Nouvelles fonctionnalités de la version 4.3.3

SD-WAN et QoS

IMPORTANT

Ces fonctionnalités sont en accès anticipé.

Veuillez impérativement consulter les Problèmes connus et les Limitations et précisions sur les cas d'utilisation avant d'activer ces fonctionnalités ou de mettre à jour une configuration QoS existante vers une version SNS 4.3.

Sélection du meilleur lien

Il est désormais possible de configurer des critères précis afin de définir si un lien WAN respecte le niveau de qualité adapté à son type de trafic (VoIP, vidéo, etc.).

Pour cela, vous pouvez définir pour chaque type de trafic un engagement SLA (Service Level Agreement) basé sur un ou plusieurs seuils parmi les critères suivants :

  • Latence,

  • Gigue,

  • Perte de paquets.

Dès qu'au moins un des seuils n'est plus respecté, le firewall sélectionne pour le trafic concerné un autre lien WAN pour lequel le statut SLA est bon.

Cette configuration peut être réalisée sur du trafic standard ou sur des communications chiffrées.

Indépendamment du type de trafic, vous pouvez également mettre en place une configuration plus générale permettant d'assurer que toutes les communications seront automatiquement basculées vers un lien de secours lorsque la qualité du lien principal utilisé est dégradée.

Vous pouvez visualiser la qualité de vos différents liens à tout moment depuis l'interface Web d'administration du firewall.

Pour plus d'informations, reportez-vous aux sections Objets réseau - Routeur, Supervision - SD-WAN et Rapports du Manuel Utilisateur SNS.

Amélioration de la fonctionnalité de Qualité de Service (QoS)

La fonctionnalité de Qualité de Service (QoS) a été améliorée pour répondre aux exigences des infrastructures récentes. Ces modifications permettent d'améliorer significativement la définition de priorités des flux ainsi que la limitation et la réservation de la bande passante.

Pour plus d'informations, reportez-vous à la section Qualité de Service (QoS) du Manuel Utilisateur SNS.

IMPORTANT
Les configurations de QoS définies dans une version antérieure à SNS 4.3 ne sont pas automatiquement valides. Elles nécessitent le paramétrage des Traffic shapers pour pouvoir être activées après mise à jour en version SNS 4.3.

Routage statique - Objets routeur

Il est désormais possible de sélectionner un objet routeur en tant que passerelle lors de la création ou la modification d'une route statique. Ceci apporte la possibilité de définir pour chaque route statique une stratégie de sélection de liens.

Vous pouvez toujours décider d'appliquer une politique de sélection de liens différente sur certains flux spécifiques en les configurant directement dans les règles de votre politique de filtrage (Policy Based Routing). Ces configurations sont prioritaires par rapport à celles mises en place dans le routage statique.

Pour plus d'informations, reportez-vous aux sections Routes statiques IPv4 / IPv6, Objets réseau - Routeur et Filtrage du Manuel Utilisateur SNS.

NOTE
Les objets routeur définis avec du partage de charge ne sont pas compatibles avec cette fonctionnalité.

Protocole TLS 1.3

Analyse des certificats serveur

Le moteur de prévention d'intrusion tente désormais de récupérer le certificat serveur pour chaque flux TLS 1.3 traversant le firewall afin d'analyser les éventuelles failles de sécurité liées à ce certificat et rendre opérationnel les signatures d'attaques et d'applications reposant sur l'analyse de ce certificat.

Cette analyse est activée par défaut sur le firewall. Certains flux TLS 1.3 peuvent à présent être bloqués alors qu'ils ne l'étaient pas auparavant en raison de cette nouvelle analyse protocolaire.
En savoir plus

Proxy SSL

Le proxy SSL supporte désormais le protocole TLS 1.3.

Protocoles industriels SOFBUS et LACBUS

Les firewalls SNS peuvent désormais détecter et analyser les protocoles SOFBUS et LACBUS. Cette analyse, désactivée par défaut, permet de détecter les comportements anormaux et de filtrer des commandes spécifiques SOFBUS et LACBUS afin de diminuer la surface d'attaque et le risque de compromission. Ces protocoles sont principalement utilisés dans les infrastructures de gestion des eaux. Ils sont la propriété intellectuelle de LACROIX Sofrel.
En savoir plus

Captures réseau

Un nouvel outil de captures réseau est désormais disponible dans l'interface Web d'administration des firewalls SNS et peut être utilisé à des fins de résolution de problèmes. Les critères de filtres les plus communs (IP, port, interface, etc.) peuvent être renseignés dans un assistant de création de filtre permettant aux utilisateurs n'ayant pas de connaissances sur l'outil tcpdump ou sur le format de ses filtres de créer des captures réseau. Le filtre tcpdump peut aussi être renseigné manuellement pour une utilisation avancée.

Ce nouvel outil permet de lancer jusqu'à 5 captures simultanément. Pour y accéder, le firewall doit posséder un support de stockage sur lequel enregistrer les captures (stockage interne ou carte SD par exemple).
En savoir plus

Accès distant par SSH au firewall

Ouverture de l'accès aux comptes administrateurs du firewall

Les administrateurs déclarés sur le firewall peuvent désormais se voir attribuer un droit d'accès en SSH au firewall. Cet accès est par défaut limité à l'interpréteur shell nsrpc (utilisation de commandes CLI / Serverd) et peut être étendu à l'interpréteur shell du système d'exploitation par le super-administrateur (compte admin).
En savoir plus

Protection contre les attaques par force brute

L'accès distant par SSH au firewall est désormais protégé contre les attaques par force brute. Si cette protection est déjà activée sur le firewall, son périmètre est automatiquement étendu.
En savoir plus

Authentification RADIUS

Tableau de bord

Les serveurs RADIUS sont désormais supervisés et leur état apparaît dans le widget Services du Tableau de bord.

Délai d'inactivité et nombre maximum d'essais de connexion

Le nombre maximum d'essais et le délai d'inactivité autorisé pour réaliser une connexion à un serveur RADIUS (serveur principal et serveur de secours) peuvent désormais être configurés. Ceci entraîne la modification de la commande CLI / Serverd CONFIG AUTH RADIUS avec l'ajout des arguments timeout, retry, btimeout et bretry.
En savoir plus

Support des VSA RADIUS

Il est désormais possible d'associer des utilisateurs authentifiés via RADIUS à des groupes dans le firewall grâce à l'ajout du support des VSA RADIUS. Ceci ouvre notamment la possibilité d'ajouter au firewall des administrateurs dont les utilisateurs ou les groupes proviennent d'autres domaines. Pour fonctionner, le serveur RADIUS doit également être configuré pour utiliser des VSA.

Activée par défaut, la prise en charge des VSA sur le firewall peut être désactivée en utilisant la commande CLI / Serverd CONFIG AUTH RADIUS avec l'argument [VSAusergroup=<0|1>].

En savoir plus

Support de l'IPv6

Il est désormais possible de joindre des serveurs RADIUS en IPv6. Ceci apporte la possibilité de configurer dans le firewall des serveurs RADIUS avec des objets utilisant des adresses IPv6.

Support de l'attribut domain

Le nom de domaine d'un utilisateur peut désormais être reporté dans le champ de la requête RADIUS permettant à l'authentification RADIUS de s'intégrer dans une fédération comprenant plusieurs domaines.

Adresse IP source des requêtes RADIUS

L'adresse IP source des requêtes RADIUS peut désormais être configurée.

En savoir plus

Traitement des requêtes RADIUS

Les requêtes RADIUS sont maintenant traitées de manière asynchrone afin de faciliter l'intégration avec les plateformes OTP.

Serveur LDAP

Le serveur LDAP interne du firewall utilise maintenant une configuration TLS en accord avec les recommandations de l'Agence Nationale de la Sécurité des Systèmes d'Information (ANSSI).

En savoir plus

VPN

VPN IPsec IKEv2 - Support de MOBIKE

Il est désormais possible d'utiliser MOBIKE avec des correspondants de type nomade (mobile). MOBIKE permet à un utilisateur nomade de ne pas avoir à renégocier un tunnel lorsqu'il change d'adresse IP.

L'activation de MOBIKE se réalise exclusivement à l'aide des commandes CLI / Serverd CONFIG IPSEC PEER NEW et CONFIG IPSEC PEER UPDATE avec l'argument [mobike=<0|1>] selon si vous ajoutez ou mettez à jour un correspondant.

Un paramètre supplémentaire permet de définir dans une politique IPsec les interfaces sur lesquelles le moteur IPsec construit sa liste d'adresses IP qu'il diffuse via MOBIKE. Ceci permet de limiter les adresses IP diffusées dans le cadre de l'utilisation de MOBIKE au strict minimum. La liste des interfaces concernées est modifiable exclusivement à l'aide de la commande CLI / Serverd CONFIG IPSEC UPDATE avec l'argument [UsedInterface=<itf1,itf2,...>].

NOTE

MOBIKE n'est pas compatible avec le mode Diffusion Restreinte (DR) respectant les recommandations de l'Agence Nationale de la Sécurité des Systèmes d'Information (ANSSI).

VPN SSL

La rapidité d'établissement des connexions et le support du protocole TLS 1.3 du VPN SSL ont été améliorés. Pour en bénéficier, vous devez utiliser un client VPN SSL compatible avec le protocole TLS 1.3. À noter que Stormshield Network SSL VPN Client en version 2.9 n'est pas compatible avec ce protocole.

Ces améliorations nécessitent désormais que la taille minimale du masque de l'objet réseau assigné aux clients UDP et TCP dans la configuration VPN SSL soit de /28.

Haute disponibilité et agrégats de liens

Dans une configuration disposant d'agrégats de liens réseau, l'initialisation de la haute disponibilité active par défaut l'option Activer l'agrégation de liens lorsque le firewall est passif permettant de bénéficier de temps de bascule optimisés.

Haute disponibilité - Liens directs entre membres du cluster

Dans une configuration en haute disponibilité avec des liens HA directs entre les deux membres du cluster (sans commutateur réseau intermédiaire), la perte complète des liens HA suite à une défaillance du firewall principal déclenche immédiatement la bascule sur l'autre membre du cluster.

Agrégat de liens - Redondance

Il est désormais possible de créer un agrégat de liens de type Redondance. La fonction de redondance permet de disposer d'un lien de secours au cas où le lien principal (identifié comme Maître dans l'agrégat) ne répond plus. Un agrégat de type Redondance doit contenir deux liens.

Cette nouvelle fonctionnalité est uniquement disponible sur les modèles SN510, SN710, SN910, SN2000, SN2100, SN3000, SN3100, SN6000, SN6100, SNi20 et SNi40. Les firewalls SNS supportent cette fonctionnalité avec des commutateurs de marque Cisco uniquement.
En savoir plus

Service de télémétrie

Une fenêtre invite les administrateurs de firewalls SNS lorsqu'ils se connectent à l'interface Web d'administration à activer le service de télémétrie si celui-ci est désactivé.

En savoir plus

Certificats et PKI

Enrôlement Web - Enrôlement des certificats

Le service d'enrôlement Web a été amélioré afin de permettre aux utilisateurs d'effectuer des demandes de certificat depuis les dernières versions des navigateurs Web du marché. Lors de la réalisation d'une demande, les utilisateurs doivent à présent définir eux-mêmes la clé de chiffrement utilisée pour chiffrer leur clé privée.
En savoir plus

Rafraîchissement de la CRL d'une CA

Une nouvelle commande CLI / Serverd SYSTEM CHECKCRL est disponible permettant de forcer le rafraîchissement de la liste de révocation de certificats (CRL) d'une autorité de certification (CA).

En savoir plus

Durcissement du système d'exploitation

Mécanisme de vérification d'intégrité des fichiers exécutables

Le firewall SNS génère désormais un événement système lorsque le mécanisme de vérification d'intégrité des fichiers exécutables refuse de lancer un binaire.

Secure Boot

Il est désormais possible d’activer la fonctionnalité Secure Boot dans l’UEFI des firewalls SNi20, SN1100 et SN3100. L’activation de cette fonctionnalité permet de renforcer la sécurité du système avec notamment la vérification de signature du système chargé au démarrage du firewall.