Support IPv6

Détail des fonctionnalités supportées

Système

ACL

Un réseau interne IPv6 est automatiquement intégré au groupe « Network_internals ».

Configuration : NTP

Un firewall peut synchroniser son horloge avec un serveur de temps (serveur NTP) paramétré en IPv6.

Serveur d’administration IPv4/IPv6

L’administration d’un firewall peut être réalisée indifféremment depuis une machine distante adressée en IPv4 ou IPv6 (administration Web et connexions SSH). Pour ce faire, le serveur doit écouter sur les deux protocoles.

Active Update

Les fonctions de protection applicative prises en charge par Active Update (Antispam, Antivirus, etc.) peuvent récupérer leurs mises à jour depuis un serveur miroir disposant d’une adresse IPv6.

Haute disponibilité (HA)

Le transfert de sessions établies en IPv4 ou IPv6 peut être réalisé sur un lien HA en IPv4.

Commandes CLI

Les commandes IPv6 sont accessibles depuis le module Configuration > Commandes CLI de l’interface web d’administration du firewall.

Réseau

Interfaces : double pile

Une interface du firewall peut posséder simultanément une adresse IPv4 et une adresse IPv6 (double pile).

Interfaces : adressage IPv6 unique

Il est possible de paramétrer un firewall (ou simplement l’une de ses interfaces) en IPv6 seul.

Interfaces : annonces de routeur (RA)

Le firewall peut émettre des messages d’annonces de routeurs et de préfixes (RA : Router Advertisement).

Routage statique

Des routes statiques IPv6 peuvent être définies sur le firewall.

Routage dynamique

Le moteur de routage dynamique prend en charge les routes IPv6 (protocoles RIP / BGP / OSPF).

DHCPv6

Le firewall peut jouer le rôle d’un serveur ou d’un relai DHCPv6.

Objets

Objets réseau

Un objet réseau peut avoir une adresse IPv4 seule, une adresse IPv6 seule ou les deux (double pile).

Utilisateurs

Authentification

La connexion au portail web d’authentification peut être réalisée indifféremment depuis une machine distante adressée en IPv4 ou IPv6.

Politique de sécurité

Filtrage

Une règle de filtrage peut contenir simultanément des objets IPv4, des objets IPv6 et des objets IPv4 et IPv6 (double pile).

Filtrage : vérificateur de cohérence des règles

Le vérificateur de cohérence s’applique également aux règles incluant des objets IPv6.

Filtrage : IPS

L’analyse protocolaire est applicable aux protocoles de niveau 7 transportés sur IPv6 (exemple : HTTP, SMTP, etc.).

Qualité de service

Des traitements de qualité de service peuvent être appliqués aux flux IPv6.

Règles implicites IPv6

Des règles implicites propres aux services IPv6 (Annonces de routeur, DHCPv6) ont été ajoutées (ces règles sont listées dans le paragraphe Généralités > Règles implicites).

Supervision

Alarmes / Traces

Les événements déclenchés par des flux IPv6 (alarmes, etc.) sont enregistrés dans les fichiers de traces.

VPN

IPsec IKEv1

Des flux IPv4 et/ou IPv6 peuvent transiter dans des tunnels IPsec établis :

  • Entre des extrémités de tunnel IPv6,
  • Entre des extrémités de tunnel IPv4.

Notifications

Syslog

Les traces peuvent être envoyées à destination de serveurs syslog adressés en IPv6.

Serveur SNMP

Le serveur SNMP intègre la MIB-2 IPv6. Il peut également générer des Traps en IPv6.

Fonctionnalités non supportées

En version SNS 4, voici les principales fonctionnalités non disponibles pour le trafic IPv6 :

  • Le trafic IPv6 au travers de tunnels IPsec basés sur des interfaces IPsec virtuelles (VTI),
  • La translation d'adresses IPv6 (NATv6),
  • Inspections applicatives (Antivirus, Antispam, Filtrage URL, Filtrage SMTP, Filtrage FTP, Filtrage SSL),
  • L’utilisation du proxy explicite,
  • Le cache DNS,
  • Les tunnels VPN SSL portail,
  • Les tunnels VPN SSL,
  • L’authentification via Kerberos,
  • Le Management de Vulnérabilités,
  • Les interfaces modems (en particulier les modems PPPoE).

Généralités

Active Update

Le service Active Update du Firewall peut désormais s’adresser à des serveurs de mise à jour configurés en IPv6. Dans ce cas, il est nécessaire d’installer un serveur miroir de mises à jour configuré en double pile (IPv4 / IPv6) : ce dernier pourra se synchroniser en IPv4 avec les serveurs Active Update de Stormshield, et mettre à disposition ses mises à jour aux firewalls en IPv6.

Haute Disponibilité

Dans le cas où un Firewall est en Haute Disponibilité et a activé la fonctionnalité IPv6, les adresses MAC des interfaces portant de l'IPv6 (autres que celles du lien HA) doivent impérativement être définies en configuration avancée. En effet, les adresses de lien local IPv6 étant dérivées de l'adresse MAC, ces adresses seront différentes, entrainant des problèmes de routage en cas de bascule.

Protocoles

L’activation du support IPv6 ne modifie pas les éléments de configuration du protocole IP (module Protection Applicative > Protocoles).

Règles implicites

Des règles implicites propres à l’utilisation des services IPv6 ont été ajoutées et peuvent être activées  ou désactivées. Ces règles sont les suivantes:

  • Autoriser les sollicitations de routeur (RS) en multicast ou à destination du firewall,
  • Autoriser les requêtes au serveur DHCPv6 et les sollicitations multicast DHCPv6.