Nouvelles fonctionnalités et améliorations de SNS 4.5.1
IMPORTANT
La version SNS 4.5 est exclusivement compatible avec le client VPN SSL 3.1 ou le client OpenVPN 2.5 (ou supérieur).
Il est nécessaire de mettre à jour le client VPN SSL (ou OpenVPN) sur les postes clients avant de mettre à jour le firewall en version SNS 4.5.
Authentification à 2 Facteurs (2FA - 2 Factors Authentication)
La version SNS 4.5 permet d'accroître la sécurité des authentifications gérées par le firewall grâce à une nouvelle méthode d'authentification 2FA permettant d'utiliser des mots de passe à usage unique basés sur le temps (TOTP - Time-based One-time Password).
Cette sécurisation supplémentaire des accès est embarquée sur le firewall et ne nécessite pas la mise en place d'une solution TOTP tierce. Les utilisateurs soumis à l'authentification TOTP SNS n'ont besoin que d'une application sur leur smartphone ou dans leur navigateur Internet pour générer les codes d'authentification TOTP.
Cette méthode peut notamment être activée pour toutes les authentifications : portail captif, tunnels VPN SSL, interface Web d'administration, connexions console ou SSH, tunnels VPN IPsec / Xauth.
Notez que cette méthode 2FA étant embarquée sur chaque firewall, un utilisateur devra utiliser autant de codes TOTP que de firewalls sur lesquels il doit se connecter.
Plus d'information sur l'authentification TOTP.
Routage multicast dynamique
IMPORTANT
Cette fonctionnalité est en accès anticipé et n'est pas destinée à des firewalls en production.
Veuillez impérativement consulter les Limitations et précisions sur les cas d'utilisation avant d'activer cette fonctionnalité.
La versions SNS 4.5 supporte le routage multicast dynamique basé sur les protocoles IGMPv2 et v3 et PIMv2.
Le paramétrage du routage multicast dynamique est réalisé au sein du module Configuration > Réseau > Routage multicast ou à l'aide des commandes CLI / Serverd CONFIG MULTICASTROUTING.
NOTE
Il n'est pas possible d'activer simultanément le routage multicast dynamique et le routage multicast statique.
Plus d'information sur le routage multicast dynamique.
Protocole S7 Plus
La version SNS 4.5 permet désormais l'analyse du protocole industriel de communication S7 Plus (propriété intellectuelle de Siemens).
Plus d'information sur l'analyse protocolaire S7 Plus.
Protocole OPC-DA
Le moteur d'analyse protocolaire permet désormais de distinguer les opérations de lecture et d'écriture pour le protocole OPC-DA. Ceci garantit un contrôle plus fin des flux OPC-DA traversant le firewall.
Plus d'information sur l'analyse protocolaire OPC-DA.
Protocole IEC 60870-5-104
Référence support 82460
Une nouvelle alarme "IEC 60870-5-104 : Message de TESTFR act invalide au regard du contexte de la connexion" (iec104:756) a été créée afin de pouvoir laisser passer les paquets IEC 60870-5-104 TESTFR act (contrôle d'état stateful des paquets) tout en laissant active l'analyse protocolaire IEC 60870-5-104.
Description des interfaces réseau
Référence support 81461
Les descriptions (optionnelles) ajoutées aux interfaces réseau depuis l'interface Web d'administration sont désormais stockées sous un format clé=valeur dans le fichier de configuration des interfaces réseau. Ceci permet de récupérer ces descriptions dans le cas d'une opération de restauration logicielle par clé USB.
Déconnexion automatique des sessions VPN SSL expirées
Il est désormais possible de configurer un délai maximal d'inactivité sur le service VPN SSL après lequel les sessions VPN SSL inactives sont automatiquement déconnectées.
La configuration de cette option est exclusivement réalisable à l'aide de la commande CLI / Serverd :
CONFIG OPENVPN UPDATE Inactive=x (seconds)
Pages de blocage HTTPS
Les pages permettant de bloquer les flux HTTPS non autorisés par le filtrage SSL ont été modifiées. Leur modèle est entièrement personnalisable.
Télémétrie
De nouvelles données sont remontées par le service de télémétrie de la version SNS 4.5 :
- Nombre d'objets par type,
- Nombre de règles de filtrage et de NAT,
- Nombre d'alertes IPS,
- Nombre de signatures IPS utilisées.
En transmettant ces données parfaitement anonymes, vous aidez Stormshield à affiner les tailles et limites des futures plate-formes matérielles et versions SNS.
Plus d'information sur le service de télémétrie.
Profils de chiffrement IPsec
Les groupes Diffie-Hellman DH31 et DH32 sont désormais disponibles dans les profils de chiffrement IPsec. Notez que ces profils ne peuvent pas être sélectionnés si le firewall est en mode Diffusion Restreinte.
Plus d'information sur les profils de chiffrement IPsec.
Logs VPN IPsec
Référence support 82931
La ligne de logs "Installing IPSEC SA failed" a été complétée avec les valeurs des SPI in et SPI out afin de faciliter l'analyse du problème rencontré.
Alerte en cas de mise à jour des utilitaires NVM pour cartes réseau Intel
L’événement 152 "Logiciel de carte réseau" permet d'informer l'administrateur d'une mise à jour automatique ou d'un échec de mise à jour automatique des utilitaires NVM de gestion de versions des firmware de cartes réseau Intel.