Changements de comportement

Cette section liste les changements de comportements automatiques liés à la mise à jour de votre firewall SNS en version 4.7.5 depuis la dernière version 4.3 LTSB disponible.

Au besoin, nous vous invitons également à consulter les Changements de comportement de la version SNS 4.3 introduits depuis la dernière version 3.7.x LTSB disponible.

Changements introduits en version 4.7.5

  • Agent SNMP - La valeur retournée par l'OID 1.3.6.1.2.1.1.7 est désormais 76, ce qui correspond à un équipement offrant des services sur les couches OSI 3, 4 et 7. Auparavant, la valeur retournée était 72.

Changements introduits en version 4.7.3

  • SN1100 - Le nombre maximal de tunnels IPsec acceptés par un firewall SN1100 était trop élevé. Il a été diminué pour correspondre aux données annoncées.

Changements introduits en version 4.7.2 EA

En savoir plus

  • Routage - Les objets de type loopback utilisés en passerelle par défaut sont automatiquement remplacés par l'objet blackhole lors de la mise à jour du firewall en version SNS 4.7.2 EA ou supérieure.
  • Protocoles Oscar et Gnutella - Les protocoles Oscar et Gnutella sont désormais considérés comme obsolètes. L'analyse de ces protocoles est automatiquement désactivée lors de la mise à jour du firewall en version SNS 4.7.2 EA.

Changements introduits en version 4.7.1 EA

En savoir plus

  • IPsec DR - Le référentiel IPsec DR de l'ANSSI demande de remplacer l'algorithme utilisé dans la génération des Certificate Request Payload par le SHA2 (anciennement SHA1). Les versions SNS 4.7 et supérieures respectent cette recommandation.
    Si le mode IPsec DR est activé sur un firewall SNS en version 4.7, la négociation de tunnels VPN est possible uniquement avec des correspondants respectant cette recommandation.

  • Client VPN Exclusive (avec mode DR) - Il est nécessaire d'utiliser le client VPN Exclusive 7.4 ou supérieur pour établir des tunnels IPsec en mode DR avec des firewalls en version SNS 4.7 et supérieure.

  • Firewalls équipés d'un TPM - Après une mise à jour en version SNS 4.7, les secrets stockés dans le TPM nécessitent d'être scellés avec les nouvelles caractéristiques techniques du système à l'aide de la commande CLI / Serverd :

    SYSTEM TPM PCRSEAL tpmpassword=<TPMpassword>

    Notez que dans le cas d'un cluster, cette action doit être réalisée pour les deux membres du cluster depuis le firewall actif (en ajoutant le paramètre "serial=passive" pour sceller les secrets du firewall passif depuis le firewall actif).

    Pour plus d'informations sur le module TPM, reportez-vous à la section Trusted Platform Module du manuel utilisateur SNS.

  • Classification d'URL Extended Web Control (EWC) - La base d'URL utilisée est désormais celle du fournisseur Bitdefender.

    Pour mettre en place une politique de filtrage d'URL / filtrage SSL, il est recommandé de travailler en mode "liste noire", c'est-à-dire de positionner explicitement les catégories d'URL à interdire dans des règles de filtrage d'URL / filtrage SSL avec l'action bloquer. Ces règles sont à placer au-dessus de la règle autorisant toutes les autres catégories.

     

    Dans le cadre de la mise à jour en version SNS 4.7.1 ou supérieure d'un firewall utilisant une politique de filtrage d'URL / filtrage SSL en mode "liste blanche" (règles de filtrage autorisant explicitement certaines catégories et placées au-dessus de la règle bloquant toutes les autres catégories), il est fortement recommandé d'ajouter une règle autorisant les catégories d'URL misc (Divers), unknown (Inconnu), computersandsoftware (Sites de téléchargement de logiciels) et hosting (Hébergement de sites Web) pour éviter un risque de dégradation de l’expérience utilisateur. Cette règle est à placer au-dessus de la règle bloquant toutes les autres catégories.

    Pour plus d'informations sur la migration d'une politique de filtrage d'URL / filtrage SSL lors de la mise à jour du firewall en version SNS 4.7 ou supérieure, veuillez consulter la Note Technique Migrer une politique de sécurité vers la nouvelle base d'URL EWC.

    IMPORTANT
    Il est impératif de contrôler minutieusement toute politique de filtrage d'URL / filtrage SSL mise à jour suite au passage du firewall en version SNS 4.7.1.

     

  • Remise en configuration d'usine - La remise en configuration d'usine (defaultconfig) d'un firewall supprime désormais par défaut tous les fichiers de configuration personnalisée ajoutés par l'administrateur. Si vous ne souhaitez pas les supprimer, utilisez la commande defaultconfig -T.
  • Synchronisation des adresses MAC (HA) - Pour les machines virtuelles (EVA) déployées en version 4.7 ou supérieure et configurées en haute disponibilité (HA), la synchronisation des adresses MAC lors d'une bascule du cluster est à présent désactivée par défaut.

  • Durcissement du système - Le durcissement du système en version SNS 4.7 rend inutilisable la partition de secours du firewall en version SNS 4.3.23 LTSB ou inférieure après un passage direct en version SNS 4.7. Il est recommandé de mettre à jour le firewall en version SNS 4.3.24 LTSB ou supérieure avant de le mettre à jour en version SNS 4.7.

Changements introduits en version 4.6.9

En savoir plus

  • Connexions SSH au firewall - Sur un firewall en configuration d'usine et en version SNS 4.6.9 ou supérieure, les algorithmes de chiffrement ssh-rsa, hmac-sha2-256 et hmac-sha2-512 ne sont plus autorisés pour les connexions SSH à destination du firewall.

Changements introduits en version 4.6.8

En savoir plus

  • Routage dynamique BIRD - Dans les configurations utilisant le protocole BGP avec de l'authentification, il est nécessaire d'utiliser la directive "source address <ip>;" pour que les sessions BGP continuent de s'établir après la mise à jour du firewall SNS.

Changements introduits en version 4.6.3

En savoir plus

  • Protocoles basés sur SSL / TLS - Pour des raisons de sécurité, les suites de chiffrement utilisant un échange de clés basées sur les méthodes Diffie-Hellman (suites basées sur DHE) ont été supprimées. Seules les suites basées sur ECDHE sont disponibles sur les firewalls SNS.
    Cette modification peut impacter les connexions émises depuis ou vers le firewall pour les différents protocoles sécurisés par SSL (HTTPS, SSH, LDAPS, SMTPS...) ainsi que les connexions SSL réalisées au travers du proxy du firewall. Elle peut potentiellement rendre incompatibles avec les firewalls SNS les anciens logiciels clients et services / machines externes utilisant ces protocoles.

    Les suites de chiffrement basées sur ECDHE et disponibles sur les firewalls SNS sont les suivantes :
    • TLS_AES_128_GCM_SHA256,
    • TLS_CHACHA20_POLY1305_SHA256,
    • TLS_AES_256_GCM_SHA384,
    • TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256,
    • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,
    • TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256,
    • TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256,
    • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,
    • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,
    • TLS_EMPTY_RENEGOTIATION_INFO_SCSV.

Changements introduits en version 4.5.3

En savoir plus

  • Durcissement du système d'exploitation - Les éditeurs de texte vim et joe ont été supprimés du système au profit de l'éditeur vi.
  • Qualité de service (QoS) - Le champ Traitement en cas de saturation, permettant de sélectionner l'algorithme de traitement des congestions de paquets (TailDrop ou BLUE) dans les files d'attente, a été supprimé du paramétrage de la QoS. L'algorithme utilisé par défaut est désormais TailDrop et est exclusivement modifiable à l'aide de la commande CLI / Serverd CONFIG OBJECT QOS DROP.
  • IPsec mode DR - Lors de la première activation du mode DR, le groupe Diffie-Hellman DH28 est désormais proposé comme groupe par défaut pour les profils IKE DR et IPsec DR.

Changements introduits en version 4.5.2

En savoir plus

  • Qualité de service (QoS) - La définition de files d'attente en pourcentage de bande passante est obsolète. Après la mise à jour en version 4.5.2 ou supérieure d'un firewall SNS dont la configuration de QoS utilisait une file d'attente définie par un pourcentage de bande passante, ce pourcentage est automatiquement transformé en valeur absolue de bande passante équivalente.

Changements introduits en version 4.5.1

En savoir plus

  • VPN SSL - La version SNS 4.5 est exclusivement compatible avec le client VPN SSL 3.1 ou le client OpenVPN 2.5 (ou supérieur). Il est nécessaire de mettre à jour le client VPN SSL (ou OpenVPN) sur les postes clients avant de mettre à jour le firewall en version SNS 4.5. Il sera également nécessaire de mettre à jour la configuration (disponible sur le portail captif) des clients OpenVPN suite à la mise à jour du firewall en version 4.5.
  • QoS - La définition de files d'attente en pourcentage de bande passante est obsolète. Après la mise à jour en version SNS 4.5 d'un firewall dont la configuration de QoS utilisait une file d'attente définie par un pourcentage de bande passante, un message d'avertissement est affiché dans la grille des files d'attente afin d'inviter l'administrateur à modifier la configuration de cette file.
  • Kerberos - L'authentification Kerberos est désormais basée par défaut sur le protocole TCP (objet kerberos_tcp - port 88/TCP).

Changements introduits en version 4.4.1

En savoir plus

  • Catégories de réputation - Les catégories de réputation Exchange Online, Microsoft Authentication, Office 365, Office Online, SharePoint Online et Skype for business, présentes dans les versions antérieures à SNS 4.4.1, ne sont plus disponibles. Les règles de filtrage les utilisant deviennent inopérantes jusqu'au remplacement de ces catégories par les services Web introduits en version SNS 4.4.1.

  • Mode furtif (stealth mode) - En configuration d'usine, un firewall SNS est désormais en mode furtif par défaut. Notez que la désactivation du mode furtif (stealth mode) impacte les performances de traitement des paquets. En effet, pour être en mesure de répondre à un message d'erreur ICMP, le firewall doit garder une trace de chacun des paquets. Le mode furtif permet donc au firewall de faire l'économie de toutes ces traces de paquets.