Nouvelles fonctionnalités et améliorations de SNS 4.6.10

VPN IPsec - Mode Diffusion Restreinte (DR)

Sur un firewall configuré en mode DR, il est désormais possible d'activer / désactiver l'encapsulation du trafic ESP dans le protocole UDP pour chaque correspondant. Pour préserver le fonctionnement d'un firewall en mode DR lors de sa mise à jour en version SNS 4.6.10 ou supérieure, cette encapsulation est activée par défaut.

VPN IPsec mode Diffusion Restreinte (DR) - Génération des Certificate Request Payload

Le référentiel IPsec DR de l'ANSSI demande de remplacer l'algorithme utilisé dans la génération des Certificate Request Payload par le SHA2 (anciennement SHA1).

Les versions SNS 4.6 (à partir de la version 4.6.10), 4.3 LTSB (à partir de la version 4.3.21 LTSB) et les versions SNS 4.7 et supérieures respectent cette recommandation.

Si le mode IPsec DR est activé sur un firewall SNS en version 4.6.10, la négociation de tunnels VPN est possible uniquement avec des correspondants respectant cette recommandation.

Ainsi, pour que la négociation de tunnels VPN en mode IPsec DR continue de fonctionner après la mise à jour d'un firewall SNS en version 4.6.10, vous devrez vous assurer que l'ensemble des correspondants compatibles IPsec DR de votre architecture respectent cette recommandation :

  • Pour des firewalls SNS, vous devrez tous les mettre à jour dans une version SNS respectant cette recommandation,
  • Pour des firewalls d'un autre fournisseur, rapprochez-vous au préalable de ce dernier pour plus d'informations,
  • Pour des clients VPN Exclusive Stormshield, vous devrez vous assurer que chaque client VPN est en version 7.4.018 ou supérieure et y configurer des paramètres supplémentaires. Pour plus d'informations, reportez-vous à la note technique VPN IPsec - Mode Diffusion Restreinte,
  • Pour tout autre client VPN, rapprochez-vous au préalable de l'éditeur du logiciel concerné pour plus d'informations.

Analyse Sandboxing

La classification des fichiers sans extension et sans type MIME spécifique a été modifiée. Désormais, ces fichiers ne sont plus analysés systématiquement afin d'optimiser l'analyse Sandboxing de l'ensemble des autres types de fichiers.

Mécanisme de récupération des certificats de serveurs

Référence support 84671

Le temps d'attente maximal pour la réponse à une requête de récupération de certificat de serveur a été diminué et est désormais configurable pour chacun des profils d'inspection du protocole SSL. Il peut prendre une valeur comprise entre 1 et 10 secondes et est positionné à 2 secondes par défaut.

Notez que cette configuration est exclusivement réalisable et activable à l'aide des commandes CLI / Serverd suivantes :

CONFIG PROTOCOL SSL PROFILE IPS CONFIG TLSServerCertTimeout=[1-10] index=[0-9]

CONFIG PROTOCOL SSL ACTIVATE

Plus d'informations sur la commande CONFIG PROTOCOL SSL IPS CONFIG