Correctifs de SNS 4.3.4

Système

Authentification - VPN SSL

Références support 78073 - 81741

Dans une configuration utilisant un annuaire LDAP externe principal et un annuaire LDAP externe de secours, la bascule de l'annuaire principal vers l'annuaire de secours pouvait provoquer un arrêt inopiné du moteur d'authentification, empêchant les utilisateurs d'accéder au VPN SSL. Ce problème a été corrigé.

Firewall administré depuis Stormshield Management Center (SMC)

Référence support 81863

Lors de la connexion d'un administrateur à un firewall depuis son serveur de rattachement SMC, l'identifiant de connexion de cet administrateur est désormais correctement affiché dans le bandeau supérieur droit de l'interface Web d'administration du firewall.

Valeurs des paramètres de supervision SD-WAN

Afin de correspondre à la majorité des besoins en termes de SD-WAN, les valeurs par défaut et les valeurs acceptables pour paramètres des tests de disponibilité ont été modifiées :

  • Délai d'inactivité : 1s par défaut (contre 2s avant SNS 4.3.4),
  • Fréquence : 5 secondes par défaut, avec un minimum de 2 secondes (contre 15s avant SNS 4.3.4),
  • Nombre de tentatives : 5 (contre 3 avant SNS 4.3.4).

Logs - Statistiques SD-WAN

Référence support 83961

Les statistiques concernant les métriques SD-WAN (latence, gigue, taux de perte de paquets) sont désormais collectées toutes les 10 minutes (au lieu de 15) pour une meilleure synchronisation avec les statistiques de routage.

Logs VPN

Référence support 83792

Les logs VPN anonymisés (sans droit d'accès spécifique accordé) laissaient apparaître à tort des informations du certificat utilisateur distant (champ remoteid). Cette anomalie a été corrigée.

Configuration réseau

Référence support 84225

La présence dans le fichier de configuration du réseau de deux sections portant exactement le même nom provoquait un blocage du mécanisme de rechargement des paramètres réseau. Ce problème a été corrigé.

Routage statique

Une anomalie pouvant empêcher certaines routes d'être correctement prises en compte (cas de passerelles non routables) a été corrigée.

SD-WAN - Logs

Dans une configuration utilisant le SD-WAN, le log système inclut désormais la cause ayant provoqué une bascule de liens.

Supervision matérielle - Disques

Référence support 84083

Le mécanisme d'analyse des résultats des tests SMART a été adapté afin de ne pas provoquer d'alertes inappropriées sur certaines références de SSD.

Agent SNMP

Référence support 81710

Des anomalies pouvant entraîner des fuites mémoire au sein de l'agent SNMP ont été corrigées.

QoS

Après avoir affecté un Traffic shaper à une interface, il n'était plus possible de modifier la file d'attente par défaut, ou la file d'attente de type ACK par défaut, de cette interface. Cette anomalie a été corrigée.

La définition d'une file d'attente de QoS de type CBQ, en utilisant à la fois une valeur absolue et un pourcentage pour ses caractéristiques de bande passante min. et max. (ou min. inverse et max. inverse), pouvait entraîner une incohérence de la configuration de la QoS et un blocage des flux correspondants. Ce type de configuration est désormais explicitement refusé.

QoS configurée dans une alarme protocolaire

Référence support 84237

Le renommage d'une file d'attente de QoS utilisée au sein d'une alarme protocolaire provoquait la disparition de cette file d'attente de la configuration de l'alarme et entraînait une erreur système. Ce problème a été corrigé.

Interface Web d'administration

Haute disponibilité

Références support 83724

En cas d'erreur lors de la tentative de rattachement d'un firewall à un cluster, l'interface Web d'administration ne reste plus bloquée sur le message "Configuration de la haute disponibilité en cours".

VPN IPsec - Profils de chiffrement

Références support 84245

Lors de la sélection de l'algorithme AES-GCM_16 en phase 1 (IKE), le champ permettant de préciser un algorithme d'authentification est désormais grisé.
En effet, l'algorithme AES-GCM-16 ne supporte que la méthode d'authentification prfsha256 et celle-ci lui est automatiquement affectée.

Activation du mode Diffusion Restreinte (DR)

Référence support 82914

Lors de l'activation du mode DR sur une configuration IPSec ne respectant pas tous les prérequis nécessaires à ce mode, le message d'avertissement indiquant que la configuration IPsec a été désactivée est désormais accompagné du clignotement du symbole indiquant qu'un redémarrage manuel du firewall est nécessaire pour prendre en compte la modification (partie supérieure droite de l'écran).