Nouvelles fonctionnalités et améliorations de SNS 4.4.1

Granularité de QoS et de routage par application pour les services Web en fonction du SLA (SD-WAN)

La version SNS 4.4 permet d'identifier à quels services sont associés certains flux Web reconnus du marché, et de distinguer ainsi les flux Salesforce des flux YouTube, Microsoft 365 ou Zoom, par exemple. Des services Web personnalisés peuvent également être créés selon les besoins.
Il devient ainsi possible de définir des politiques fines de SLA, de QoS et de routage par application pour chaque service Web utilisé dans l'entreprise, permettant ainsi d'assurer une connectivité optimale pour les flux Web prioritaires.

Plus d'informations sur les services Web.

Politique de sécurité adaptée aux applications temps réel SaaS

Cette identification des services Web permet également d'adapter la politique de sécurité aux différents flux identifiés en désactivant certaines analyses de sécurité inutiles pour ces flux. Cela permet, par exemple, de ne pas forcer le passage par le proxy de ces flux applicatifs identifiés, accélérant ainsi le passage de ces flux spécifiques tout en déchargeant le proxy au profit des autres flux Web.

Ces objets de type services Web et services Web personnalisés permettent également de lever certaines limitations liées aux objets de type FQDN.

Protocole IEC61850 MMS

Le moteur de prévention d'intrusion assure l'analyse du protocole IEC61850 MMS en complément de l'analyse du protocole MMS.

Support des jumbo frames sur les firewalls modèles SN160(W), SN210(W) et SN310

La version SNS 4.4 introduit le support des jumbo frames sur les firewalls modèles SN160(W), SN210(W) et SN310. Ceci permet notamment de configurer correctement ces firewalls dans le cas d'un fournisseur d'accès utilisant une Maximum Transmision Unit (MTU) légèrement supérieure à 1500 octets.

Bien qu'il soit possible de configurer cette MTU jusqu'à une taille de 9198 octets pour les firewalls SN160(W) et SN210(W) et une taille de 8996 octets pour les firewalls SN310, notez que les limitations matérielles de ces modèles impliquent une vérification logicielle des sommes de contrôle des paquets présentant une MTU supérieure à 1600 octets. Ceci peut donc impacter les performances globales de ces modèles de firewalls.

VPN SSL - Lien de secours

Sur un firewall disposant de deux liens Internet distincts, il est désormais possible de définir une adresse IP de secours pour le serveur VPN SSL (réseau différent du réseau incluant l'adresse primaire). Ceci permet de pallier tout problème réseau sur l'interface définie initialement et permet aux clients de continuer d'utiliser le service VPN SSL. Cette information de connexion de secours est automatiquement ajoutée dans le fichier de configuration du client VPN SSL.
La configuration de cette adresse IP de secours est exclusivement réalisable à l'aide des commandes CLI / Serverd :

CONFIG OPENVPN UPDATE serverPublicAddrSecondary=w.x.y.z
CONFIG OPENVPN ACTIVATE

Il est également possible de configurer le service VPN SSL pour que toutes les sessions VPN SSL ayant atteint la durée maximale d'inactivité configurée soient automatiquement déconnectées.

Performances IPsec

Référence support 81691

Le mécanisme qui optimise la répartition des opérations de chiffrement et de déchiffrement du service IPsec a été modifié. Ceci améliore ses performances dans le cas où le chiffrement est réalisé avec une interface d'entrée dont le trafic est en clair et une interface de sortie dont le trafic est chiffré.

Il est désormais possible de répartir de manière statique les CPU qui traiteront les paquets du service IPsec sur le firewall. Cette configuration s'effectue uniquement à l'aide de la commande CLI / Serverd suivante :

CONFIG IPSEC CRYPTOLB UPDATE ifincoming=<interface> ifoutgoing=<interface> state=<0|1>

SNMPv3 - Communications sécurisées

La version SNS 4.4 ajoute l'algorithme SHA2 à la liste des algorithmes (SHA1, MD5) pouvant être utilisés pour sécuriser les communications basées sur le protocole SNMPv3.

Agent SNMP - Adresse IP d'écoute du service

Il est désormais possible de préciser l'interface du firewall par laquelle transitent les requêtes SNMP. Ceci est réalisable au travers de l'argument bindaddr de la commande CLI / Serverd :

CONFIG SNMP SYSTEM BindAddr=<host>

En savoir plus

Interdire le retour à une version antérieure de firmware

Sur un firewall en version 4.4, il est possible d'interdire tout retour à une version antérieure de firmware. Ceci permet d'éviter, par exemple, la réintroduction d'une vulnérabilité corrigée depuis.

Ce comportement peut être exclusivement activé via la commande CLI / Serverd :

SYSTEM UPDATE DOWNGRADE off

Notez que le retour à une version antérieure de firmware est autorisé par défaut.
En savoir plus

Télémétrie

La télémétrie d'un firewall en version SNS 4.4 ajoute aux indicateurs déjà existants (pourcentage d'utilisation de CPU, pourcentage d'utilisation de mémoire et volume de logs générés) des données concernant l'utilisation du proxy : nombre de connexions par protocole et nombre de connexions simultanées au travers du proxy.

En transmettant ces données parfaitement anonymes, vous aidez Stormshield à affiner les paramètres de performances du proxy pour les futures versions SNS.