Correctifs de SNS 4.8.3 EA

Système

Encapsulation GRE / GRETAP dans un tunnel IPsec

Référence support 85626

L'encapsulation de paquets GRE / GRETAP dans un tunnel IPsec est de nouveau fonctionnelle. Cette régression était apparue en version SNS 4.7.3.

Haute disponibilité et objets dynamiques

Référence support 81176

Lors d'une bascule au sein d'un cluster, la base d'objets dynamiques apparaît désormais immédiatement sur le nouveau firewall actif. Ceci pouvait nécessiter plusieurs minutes auparavant et bloquer le trafic réseau utilisant ces objets pendant ce laps de temps.

SD-WAN

Les calculs de priorité ont été revus afin d'éviter des problèmes de bascules de passerelles trop fréquentes : il n'existe plus d'échelle d'état entre passerelles dégradées. Le mécanisme de sélection des passerelles suit désormais les règles suivantes :

  • Passerelles actives prioritaires sur les passerelles dégradées,
  • Passerelles principales prioritaires sur les passerelles de secours.

Filtrage et NAT - Services Web

Référence support 85539

L'utilisation dans une règle de filtrage d'un service web personnalisé dont le nom comporte exactement 20 caractères rend cette règle de filtrage inopérante.

Cette situation entraîne l'affichage d'un message d'avertissement dans le widget Messages du Tableau de bord. Ce message précise la politique de filtrage et le numéro de règle concernés.

Pour corriger la situation, vous devez :

  1. Mettre en conformité (moins de 20 caractères) le nom du service Web dans le fichier d'import CSV initialement utilisé,
  2. Réimporter ce fichier dans le module Objets > Services Web > onglet Import de services personnalisés,
  3. Modifier la règle de filtrage pour utiliser le nouveau nom du service Web.

Configuration

Référence support 85434

Le nombre d'adresses IP définies sur une interface ne peut plus dépasser la limite autorisée sur le firewall. Notez que les adresses IP excédentaires n'étaient pas activées mais aucun message d'erreur n'était affiché lors de la validation de la configuration. Cette anomalie a été corrigée.

La commande system ping host ne remonte plus à tort l'erreur "Erreur de format" lorsqu'elle est utilisée avec un nom de domaine pleinement qualifié (FQDN) comme argument. Cette régression était apparue en version SNS 4.8.

La mise à jour d'un firewall dont le disque présentait des défauts ne supprime plus le répertoire des fichiers de configuration. Ceci rendait le firewall injoignable.

Référence support 85725

La configuration d'usine d'un firewall en version SNS 4.8.3 EA ou supérieure autorise de nouveau par défaut le retour à une version inférieure de firmware.

Ce comportement est exclusivement modifiable via la commande CLI / Serverd : SYSTEM UPDATE DOWNGRADE state=off pour interdire le retour à une version inférieure selon les règles suivantes :

  • Firewalls virtuels : retour interdit vers toute version inférieure à la version actuelle.
  • Firewalls physiques : retour interdit vers toute version inférieure aux versions de la partition principale et de la participation de secours.

ATTENTION
La commande CLI / Serverd SYSTEM UPDATE DOWNGRADE state=on n'est plus acceptée pour autoriser de nouveau le retour à une version inférieure de firmware.

Rapport système (sysinfo)

Référence support 85593

Les informations concernant la présence d'un mode verbose activé sont désormais correctement remontées dans le rapport système.

Interfaces Intel utilisant le module de noyau igc

Référence support 85486

La configuration d'un VLAN sur une interface utilisant le module de noyau igc et incluse dans un bridge avec l'option Préserver le routage initial / Préserver les identifiants de VLAN activée ne provoque plus à tort le rejet des paquets issus d'autres VLAN traversants.

Ceci concerne les modèles de firewalls et les firewalls équipés des modules réseau suivants :

  • Firewalls : SN-S-Series-220, SN-S-Series-320, SN-M-Series-520, SN-M-Series-720 et SN-M-Series-920.
  • Modules : NA-EX-CARD-8x2_5G-C (8 x 2.5 Gb Ethernet Cuivre) et NC-1-8x2_5G-C (8 x 2.5 Gb Ethernet Cuivre).

Firewalls virtuels EVA déployés sur l'hyperviseur Linux KVM

Référence support 85635

Sur un firewall virtuel EVA déployé sur l'hyperviseur Linux KVM, l'état d'une interface débranchée dans la configuration de l'hyperviseur est désormais correctement pris en compte par le firewall. Ce problème faussait le résultat du calcul du facteur de qualité de la haute disponibilité (HA).

Référence support 85722

L'extinction brutale d'une machine virtuelle en cours de configuration sur un hyperviseur KVM ne provoque plus de corruption de certains de ses fichiers de configuration.

Réputation IP - Périphériques de stockage

Références support 84495 - 84933 - 85038 - 85081 - 85213

Le mécanisme d'ouverture du fichier de métadonnées des réputations IP a été modifié afin de limiter le nombre d'accès au périphérique de stockage. Ces accès disque trop nombreux pouvaient, dans certains cas, entraîner un redémarrage inopiné du firewall.

Réputation des machines

Référence support 85635

Un problème de droits d'accès qui empêchait le bon fonctionnement du moteur de gestion des réputations de machines a été résolu. Cette régression était apparue en version SNS 4.7.

Télémétrie

Un problème de fuite mémoire a été corrigé dans le moteur de gestion de la télémétrie.

Supervision - Télémétrie

Le service de Télémétrie n’apparaît plus à tort dans le tableau de bord comme étant arrêté.

Authentification - Agent TS

Référence support 85401

L'authentification via la méthode Agent TS échouait logiquement pour un utilisateur dont l'identifiant contenait un espace (caractère interdit) mais aucun message d'erreur n'était affiché pour le signaler. Une alarme est désormais levée dans ce cas. La liste des caractères interdits est également fournie en complément d'information de l'alarme.

Firewalls modèles SN160(W) / SN210(W) / SN310

Références support 84495 - 84933 - 85038 - 85081 - 85213

Des modifications ont été apportées au mécanisme de calcul des indicateurs Sécurité et Système afin de réduire le nombre d'accès disques. Ceci pouvait entraîner des redémarrages inopinés des firewalls modèles SN160(W) / SN210(W) / SN310.

Syslog - TLS 1.3

Référence support 85579

L'envoi de logs via Syslog en utilisant le protocole TLS 1.3 n'échoue plus lorsque le certificat utilisé pour l'authentification a été signé par une sous-CA.

VPN IPsec - Authentification par certificat

Référence support 85607

Une mise à jour du moteur de gestion des tunnels IPsec avait entraîné une mauvaise interprétation par le firewall du SerialNumber comme étant le Surname, ce qui empêchait l'établissement des tunnels IPsec. Ce comportement a été corrigé.

VPN IPsec mode DR - Encapsulation UDP et NAT dynamique

Référence support 85629

Un tunnel configuré en mode DR, avec l'encapsulation UDP activée, et pour lequel l'un des deux correspondants a le port source de son trafic translaté (NAT dynamique) s'établit désormais correctement : le firewall distant détecte bien la nécessité d’encapsuler le trafic dans UDP.

Sauvegardes automatiques - Serveur personnalisé

Sur un firewall utilisant les sauvegardes automatiques de configuration vers un serveur personnalisé authentifié à l'aide d'un certificat, un clic sur le bouton Vérifier l'utilisation du module Objets > Certificats et PKI en ayant sélectionné ce certificat indique désormais correctement que ce certificat est utilisé dans la configuration du firewall. De même, il n'est plus possible de supprimer ce certificat sans déclencher d'erreur.

Qualité de service (QoS)

Référence support 85590

Un problème qui pouvait entraîner un blocage du firewall lors de la suppression d'une file d'attente de QoS a été résolu.

Taille de la partition dédiée aux rapports

Une modification de la taille de partition dédiée au stockage des rapports n'était plus prise en compte. Cette régression, apparue en version SNS 4.8.0, a été corrigée.

Interface Web d'administration

VPN SSL

Référence support 85663

Le changement de certificat présenté par le serveur ou par le client VPN SSL est de nouveau fonctionnel. Cette régression était apparue en version SNS 4.8.1.

Portail captif

Référence support 84750

L'interface sslvpn_udp est désormais sélectionnable dans les profils du portail captif. Les utilisateurs se présentant depuis cette interface peuvent donc maintenant accéder au portail captif.

Annuaire LDAP externe Microsoft Active Directory

Référence support 85764

Suite à la création d'un nouvel annuaire LDAP externe de type Microsoft Active Directory, les utilisateurs présents dans cet annuaire sont de nouveau correctement affichés dans le module des utilisateurs. Cette régression était apparue en version SNS 4.8.0.