Limitations et précisions sur les cas d'utilisation
QoS
IMPORTANT
Cette fonctionnalité est en accès anticipé.
Veuillez impérativement consulter les Problèmes connus avant d'activer cette fonctionnalité ou de mettre à jour une configuration QoS existante vers une version SNS 4.8 ou supérieure.
La QoS implémentée présente les limitations suivantes :
- Bande passante maximale supportée : 1Gbps,
- Interfaces supportées :
- Ethernet,
- IPsec,
- GRETAP,
- IPsec virtuelles (VTI),
- VLAN.
- Les files d'attente de type PRIQ et CBQ ne sont pas compatibles entre elles et ne doivent pas être utilisées sur le même traffic shaper,
- Les seuils définis sur les files d'attente doivent être tous en valeur absolue ou tous en pourcentage,
- La somme de la bande passante réservée ne doit pas excéder la bande passante du traffic shaper,
-
Lorsque la QoS est activée, les flux non soumis à la QoS sont affectés par une baisse globale du débit sur le firewall SNS. Ceci est lié au fait que les flux utilisant des files d'attente de type bypass ne peuvent pas exploiter la totalité de la bande passante disponible à cause d'une gestion non optimale des architectures multi-CPU par le moteur de la QoS.
Authentification - TOTP
Référence support 84686
La modification des paramètres avancés de l'authentification TOTP (Durée de vie, Taille du code et Algorithme de hachage) entraîne le dysfonctionnement de cette méthode d'authentification en cas d'utilisation conjointe avec les applications de génération de codes Google Authenticator et Microsoft Authenticator.
Un message d'avertissement a été ajouté pour inviter l'administrateur à vérifier la compatibilité des paramètres avancés avec l'application de génération de codes utilisée.
Routage multicast dynamique
Le routage multicast dynamique implémenté en version 4.8 présente les limitations suivantes :
- IGMPv1 n'est pas supporté,
- IGMP Snooping n'est pas supporté,
- PIM Dense Mode n'est pas supporté,
- PIM Sparse-Dense Mode n'est pas supporté,
- PIM BiDir n'est pas supporté,
- Multicast BGP Extension n'est pas supporté,
- MSDP (Multicast Source Discovery protocol) n'est pas supporté,
- AnycastRP n'est pas supporté,
- IPV6 et le protocole MLD (Multicast Listener Discovery) ne sont pas supportés,
- Il n'est pas possible d'activer simultanément le routage multicast statique et le routage multicast dynamique,
- Il n'y a pas de synchronisation des tables de routage multicast dynamique au sein de la HA,
- Les bridges et interfaces contenues dans un bridge ne peuvent pas être sélectionnés comme interfaces participant au routage multicast dynamique,
- Le protocole Cisco AutoRP n'est pas supporté,
- Un firewall SNS peut être intégré dans une infrastructure Cisco AutoRP lorsque les équipements Cisco sont configurés pour supporter les standards BSR,
- Dans une configuration HA, les interfaces participant au routage multicast dynamique doivent impérativement porter une adresse IP statique,
- Le moteur de prévention d'intrusion n'analyse pas le protocole PIM,
- Le nombre d'interfaces du firewall participant au routage multicast dynamique est limité à 31.
Services Web
L'utilisation des services Web dans la configuration du firewall nécessite l'activation de l'analyse du protocole DNS.
Support des jumbo frames sur les firewalls modèles SN160, SN210 et SN310
Bien qu'il soit possible de configurer la MTU des jumbo frames jusqu'à une taille de 9216 octets sur les firewalls SN160, SN210 et SN310, notez que les limitations matérielles de ces modèles impliquent une vérification logicielle des sommes de contrôle des paquets présentant une MTU supérieure à 1600 octets. Ceci peut donc impacter les performances globales de ces modèles de firewalls.
Firewalls équipés d'un TPM
Référence support 83580
Après une mise à jour en version SNS 4.8, les secrets stockés dans le TPM nécessitent d'être scellés avec les nouvelles caractéristiques techniques du système à l'aide de la commande CLI / Serverd :
SYSTEM TPM PCRSEAL tpmpassword=<TPMpassword>
Notez que dans le cas d'un cluster, cette action doit être réalisée pour les deux membres du cluster depuis le firewall actif (en ajoutant le paramètre "serial=passive" pour sceller les secrets du firewall passif depuis le firewall actif).
Pour plus d'informations sur le module TPM, reportez-vous à la section Trusted Platform Module du manuel utilisateur SNS.
Protocole PROFINET-RT
Référence support 70045
Une mise à jour du pilote de contrôleur réseau utilisé sur les firewalls modèles SNi40, SN2000, SN3000, SN6000, SN510, SN710, SN910, SN2100, SN3100 et SN6100 autorise la gestion d'un VLAN ayant un identifiant égal à 0. Ceci est nécessaire pour le fonctionnement du protocole Industriel PROFINET-RT.
En revanche, les modules réseau IX (modules 2x10Gbps et 4x10Gbps fibre équipés du micro-composant INTEL 82599) et IXL (voir la liste des modules concernés) ne bénéficient pas de cette mise à jour et ne peuvent donc pas gérer le protocole PROFINET-RT.
VPN IPsec
Optimisation de la répartition des opérations de chiffrement / déchiffrement
Dans une configuration avec un tunnel IPsec unique au sein duquel transitent plusieurs flux, l'activation du mécanisme d'optimisation des opérations de chiffrement / déchiffrement peut entraîner un déséquencement des paquets et peut provoquer des rejets sur le destinataire des paquets chiffrés suivant la taille de la fenêtre anti-rejeu configurée.
Interruption de négociation d'une phase 2
Le moteur de gestion IPsec Charon, utilisé dans le cadre de politiques IKEv1, peut interrompre tous les tunnels avec le même correspondant si une seule phase 2 échoue.
Cela est dû à l'absence de notification de la part du correspondant suite à un échec de négociation lié à une différence d'extrémités de trafic.
Comme indiqué plus haut, le comportement du moteur de gestion IPsec Racoon a été modifié en version 4.1.0 afin que cela ne se produise pas dans le cadre d'un tunnel Racoon <=> Charon.
Vous pouvez néanmoins être confronté à ce problème dans le cas où le moteur de gestion IPsec Charon négocie avec un équipement qui n'émet pas de notification d'échec.
Contraintes IPsec
L'utilisation de correspondants IKEv1 et IKEv2 au sein d'une même politique IPsec nécessite de respecter plusieurs contraintes :
- Le mode de négociation "agressif" n'est pas autorisé pour un correspondant IKEv1 avec authentification par clé pré-partagée. Un message d'erreur est affiché lors de la tentative d'activation de la politique IPsec.
- La méthode d'authentification "Hybride" ne fonctionne pas pour un correspondant nomade IKEv1.
- Les correspondants de secours sont ignorés. Un message d'avertissement est affiché lors de l'activation de la politique IPsec.
- L'algorithme d'authentification "non_auth" n'est pas supporté pour un correspondant IKEv1. Dans un tel cas, la politique IPsec ne peut pas être activée.
- Dans une configuration mettant en œuvre du NAT-T (NAT-Traversal - Passage du protocole IPsec au travers d'un réseau réalisant de la translation d'adresses dynamique), il est impératif de définir l'adresse IP translatée comme identifiant d'un correspondant utilisant l'authentification par clé pré-partagée et pour lequel un ID local sous la forme d'une adresse IP aurait été forcé.
PKI
La présence d’une liste des certificats révoqués (CRL) n’est pas requise. Si aucune CRL n’est trouvée pour l’autorité de certification (CA), la négociation sera autorisée.
La présence de CRL peut être rendue obligatoire à l'aide du paramètre "CRLRequired=1" de la commande en ligne (CLI) CONFIG IPSEC UPDATE. Lorsque ce paramètre est activé, il est nécessaire de disposer de toutes les CRL de la chaîne de certification.
Référence support 37332
DPD (Dead Peer Detection)
La fonctionnalité VPN dite de DPD (Dead Peer Detection) permet de vérifier qu’un correspondant est toujours opérationnel en envoyant des messages ISAKMP.
Si un firewall est répondeur d'une négociation IPsec en mode principal, et a configuré le DPD en « Inactif », ce paramètre sera forcé en « passif » pour répondre aux sollicitations DPD du correspondant. En effet, pendant cette négociation IPsec, le DPD est annoncé avant d'avoir identifié le correspondant, et donc avant de connaître si les requêtes DPD peuvent être ignorées pour ce correspondant.
Ce paramètre n’est pas modifié en mode agressif, car dans ce cas le DPD est négocié lorsque le correspondant est déjà identifié, ou dans le cas où le firewall est initiateur de la négociation.
VPN IPsec IKEv2
Dans une configuration mettant en œuvre du NAT-T (NAT-Traversal - Passage du protocole IPsec au travers d'un réseau réalisant de la translation d'adresses dynamique), il est impératif de définir l'adresse IP translatée comme identifiant d'un correspondant utilisant l'authentification par clé pré-partagée et pour lequel un ID local sous la forme d'une adresse IP aurait été forcé.
Correspondants de secours
Il n’est plus possible de définir une configuration de secours pour les correspondants IPsec. Pour mettre en œuvre une configuration IPsec redondante, il est conseillé d’utiliser des interfaces virtuelles IPsec et des objets routeurs dans les règles de filtrage (PBR).
Réseau
Modems 4G
La connectivité du firewall à un modem USB 4G nécessite l'utilisation d'un équipement de marque HUAWEI dans la liste suivante :
-
E3372h-153,
-
E8372h-153,
-
E3372h-320.
D'autres modèles de clés pourraient fonctionner, mais ils n'ont pas été testés.
Routage - Réseau directement connecté à une interface du firewall
Référence support 79503
Lorsqu'un réseau est directement connecté à une interface du firewall, le firewall crée une route implicite d'accès à ce réseau. Cette route est appliquée en amont des règles de PBR (Policy Based Routing - Filtrage par politique) : le routage par PBR est donc ignoré pour ces réseaux directement connectés.
Protocoles Spanning Tree (RSTP / MSTP)
Les firewalls Stormshield Network ne supportent pas les configurations multi-régions MSTP. Un firewall implémentant une configuration MSTP et positionné en interconnexion de plusieurs régions MSTP pourrait ainsi rencontrer des dysfonctionnements dans la gestion de sa propre région.
Un firewall ayant activé le protocole MSTP, et ne parvenant pas à dialoguer avec un équipement qui ne supporte pas ce protocole, ne bascule pas automatiquement sur le protocole RSTP.
De par leur fonctionnement, les protocoles RSTP et MSTP ne peuvent pas être activés sur les interfaces de type VLAN et modems PPTP/PPPoE.
Interfaces
Sur les firewalls modèle SN160(W) et SN210(W), la présence d’un switch interne non administrable entraîne l’affichage permanent des interfaces réseau du firewall en état « up », même lorsque celles-ci ne sont pas connectées physiquement au réseau.
Les interfaces du firewall (VLAN, interfaces PPTP, interfaces agrégées [LACP], etc.) sont rassemblées dans un pool commun à l’ensemble des modules de configuration. Lorsqu’une interface précédemment utilisée dans un module est libérée, elle ne devient réellement réutilisable pour les autres modules qu’après un redémarrage du firewall.
La suppression d'une interface VLAN provoque un ré-ordonnancement de ce type d'interfaces au redémarrage suivant. Si ces interfaces sont référencées dans la configuration du routage dynamique ou supervisées via la MIB-II SNMP, ce comportement induit un décalage et peut potentiellement provoquer un arrêt de service. Il est donc fortement conseillé de désactiver une interface VLAN non utilisée plutôt que de la supprimer.
L'ajout d'interfaces Wi-Fi dans un bridge est en mode expérimental et ne peut pas s'effectuer via l'interface Web d'administration.
Sur les modèles SN160(W), une configuration comportant plusieurs VLAN inclus dans un bridge n’est pas supportée.
Une configuration avec un bridge incluant plusieurs interfaces non protégées et une route statique sortant de l'une de ces interfaces (autre que la première) n'est pas supportée.
Routage dynamique Bird
Dans les configurations utilisant le protocole BGP avec de l'authentification, il est nécessaire d'utiliser la directive "source address <ip>;". Pour de plus amples informations sur la configuration de Bird, veuillez consulter la Note Technique "Routage dynamique Bird".
Lorsque le fichier de configuration de Bird est édité depuis l’interface d’administration Web, l’action Appliquer envoie effectivement cette configuration au firewall. En cas d’erreur de syntaxe, la configuration n'est pas prise en compte et un message d’avertissement indiquant le numéro de ligne en erreur informe de la nécessité de corriger la configuration. En revanche, une configuration erronée envoyée au firewall sera prise en compte au prochain redémarrage du service Bird ou du firewall, empêchant alors le chargement correct du service Bird.
Routage par politique de filtrage
Si une remise en configuration d’usine du firewall (defaultconfig) est réalisée suite à une migration de la version 2 vers la version 3 puis vers la version 4, l’ordre d’évaluation du routage est modifié et le routage par politique de filtrage [PBR] devient prioritaire (routage par politique de filtrage > routage statique > routage dynamique >…> routage par défaut). En revanche, en l’absence de remise en configuration d’usine du firewall, l’ordre d’évaluation reste inchangé par rapport à la version 1 (routage statique > routage dynamique > routage par politique de filtrage [PBR] > routage par interface > routage par répartition de charge > routage par défaut).
Système
Référence support 78677
Cookies générés pour l’authentification multi-utilisateurs
Suite à l’implémentation d'une nouvelle politique de sécurité sur les navigateurs Web du marché, l’authentification multi-utilisateurs SNS n’est plus fonctionnelle dans le cas où un site non sécurisé (via HTTP) est consulté.
Ce comportement aboutit à l'affichage d’un message d'erreur ou d'un avertissement selon le navigateur Web utilisé, et est lié au fait que les cookies d’authentification du proxy ne peuvent pas utiliser l'attribut "Secure" conjointement à l’attribut “SameSite” dans le cadre d'une connexion non sécurisée HTTP.
Pour rétablir la navigation sur ces sites, une opération manuelle doit être effectuée dans la configuration du navigateur Web.
En savoir plus
Référence support 51251
Serveur DHCP
Lors de la réception d'une requête DHCP de type INFORM émise par un client Microsoft, le firewall envoie au client son propre serveur DNS primaire accompagné du serveur DNS secondaire paramétré dans le service DHCP. Il est conseillé de désactiver le protocole Web Proxy Auto-Discovery Protocol (WPAD) sur les clients Microsoft afin d'éviter ce type de requêtes.
Référence support 3120
Configuration
Le client NTP des firewalls ne supporte la synchronisation qu’avec les serveurs utilisant la version 4 du protocole.
Restauration de sauvegarde
Il n'est pas possible de restaurer une sauvegarde de configuration réalisée sur un firewall dont la version du système était postérieure à la version courante. Ainsi, par exemple, il n'est pas possible de restaurer une configuration sauvegardée en 4.0.1, si la version courante du firewall est la 3.9.2.
Objets dynamiques
Les objets réseau en résolution DNS automatique (objets dynamiques), pour lesquels le serveur DNS propose un type de répartition de charge round-robin, provoquent le rechargement de la configuration des modules uniquement si l'adresse actuelle n'est plus présente dans les réponses.
Les objets de type Nom DNS ne peuvent pas être membres d'un groupe d'objets.
Une règle de filtrage ne peut s'appliquer qu'à un unique objet de type Nom DNS. Il n'est donc pas possible d'y ajouter un second objet de type FQDN ou un autre type d'objet réseau.
Les objets de type Nom DNS ne peuvent pas être utilisés dans une règle de NAT. Notez qu'aucun avertissement n'est affiché lorsqu'une telle configuration est réalisée.
Lorsque aucun serveur DNS n'est disponible, l'objet de type Nom DNS ne contiendra que l'adresse IPv4 et / ou IPv6 renseignée lors de sa création.
Si un nombre important de serveurs DNS est renseigné dans le firewall, ou si de nouvelles adresses IP concernant un objet de type Nom DNS sont ajoutées au(x) serveur(s) DNS, l'apprentissage de l'ensemble des adresses IP de l'objet peut nécessiter plusieurs requêtes DNS de la part du firewall (requêtes espacées de 5 minutes).
Si les serveurs DNS renseignés sur les postes clients et sur le firewall diffèrent, les adresses IP reçues pour un objet de type Nom DNS peuvent ne pas être identiques. Ceci peut, par exemple, engendrer des anomalies de filtrage si l'objet de type DNS est utilisé dans la politique de filtrage.
Journaux de filtrage
Lorsqu’une règle de filtrage fait appel au partage de charge (utilisation d’un objet routeur), l’interface de destination référencée dans les journaux de filtrage n’est pas forcément correcte. En effet, les traces de filtrage étant écrites dès qu’un paquet réseau correspond aux critères de cette règle, l’interface de sortie n’est alors pas encore connue. C’est donc la passerelle principale qui est systématiquement reportée dans les journaux de filtrage.
Haute Disponibilité
Migration
Lors de la mise à jour de SNS v3 vers SNS v4 du membre passif d'un cluster, les tunnels IPsec déjà établis sont renégociés. Ceci est un comportement normal.
Interaction HA en mode bridge et switches
Dans un environnement avec un cluster de firewalls configurés en mode bridge, le temps de bascule du trafic constaté est de l’ordre de 10 secondes. Ce délai est lié au temps de bascule d’1 seconde auquel vient s’ajouter le temps de réapprentissage des adresses MAC par les switches qui sont directement connectés aux firewalls.
Routage par politique
Une session routée par la politique de filtrage peut être perdue en cas de bascule du cluster.
Modèles
La Haute Disponibilité basée sur un groupe (cluster) de firewalls de modèles différents n’est pas supportée.
VLAN dans un agrégat d'interfaces et lien HA
Référence support 59620
Le choix d'un VLAN appartenant à un agrégat d'interfaces (LACP) comme lien de haute disponibilité n'est pas autorisé. En effet, cette configuration rend le mécanisme de haute disponibilité inopérant sur ce lien: l'adresse MAC attribuée à ce VLAN sur chacun des firewalls est alors 00:00:00:00:00:00.
Support IPv6
En version SNS 4, voici les principales fonctionnalités non disponibles pour le trafic IPv6 :
- Le trafic IPv6 au travers de tunnels IPsec basés sur des interfaces IPsec virtuelles (VTI),
- La translation d'adresses IPv6 (NATv6),
- Inspections applicatives (Antivirus, Antispam, Filtrage URL, Filtrage SMTP, Filtrage FTP, Filtrage SSL),
- L’utilisation du proxy explicite,
- Le cache DNS,
- Les tunnels VPN SSL portail,
- Les tunnels VPN SSL,
- L’authentification via Kerberos,
- Le Management de Vulnérabilités,
- Les interfaces modems (en particulier les modems PPPoE).
Haute Disponibilité
Dans le cas où un Firewall est en Haute Disponibilité et a activé la fonctionnalité IPv6, les adresses MAC des interfaces portant de l'IPv6 (autres que celles du lien HA) doivent impérativement être définies en configuration avancée. En effet, les adresses de lien local IPv6 étant dérivées de l'adresse MAC, ces adresses seront différentes, entraînant des problèmes de routage en cas de bascule.
Notifications
IPFIX
Les événements envoyés via le protocole IPFIX n'incluent ni les connexions du proxy, ni les flux émis par le firewall lui-même (exemple : flux ESP pour le fonctionnement des tunnels IPsec).
Rapports d’activités
La génération des rapports se base sur les traces (logs) enregistrées par le firewall et celles-ci sont générées à la clôture des connexions. En conséquence, les connexions toujours actives (exemple : tunnel IPsec avec translation) ne seront pas affichées dans les statistiques affichées par les rapports d’activités.
Les traces générées par le firewall dépendent du type de trafic qui ne nomme pas forcément de la même façon les objets (srcname et dstname). Pour éviter de multiples représentations d’un même objet dans les rapports, il est conseillé de donner à l’objet créé dans la base du firewall, le même nom que celui associé via la résolution DNS.
Prévention d’intrusion
Protocole GRE et tunnels IPsec
Le déchiffrement de flux GRE encapsulés dans un tunnel IPsec génère à tort l’alarme « Usurpation d’adresse IP sur l’interface IPsec ». Il est donc nécessaire de configurer l’action à passer sur cette alarme pour faire fonctionner ce type de configuration.
Analyse HTML
Le code HTML réécrit n’est pas compatible avec tous les services web (apt-get, Active Update) parce que l’en-tête HTTP « Content-Length » a été supprimé.
Référence support 35960
Préserver le routage initial
L’option permettant de préserver le routage initial sur une interface n'est pas compatible avec les fonctionnalités pour lesquelles le moteur de prévention d’intrusion doit créer des paquets :
- la réinitialisation des connexions lors de la détection d'une alarme bloquante (envoi de paquet RESET),
- la protection SYN Proxy,
- la détection du protocole par les plugins (règles de filtrage sans protocole spécifié),
- la réécriture des données par certains plugins tels que les protections web 2.0, FTP avec NAT, SIP avec NAT et SMTP.
NAT
Support H323
Le support des opérations de translation d'adresses du protocole H323 est rudimentaire, en particulier : il ne supporte pas les cas de contournement du NAT par les gatekeeper (annonce de l'adresse autre que source ou destination de la connexion).
Messagerie instantanée
Le NAT sur les protocoles de messagerie instantanée n’est pas supporté.
Proxies
Référence support 35328
Proxy FTP
Si l’option « conserver l'adresse IP source originale » est activée sur le proxy FTP, le rechargement de la politique de filtrage entraîne l’interruption des transferts FTP en cours (en upload ou download).
Référence support 31715
Filtrage URL
Le filtrage différencié par utilisateur n’est pas possible au sein d’une politique de filtrage URL. Il est toutefois possible d’appliquer des règles de filtrage particulières (inspection applicative) et d'associer à chacune un profil de filtrage URL différent.
Filtrage
Interface de sortie
Une règle de filtrage précisant une interface de sortie incluse dans un bridge, et qui ne serait pas la première interface de ce bridge, n’est pas exécutée.
Filtrage Multi-utilisateur
Il est possible de permettre l’authentification Multi-utilisateur à un objet réseau (plusieurs utilisateurs authentifiés sur une même adresse IP) en renseignant l’objet dans la liste des Objets Multi-utilisateurs (Authentification > Politique d’authentification).
Les règles de filtrage avec une source de type user@objet (sauf any ou unknow@object), avec un protocole autre qu’HTTP, ne s’appliquent pas à cette catégorie d’objet. Ce comportement est inhérent au mécanisme de traitement des paquets effectué par le moteur de prévention d’intrusion. Le message explicite avertissant l’administrateur de cette limitation est le suivant : « Cette règle ne peut identifier un utilisateur connecté sur un objet multi-utilisateur ».
Géolocalisation et réputation des adresses IP publiques
Lorsqu'une règle de filtrage précise des conditions de géolocalisation et de réputation d'adresses publiques, il est nécessaire que ces deux conditions soient remplies pour que la règle soit appliquée.
Réputation des machines
Si les adresses IP des machines sont distribuées via un serveur DHCP, la réputation d'une machine dont l'adresse aurait été reprise par une autre machine sera également attribuée à celle-ci. Dans ce cas, la réputation de la machine peut être réinitialisée à l'aide de la commande CLI monitor flush hostrep ip = host_ip_address.
Authentification
Portail captif - Page de déconnexion
La page de déconnexion du portail captif ne fonctionne que pour les méthodes d'authentification basées sur des mots de passe.
SSO Agent
La méthode d’authentification Agent SSO se base sur les évènements d’authentification collectés par les contrôleurs de domaine Windows. Ceux-ci n’indiquant pas l’origine du trafic, la politique d’authentification ne peut être spécifiée avec des interfaces.
Référence support 47378
Les noms d’utilisateurs contenant les caractères spéciaux suivants : " <tab> & ~ | = * < > ! ( ) \ $ % ? ' ` @ <espace> ne sont pas pris en charge par l’Agent SSO. Le firewall ne recevra donc pas les notifications de connexions et déconnexions relatives à ces utilisateurs.
Domaines Microsoft Active Directory multiples
Dans le cadre de domaines Microsoft Active Directory multiples liés par une relation d'approbation, il est nécessaire de définir dans la configuration du firewall un annuaire Active Directory et un agent SSO pour chacun de ces domaines.
Les méthodes SPNEGO et Kerberos ne peuvent pas être utilisées sur plusieurs domaines Active Directory.
Le protocole IKEv1 nécessite l'emploi de l'authentification étendue (XAUTH).
Annuaires multiples
Les utilisateurs ne peuvent s'authentifier que sur l'annuaire par défaut via les méthodes certificat SSL et Radius.
Méthode CONNECT
L’authentification multi-utilisateur sur une même machine en mode Cookie, ne supporte pas la méthode CONNECT (protocole HTTP). Cette méthode est généralement utilisée avec un proxy explicite pour les connexions HTTPS. Pour ce type d’authentification, il est recommandé d’utiliser le mode « transparent ». Pour plus d’informations, consultez l’aide en ligne à l’adresse documentation.stormshield.eu, section Authentification.
Utilisateurs
La gestion d'annuaires LDAP multiples impose une authentification précisant le domaine d'authentification : user@domain.
Le caractère spécial « espace » dans les identifiants (« login ») des utilisateurs n’est pas supporté.
Déconnexion
La déconnexion d’une authentification ne peut se faire que par la méthode utilisée lors de l’authentification. Par exemple, un utilisateur authentifié avec la méthode Agent SSO ne pourra pas se déconnecter via le portail d'authentification, car l'utilisateur doit fournir pour la déconnexion, un cookie n’existant pas dans ce cas.
Comptes temporaires
Lors de la création d'un compte temporaire, le firewall génère automatiquement un mot de passe d'une longueur de 8 caractères. Dans le cas d'une politique globale de mots de passe imposant une longueur supérieure à 8 caractères, la création d'un compte temporaire génère alors une erreur et le compte ne peut pas être utilisé pour s'authentifier.
L'utilisation des comptes temporaires nécessite donc une politique de mots de passe limités à 8 caractères maximum.
Management des vulnérabilités
Référence support 28665
L'inventaire d'applications réalisé par le Management des vulnérabilités se base sur l'adresse IP de la machine initiant le trafic pour indexer les applications.
Le cas de machines ayant une adresse IP partagée par plusieurs utilisateurs, par exemple un proxy HTTP, un serveur TSE ou encore un routeur réalisant du NAT dynamique de la source, peuvent entraîner une charge importante sur le module. Il est donc conseillé de mettre les adresses de ces machines dans la liste d'exclusion (éléments non supervisés).