Correctifs de SNS 4.6.0

Système

Interfaces réseau - Routage

Référence support 84706

Le rechargement de la configuration réseau ne provoque plus la disparition pendant plusieurs secondes des routes rattachées aux interfaces configurées en DHCP. Cette régression était apparue en version SNS 4.3.

VPN IPsec

Dans une configuration pour laquelle un tunnel IPsec passe par un modem PPPoE (dialup), le moteur de gestion des tunnels IPsec ne redémarrait plus après le rechargement de cette dialup ou un redémarrage du firewall.
Cette régression, apparue en version SNS 4.3, a été corrigée.

Firewalls SN160(W) - SN210(W) - SN310

Référence support 84725

Certaines adresses MAC clientes de préfixe 6c:a1:00 ne conduisent plus à des réponses ARP corrompues de la part des firewalls modèles SN160(W), SN210(W) et SN310. Cette régression était apparue en version SNS 4.5.

Authentification

Référence support 84358

Lorsqu'un utilisateur saisit un mot de passe erroné pour une connexion via le client VPN SSL ou sur le portail captif, le firewall ne génère plus à tort l'erreur "LDAP unreachable Bind error" dans le fichier de logs d'alarmes.

Authentification - TOTP

Référence support 84660

La modification du port d'écoute par défaut de l'interface Web d'administration (TCP/443) est désormais correctement répercutée sur le lien hébergé sur la fenêtre de connexion au firewall et pointant vers la page d'enrôlement TOTP.

Authentification RADIUS - Configuration avec serveur RADIUS de secours

Référence support 84555

Dans certaines circonstances, une double requête d'authentification RADIUS pouvait être envoyée simultanément vers le serveur RADIUS principal et le serveur RADIUS de secours. Cette anomalie, qui entraînait immédiatement un rejet de la tentative d'authentification, a été corrigée.

Haute disponibilité - Configuration comprenant plusieurs centaines de VLAN

Référence support 84522

Sur des configurations en haute disponibilité comportant plusieurs centaines de VLAN, la requête d'affichage de l'état de la haute disponibilité n'entraîne plus une consommation anormalement élevée de CPU.

DMA remapping (DMAR) sur les firewalls SN1100

Des optimisations ont été apportées au mécanisme DMAR afin de combiner performances et possibilité d'obtenir des fichiers de vidage mémoire (coredump) pour analyse en cas de problème sur le firewall.

Collecteur IPFIX - Numéros des interfaces du firewall

Référence support 78226

Les numéros des interfaces du firewall récupérés par le collecteur IPFIX correspondent désormais aux numéros récupérés dans les tables SNMP.

Moteur de prévention d'intrusion

Protocole TLS 1.3

Référence support 84674

Afin de ne pas bloquer à tort certains flux TLS 1.3, le mécanisme d'analyse des certificats TLS 1.3 des serveurs SSL est désormais automatiquement désactivé lors de la migration d'un firewall depuis une version inférieure à SNS 4.3 vers une version supérieure ou égale à SNS 4.6.0. Il est également désactivé par défaut dans le profil entrant d'analyse SSL SSL_00 pour les firewalls en configuration d'usine en version 4.6.0 ou supérieure.

Ce mécanisme d'analyse des certificats TLS 1.3 des serveurs SSL peut être réactivé, sous réserve d'en évaluer les éventuels impacts, dans Configuration > Protection applicative > Protocoles > SSL.