Correctifs de SNS 4.7.9

Système

Encapsulation GRE / GRETAP dans un tunnel IPsec

Référence support 85626

L'encapsulation de paquets GRE / GRETAP dans un tunnel IPsec est de nouveau fonctionnelle. Cette régression était apparue en version SNS 4.7.3.

Configuration

Référence support 85434

Il n'est plus possible de définir plus d'adresses IP sur une interface que la limite définie sur le firewall ne l'autorise. Notez que les adresses IP excédentaires n'étaient pas activées mais aucun message d'erreur n'était affiché lors de la validation de la configuration. Cette anomalie a été corrigée.

La mise à jour d'un firewall dont le disque présentait des défauts ne supprime plus le répertoire des fichiers de configuration. Ceci rendait le firewall injoignable.

SD-WAN

Les calculs de priorité ont été revus afin d'éviter des problèmes de bascules de passerelles trop fréquentes : il n'existe plus d'échelle d'état entre passerelles dégradées. Le mécanisme de sélection des passerelles suit désormais les règles suivantes :

  • Passerelles actives prioritaires sur les passerelles dégradées,
  • Passerelles principales prioritaires sur les passerelles de secours.

Rapport système (sysinfo)

Référence support 85593

Les informations concernant la présence d'un mode verbose activé sont désormais correctement remontées dans le rapport système.

Réputation IP - Périphériques de stockage

Références support 84495 - 84933 - 85038 - 85081 - 85213

Le mécanisme d'ouverture du fichier de métadonnées des réputations IP a été modifié afin de limiter le nombre d'accès au périphérique de stockage. Ces accès disque trop nombreux pouvaient, dans certains cas, entraîner un redémarrage inopiné du firewall.

Réputation des machines

Référence support 85635

Un problème de droits d'accès qui empêchait le bon fonctionnement du moteur de gestion des réputations de machines a été résolu. Cette régression était apparue en version SNS 4.7.

Interfaces Intel utilisant le module de noyau igc

Référence support 85486

La configuration d'un VLAN sur une interface utilisant le module de noyau Igc et incluse dans un bridge avec l'option Préserver le routage initial / Préserver les identifiants de VLAN activée ne provoque plus à tort le rejet des paquets issus d'autres VLAN traversants.

Ceci concerne les modèles de firewalls et les firewalls équipés des modules réseau suivants :

  • Firewalls : SN-S-Series-220, SN-S-Series-320, SN-M-Series-520, SN-M-Series-720 et SN-M-Series-920.
  • Modules : NA-EX-CARD-8x2_5G-C (8 x 2.5 Gb Ethernet Cuivre) et NC-1-8x2_5G-C (8 x 2.5 Gb Ethernet Cuivre).

Télémétrie

Un problème de fuite mémoire a été corrigé dans le moteur de gestion de la télémétrie.

Un problème d'accès concurrentiel pouvant entraîner un arrêt inopiné du moteur de gestion de la télémétrie a été corrigé.

Authentification - Agent TS

Référence support 85401

L'authentification via la méthode Agent TS échouait logiquement pour un utilisateur dont l'identifiant contenait un espace (caractère interdit) mais aucun message d'erreur n'était affiché pour le signaler. Une alarme est désormais levée dans ce cas. La liste des caractères interdits est également fournie en complément d'information de l'alarme.

Firewalls modèles SN160(W) / SN210(W) / SN310

Références support 84495 - 84933 - 85038 - 85081 - 85213

Des modifications ont été apportées au mécanisme de calcul des indicateurs Sécurité et Système afin de réduire le nombre d'accès disques. Ceci pouvait entraîner des redémarrages inopinés des firewalls modèles SN160(W) / SN210(W) / SN310.

Syslog - TLS 1.3

Référence support 85579

L'envoi de logs via Syslog en utilisant le protocole TLS 1.3 n'échoue plus lorsque le certificat utilisé pour l'authentification a été signé par une sous-CA.

VPN IPsec - Authentification par certificat

Référence support 85607

Une mise à jour du moteur de gestion des tunnels IPsec avait entraîné une mauvaise interprétation par le firewall du SerialNumber comme étant le Surname, ce qui empêchait l'établissement des tunnels IPsec. Ce comportement a été corrigé.

VPN IPsec mode DR - Encapsulation UDP et NAT dynamique

Référence support 85629

Un tunnel configuré en mode DR, avec l'encapsulation UDP activée, et pour lequel l'un des deux correspondants a le port source de son trafic translaté (NAT dynamique) s'établit désormais correctement : le firewall distant détecte bien la nécessité d’encapsuler le trafic dans UDP.

Sauvegardes automatiques - Serveur personnalisé

Sur un firewall utilisant les sauvegardes automatiques de configuration vers un serveur personnalisé authentifié à l'aide d'un certificat, un clic sur le bouton Vérifier l'utilisation du module Objets > Certificats et PKI en ayant sélectionné ce certificat indique désormais correctement que ce certificat est utilisé dans la configuration du firewall. De même, il n'est plus possible de supprimer ce certificat sans déclencher d'erreur.

Qualité de service (QoS)

Référence support 85590

Un problème pouvant entraîner un blocage du firewall lors de la suppression d'une file d'attente de QoS a été résolu.

Firewalls virtuels EVA déployés sur l'hyperviseur Linux KVM

Référence support 85635

Sur un firewall virtuel EVA déployé sur l'hyperviseur Linux KVM, l'état d'une interface débranchée dans la configuration de l'hyperviseur est désormais correctement pris en compte par le firewall. Ce problème faussait le résultat du calcul du facteur de qualité de la haute disponibilité (HA).

Référence support 85722

L'extinction brutale d'une machine virtuelle en cours de configuration sur un hyperviseur KVM ne provoque plus de corruption de certains de ses fichiers de configuration.

Filtrage et NAT - Services Web

Référence support 85539

L'utilisation dans une règle de filtrage d'un service web personnalisé dont le nom comporte exactement 20 caractères rend cette règle de filtrage inopérante.

Cette situation entraîne l'affichage d'un message d'avertissement dans le widget Messages du Tableau de bord. Ce message précise la politique de filtrage et le numéro de règle concernés.

Pour corriger la situation, vous devez :

  1. Mettre en conformité (moins de 20 caractères) le nom du service Web dans le fichier d'import CSV initialement utilisé,
  2. Réimporter ce fichier dans le module Objets > Services Web > onglet Import de services personnalisés,
  3. Modifier la règle de filtrage pour utiliser le nouveau nom du service Web.

Réseau

Routage dynamique BIRD

Référence support 85322

Des problèmes lors de l'ajout d'une route par défaut sur une interface protégée ou lors du passage d'une interface de publique à protégée avec une route par défaut ajoutée par BIRD ont été corrigés.

Ces problèmes ajoutaient par erreur le réseau 0.0.0.0/0 ou 0.0.0.0/32 dans la table des adresses protégées, ce qui déclenchait à tort l'alarme concernant une tentative d'IP spoofing et pouvait amener à perdre du trafic légitime.

Interface Web d'administration

Portail captif

Référence support 84750

L'interface sslvpn_udp est désormais sélectionnable dans les profils du portail captif. Cette absence empêchait l'accès au portail captif pour les utilisateurs se présentant depuis cette interface.