Correctifs de SNS 4.3.15

Système

NAT dynamique et DHCP pour les interfaces de sortie

Référence support 83297

La présence d'une règle de NAT dynamique associée à l'utilisation de DHCP pour définir les adresses des interfaces de sortie pouvait entraîner un blocage du firewall lors du rechargement des règles de filtrage dans le moteur de prévention d'intrusion. Ce problème a été corrigé.

Mise à jour du firmware des disques SSD

Référence support 84295

Pour éviter d'éventuels dysfonctionnements des disques SSD, une mise à jour de firmware de ces disques SSD est automatiquement appliquée lors de la mise à jour en version SNS 4.3.15 des modèles de firewalls suivants :

  • SN510, SN710, SN910 équipés d'un SSD Innodisk 3TE7 d'une capacité de 256 Go,
  • SN1100 équipés d'un SSD Innodisk 3TE7 d'une capacité de 512 Go,
  • SN3000 avec l'option BIG DATA (équipés d'un SSD Innodisk 3TE7 d'une capacité de 1 To).

Mise à jour - Routage statique

Référence support 84716

La mise à jour en version SNS 4.3 d'une configuration comportant une route statique basée sur un routeur inexistant ne provoque plus un arrêt du rechargement des routes après le traitement de cette route incorrecte : les routes suivantes sont de nouveau correctement insérées dans les tables de routage.
Cette régression était apparue en version SNS 4.3.

QoS

La longueur maximale autorisée pour le nom d'une file d'attente de QoS utilisée dans le cas d'une détection par le moteur de prévention d'intrusion est désormais identique à celle des files d'attente de QoS classiques (31 caractères maximum).

Suppression d'une file d'attente de QoS

Des contrôles ont été ajoutés afin d'interdire la suppression d'une file d'attente de QoS lorsque celle-ci est utilisée dans la configuration du firewall.

Gestion du matériel - Firewalls modèles SN160(W), SN210(W) et SN310

Références support 82933 - 84307

Lors de l'extinction d'un firewall modèle SN160(W), SN210(W) ou SN310, une anomalie dans l'ordre d'arrêt des mécanismes de gestion du matériel empêchait le voyant lumineux Online de s'éteindre. Cette anomalie, qui pouvait laissait penser que le firewall n'était pas correctement arrêté, a été corrigée.

Interface Ethernet inactive avec adresse MAC forcée et VLAN rattaché

Référence support 80970

Lorsqu'on forçait l'adresse MAC d'une interface Ethernet parente d'un VLAN, ce VLAN n'héritait pas de l'adresse MAC forcée. Cette anomalie a été corrigée.

Interfaces réseau - Routage

Référence support 84706

Le rechargement de la configuration réseau ne provoque plus la disparition pendant plusieurs secondes des routes rattachées aux interfaces configurées en DHCP. Cette régression était apparue en version SNS 4.3.

Haute disponibilité - SNMPv3

Référence support 84500

Les paramètres SNMP (dont AuthoritativeEngineID en SNMPv3) sont désormais automatiquement synchronisés dès la création d'un cluster et à chaque bascule de rôle au sein de ce cluster. Ceci afin de ne plus provoquer d'erreurs sur certains outils de supervision SNMP.

Haute disponibilité - Configuration comprenant plusieurs centaines de VLAN

Référence support 84522

Sur des configurations en haute disponibilité comportant plusieurs centaines de VLAN, la requête d'affichage de l'état de la haute disponibilité n'entraîne plus une consommation anormalement élevée de CPU.

Traitement des paquets fragmentés

Référence support 83882

Pour les configurations soumises à un trafic important, un problème dans la gestion des tampons mémoire lors du traitement de paquets fragmentés a été corrigé. Ce problème entraînait des blocages inopinés du firewall.

Renommage de groupes d'objets imbriqués

Référence support 81223

Le renommage d'un groupe inclus dans un groupe, lui même inclus dans un autre groupe, échouait et provoquait l'erreur système "L'objet est inclus dans 1 ou plusieurs groupe(s)". Le renommage n'ayant pas été pris en compte dans la base objets, toute règle de filtrage utilisant le groupe renommé devenait alors invalide. Ce problème a été corrigé.

Rapport système (sysinfo)

Références support 84211 - 84210

Des contrôles concernant l'activation / désactivation du mode verbeux pour BIRD, BIRD6 et la politique globale de VPN ont été ajoutés au mécanisme de génération du rapport système (accessible depuis Configuration > Maintenance > onglet Configuration).

Connexion TLS à un serveur Syslog

Référence support 84831

Un délai d'inactivité a été ajouté pour la phase de négociation SSL lors d'une tentative de connexion du firewall à un serveur Syslog en TLS. Cette modification permet de ne plus provoquer de blocage intempestif du mécanisme de gestion des logs du firewall en cas de non-réponse du serveur Syslog lors de la phase de négociation SSL.

Antivirus avancé

L'activation de la nouvelle licence Antivirus avancé sur un firewall ayant toujours utilisé le moteur antiviral ClamAV est désormais fonctionnelle et n'affiche plus à tort le message système "Non disponible avec cette licence".

VPN IPsec

Référence support 84611

Un jeton de configuration RemoteFetch a été ajouté à la commande CLI / Serverd CONFIG IPSEC UPDATE. Ce jeton, lorsqu'il est positionné à la valeur "0", permet à la fois de :

  • Désactiver la récupération des CRL distantes par le moteur de gestion des tunnels IPsec lors de l'établissement d'un tunnel,
  • Désactiver le mécanisme OCSP dans le moteur de gestion des tunnels IPsec.

Ceci afin d'éviter une attente inutile de plusieurs secondes pour l'établissement de tunnels IPsec lorsque les points de distribution de CRL (CRLDP) sont absents ou non configurés.

Plus d'informations sur la commande CLI / Serverd CONFIG IPSEC UPDATE.

Référence support 82578 - 84680

Des problèmes d'accès concurrentiels provoquant une instabilité des tunnels IPsec ont été résolus. Cela rendait inopérante la supervision des tunnels et générait des entrées du type "job load of XXX exceeds limit of YY" dans les logs VPN IPsec.

Dans une configuration pour laquelle un tunnel IPsec passe par un modem PPPoE (dialup), le moteur de gestion des tunnels IPsec ne redémarrait plus après le rechargement de cette dialup ou un redémarrage du firewall.
Cette régression, apparue en version SNS 4.3, a été corrigée.

DHCP - Route par défaut

Référence support 84545

Lorsque le firewall obtient pour l'une de ses interfaces une adresse IP via un serveur DHCP utilisant l'option routers x.x.x.x, le firewall ne perd plus sa route par défaut si le bail DHCP concerné expire et n'est pas renouvelé (serveur DHCP injoignable par exemple).

Authentification

Référence support 84358

Une erreur de saisie de mot de passe lors d'une tentative de connexion au portail captif ou via SSL VPN Client ne génère plus à tort l'événement système "LDAP unreachable Bind error".

Authentification RADIUS - Configuration avec serveur RADIUS de secours

Référence support 84555

Dans certaines circonstances, une double requête d'authentification RADIUS pouvait être envoyée simultanément vers le serveur RADIUS principal et le serveur RADIUS de secours. Cette anomalie, qui entraînait immédiatement un rejet de la tentative d'authentification, a été corrigée.

Authentification par Certificat SSL

Référence support 80325

L'action d'ajouter la méthode d'authentification par Certificat SSL avec l'option Activer la recherche dans plusieurs annuaires LDAP et d'appliquer ce changement, puis de supprimer cette même méthode d'authentification ne bloque plus la connexion à l'interface Web d'administration du firewall ou au portail captif.

Collecteur IPFIX - Numéros des interfaces du firewall

Référence support 78226

Les numéros des interfaces du firewall récupérés par le collecteur IPFIX correspondent désormais aux numéros récupérés dans les tables SNMP.

Moteur de prévention d'intrusion

Nombre maximal de machines protégées

Référence support 84794

Un problème dans l'application de la modification effectuée en version SNS 4.3.10 au sujet du nombre maximal de machines protégées a été corrigé. Ainsi, lors de la mise à jour du firewall en version SNS 4.3.15, un second redémarrage est automatiquement déclenché si la configuration le nécessite.

Protocole SIP et translation d'adresses (NAT)

Référence support 68822

Dans une configuration utilisant du NAT pour les connexions SIP au sein d'une règle en mode Firewall, la réception par le firewall d'une deuxième requête de type INVITE pour une connexion déjà établie ne provoque plus un dysfonctionnement du NAT et n'entraîne plus un arrêt inopiné de la connexion SIP établie.

Protocole TLS 1.3

Référence support 84674

Afin de ne pas bloquer à tort certains flux TLS 1.3, le mécanisme d'analyse des certificats TLS 1.3 des serveurs SSL est désormais automatiquement désactivé lors de la migration d'un firewall depuis une version inférieure à SNS 4.3 vers une version supérieure ou égale à SNS 4.3.15. Il est également désactivé par défaut dans le profil entrant d'analyse SSL SSL_00 pour les firewalls en configuration d'usine en version 4.3.15 ou supérieure.

Ce mécanisme d'analyse des certificats TLS 1.3 des serveurs SSL peut être réactivé, sous réserve d'en évaluer les éventuels impacts, dans Configuration > Protection applicative > Protocoles > SSL.

Rechargement de la configuration réseau

Références support 84522 - 84198

Des optimisations ont été apportées au mécanisme de rechargement de la configuration réseau (notamment lorsque aucun changement de configuration n'est intervenu) afin de diminuer le temps de rechargement, de réduire la consommation CPU associée et la durée de non-joignabilité du firewall lié à cette opération.

Interface Web d'administration

Filtrage avec QoS - Balises HTML dans un message d'avertissement

Le message d'avertissement affiché après l'activation ou la désactivation d'une règle de filtrage faisant référence à une file d'attente de QoS supprimée comportait à tort des balises HTML. Cette anomalie a été corrigée.