Correctifs de SNS 4.7.1 EA

Système

VPN IPsec

Références support 84983 - 85133 - 85253

Des optimisations ont été apportées au mécanisme de rechargement des règles de la politique VPN IPsec afin de limiter le risque d'arrêt inopiné du moteur de routage du firewall lorsque certaines configurations sont inchangées.

Commande sysinfo

Référence support 84415

La commande de diagnostic système sysinfo n'appelle plus à tort certains binaires supprimés dans le cadre du durcissement du système d'exploitation du firewall.

Authentification SSH multi-utilisateur

Références support 84532 - 84847

Lorsque la clé SSH du compte admin était enregistrée sur le firewall, aucun autre administrateur ne pouvait se connecter en SSH au firewall. Cette régression, apparue en version SNS 4.3.3, a été corrigée.

Authentification - Attaque par force brute

Référence support 81350

Lors du déclenchement du mécanisme de protection contre les attaques par force brute, l'alarme générée ne contient plus une adresse de destination systématiquement égale à 0.0.0.0. Cette régression était apparue en version SNS 4.1.1.

Authentification RADIUS

Référence support 84162

La connexion d'un administrateur via une méthode RADIUS ne générait aucune entrée dans le fichier des logs d'authentification. Cette anomalie a été corrigée.

Références support 84484 - 84497

Le temps de réponse maximal par défaut pour une requête Radius peut désormais être augmenté pour atteindre 600 secondes. Il peut être modifié à l'aide de la commande CLI / Serverd CONFIG.AUTH.RADIUS.

Plus d'information sur la commande CLI / Serverd CONFIG.AUTH.RADIUS.

Authentification TOTP et accès SSH au firewall

Référence support 84947

L'authentification TOTP n'était pas appliquée pour une connexion console via SSH à destination du firewall lorsque la règle d'authentification TOTP précisait une source d’authentification différente de l'objet any.

Services Web personnalisés

L'icône indiquant l'utilisation d'un service Web personnalisé dans la configuration du firewall n'apparaît plus à tort en vert lorsque le service appartient à un groupe mais n'est pas utilisé.

Routage statique

Références support 85213 - 85027 - 85218

Une anomalie dans le mécanisme de rechargement de la politique IPsec a été corrigée afin d'éviter un possible échec du chargement des routes statiques.

Routage multicast dynamique

Des optimisations ont été apportées au mécanisme d'élection dynamique de Rendez-vous Point (RP) dans le cas d'une architecture où plusieurs firewalls sont candidats à l'élection de RP avec des plages multicast qui se chevauchent.

Haute disponibilité (HA) - SNMPv3

Référence support 81702

Les paramètres SNMPv3 EngineBoots et EngineTime sont désormais automatiquement synchronisés dès la création d'un cluster et à chaque bascule de rôle au sein de ce cluster. Ceci afin de ne plus provoquer d'erreurs sur certains outils de supervision SNMP.

Base objets - Import

Référence support 83327

Suite à l'import d'une base au travers d'un fichier CSV, les objets importés n'apparaissaient pas immédiatement dans la base locale du firewall même après avoir rafraîchi l'écran. Une action de déconnexion / reconnexion à l'interface Web d'administration était nécessaire pour faire apparaître ces objets. Cette anomalie a été corrigée.

Filtrage et NAT

L'utilisation de l'opérateur mathématique de comparaison "différent de" (icône ou "!=") au sein d'une règle de filtrage aboutissait à une génération de plages d'adresses IP erronées pour cette règle.

Route par défaut - DHCP - IPv6

Référence support 85124

Dans une configuration telle que :

  • La passerelle par défaut du firewall est apprise via DHCP,
  • IPv6 est activé sur le firewall.

Toute modification (nom, protégée ou non ...) apportée à une interface ayant un adressage en DHCP n'entraîne plus la suppression de la route par défaut du firewall.

SD-WAN

Références support 84839 - 85165

Le firewall ne génère plus à tort une entrée de log de type "Hôte distant joignable" pour chaque route statique, lors du rechargement de sa configuration réseau, si aucun changement n'est intervenu.

Portail captif d'authentification et VPN SSL

Références support 84801

La configuration du portail captif sur le port d'écoute réservé et utilisé par le VPN SSL (port sslvpn) déclenche désormais une erreur indiquant que ce port est réservé.

Moteur de prévention d'intrusion

Protocole OPC UA

Un contrôle réalisé sur le jeton d'authentification de la commande OPC UA CreateSessionRequest a été supprimé. Ce contrôle pouvait bloquer à tort du trafic OPC UA légitime.

Protocole DCERPC

Des UUID appartenant à la classe "[MS-WMI]: Windows Management Instrumentation Remote Protocol" ont été ajoutées dans la liste des UUID connues du moteur d'analyse protocolaire DCERPC afin de ne plus déclencher à tort l'alarme bloquante "UUID DCERPC inconnue" (alarme nb-cifs:310).

Ces UUID sont les suivantes :

  • '027947E1-D731-11CE-A357-000000000001':'IEnumWbemClassObject',
  • '9556DC99-828C-11CF-A37E-00AA003240C7':'IWbemServices',
  • 'F309AD18-D86A-11D0-A075-00C04FB68820':'IWbemLevel1Login'.

Analyse des options TCP

Référence support 83234

Le déclenchement de l'alarme "Option TCP au mauvais moment" (tcpudp:58), lorsque celle-ci est positionnée sur l'action passer, n'interrompt plus à tort l'analyse des options suivantes du paquet TCP et ne provoque plus la levée de l'alarme "Mauvais numéro de séquence TCP" (tcpudp:16).

Protocole LDAP

Référence support 83800

L'alarme "Attaque possible des ressources" (alarme ip:91) n'est plus déclenchée à tort lors du téléchargement d'une CRL de taille supérieur à 128 Ko via une requête LDAP.

Protocole TLS v1.3

Références support 84244 - 84761 - 84780- 84783 - 84784 - 84785 - 84786 - 84787 - 84788 - 84789 - 84791 - 84796 - 84799 - 84805 - 84806 - 84845

Un problème a été résolu dans le moteur d'analyse du protocole TLS v1.3. Cette régression, qui pouvait entraîner un blocage du firewall, était apparue en version SNS 4.5.3.

Filtrage - Services Web

Référence support 84721

L'utilisation dans deux règles de filtrage distinctes de deux services Web dont le nom différait uniquement par leur dernier caractère entraînait à tort la détection d'un chevauchement de ces règles de filtrage par le vérificateur de cohérence. Cette anomalie a été corrigée.

Haute disponibilité - Associations SCTP et connexions TCP/UDP

Référence support 84792

Dans une configuration en haute disponibilité, suite à une double bascule (Actif / Passif / Actif), les dates d'établissement des associations SCTP et des connexions TCP/UDP ne sont plus erronées.

Haute disponibilité - Protocole SCTP

Quand les propriétés des machines source ou destination participant à une association SCTP ne sont pas disponibles lors de la synchronisation de cette association entre les membres du cluster, l'association SCTP concernée n'est plus supprimée mais une tentative de synchronisation de cette association est replanifiée.

Réseau

Module 8 ports RJ45

Références support 82270 - 85269

Lorsque des blocages inopinés du module réseau 8 ports RJ45 sont détectés, un redémarrage automatique du firewall est déclenché pour permettre la reconnexion de ce module au réseau.

Interface Web d'administration

Administrateurs avec droits d'accès limités

Des contrôles ont été ajoutés afin qu'un administrateur authentifié avec des droits limités ne puisse pas afficher des modules normalement non autorisés en saisissant directement une URL contenant le nom du module concerné.

Télémétrie

Un administrateur autre que le super administrateur (compte admin) ne peut plus activer ou désactiver la télémétrie.

Configuration du firewall via SSH

Dans le module Système > Configuration > onglet Administration du firewall, les champs liés à l'Accès distant par SSH (nécessite le compte admin) sont désormais tous grisés pour un administrateur connecté différent du super-administrateur (compte admin).

Politique d'authentification

Il n'était plus possible de réaliser un glisser / déplacer simultané de plusieurs règles dans la grille de la politique d'authentification. Cette régression, apparue en version SNS 4.1, a été corrigée.

Un double clic sur l'une des colonnes Source ou Méthodes (évaluées par ordre) d'une règle d'authentification pour laquelle la méthode était positionnée sur "Interdire" ne remplace plus à tort cette valeur "Interdire" par "Méthode par défaut".

Relai DHCP - Navigateur Google Chrome

Référence support 84593

Dans le module de configuration d'un relai DHCP (module DHCP > Relai DHCP), la modification de l'Adresse IP utilisée pour relayer les requêtes DHCP par un administrateur connecté à l'interface Web d'administration du firewall au travers du navigateur Google Chrome est désormais bien prise en compte et n'est plus réinitialisée à la valeur "automatique" en changeant de module.

Préférences - Affichage des logs

Référence support 84956

Les valeurs choisies pour les champs Nombre de lignes affichées par page et Nombre de caractère minimum pour lancer la recherche du module des Préférences sont désormais correctement interprétées et n'empêchent plus l'affichage des logs. Cette régression était apparue en version SNS 4.4.

Objets

Références support 84588 - 84719

Il n'est plus possible de forcer la suppression d'un objet utilisé dans la configuration du firewall, ceci afin de ne plus créer d'incohérences de configuration.

Antivirus

Référence support 85330

Si vous appliquez sur le firewall une licence comportant uniquement le moteur antiviral ClamAV, le module Antivirus s'affiche désormais correctement et le message "Aucun accès" n'apparaît plus.