Correctifs de SNS 4.8.1 EA

Système

VPN IPsec

Un mécanisme de vérification et de limitation du nombre de demandes d'établissement de tunnels IPsec a été ajouté afin de ne pas saturer la file d'attente.

VPN SSL

Référence support 84391

L'option destinée à empêcher un utilisateur de monter plus d'un tunnel SSL (option activable via la commande CLI / Serverd CONFIG OPENVPN UPDATE ForceOneTunnelPerUser=1) ne fonctionnait pas lorsque le nom d'utilisateur présenté incluait son nom de domaine (exemple : john.doe@acme.com). Cette anomalie a été corrigée.

Plus d'informations sur la commande CONFIG OPENVPN UPDATE.

Politique d’authentification

Références support 79493 - 84414 - 84713

L'action Bloquer a été supprimée du choix de valeurs possibles pour la méthode d'authentification par défaut :

  • Le choix de cette valeur bloquait à tort l'authentification des utilisateurs du VPN SSL lorsque l'objet source Internet était sélectionné dans la règle d'authentification du VPN SSL,
  • Le choix de cette valeur associé à une règle d'authentification précisant d'utiliser la méthode d'authentification par défaut ne bloquait pas les flux d'authentification correspondants,
  • Le choix de cette valeur sans aucune règle d’authentification spécifique précisée dans la politique d'authentification autorisait à tort l'authentification sur le firewall via SSH.

Tableau de bord - Indicateurs de santé

Référence support 85392

L'indicateur de santé des certificats présent sur le module Tableau de bord ne remonte plus à tort d'alerte lorsqu'une CA possède une durée de vie supérieure à 68 ans. Ce comportement persiste sur les firewalls modèles SN160(W), SN210(W) et SN310.

Haute disponibilité

Référence support 84512

Sur une configuration en haute disponibilité, lorsque vous consultez les modules de l’interface Web d’administration sans réaliser de modifications, l’icône indiquant la nécessité d'une synchronisation de configuration entre les membres du cluster ne s'affiche plus à tort.

Firewalls SN-S-Series-220/320 et SN-M-Series-520 - Démarrage sur Modem / Clé USB 4G

Lorsque sa configuration réseau ne fait aucune référence à un Modem / clé USB 4G, le démarrage d'un firewall modèle SN-S-Series-220/320 ou SN-M-Series-520 avec un modem / clé USB 4G connecté sur l'un de ses ports USB ne s'interrompt plus lors du choix de la partition de démarrage.

Supervision SD-WAN

Référence support 84874

La supervision d'un objet routeur utilisé dans une route statique est désormais fonctionnelle.

Services Web

Références support 84662 - 84444

L'import de services Web personnalisés depuis un fichier CSV n'autorise plus la présence de guillemets encadrant un commentaire dans le fichier source.

DNS Dynamique

Références support 84480 - 85395

Désormais, la réalisation de la séquence d'actions suivante active correctement le service DNS Dynamique du firewall :

  1. Configurer un profil de DNS Dynamique.
  2. Appliquer les modifications.
  3. Activer ce profil.
  4. Appliquer les modifications.

Exécution simultanée d'une commande d'arrêt / redémarrage d'un firewall et d'une sauvegarde système sur la partition de secours

L'exécution simultanée d'une commande d'arrêt (HALT) / redémarrage (REBOOT) du firewall et d'une sauvegarde du système sur la partition de secours (dumproot) pouvait aboutir à un échec de cette dernière voire à une corruption de la partition de secours.

Des optimisations ont été apportées afin d'éviter cette situation. Désormais :

  • Lorsqu'un dumproot est en cours, le mécanisme d'arrêt / redémarrage du firewall est mis en attente active et démarre une fois le dumproot terminé,
  • Lorsqu'une commande d'arrêt / redémarrage du firewall a été lancée, le dumproot ne se lance pas et génère un événement système.

Firewalls virtuels - Interdire le retour à une version antérieure de firmware

Sur les firewalls virtuels, le jeton de configuration permettant d'interdire tout retour à une version antérieure de firmware est désormais correctement pris en compte.

Ce comportement peut être exclusivement géré via la commande CLI / Serverd :

SYSTEM UPDATE DOWNGRADE state=<on|off>

Plus d'informations sur la commande SYSTEM UPDATE DOWNGRADE.

Commandes CLI / Serverd - CONFIG LDAP UPDATE HELP

Référence support 85301

La commande CLI / Serverd CONFIG LDAP UPDATE HELP ne fait plus référence à tort au paramètre realbindaddr au lieu de bindaddr.

Plus d'informations sur la commande CONFIG LDAP UPDATE.

Logs

Référence support 84831

L'indisponibilité du moteur de gestion des logs n'entraîne plus à tort un blocage temporaire du moteur de prévention d'intrusion.

Vérification des CRL

Référence support 85402

Le mécanisme de vérification des CRL effectue de nouveau correctement des requêtes DNS lorsque 3 serveurs DNS ou plus sont renseignés sur le firewall. Notez que le téléchargement des CRL n'était cependant pas concerné par cette anomalie.

Traps SNMPv3 - securityName

Référence support 85435

La configuration d'un trap SNMPv3 pour l'événement securityName contenant des valeurs avec des espaces ne retourne plus l'erreur Serverd Error in format.

Collecteur IPFIX - Logs des connexions réseau

Référence support 85054

Les logs des connexions réseau n'étaient pas envoyés au collecteur IPFIX lorsqu'ils étaient issus d'une règle de la politique de filtrage possédant le niveau d'inspection Firewall. Ce problème a été corrigé.

Réseau

GRE / GRETAP

Références support 84395 - 76800

Un tunnel GRE / GRETAP basé sur une interface de sortie configurée en DHCP s'établit désormais correctement après le redémarrage du firewall ou lorsque cette interface source change d'adresse IP.

Routage dynamique BIRD version 1

Référence support 85322

Des problèmes lors de l'ajout d'une route par défaut sur une interface protégée ou lors du passage d'une interface de publique à protégée avec une route par défaut ajoutée par BIRD ont été corrigés.
Ces problèmes ajoutaient par erreur le réseau 0.0.0.0/0 ou 0.0.0.0/32 dans la table des adresses protégées, ce qui déclenchait à tort l'alarme concernant une tentative d'IP spoofing et pouvait amener à perdre du trafic légitime.

Firewalls virtuels EVA

Hyperviseur basé sur Qemu 8.1 ou supérieur

Référence support 76697

Le déploiement d'un EVA en version SNS 4.7 ou supérieure sur un hyperviseur basé sur Qemu 8.1 ou supérieur fonctionne désormais correctement.

Interface Web d'administration

Changement du mot de passe du super-administrateur (compte admin)

Référence support 85581

Lors de la modification du mot de passe du compte admin via l'interface Web d'administration, les guillemets sont de nouveau refusés. Une régression autorisant ces caractères était apparue en version SNS 4.7.1 EA.

LDAP externe - Affichage de la liste des utilisateurs

Référence support 85287

Lorsqu'un annuaire externe possédait plus de 1000 utilisateurs, la liste des utilisateurs ne s'affichait pas dans le module Utilisateurs du firewall SNS. Ce problème a été corrigé et les 500 premiers utilisateurs de l'annuaire s'affichent désormais par défaut dans la liste des utilisateurs.

Filtrage et NAT

Référence support 76697

La modification de l'adresse IP d'une interface est désormais correctement répercutée dans l'infobulle des propriétés de cet objet au sein du module Filtrage et NAT.

Supervision VPN IPsec

Référence support 85292

Après avoir réalisé les opérations suivantes :

  1. Créer et appliquer un filtre sur les colonnes du module de Supervision VPN IPsec.
  2. Quitter ce module puis y revenir.

Le filtre est indiqué comme étant actif et est désormais correctement appliqué.

Logs - Journaux d'audit

Référence support 85292

Dans le module Logs - Journaux d'audit > Tous les journaux, il est désormais possible d'ajouter le type de Logs comme critère de filtrage.

Dans les détails d'un log, le survol du drapeau d'un pays source ou destination affiche désormais correctement l'information "Nom du pays (Code du pays)".

Adresse IPv6 en DHCP

Référence support 85336

Lorsqu'une interface en IPv6 est configurée via DHCP, toutes les infobulles censées préciser cette adresse ne présentent plus à tort l'adresse IPv4 de l'interface.

Adresse IPv6 - Supervision des utilisateurs connectés via la méthode Agent TS

Lorsque l'IPv6 est désactivée sur le firewall SNS, la supervision des utilisateurs connectés via la méthode Agent TS ne présente plus à tort dans la colonne Adresse IP l'adresse IPv6 de la machine de l'utilisateur connue par le serveur Windows.

Passerelle dans un objet routeur

Référence support 85211

La modification du nom d'une passerelle membre d'un objet routeur est désormais correctement répercutée dans la liste des passerelles composant l'objet routeur.

Authentification - Radius

Référence support 85128

Dans la configuration de la méthode d'authentification Radius, l'icône présente au bout du champ Clé pré-partagée du serveur et de l'éventuel serveur de secours était en partie masquée. Cette anomalie a été corrigée.