Nouvelles fonctionnalités et améliorations de SNS 4.8.1 EA

Accès réseau Zero Trust (ZTNA) - Contrôle de conformité des postes clients

Afin de mettre en œuvre un accès réseau Zero Trust (ZTNA), vous pouvez désormais configurer une politique de vérification de la conformité des postes clients établissant un tunnel VPN SSL avec le firewall SNS. Lorsqu'elle est activée, un poste client ou un utilisateur non conforme aux critères de la politique ne peut pas établir de tunnel VPN SSL avec le firewall SNS.

Seul le client VPN SSL Stormshield en version 4.0 ou supérieure est compatible avec la fonctionnalité de contrôle de conformité des postes clients. Chaque poste de l'entreprise doit donc utiliser le client VPN SSL Stormshield en version 4.0 ou supérieure lorsque cette fonctionnalité est activée.

Toutefois, une option vous permet d'autoriser les clients VPN SSL non compatibles à établir des tunnels VPN SSL. Cette option doit être utilisée de manière temporaire, par exemple pour mettre à jour progressivement un parc de clients VPN SSL vers une version compatible.

Pour plus d'informations sur la mise en œuvre d'un accès réseau Zero Trust (ZTNA) et la fonctionnalité de contrôle de conformité des postes clients, reportez-vous à la note technique Configurer et utiliser le VPN SSL des firewalls SNS.

Authentification multifacteur en IKEv2 par le biais d'EAP

La version SNS 4.8 introduit le support de l'authentification multifacteur pour les tunnels nomades basés sur IKEv2 par le biais d'EAP (Extensible Authentication Protocol).

Cette authentification multifacteur peut être réalisée grâce aux méthodes suivantes :

  • EAP-Generic Token Card : le correspondant mobile doit présenter un couple identifiant / mot de passe,
  • Certificat et EAP-Generic Token Card : le correspondant mobile doit présenter un certificat et un couple identifiant / mot de passe,
  • Pour une sécurité accrue, il est possible d’utiliser avec les méthodes EAP ci-dessus des codes à usage unique (TOTP) grâce à la solution TOTP Stormshield.

À noter que :

  • Les méthodes EAP ne sont pas compatibles avec le mode Diffusion Restreinte (DR) et les tunnels basés sur IKEv1 qui doivent utiliser Xauth pour l'authentification multifacteur,
  • Il est nécessaire d'utiliser le client VPN Exclusive Stormshield en version 7.4 ou supérieure pour établir des tunnels nomades basés sur IKEv2 par le biais d'EAP.

Pour plus d'informations, reportez-vous à la note technique VPN IPSec Mobile IKEv2 - Authentification EAP avec Certificat.

Protection contre les attaques post-quantiques

La version SNS 4.8 introduit la possibilité de définir des clés pré-partagées post-quantiques (PPK) pour les correspondants utilisant le protocole IKEv2 avec authentification par certificats.

La puissance de calcul d'un ordinateur quantique pourra très probablement à l'avenir lui permettre de déchiffrer des clés négociées via les méthodes Diffie-Hellman (DH) et Elliptic Curve Diffie-Hellman (ECDH), et mettre en danger la sécurité du protocole IKEv2.

Un utilisateur malveillant pourrait dès à présent réaliser une attaque de type "stocker maintenant, déchiffrer plus tard" : intercepter des communications IPsec et les stocker afin de les déchiffrer ultérieurement à l'aide d'un ordinateur quantique.

Pour les clients qui souhaitent dès à présent se protéger de telles attaques, la version SNS 4.8 suit les recommandations de la RFC 8784 et permet donc d'utiliser des PPK destinées à protéger les échanges des clés de chiffrement des données. À noter que pour être efficaces, ces PPK doivent respecter une entropie suffisamment élevée (256 bits minimum selon la RFC).

Pour plus d'informations sur l'utilisation des PPK pour le protocole IKEv2, consultez la RFC 8784.

Pour plus d'informations sur la configuration des PPK, reportez-vous aux sections VPN IPsec Correspondants et Identification du manuel utilisateur SNS.

Routage multicast dynamique

Le panneau de configuration du routage multicast a été simplifié et un panneau de supervision a été ajouté.

La fonctionnalité de routage multicast dynamique n'est désormais plus en accès anticipé.

Plus d'informations sur le routage multicast dynamique.

Routage Dynamique BIRD

Ajout de la version 2 et version 1 obsolète

La version 2 du moteur de routage dynamique BIRD est désormais disponible. Dans le panneau de configuration du Routage dynamique, vous pouvez :

  • Activer une version de BIRD en particulier dans un nouvel onglet Général,
  • Préparer une migration vers la nouvelle version du moteur dans l'onglet BIRD v2 avant de l'activer. Pendant l'édition de la configuration de BIRD v2, vous pouvez afficher la configuration de BIRD v1 dans un panneau sur la droite.

La version 1 du moteur de routage dynamique BIRD est à présent considérée comme obsolète et un message dans le widget Messages vous en informe.

Pour plus d'informations, reportez-vous à la note technique Routage Dynamique BIRD v2.

Cas d'un parc de firewalls SNS géré par un serveur SMC

Dans le cas où votre parc de firewalls SNS est géré par un serveur SMC, il n'est pas possible de gérer le routage dynamique de vos firewalls en versions 4.8.1 EA et supérieures depuis une version de SMC inférieure à la 3.6. Le déploiement de la configuration par le serveur SMC est alors refusée par le firewall SNS et celui-ci remonte une erreur.

Pour plus d'informations sur les versions SMC, reportez-vous à la section Nouvelles fonctionnalités et améliorations de SMC 3.6 des Notes de version SMC.

Nouveau module matériel 4 bypass (NA-EX-CARD-BP-8xG-C)

La version SNS 4.8 introduit le support du module matériel NA-EX-CARD-BP-8xG-C permettant de disposer de 1 à 4 bypass pour les modèles de firewalls suivants :

  • SN-M-Series-520,

  • SN-M-Series-720,

  • SN-M-Series-920,

  • SN1100 (uniquement dans l'emplacement d'extension de gauche).

Plus d'informations sur le fonctionnement et l'activation des bypass.

Support de nouveaux modèles de firewalls

La version SNS 4.8 introduit le support des modèles de firewalls suivants :

  • SN-L-Series-2200 et SN-L-Series-3200,
  • SN-XL-Series-5200 et SN-XL-Series-6200.

Protection contre les attaques par déni de service (DoS et DDoS)

La protection contre les attaques DoS et DDoS a été renforcée. Ces améliorations concernent les protocoles de transport UDP et TCP et vous pouvez paramétrer de nouveaux seuils de détection dans les profils d'inspection.

Plus d'informations sur la configuration des protections contre les dénis de service des protocoles TCP-UDP.

Sécurité renforcée

Durcissement du système

Le durcissement du système en version SNS 4.8 renforce la sécurité du produit.

Clés NTP - Ajout du choix de l'algorithme

Vous pouvez maintenant sélectionner les algorithmes SHA1, SHA256, SHA384, SHA512 et AES-CBC-128 dans la configuration de la liste des clés NTP.

Plus d'informations sur les paramètres de date et d'heure.

Analyse des mécanismes d'extension pour le DNS (EDNS)

Le moteur de prévention d’intrusion intègre désormais l’analyse des mécanismes d'extension pour le DNS (EDNS) décrite dans la RFC 6891.

Nouvelles restrictions pour les certificats utilisés lors des connexions TLS

Vous ne pouvez plus utiliser les certificats suivants lors des connexions TLS sur le firewall SNS :

  • Certificats contenant la contrainte "CA:TRUE" (doit être "CA:FALSE"),
  • Certificats contenant l'XKU "OCSP Server".

Agent SNMPv3 - Algorithmes obsolètes

L'algorithme d'authentification MD5 et les algorithmes de chiffrement DES et SHA1 utilisés par l'Agent SNMPv3 sont obsolètes et seront supprimés dans une prochaine version de firmware SNS. Une mention indiquant que ces algorithmes sont obsolètes s'affiche désormais dans le panneau de configuration de l'Agent SNMPv3.

Dorénavant, vous pouvez modifier les algorithmes utilisés par l'Agent SNMPv3 avec les commandes CLI / Serverd suivantes :

CONFIG SNMP ACCESS USERV3 username=<username> authtype=SHA256 authpass=<passphrase> privtype=AES privpass=<passphrase>

CONFIG SNMP ACTIVATE

Après une mise à jour en version SNS 4.8, l'algorithme de chiffrement DES est sélectionné par défaut si aucun algorithme n'était auparavant sélectionné. À noter que le chiffrement du mot de passe reste désactivé tant qu'aucun mot de passe n'est renseigné dans le champ associé à l'algorithme de chiffrement.

Annuaire LDAP interne - Algorithmes obsolètes

Les algorithmes de hachage des mots de passe MD5, SMD5, SHA, SSHA, SHA256, SHA384 et SHA512 utilisés par l'annuaire LDAP interne sont obsolètes et seront supprimés dans une prochaine version de firmware SNS. Une mention indiquant que ces algorithmes sont obsolètes s'affiche désormais dans le panneau de configuration avancée de l'annuaire LDAP interne.

VPN SSL Portail - Fonctionnalité obsolète

La fonctionnalité VPN SSL Portail est obsolète et sera supprimée dans une prochaine version de firmware SNS. Un message indiquant que cette fonctionnalité est obsolète s'affiche désormais dans le panneau de configuration du VPN SSL Portail.

Suppression de l'analyse du protocole OSCAR

Considéré comme obsolète depuis la version SNS 4.6.9, l'analyse du protocole OSCAR a été supprimée du firewall SNS. À noter que l'analyse de ce protocole était automatiquement désactivée lors de la mise à jour du firewall en version SNS 4.7.2 EA.

Taille des clés RSA

La taille des clés RSA générées sur le firewall SNS est à présent de 4096 bits par défaut.

Intégration dans divers environnements

Agrégat de liens - Support du mode broadcast

La version SNS 4.8 introduit la possibilité de configurer un agrégat en mode broadcast directement depuis l'interface d'administration du firewall dans l'onglet Configuration avancée d'un agrégat. Introduite en version SNS 4.7.5, cette configuration ne pouvait être réalisée qu'en modifiant un fichier de configuration du firewall.

Plus d'informations sur la configuration d'un agrégat.

Groupes Diffie-Hellman (DH) multiples

Vous pouvez désormais préciser plusieurs groupes DH dans un même profil de chiffrement IKE et IPsec afin de faciliter la migration des correspondants vers un seul et même groupe.

Plus d'informations sur les profils de chiffrement.

Proxies HTTP et SSL - Support du protocole WebSocket

La version SNS 4.8 introduit le support du protocole WebSocket par les proxies HTTP et SSL. À noter que dans les profils IPS des connexions entrantes (comme IPS_00), l'alarme http:301 bloque par défaut (action Interdire) le support du protocole WebSocket.

IPsec DR - OCSP

Dans un contexte IPsec DR, et conformément à la RFC 4806, un correspondant peut désormais valider le certificat de la passerelle distante présenté lors de l'établissement d'un tunnel IKEv2 sans exposer le serveur OCSP.

Cette configuration est possible uniquement avec le jeu de commandes CLI / Serverd :

CONFIG IPSEC OCSP

Plus d'informations sur les commandes CONFIG IPSEC OCSP.

Authentification asynchrone

Le mécanisme d'authentification du firewall SNS peut désormais gérer les authentifications des utilisateurs de manière asynchrone, ce qui permet d'améliorer l'intégration des solutions tierces d'authentification multifacteur.

SD-WAN

La gestion des routes de la fonctionnalité SD-WAN a été améliorée.

OpenVPN - Adresse source des requêtes TCP

Vous pouvez désormais préciser l'adresse IP source des requêtes TCP envoyées par le moteur OpenVPN. Ce paramètre est uniquement modifiable à l'aide des commandes CLI / Serverd suivantes :

CONFIG OPENVPN UPDATE BindAddr=(<firewall_ip_object>|"")
CONFIG OPENVPN ACTIVATE

Dans le cas où OpenVPN est le seul moteur du firewall SNS à écouter sur le port TCP, un gain de performance est alors observé.

Plus d'informations sur les commandes CONFIG OPENVPN.

Envoi de données vers les serveurs sekoia.io

Si vous disposez d'un abonnement pour envoyer vos données vers les serveurs sekoia.io, vous pouvez désormais configurer la clé d'authentification que vous a fournie Sekoia (Intake Key) dans la configuration des profils Syslog.

Plus d'informations sur la configuration des profils Syslog.

Flux TLS 1.3 - Analyse des certificats serveur

Vous pouvez désormais préciser l'adresse IP source des requêtes envoyées par le moteur de prévention d'intrusion lorsqu'il tente de récupérer le certificat serveur pour chaque flux TLS 1.3 traversant le firewall. Cela permet d'analyser les éventuelles failles de sécurité liées à ce certificat.

Vous pouvez effectuer cette configuration grace à la commande CLI / Serverd suivante :

CONFIG PROTOCOL SSL PROFILE IPS CONFIG index=<slot> TLSServerCertBindAddr=<host>

Plus d'informations sur la commande CONFIG PROTOCOL SSL PROFILE IPS CONFIG.

Évolution des performances

TLS 1.3 - Ajout d'un cache lors de l'échec de récupération des certificats

Désormais, lorsqu'une requête ne parvient pas à récupérer un certificat, les requêtes suivantes reçoivent une réponse instantanée grâce à un cache. Ce cache est activé par défaut et est d'une durée de 6 heures.

Vous pouvez personnaliser la durée du cache (en secondes) à l'aide de la commande CLI / Serverd :

CONFIG PROTOCOL SSL COMMON IPS CONFIG TLSCertCacheErrorTTL=<60..259200>

Plus d'informations sur la commande CONFIG PROTOCOL SSL COMMON IPS CONFIG.

Vous pouvez désactiver ce cache en positionnant la valeur du jeton de configuration TLSServerCertCacheError sur 0 dans le fichier ConfigFiles/Protocols/ssl/ de la politique utilisée.

Amélioration de l'expérience utilisateur

Configuration initiale par clé USB - Nouvelles opérations

Vous pouvez désormais importer un certificat et sa CRL pendant la configuration initiale par clé USB d'un firewall SNS grâce aux opérations certimport et crlimport.

Pour plus d'informations sur ces opérations, reportez-vous aux sections Opération certimport et Opération crlimport de la note technique Configuration initiale par clé USB.

Mode furtif

Lorsque le mode furtif est désactivé, un lien renvoyant vers les paramètres du protocole IP s'affiche désormais dans l'avertissement du widget Messages du tableau de bord.

Plus d'informations sur le Mode furtif du protocole IP.

Module Objets URL

Le panneau de configuration des objets URL a été amélioré. La configuration des Groupes de catégories s'effectue désormais dans l'onglet Noms de certificat (CN).

Plus d'informations sur la configuration des objets URL.

Désactivation du bouton de remise en configuration d'usine (defaultconfig)

Référence support 84328

Vous pouvez désormais désactiver le bouton de remise en configuration d'usine du firewall. Cela évite de réinitialiser la configuration du firewall par accident.

Cette désactivation ne peut être réalisée qu'à l'aide de la commande CLI / SSH suivante :

setconf /usr/Firewall/ConfigFiles/system DefaultConfig EnableButton 0 && nhup hardwared

Amélioration de la visibilité de certaines informations

Messages d'alarme relatifs à la haute disponibilité ou à une défaillance matérielle

Les messages d'alarme relatifs à la haute disponibilité ou à une défaillance matérielle affichent désormais :

  • Le numéro de série du firewall SNS,
  • Le nom du nœud système, s'il a été défini.

MIB STORMSHIELD-PROPERTY-MIB - Ajout de l'OID snsSystemNodeName

L'OID snsSystemNodeName a été ajouté à la MIB STORMSHIELD-PROPERTY-MIB. Il retourne comme valeur le nom du nœud système.

Alarmes de restauration de la configuration

Une alarme système est déclenchée sur le tableau de bord quand une restauration de la configuration est réalisée par une commande CLI / Serverd ou via une clé USB. Cette alarme indique :

  • S'il s'agit d'une restauration partielle ou complète,

  • Le résultat du hachage du contenu du fichier (méthode SHA2),

  • Dans le cas d'une commande CLI / Serverd, l'utilisateur qui l'a exécutée.

Commande sfctl - Utilisation du nom d'un objet dans les filtres

Pour faciliter les diagnostics, vous pouvez désormais utiliser un nom d'objet dans les filtres lors de l'utilisation de la commande sfctl avec les paramètres -H type=modifier.

Plus d'informations sur la commande sfctl.

Ajout de filtres pour les commandes MONITOR GETSA, GETSPD et GETIKESA

Vous pouvez désormais utiliser des filtres dans les commandes CLI / Serverd de supervision VPN IPsec suivantes :

MONITOR GETSA Global=<0|1> List=<full|light>
MONITOR GETIKESA Global=<0|1> List=<full|light>
MONITOR GETSPD Global=<0|1> List=<full|light>

Pour plus d'informations sur ces commandes, reportez-vous aux sections MONITOR GETSA, MONITOR GETIKESA et MONITOR GETSPD du guide de référence des commandes CLI / Serverd (anglais uniquement).

Mécanisme de surveillance de l'activité matérielle du firewall (watchdog)

La gestion du mécanisme de surveillance de l'activité matérielle du firewall (watchdog) a été améliorée. Désormais, les compteurs réels de surveillance sont affichés dans une infobulle et la gestion du mécanisme de surveillance est disponible dans l'interface d'administration des firewalls virtuels.

Agent SNMP

La valeur attribuée au champ sysname présenté par l'agent SNMP respecte l'ordre suivant :

  1. La valeur éventuellement précisée dans le champ Nom de la Configuration des informations MIB-II (module Notifications > Agent SNMP),
  2. Sinon, la valeur éventuellement précisée dans le champ Nom du firewall (module Système > Configuration > onglet Configuration Générale),
  3. Sinon, le numéro de série du firewall.

Télémétrie

État du service de télémétrie

L'état du service de télémétrie s'affiche désormais dans le tableau de bord.

Nouvelles données remontées par le service de télémétrie

Le service de télémétrie de la version SNS 4.8 remonte de nouvelles données :

  • Données concernant l'utilisation du module VPN IPsec :
    • Nombre de tunnels site à site ou mobile configurés et activés dans la politique IPsec active,
    • Nombre de tunnels configurés en IKEv1 ou IKEv2 dans la politique IPsec active,
    • Nombre d'utilisations de chaque méthode d'authentification pour les tunnels configurés dans la politique IPsec active,
    • Nombre maximal de tunnels site à site ou mobile connectés,
  • Données concernant le cache TLS 1.3 :

    • Nombre total d'entrées dans le cache TLS 1.3,

    • Nombre total de purges du cache en cas de saturation,

    • Nombre de requêtes de certificats en échec.

En transmettant ces données parfaitement anonymes, vous aidez Stormshield à affiner les tailles et limites des futures plate-formes matérielles et versions SNS.

Plus d'informations sur le service de télémétrie.