Nouvelles fonctionnalités de SNS 4.3.3
SD-WAN et QoS
IMPORTANT
Ces fonctionnalités sont en accès anticipé.
Veuillez impérativement consulter les Problèmes connus et les Limitations et précisions sur les cas d'utilisation avant d'activer ces fonctionnalités ou de mettre à jour une configuration QoS existante vers une version SNS 4.3.
Sélection du meilleur lien
Il est désormais possible de configurer des critères précis afin de définir si un lien WAN respecte le niveau de qualité adapté à son type de trafic (VoIP, vidéo, etc.).
Pour cela, vous pouvez définir pour chaque type de trafic un engagement SLA (Service Level Agreement) basé sur un ou plusieurs seuils parmi les critères suivants :
-
Latence,
-
Gigue,
-
Perte de paquets.
Dès qu'au moins un des seuils n'est plus respecté, le firewall sélectionne pour le trafic concerné un autre lien WAN pour lequel le statut SLA est bon.
Cette configuration peut être réalisée sur du trafic standard ou sur des communications chiffrées.
Indépendamment du type de trafic, vous pouvez également mettre en place une configuration plus générale permettant d'assurer que toutes les communications seront automatiquement basculées vers un lien de secours lorsque la qualité du lien principal utilisé est dégradée.
Vous pouvez visualiser la qualité de vos différents liens à tout moment depuis l'interface Web d'administration du firewall.
Pour plus d'informations, reportez-vous aux sections Objets réseau - Routeur, Supervision - SD-WAN et Rapports du Manuel Utilisateur SNS.
Amélioration de la fonctionnalité de Qualité de Service (QoS)
La fonctionnalité de Qualité de Service (QoS) a été améliorée pour répondre aux exigences des infrastructures récentes. Ces modifications permettent d'améliorer significativement la définition de priorités des flux ainsi que la limitation et la réservation de la bande passante.
Pour plus d'informations, reportez-vous à la section Qualité de Service (QoS) du Manuel Utilisateur SNS.
IMPORTANT
Les configurations de QoS définies dans une version antérieure à SNS 4.3 ne sont pas automatiquement valides. Elles nécessitent le paramétrage des Traffic shapers pour pouvoir être activées après mise à jour en version SNS 4.3.
Routage statique - Objets routeur
Il est désormais possible de sélectionner un objet routeur en tant que passerelle lors de la création ou la modification d'une route statique. Ceci apporte la possibilité de définir pour chaque route statique une stratégie de sélection de liens.
Vous pouvez toujours décider d'appliquer une politique de sélection de liens différente sur certains flux spécifiques en les configurant directement dans les règles de votre politique de filtrage (Policy Based Routing). Ces configurations sont prioritaires par rapport à celles mises en place dans le routage statique.
Pour plus d'informations, reportez-vous aux sections Routes statiques IPv4 / IPv6, Objets réseau - Routeur et Filtrage du Manuel Utilisateur SNS.
NOTE
Les objets routeur définis avec du partage de charge ne sont pas compatibles avec cette fonctionnalité.
Protocole TLS 1.3
Analyse des certificats serveur
Le moteur de prévention d'intrusion tente désormais de récupérer le certificat serveur pour chaque flux TLS 1.3 traversant le firewall afin d'analyser les éventuelles failles de sécurité liées à ce certificat et rendre opérationnel les signatures d'attaques et d'applications reposant sur l'analyse de ce certificat.
Cette analyse est activée par défaut sur le firewall. Certains flux TLS 1.3 peuvent à présent être bloqués alors qu'ils ne l'étaient pas auparavant en raison de cette nouvelle analyse protocolaire.
En savoir plus
Proxy SSL
Le proxy SSL supporte désormais le protocole TLS 1.3.
Protocoles industriels SOFBUS et LACBUS
Les firewalls SNS peuvent désormais détecter et analyser les protocoles SOFBUS et LACBUS. Cette analyse, désactivée par défaut, permet de détecter les comportements anormaux et de filtrer des commandes spécifiques SOFBUS et LACBUS afin de diminuer la surface d'attaque et le risque de compromission. Ces protocoles sont principalement utilisés dans les infrastructures de gestion des eaux. Ils sont la propriété intellectuelle de LACROIX Sofrel. En savoir plus
Captures réseau
Un nouvel outil de captures réseau est désormais disponible dans l'interface Web d'administration des firewalls SNS et peut être utilisé à des fins de résolution de problèmes. Les critères de filtres les plus communs (IP, port, interface, etc.) peuvent être renseignés dans un assistant de création de filtre permettant aux utilisateurs n'ayant pas de connaissances sur l'outil tcpdump ou sur le format de ses filtres de créer des captures réseau. Le filtre tcpdump peut aussi être renseigné manuellement pour une utilisation avancée.
Ce nouvel outil permet de lancer jusqu'à 5 captures simultanément. Pour y accéder, le firewall doit posséder un support de stockage sur lequel enregistrer les captures (stockage interne ou carte SD par exemple). En savoir plus
Accès distant par SSH au firewall
Ouverture de l'accès aux comptes administrateurs du firewall
Les administrateurs déclarés sur le firewall peuvent désormais se voir attribuer un droit d'accès en SSH au firewall. Cet accès est par défaut limité à l'interpréteur shell nsrpc (utilisation de commandes CLI / Serverd) et peut être étendu à l'interpréteur shell du système d'exploitation par le super-administrateur (compte admin). En savoir plus
Protection contre les attaques par force brute
L'accès distant par SSH au firewall est désormais protégé contre les attaques par force brute. Si cette protection est déjà activée sur le firewall, son périmètre est automatiquement étendu. En savoir plus
Authentification RADIUS
Tableau de bord
Les serveurs RADIUS sont désormais supervisés et leur état apparaît dans le widget Services du Tableau de bord.
Délai d'inactivité et nombre maximum d'essais de connexion
Le nombre maximum d'essais et le délai d'inactivité autorisé pour réaliser une connexion à un serveur RADIUS (serveur principal et serveur de secours) peuvent désormais être configurés. Ceci entraîne la modification de la commande CLI / Serverd CONFIG AUTH RADIUS avec l'ajout des arguments timeout, retry, btimeout et bretry. En savoir plus
Support des VSA RADIUS
Il est désormais possible d'associer des utilisateurs authentifiés via RADIUS à des groupes dans le firewall grâce à l'ajout du support des VSA RADIUS. Ceci ouvre notamment la possibilité d'ajouter au firewall des administrateurs dont les utilisateurs ou les groupes proviennent d'autres domaines. Pour fonctionner, le serveur RADIUS doit également être configuré pour utiliser des VSA.
Activée par défaut, la prise en charge des VSA sur le firewall peut être désactivée en utilisant la commande CLI / Serverd CONFIG AUTH RADIUS avec l'argument [VSAusergroup=<0|1>]. En savoir plus
Support de l'IPv6
Il est désormais possible de joindre des serveurs RADIUS en IPv6. Ceci apporte la possibilité de configurer dans le firewall des serveurs RADIUS avec des objets utilisant des adresses IPv6.
Support de l'attribut domain
Le nom de domaine d'un utilisateur peut désormais être reporté dans le champ de la requête RADIUS permettant à l'authentification RADIUS de s'intégrer dans une fédération comprenant plusieurs domaines.
Adresse IP source des requêtes RADIUS
L'adresse IP source des requêtes RADIUS peut désormais être configurée. En savoir plus
Traitement des requêtes RADIUS
Les requêtes RADIUS sont maintenant traitées de manière asynchrone afin de faciliter l'intégration avec les plateformes OTP.
Serveur LDAP
Le serveur LDAP interne du firewall utilise maintenant une configuration TLS en accord avec les recommandations de l'Agence Nationale de la Sécurité des Systèmes d'Information (ANSSI). En savoir plus
VPN
VPN IPsec IKEv2 - Support de MOBIKE
Il est désormais possible d'utiliser MOBIKE avec des correspondants de type nomade (mobile). MOBIKE permet à un utilisateur nomade de ne pas avoir à renégocier un tunnel lorsqu'il change d'adresse IP.
L'activation de MOBIKE se réalise exclusivement à l'aide des commandes CLI / Serverd CONFIG IPSEC PEER NEW et CONFIG IPSEC PEER UPDATE avec l'argument [mobike=<0|1>] selon si vous ajoutez ou mettez à jour un correspondant.
Un paramètre supplémentaire permet de définir dans une politique IPsec les interfaces sur lesquelles le moteur IPsec construit sa liste d'adresses IP qu'il diffuse via MOBIKE. Ceci permet de limiter les adresses IP diffusées dans le cadre de l'utilisation de MOBIKE au strict minimum. La liste des interfaces concernées est modifiable exclusivement à l'aide de la commande CLI / Serverd CONFIG IPSEC UPDATE avec l'argument [UsedInterface=<itf1,itf2,...>].
NOTE
MOBIKE n'est pas compatible avec le mode Diffusion Restreinte (DR) respectant les recommandations de l'Agence Nationale de la Sécurité des Systèmes d'Information (ANSSI).
VPN SSL
La rapidité d'établissement des connexions et le support du protocole TLS 1.3 du VPN SSL ont été améliorés. Pour en bénéficier, vous devez utiliser un client VPN SSL compatible avec le protocole TLS 1.3. À noter que Stormshield Network SSL VPN Client en version 2.9 n'est pas compatible avec ce protocole.
Ces améliorations nécessitent désormais que la taille minimale du masque de l'objet réseau assigné aux clients UDP et TCP dans la configuration VPN SSL soit de /28.
Haute disponibilité et agrégats de liens
Dans une configuration disposant d'agrégats de liens réseau, l'initialisation de la haute disponibilité active par défaut l'option Activer l'agrégation de liens lorsque le firewall est passif permettant de bénéficier de temps de bascule optimisés.
Haute disponibilité - Liens directs entre membres du cluster
Dans une configuration en haute disponibilité avec des liens HA directs entre les deux membres du cluster (sans commutateur réseau intermédiaire), la perte complète des liens HA suite à une défaillance du firewall principal déclenche immédiatement la bascule sur l'autre membre du cluster.
Agrégat de liens - Redondance
Il est désormais possible de créer un agrégat de liens de type Redondance. La fonction de redondance permet de disposer d'un lien de secours au cas où le lien principal (identifié comme Maître dans l'agrégat) ne répond plus. Un agrégat de type Redondance doit contenir deux liens.
Cette nouvelle fonctionnalité est uniquement disponible sur les modèles SN510, SN710, SN910, SN1100, SN2000, SN2100, SN3000, SN3100, SN6000, SN6100, SNi20 et SNi40. Les firewalls SNS supportent cette fonctionnalité avec des commutateurs de marque Cisco uniquement. En savoir plus
Service de télémétrie
Une fenêtre invite les administrateurs de firewalls SNS lorsqu'ils se connectent à l'interface Web d'administration à activer le service de télémétrie si celui-ci est désactivé. En savoir plus
Certificats et PKI
Enrôlement Web - Enrôlement des certificats
Le service d'enrôlement Web a été amélioré afin de permettre aux utilisateurs d'effectuer des demandes de certificat depuis les dernières versions des navigateurs Web du marché. Lors de la réalisation d'une demande, les utilisateurs doivent à présent définir eux-mêmes la clé de chiffrement utilisée pour chiffrer leur clé privée. En savoir plus
Rafraîchissement de la CRL d'une CA
Une nouvelle commande CLI / Serverd SYSTEM CHECKCRL est disponible permettant de forcer le rafraîchissement de la liste de révocation de certificats (CRL) d'une autorité de certification (CA). En savoir plus
Durcissement du système d'exploitation
Mécanisme de vérification d'intégrité des fichiers exécutables
Le firewall SNS génère désormais un événement système lorsque le mécanisme de vérification d'intégrité des fichiers exécutables refuse de lancer un binaire.
Secure Boot
Il est désormais possible d’activer la fonctionnalité Secure Boot dans l’UEFI des firewalls SNi20, SN1100 et SN3100. L’activation de cette fonctionnalité permet de renforcer la sécurité du système avec notamment la vérification de signature du système chargé au démarrage du firewall.