Nouvelles fonctionnalités et améliorations de SNS 4.3.21 LTSB

Mise en conformité du mode IPsec DR

Le comportement du moteur de négociation des clés IKE a été modifié afin de le mettre en conformité avec les exigences du référentiel IPsec DR de l'ANSSI. Les modifications apportées ne sont pas perceptibles dans les usages nominaux des produits SNS.

IPsec DR - Génération des Certificate Request Payload

Le référentiel IPsec DR de l'ANSSI demande de remplacer l'algorithme utilisé dans la génération des Certificate Request Payload par le SHA2 (anciennement SHA1).

Les versions SNS 4.3 LTSB (à partir de la version 4.3.21 LTSB) respectent cette recommandation.

Si le mode IPsec DR est activé sur un firewall SNS en version 4.3.21 LTSB, la négociation de tunnels VPN est possible uniquement avec des correspondants respectant cette recommandation.

Ainsi, pour que la négociation de tunnels VPN en mode IPsec DR continue de fonctionner après la mise à jour d'un firewall SNS en version 4.3.21 LTSB, vous devrez vous assurer que l'ensemble des correspondants compatibles IPsec DR de votre architecture respectent cette recommandation :

  • Pour des firewalls SNS, vous devrez tous les mettre à jour dans une version SNS respectant cette recommandation,
  • Pour des firewalls d'un autre fournisseur, rapprochez-vous au préalable de ce dernier pour plus d'informations,
  • Pour des clients VPN Exclusive Stormshield, vous devrez vous assurer que chaque client VPN est en version 7.4.018 ou supérieure et y configurer des paramètres supplémentaires. Pour plus d'informations, reportez-vous à la note technique VPN IPsec - Mode Diffusion Restreinte,
  • Pour tout autre client VPN, rapprochez-vous au préalable de l'éditeur du logiciel concerné pour plus d'informations.

Routage statique

Le mot-clé blackhole peut désormais être sélectionné comme :

  • Passerelle dans la définition d'une route statique,
  • Passerelle par défaut du firewall.

Plus d'informations sur l'utilisation du mot-clé blackhole

Haute disponibilité et TPM

Référence support 85055

Dans une configuration en haute disponibilité telle que :

  • Les membres du cluster sont équipés de TPM et ces TPM ont été initialisés,
  • L'état de santé des TPM est inclus dans le calcul du facteur de qualité.

Alors, en cas de défaut du TPM du firewall passif (firewall initialement passif ou devenu passif suite à une bascule liée à la dégradation de son indice de qualité), un redémarrage de ce firewall est provoqué afin de retrouver l'état fonctionnel de son TPM.

SD-WAN

Des optimisations ont été apportées au mécanisme de gestion des priorités des passerelles afin d'éviter des rechargements inutiles de la route par défaut lorsque les passerelles présentent des scores de priorité proches.

Le dépassement d'un seuil SLA d'une passerelle génère systématiquement une entrée dans le fichier de logs système.

VPN IPsec

Il est désormais possible de définir un délai d'attente avant qu'une Association de Sécurité (SA - Security Association) nouvellement créée ne soit utilisée. Ceci permet d'éviter d'éventuels problèmes d'accès concurrentiels lorsqu'une SA est déjà utilisée pour les mêmes extrémités de trafic IPsec. Cette option NewSADelay est exclusivement paramétrable à l'aide de la commande CLI / Serverd CONFIG.IPSEC.UPDATE NewSADelay=<value>.

Plus d'informations sur la commande CONFIG.IPSEC.UPDATE.

Le mécanisme qui optimise la répartition des opérations de chiffrement et de déchiffrement du service IPsec sur le firewall SNS a été amélioré.