliquée sur le firewall.
Ceci permet ainsi d'éviter les interruptions de service en cas d'anomalie dans la configuration.

En savoir plus

Restauration de configuration

Un mécanisme de contrôle d'intégrité de la configuration réseau permet désormais d'éviter des erreurs de configuration de firewalls lors de déploiements via SMC ou lors de restaurations de sauvegardes de configuration.

La restauration partielle d'une configuration est précédée d'une analyse de cohérence.
Lorsque le mécanisme d'analyse détecte une anomalie, celui-ci affiche un message d'avertissement. L'administrateur peut toutefois décider de restaurer cette sauvegarde, mais des modifications de configuration devront être réalisées pour rendre opérationnels les modules concernés par la restauration.

VPN SSL

Dans le cadre du durcissement du système d'exploitation SNS, le fichier de configuration destiné au client VPN SSL Stormshield inclut le paramètre auth-nocache pour imposer au client de ne pas conserver le mot de passe utilisateur en mémoire (à l'exception des clients VPN SSL configurés en Mode manuel).

Clés SSH du firewall

Dans le cadre du durcissement du système d'exploitation SNS, les clés SSH du firewall (clé du firewall pour les connexions SSH vers le firewall, clés créées pour la haute disponibilité, clé du compte admin) sont désormais chiffrées par défaut à l'aide de l'algorithme ECDSA en lieu et place de l'algorithme RSA utilisé avant la version SNS 4.2.

La clé SSH du firewall est désormais générée à l'activation du service SSHD du firewall (et non au démarrage du firewall) afin de présenter une meilleure entropie (robustesse de la clé). Elle peut également être à nouveau générée à l'aide de la commande CLI / Serverd CONFIG SSH REGENHOSTKEY.

La clé SSH du compte admin est systématiquement générée à chaque changement de mot de passe de ce compte. Il est donc conseillé de modifier ce mot de passe après avoir mis à jour un firewall en version 4.2.

En savoir plus

Protocole TLS v1.3

La version SNS 4.2 introduit le support du protocole TLS v1.3 pour les services du firewall (portail captif, LDAPS, Syslog TLS, Autoupdate ...).

Les versions du protocole TLS utilisables par les clients à destination du firewall sont désormais exclusivement les versions 1.2 et 1.3. La version du protocole TLS utilisable peut être configurée à l'aide de la simple commande CLI Serverd :

CONFIG CRYPTO ClientTLSv12=<0|1> ClientTLSv13=<0|1>

Pour plus de détails sur cette commande, veuillez vous référer au Guide de référence des commandes CLI / Serverd.

Notez que l'implémentation du protocole LDAPS basé sur TLS1.2 ou TLS 1.3 nécessite que le serveur hébergeant un annuaire LDAP externe supporte et utilise une suite de chiffrement compatible.
La liste de ces suites de chiffrement est détaillée dans le Manuel Utilisateur SNS v4.

NSRPC

L'algorithme SHA256 est désormais utilisé dans la librairie NSRPC pour le calcul des hash des mots de passe.

Mise à jour - Logs

Référence support 79529

Des traces concernant les actions exécutées avant le redémarrage du firewall ont été ajoutées dans le fichier update.log afin de discerner les causes d'échecs de mise à jour de firmware.

Prévention d'intrusion

Protocole TLS v1.3

Le moteur de prévention d'intrusion détecte et analyse désormais les trames déchiffrées du protocole de sécurisation des communications TLS v1.3. Ceci permet notamment :

  • D'autoriser le mode 0-RTT,
  • De définir le comportement à adopter vis à vis des valeurs / extensions (extensions GREASE [Generate Random Extensions And Sustain Extensibility], extensions définies dans la RFC TLS v1.3 ou extensions inconnues est paramétrable).
  • De définir une liste noire d'extensions TLS.

Notez que les flux liés peuvent désormais être assujettis à des alarmes protocolaires.

En savoir plus

Protocole RDP sur UDP

Le moteur de prévention d'intrusion détecte et analyse désormais le trafic RDP basé sur UDP en plus du trafic RDP basé sur TCP.

Notez que les flux liés peuvent désormais être assujettis à des alarmes protocolaires.

Protocole IPv6

La version 4.2 introduit la détection et le blocage de paquets IPv6 contenant une option RDNSS (Recursive DNS Server) non conforme (cf. RFC 8106).

Interface Web d'administration

Supervision VPN IPsec

Le module de supervision VPN IPsec intègre désormais deux tables présentant les caractéristiques des Security Associations (SA) du tunnel VPN IPsec sélectionné :

  • Table des SA IKE :
    • Nom de la règle IPsec,
    • Version IKE du tunnel,
    • Passerelle locale,
    • Adresse IP de la passerelle locale,
    • Passerelle distante,
    • Adresse IP de la passerelle distante,
    • État de la SA,
    • Rôle (responder / initiator),
    • Cookie initiator,
    • Cookie responder,
    • Identifiant local,
    • Identifiant du correspondant,
    • Présence de NAT-T ou non,
    • Algorithme d'authentification utilisé,
    • Algorithme de chiffrement utilisé,
    • Algorithme de PseudoRandom Function (PRF) utilisé,
    • Perfect Forward Secrecy (PFS) utilisé,
    • Durée de vie de écoulée.
  • Table des SA IPsec :

    • État de la SA,
    • Passerelle locale,
    • Passerelle distante,
    • Octets entrants,
    • Octets sortants,
    • Durée de vie écoulée,
    • Algorithme d'authentification utilisé,
    • Algorithme de chiffrement utilisé,
    • Présence d'ESN,
    • Encapsulation UDP des paquets ESP activée.

Tableau de bord

Le tableau de bord intègre un nouveau widget Messages destiné à afficher les notifications et avertissements issus du système. Des messages y sont affichés si :

  • IPv6 est activé sur le firewall,
  • Le mode DR est activé sur le firewall,
  • Le moteur d'authentification utilise les certificats par défaut du firewall.

Supervision des interfaces

Le module de supervision des interfaces peut désormais afficher des courbes (temps réel et historique) de débit et de nombre de paquets échangés pour les VLAN définis sur le firewall.

Les courbes historiques de débit et de nombre de paquets échangés sont désormais également disponibles pour les agrégats d'interfaces.

Protocoles - NTP

Un clic sur le lien associé à la Protection contre les attaques de type Time Poisoning (Configuration > Protection applicative > Protocoles > NTP > onglet IPS) permet désormais d'accéder directement à la configuration de l'horloge du firewall.

En savoir plus

Certificats et PKI

L'interface Web d'administration autorise désormais la création d'un certificat dont le FQDN comporte le caractère spécial "*" (exemple : *.stormshield.eu).