Points d'attention pour une mise à jour depuis une version 3.7 LTSB ou 3.11 LTSB
IMPORTANT
Si vous envisagez de mettre à jour un firewall depuis une version 3.7 LTSB / 3.11 LTSB vers la version 4.3 LTSB, nous vous recommandons de lire attentivement cette section.
NOTE
La liste exhaustive des changements de comportements automatiques liés à la mise à jour de votre firewall SNS en version 4.3 LTSB depuis la dernière version 3.7 LTSB disponible est consultable dans la section Changements de comportement de ces Notes de Versions.
Classification d'URL Extended Web Control (EWC)
La classification d'URL Extended Web Control utilise désormais la base d'URL du fournisseur Bitdefender.
Ce changement de base d'URL impose de remanier la politique initiale de sécurité du firewall (politique de filtrage, politique de filtrage URL et politique de filtrage SSL) après sa mise à jour.
Veuillez consulter la Note Technique Migrer une politique de sécurité vers la nouvelle base d'URL EWC pour connaître les étapes de migration d'une politique de filtrage d'URL / filtrage SSL lors de la mise à jour du firewall en version SNS 4.3.24 LTSB ou supérieure.
Fonctionnalité de Cache HTTP
La fonction Cache HTTP au sein d'une règle de filtrage n'est plus disponible. Avant de mettre à jour votre firewall, il est nécessaire de :
- Supprimer les options "cache HTTP" des règles de filtrage concernées,
- Désactiver le proxy cache.
Dans le cas contraire, le proxy ne sera plus fonctionnel.
Haute disponibilité (HA)
Les ports utilisés pour la communication via les liens de HA ont évolué. La politique de filtrage doit donc être adaptée en conséquence sur les membres du cluster ainsi que sur les éventuels équipements intermédiaires par lesquels les flux de HA transitent avant de réaliser la mise à jour du firewall. Ceci afin d'éviter une perte de connexion entre les membres du cluster.
Les ports utilisés par la HA sont disponibles dans la section Flux réseau liés à la HA de la note technique Haute disponibilité sur SNS.
VPN IPsec
VPN IPsec et HA
Les tunnels IPsec établis ne seront pas synchronisés entre les 2 membres du cluster lors de la mise à jour : ils seront interrompus et renégociés afin de pouvoir faire transiter le trafic chiffré.
Mode DR
Le mode DR défini en version 4.3 LTSB n'est pas compatible avec le mode DR des versions SNS précédentes et la mise à jour d'un firewall avec le mode DR activé est refusée par le firewall.
Veuillez consulter la note technique VPN IPsec - Mode Diffusion Restreinte pour la configuration du mode DR des versions 4.3 LTSB.
IKEv1
Les configurations listées ci-dessous ne sont plus autorisées en version 4.3 LTSB :
- Règles IKEv1 basées sur l'authentification par clé pré-partagée en mode agressif (tunnels nomades et tunnels site à site),
- Règles IKEv1 basées sur l'authentification en mode hybride (tunnels nomades),
- Correspondants de secours IKEv1.
Algorithmes non supportés
Les versions de firmware 4.3 LTSB n'assurent plus le support des algorithmes suivants :
- Blowfish,
- DES,
- CAST128,
- MD5,
- HMAC_MD5,
- NON_AUTH,
- NULL_ENC.
Si la politique IPsec du firewall à mettre à jour en version 4.3 LTSB utilise l'un ou l'autre de ces algorithmes, il est impératif de remplacer ces algorithmes dans la configuration IPsec du firewall avant de réaliser la mise à jour.
NAT-T
Dans une configuration mettant en œuvre du NAT-T (NAT-Traversal - Passage du protocole IPsec au travers d'un réseau réalisant de la translation d'adresses dynamique), il est impératif de définir l'adresse IP translatée comme identifiant d'un correspondant utilisant l'authentification par clé pré-partagée et pour lequel un ID local sous la forme d'une adresse IP aurait été forcé.
Qualité de service (QoS)
Les configurations de QoS définies dans une version antérieure à SNS 4.3 LTSB ne sont plus valides et il est impératif de reconfigurer la QoS après mise à jour du firewall.
Veuillez consulter la note technique Configurer la QoS sur les firewalls SNS pour la configuration de la QoS en version 4.3 LTSB.
Filtrage
SNS permet maintenant de définir et d'utiliser dans les politiques de filtrage des objets réseau basés sur les adresses MAC. Lorsqu'une adresse MAC est précisée dans un objet utilisé au sein d'une règle de filtrage, tout trafic provenant de cet objet et correspondant à cette règle de filtrage ne sera pas évalué si l'adresse MAC présentée durant l'échange diffère de celle de l'objet.
Firewalls équipés d'un TPM
Après une mise à jour en version SNS 4.3, les secrets stockés dans le TPM nécessitent d'être scellés avec les nouvelles caractéristiques techniques du système à l'aide de la commande : tpmctl -svp <TPMpassword>.
Pour plus d'informations sur ce sujet, consultez la Base de connaissances Stormshield.
VPN SSL
Il est nécessaire d'utiliser la dernière version 3.x du client VPN SSL.
Masque des réseaux assignés aux clients
La taille minimale du masque de l'objet réseau assigné aux clients UDP et TCP dans la configuration VPN SSL est à présent de /28.
Si le masque de cet objet réseau était de /29, il doit être modifié avant la migration du firewall en version 4.3 LTSB.
Authentification
Portail captif
Le portail captif n'accepte plus la sélection de certificats autres que des certificats serveur comportant l'ExtendedKeyUsage ServerAuth.
Agent SSO
Il est nécessaire d'utiliser la dernière version 3.x de l'Agent SSO.
Routage dynamique
Noms internes des interfaces sur les firewalls modèles SN160 et SN210(W)
Le nom interne des interfaces a changé sur les firewalls modèle SN160 et SN210(W).
Afin d'éviter des incohérences dans la configuration, il est fortement recommandé d'utiliser le nom utilisateur des interfaces (exemple : out) en lieu et place des noms internes des interfaces (exemple : eth0) et ce, quel que soit le modèle de firewall.
Protocole BGP
Dans les configurations utilisant le protocole BGP avec de l'authentification, il est nécessaire d'utiliser la directive "source address <ip>;".
Pour de plus amples informations sur la configuration de Bird, veuillez consulter la note technique Routage dynamique Bird.
Protocoles industriels
L'option de licence industrielle est vérifiée et la configuration des protocoles industriels est gelée si cette licence n'est pas présente (ou lorsque la maintenance du firewall est expirée).
Système
Durcissement du système d'exploitation
Le durcissement du système d'exploitation impose les contraintes suivantes pour les scripts personnalisés :
- Seuls les scripts shell sont autorisés et ils doivent explicitement être appelés par l'interpréteur (par exemple : sh script.sh et non ./script.sh).
- Pour les scripts lancés par le biais du planificateur d'événements (eventd), l'interpréteur doit être ajouté pour chaque tâche décrite dans le fichier de configuration du planificateur d'événements.
- Les scripts doivent être exclusivement situés dans la partition root (/) pour pouvoir être exécutés.
Protocole TLS - Suites cryptographiques
Les suites cryptographiques utilisées par le firewall pour initier ses propres connexions TLS (LDAPS, SYSLOG TLS, SMTPS...) ont été mises à jour. Les suites utilisables sont désormais :
- TLS_AES_128_GCM_SHA256,
- TLS_CHACHA20_POLY1305_SHA256,
- TLS_AES_256_GCM_SHA384,
- TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256,
- TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,
- TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256,
- TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256,
- TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,
- TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,
- TLS_EMPTY_RENEGOTIATION_INFO_SCSV.
Cette mise à jour peut rendre le firewall incompatible avec des serveurs utilisant des suites moins robustes. Nous vous invitons donc à vérifier la compatibilité des services TLS en interaction avec le firewall. Dans le cas précis du service LDAPS Microsoft Azure, il est nécessaire de forcer le firewall à initier des connexions utilisant des suites cryptographiques moins robustes (ECDHE-RSA-AES128-SHA256, DHE-RSA-AES128-SHA256, ECDHE-RSA-AES256-SHA384 ou DHE-RSA-AES256-SHA256) à l'aide la commande CLI / Serverd CONFIG CRYPTO SSLParanoiac=0.
Un redémarrage du firewall est nécessaire pour la prise en compte de cette modification.
Protocole TLS et services du firewall
Les services du firewall (LDAP, authentification, proxy...) utilisant le protocole TLS imposent désormais l'utilisation de TLS 1.2 ou 1.3. Les tentatives de connexion dans des versions antérieures de ce protocole n'aboutiront plus.
Active Update
Utilisation de miroirs internes
Si vous utilisez un site miroir interne Active Update, il est nécessaire de mettre à jour les paquets hébergés sur votre serveur avec les paquets signés par la nouvelle autorité de certification.
Il est également possible d'héberger le site miroir Active Update sur un serveur Stormshield Management Center (SMC).
En savoir plus sur l'utilisation de SMC comme point de distribution Active Update.
Sécurité renforcée pour les mises à jour de firmware
Le niveau de sécurité des mises à jour de firmware a été renforcé : en plus de protéger par signature l'intégrité des packages de mise à jour, Stormshield sécurise désormais les communications avec les serveurs de mise à jour utilisés. Ces communications s'établissent désormais via le protocole HTTPS et le port 443.
SN Real-Time Monitor (SNRTM)
SN Real-Time Monitor n'est pas compatible avec les versions 4.3 LTSB.
La supervision des firewalls doit désormais être réalisée au travers de l'onglet Monitoring de l'interface Web d'administration.
Firewalls virtuels
Pour pouvoir mettre à jour en version 4.3 LTSB un firewall virtuel initialement en version SNS 3.7 ou inférieure, veuillez suivre la procédure de migration d'un firewall virtuel V / VS-VU vers un modèle EVA.
Changements notables introduits entre la dernière version 3.7 LTSB et la dernière version 3.11 LTSB
VPN IPsec et CRL
Lorsque le paramètre CRLRequired est activé dans la configuration d'une politique VPN, il est désormais nécessaire de disposer de toutes les CRL de la chaîne de certification.
VPN SSL (OpenVPN)
Renforcement du niveau de sécurité
Le niveau de sécurité mis en œuvre lors de la négociation et de l'utilisation de tunnels VPN SSL (OpenVPN) a été accru.
Si vous utilisez le client VPN SSL Stormshield avec le mode automatique désactivé ou un autre client OpenVPN, la configuration des clients VPN SSL doit donc être modifiée en conséquence. Pour cela, téléchargez la configuration VPN SSL depuis le portail captif du firewall SNS hébergeant le service VPN SSL et importez la sur les clients. Avec le client VPN SSL Stormshield en mode automatique, le client récupérera automatiquement sa configuration.
Les nouvelles exigences à respecter sont les suivantes :
- L'utilisation d'algorithmes d'authentification et de chiffrement de force supérieure :
- SHA256,
- ECDHE-RSA-AES128-SHA256,
- AES-256-CBC (sauf sur les firewalls modèles SN160(W), SN210(W), SN310 qui conservent l'algorithme AES-128-CBC).
- Une compression des données activable basée sur les algorithmes LZ4,
- La vérification stricte du certificat présenté par le serveur (nom du certificat, et certificat de type "serveur").
Si vous n'utilisez pas le client VPN SSL Stormshield, notez qu'il est impératif de travailler avec une version récente des clients OpenVPN (2.4.x) ou OpenVPN Connect (smartphones et tablettes).
VPN SSL et certificats
Dans les configurations VPN SSL utilisant des certificats qui ne disposent pas du champ KeyUsage, les services externes peuvent ne plus parvenir à communiquer avec le firewall.
Pour authentifier un correspondant (client ou serveur) en TLS, les firewalls Stormshield acceptent désormais uniquement les certificats disposant du champ KeyUsage, c'est-à-dire les certificats conformes à la norme X509 v3.