Nouvelles fonctionnalités de SNS 4.2.4

Système

Durcissement du système d'exploitation

La vérification d'intégrité des fichiers exécutables s'étend désormais à la partie userland du système.

Seuls les scripts shell sont encore autorisés, mais ils doivent explicitement être appelés par l'interpréteur (par exemple : sh script.sh et non ./script.sh). Si ces scripts sont lancés par le biais du planificateur d'événements (eventd), l'interpréteur doit être ajouté pour chaque tâche décrite dans le fichier de configuration du planificateur d'événements.

D'autre part, ces scripts doivent être exclusivement situés dans la partition root (/) pour pouvoir être exécutés. Toute mise à jour de firmware effaçant le contenu du répertoire "/", il est donc nécessaire de repositionner ces scripts dans le répertoire "/" après une mise à jour de firmware.

Notez que les outils de mesures de performances système autorisés par ce mécanisme de vérification d'intégrité des fichiers peuvent afficher des valeurs de mémoire consommée légèrement supérieures à celles affichées dans les versions précédentes de SNS. L'utilisation de l'outil nmemstat n'est plus autorisée.

Mode furtif (stealth mode)

En configuration d'usine, un firewall SNS n'est désormais plus en mode furtif par défaut afin de faciliter l'intégration du firewall dans les infrastructures existantes.

Ce mode furtif peut toutefois être activé manuellement par le biais de l'argument Stealth de la commande CLI / Serverd CONFIG PROTOCOL IP COMMON IPS CONFIG :

CONFIG PROTOCOL IP COMMON IPS CONFIG Stealth=<On|Off>
CONFIG PROTOCOL IP ACTIVATE

En savoir plus

Path MTU Discovery (PMTUD)

Pour des cas impliquant du VPN IPsec, les réponses ICMP 3/4 sont désormais pleinement prises en charge au travers de ces tunnels grâce à l'ajout du support du Path MTU Discovery.

Désactivé par défaut, il peut être géré à l'aide de la commande CLI / Serverd  :

CONFIG IPSEC UPDATE slot=<1-10> PMTUD=<0|1|2>
CONFIG IPSEC ACTIVATE
CONFIG IPSEC RELOAD

Le détail de cette commande est disponible dans le Guide de référence des commandes CLI / Serverd.

NOTE
Le mode furtif (stealth mode) doit être désactivé pour permettre le fonctionnement du PMTUD au travers d'IPsec.
En savoir plus

VPN IPsec - Mode DR

Des avertissements sont affichés dans le widget Messages du tableau de bord lorsque le mode IPsec DR est activé et que l'une des conditions suivantes est remplie :

  • Une règle de filtrage implique l'utilisation du proxy,
  • Le service NSRPC est ouvert vers l'extérieur,
  • Le service VPN SSL est actif,
  • Le service de cache DNS est actif,
  • Le service DHCP est actif.

VPN IPsec - IKEv2

Il est désormais possible de sélectionner les PseudoRandom Functions (PRFs) parmi les valeurs suivantes :

Cette configuration est réalisable uniquement en ligne de commande au travers de l'argument prf ajouté à la commande CLI / Serverd : CONFIG IPSEC PROFILE PHASE1 PROPOSALS UPDATE (toute modification doit ensuite être validée par la commande CONFIG IPSEC ACTIVATE).

Le détail de cette commande est disponible dans le Guide de référence des commandes CLI / Serverd.

NOTE
Le mode IPsec DR impose l'usage de PRF_HMAC_SHA2_256.

Active Update

Les paquets du module Active Update sont désormais signés par une nouvelle autorité de certification Stormshield, remplaçant l'ancienne autorité de certification Netasq.

Pour les clients utilisant des sites miroirs internes, il convient de mettre à jour les paquets hébergés sur vos propres serveurs afin d'utiliser ceux signés par la nouvelle autorité de certification. Cette manipulation est indispensable pour que le module Active Update continue de mettre à jours ses bases. 

Pour les environnements Linux, une nouvelle version du script Active Update mirroring (updater.sh) est disponible sur Mystormshield (section Téléchargements > Stormshield Network Security Tools). Cette version permet de récupérer l'intégralité des paquets signés par la nouvelle autorité de certification.

En savoir plus

Il est désormais possible de préciser l'interface du firewall par laquelle sortent les requêtes destinées aux serveurs de mises à jour automatiques. Ceci est réalisable au travers de l'argument bindaddr ajouté à la commandes CLI / Serverd CONFIG AUTOUPDATE SERVER. La modification de ce paramètre doit ensuite être activée à l'aide de la commande CONFIG AUTOUPDATE ACTIVATE.

En savoir plus

Vérification automatique des mises à jour de firmware

La vérification automatique de présence d'une mise à jour de firmware peut être activée ou désactivée à l'aide la commande CLI / Serverd SYSTEM CHECKVERSION state=0|1.
Ce mécanisme est activé par défaut.

Gestion du réseau

La gestion du réseau d'un firewall SNS a été optimisée afin de ne plus redémarrer systématiquement le firewall dès qu'une configuration réseau est envoyée par SMC.

Dorénavant, le firewall signale à SMC qu'un redémarrage doit être effectué uniquement lorsque cela est nécessaire.

Agent Stormshield Management Center (SMC)

Sur un firewall SNS administré via SMC en version 3.0, si la liaison avec le serveur SMC n'a pas pu s'établir dans un délai de 30 secondes après un déploiement (délai modifiable dans la console d'administration du serveur SMC), alors la configuration précédente est restaurée.

Pour les firewalls en haute disponibilité, il est désormais possible de préciser qu'une modification de configuration réseau appliquée sur le firewall actif doit être appliquée sur le firewall passif sans provoquer de redémarrage de ce dernier.

Ceci est exclusivement réalisable à l'aide de la commande CLI / Serverd HA SYNC :

HA SYNC Ennetwork=0|1 : 0 pour désactiver le redémarrage du passif (comportement par défaut), 1 pour l'activer.

En savoir plus

Synchronisation de la base de données des objets avec les serveurs DNS

La synchronisation automatique de la base de données des objets avec les serveurs DNS configurés sur le firewall peut désormais être activée / désactivée ou modifiée (intervalle de synchronisation).

Ces opérations sont exclusivement réalisables à l'aide de la commande CLI / Serverd CONFIG OBJECT SYNC :

  • CONFIG OBJECT SYNC STATE=<0|1> pour la désactivation / activation de la synchronisation,
  • CONFIG OBJECT SYNC UPDATE period=<period> pour un intervalle de lancement compris entre 1 min et 1 une journée (exemple : period=6h5m4s).

Ces modifications doivent être validées par la commande CONFIG OBJECT SYNC ACTIVATE.

En savoir plus

Modification des traces activées par défaut

Contrairement à ce qui a été annoncé dans les Notes de version 4.2.1, le stockage sur disque de tous les types de traces a été réactivé par défaut.

Matériel

La version 4.2.4 introduit le support du firewall modèle SN1100.

Interface Web d’administration

Création d'un correspondant IPsec

Lors de la création d'un nouveau correspondant IPsec, l'assistant de création propose désormais par défaut la version 2 du protocole IKE pour ce correspondant.