Support IPv6
Détail des fonctionnalités supportées
Système
ACL
Un réseau interne IPv6 est automatiquement intégré au groupe « Network_internals ».
Configuration : NTP
Un firewall peut synchroniser son horloge avec un serveur de temps (serveur NTP) paramétré en IPv6.
Serveur d’administration IPv4/IPv6
L’administration d’un firewall peut être réalisée indifféremment depuis une machine distante adressée en IPv4 ou IPv6 (administration Web et connexions SSH). Pour ce faire, le serveur doit écouter sur les deux protocoles.
Active Update
Les fonctions de protection applicative prises en charge par Active Update (Antispam, Antivirus, etc.) peuvent récupérer leurs mises à jour depuis un serveur miroir disposant d’une adresse IPv6.
Haute disponibilité (HA)
Le transfert de sessions établies en IPv4 ou IPv6 peut être réalisé sur un lien HA en IPv4.
Commandes CLI
Les commandes IPv6 sont accessibles depuis le module Configuration > Commandes CLI de l’interface web d’administration du firewall.
Réseau
Interfaces : double pile
Une interface du firewall peut posséder simultanément une adresse IPv4 et une adresse IPv6 (double pile).
Interfaces : adressage IPv6 unique
Il est possible de paramétrer un firewall (ou simplement l’une de ses interfaces) en IPv6 seul.
Interfaces : annonces de routeur (RA)
Le firewall peut émettre des messages d’annonces de routeurs et de préfixes (RA : Router Advertisement).
Routage statique
Des routes statiques IPv6 peuvent être définies sur le firewall.
Routage dynamique
Le moteur de routage dynamique prend en charge les routes IPv6 (protocoles RIP / BGP / OSPF).
DHCPv6
Le firewall peut jouer le rôle d’un serveur ou d’un relai DHCPv6.
Objets
Objets réseau
Un objet réseau peut avoir une adresse IPv4 seule, une adresse IPv6 seule ou les deux (double pile).
Utilisateurs
Authentification
La connexion au portail web d’authentification peut être réalisée indifféremment depuis une machine distante adressée en IPv4 ou IPv6.
Politique de sécurité
Filtrage
Une règle de filtrage peut contenir simultanément des objets IPv4, des objets IPv6 et des objets IPv4 et IPv6 (double pile).
Filtrage : vérificateur de cohérence des règles
Le vérificateur de cohérence s’applique également aux règles incluant des objets IPv6.
Filtrage : IPS
L’analyse protocolaire est applicable aux protocoles de niveau 7 transportés sur IPv6 (exemple : HTTP, SMTP, etc.).
Qualité de service
Des traitements de qualité de service peuvent être appliqués aux flux IPv6.
Règles implicites IPv6
Des règles implicites propres aux services IPv6 (Annonces de routeur, DHCPv6) ont été ajoutées (ces règles sont listées dans le paragraphe Généralités > Règles implicites).
Supervision
Alarmes / Traces
Les événements déclenchés par des flux IPv6 (alarmes, etc.) sont enregistrés dans les fichiers de traces.
VPN
IPsec IKEv1
Des flux IPv4 et/ou IPv6 peuvent transiter dans des tunnels IPsec établis :
- Entre des extrémités de tunnel IPv6,
- Entre des extrémités de tunnel IPv4.
Notifications
Syslog
Les traces peuvent être envoyées à destination de serveurs syslog adressés en IPv6.
Serveur SNMP
Le serveur SNMP intègre la MIB-2 IPv6. Il peut également générer des Traps en IPv6.
Fonctionnalités non supportées
En version SNS 4, voici les principales fonctionnalités non disponibles pour le trafic IPv6 :
- Le trafic IPv6 au travers de tunnels IPsec basés sur des interfaces IPsec virtuelles (VTI),
- La translation d'adresses IPv6 (NATv6),
- Inspections applicatives (Antivirus, Antispam, Filtrage URL, Filtrage SMTP, Filtrage FTP, Filtrage SSL),
- L’utilisation du proxy explicite,
- Le cache DNS,
- Les tunnels VPN SSL portail,
- Les tunnels VPN SSL,
- L’authentification via Kerberos,
- Le Management de Vulnérabilités,
- Les interfaces modems (en particulier les modems PPPoE).
Généralités
Active Update
Le service Active Update du Firewall peut désormais s’adresser à des serveurs de mise à jour configurés en IPv6. Dans ce cas, il est nécessaire d’installer un serveur miroir de mises à jour configuré en double pile (IPv4 / IPv6) : ce dernier pourra se synchroniser en IPv4 avec les serveurs Active Update de Stormshield, et mettre à disposition ses mises à jour aux firewalls en IPv6.
Haute Disponibilité
Dans le cas où un Firewall est en Haute Disponibilité et a activé la fonctionnalité IPv6, les adresses MAC des interfaces portant de l'IPv6 (autres que celles du lien HA) doivent impérativement être définies en configuration avancée. En effet, les adresses de lien local IPv6 étant dérivées de l'adresse MAC, ces adresses seront différentes, entrainant des problèmes de routage en cas de bascule.
Protocoles
L’activation du support IPv6 ne modifie pas les éléments de configuration du protocole IP (module Protection Applicative > Protocoles).
Règles implicites
Des règles implicites propres à l’utilisation des services IPv6 ont été ajoutées et peuvent être activées ou désactivées. Ces règles sont les suivantes:
- Autoriser les sollicitations de routeur (RS) en multicast ou à destination du firewall,
- Autoriser les requêtes au serveur DHCPv6 et les sollicitations multicast DHCPv6.