Correctifs de SNS 5.0.2 EA
Système
Syslog - SD-WAN
Un paramètre gérant le délai de reprise d'envoi des logs a été ajouté dans chaque profil syslog défini sur le firewall.
Dans une configuration utilisant le SD-WAN et les objets routeurs, suite à une coupure réseau et une bascule sur une passerelle de secours, ce paramètre permet, pour chacun des profils, de régler le délai après lequel le firewall tente de nouveau d'émettre des logs vers le serveur syslog et de limiter le risque de pertes de logs.
Ce délai, jusque ici fixé à 60 secondes, peut être ajusté entre 5 et 600 secondes.
Rapports
Références support 85380 - 82777
Des améliorations ont été apportées afin de limiter la taille de la base de données des rapports et éviter que celle-ci ne remplisse à tort sa partition.
Référence support 84256
Dans une configuration gérant la réputation des machines, la commande CLI / Serverd REPORT RESET report=all permet désormais de vider entièrement la base de données des rapports comme attendu.
Plus d'informations concernant la commande REPORT RESET.
VPN IPsec
Référence support 85641
Lors de la renégociation d'une association de sécurité IKE, les informations d'authentification sont désormais transférées et le moteur de prévention d'intrusion ne coupe plus la connexion.
Référence support 84803
Désormais, les tunnels VPN sont de nouveau renégociés quand le certificat du correspondant est modifié. Cette régression était apparue en version SNS 4.8.0.
Référence support 85940
Des optimisations ont été apportées aux calculs de durée de vie des associations de sécurité afin de limiter les risques de conflits dans le cas d'une mauvaise configuration IPsec.
Interfaces IPsec virtuelles (VTI)
Référence support 85770
L'exécution de la commande ennetwork -f sur une configuration comportant un tunnel basé sur des interfaces IPsec virtuelles ne provoque plus à tort une interruption du tunnel IPsec.
Certificats et PKI
Référence support 85948
La commande CLI / Serverd PKI SCEP QUERY prend désormais correctement en compte les arguments bindaddr et bindport permettant de préciser une adresse IP ou un port spécifique pour la requête.
Plus d'informations concernant la commande PKI SCEP QUERY.
Pilotes de cartes réseau
Les valeurs par défaut de certaines files d'attente définies pour chaque pilote de carte réseau ont été augmentées. Cela permet d'éviter de faibles pertes de paquets bien que la charge CPU du firewall ne soit pas importante.
Filtrage et NAT
Références support 80798 - 85537
Vous devez désormais effectuer un double clic sur le commentaire d'une règle de NAT ou de filtrage non sélectionnée pour modifier ce commentaire. Dans les versions SNS antérieures, un clic sur le commentaire d'une règle de NAT ou de filtrage non sélectionnée provoquait en effet l'ouverture puis la fermeture quasi immédiate de l'édition du commentaire.
Configuration - Vérifier l'utilisation
Lorsqu'un utilisateur / groupe d'utilisateurs est présent dans plusieurs Annuaires LDAP référencés sur le firewall, l'utilisation de la fonction Vérifier l'utilisation ne retourne désormais que les résultats relatifs à l'annuaire concerné.
Configuration - Accès via SSH
Référence support 85101
L'utilisation des caractères "<" et ">" entre guillemets dans les commandes CLI Serverd exécutées en console sur le firewall par le biais d'une connexion SSH est désormais correctement interprétée et ne provoque plus le message d'erreur "Error in format".
Sauvegardes automatiques
Lorsque le module des sauvegardes automatiques est configuré pour utiliser un certificat signé avec l'algorithme SHA1, ce certificat est refusé et un message d'avertissement invite l'administrateur à générer un nouveau certificat personnalisé signé par des algorithmes sécurisés.
Haute disponibilité - Optimisation du basculement
Référence support 85773
Désormais, lorsque la case Redémarrer toutes les interfaces incluses dans un bridge est cochée, seules les interfaces contenues dans un bridge redémarrent.
Haute disponibilité - Restauration de sauvegarde
Référence support 86025
La restauration d'une sauvegarde de configuration ne dissocie plus les clés SSH utilisées pour la synchronisation au sein du cluster. Ce problème rendait toute synchronisation HA impossible.
Haute disponibilité - Rapports
Références support 85511 - 85844
La synchronisation HA a été modifiée afin de ne plus déclencher d'erreur lorsque la partition contenant les rapports est remplie à plus de 50%.
Serveur LDAPS
Référence support 85766
Il est désormais possible d'utiliser un objet machine global pour configurer un serveur LDAPS.
Filtrage d'URL - Extended Web Control (EWC)
Références support 85849 - 86059
Le service de filtrage d'URL EWC est de nouveau fonctionnel suite à la mise à jour de l'adresse IP du serveur ewc-sns.stormshieldcs.eu dans la configuration du service.
Proxy - Statistiques
Référence support 86067
Le proxy peut désormais écrire ses statistiques dans le répertoire /log/verbose. Cette régression était apparue en version SNS 5.0.0.
Proxy - Antivirus
Références support 85841 - 86055
Un problème pouvant provoquer des arrêts inopinés du proxy lors de la mise à jour de la base antivirale a été corrigé.
Sur un firewall SNS utilisant le contrôle antiviral, la mise à jour depuis la version 4 vers la version 5 provoque le téléchargement automatique de la nouvelle base de données antivirale.
La mise à jour en version 5 d'une configuration utilisant des mises à jour manuelles pour l'antivirus avancé (fichiers portant l'extension ".ssp" et téléchargeables dans l'espace client MyStormshield) n’entraîne plus à tort le téléchargement automatique et régulier de la base de données antivirale.
Supervision des modules d'alimentation - Firewalls SN-S-Series-220/320
Le fait de ne brancher qu'une seule alimentation sur un firewall modèle SN-S-Series-220/320 ne provoque plus à tort une alerte indiquant qu'un module d'alimentation est défectueux.
Sauvegarde de la base de données des rapports
Référence support 85700
La sauvegarde de la base de données des rapports peut être lente lorsque cette base dépasse une taille de l'ordre de 25 Mo, ce qui peut bloquer le processus de mise à jour du firewall, notamment dans le cas d'une configuration en haute disponibilité. Un délai d'expiration de 60 secondes a été ajouté au mécanisme de sauvegarde afin de ne plus pénaliser la mise à jour du firewall.
Redondance de serveurs SMC
Référence support 86112
En cas de coupure du serveur SMC principal, le firewall SNS se connecte au serveur secondaire. Auparavant, en cas de retour du serveur principal, aucune opération (déploiement, accès firewall, ...) ne pouvait être réalisée depuis ce serveur. Ce problème a été corrigé.
Optimisation
Références support 84995 - 85981 - 86070
Le rechargement de configuration consécutif à un déploiement SMC ou à une restauration de configuration a été optimisé.
Authentification
L'utilisation de caractères accentués dans un identifiant (connexion à l'interface Web d'administration, VPN ...) ne rend plus à tort cet identifiant sensible à la casse.
Authentification - Annuaire LDAP interne
Référence support 86096
La présence de crochets "[" ou "]" dans la configuration d'un annuaire LDAP interne, par exemple dans un mot de passe, n'empêche plus le chargement correct de cet annuaire.
Pages d'authentification du firewall
La directive CSP 'Frame-Ancestor' des pages Web d'authentification du firewall était incorrecte et a été corrigée.
Routage multicast dynamique
Référence support 85819
La valeur minimale du paramètre TTL (Time To Live) d'une interface impliquée dans le routage multicast dynamique était erronée et a été corrigée. Cette valeur est désormais égale à 1.
VPN SSL
Référence support 85904
La modification du port d'écoute du service VPN SSL affiche désormais un message indiquant la nécessité de redémarrer le firewall pour une prise en compte correcte du changement.
Commandes CLI / Serverd
Filtrage et NAT
Référence support 85566
La documentation et l'aide intégrée de la commande CLI / Serverd CONFIG FILTER RULE UPDATE ont été corrigées : le paramètre srcport ne peut représenter qu'un unique port ou une unique plage de ports et non une liste de ports comme indiqué à tort précédemment.
Plus d'informations concernant la commande CONFIG FILTER RULE UPDATE.
Sauvegarde et restauration
La documentation et l'aide intégrée des commandes CLI / Serverd CONFIG BACKUP et CONFIG RESTORE ont été complétées pour l'argument list.
Machines virtuelles
Configuration en haute disponibilité (HA) et Pay As You Go (PAYG)
Référence support 85730
Le mécanisme de gestion des licences au sein du cluster a été amélioré afin de permettre au firewall passif de récupérer sa licence par synchronisation avec le firewall actif lors de l'enrôlement Pay As You Go du cluster.
Firewalls virtuels EVA déployés sur l'hyperviseur Microsoft Hyper-V
Référence support 85840
Sur un firewall virtuel EVA déployé sur l'hyperviseur Microsoft Hyper-V, l'état d'une interface débranchée dans la configuration de l'hyperviseur est désormais correctement pris en compte par le firewall. Ce problème faussait le résultat du calcul du facteur de qualité de la haute disponibilité (HA).
Firewalls virtuels EVA - Labels de partitions
La partition d'échange (Swap) est de nouveau montée automatiquement au démarrage de la machine virtuelle. La présence de cette partition permet d'absorber une partie de la charge mémoire.
Machines virtuelles Pay As You Go (PAYG)
Référence support 85559
Les objets machines enroll-sns.stormshieldcs.eu et accounting-sns.stormshieldcs.eu utilisés dans les machines virtuelles PAYG ont été ajoutés dans la configuration de SNS.
Machine virtuelle PAYG sur Microsoft Azure
A la fin du déploiement d'un firewall PAYG sur la plate-forme Microsoft Azure, les accès au firewall en SSH et à l'interface Web administration en HTTPS sont de nouveau opérationnels.
Moteur de prévention d'intrusion
Analyse protocolaire
Références support 85910 - 86013
Des problèmes ont été identifiés et corrigés dans le code du moteur de prévention d'intrusion. Ces problème pouvaient engendrer un blocage du firewall.
Protocole TCP
Référence support 85929
L'utilisation de l'option Activer l'ajustement automatique de la mémoire dédiée au suivi de données associée à des options avancées du type TCP Selective ACKnowledgment (SACK) ne provoque plus à tort un débordement de la file de données, caractérisé par l'alarme bloquante "Débordement de la file de données TCP" (tcpudp:84).
Routage dynamique BIRD
Référence support 84579
Désormais, seules les routes que BIRD envoie au noyau sont récupérées dans la table des adresses réseaux protégées.
Protocole SIP
La valeur par défaut des paramètres Action / Niveau associés à l'alarme sensible "Adresse anonyme dans la connexion SDP" (alarme sip:465) est désormais Bloquer / Majeur. Cette valeur était auparavant positionnée à tort sur Passer / Mineur.
Mode furtif désactivé - Analyse IPv6
Référence support 85327
Un firewall dont le mode furtif a été désactivé ne se bloque plus de manière inopinée lors de l'analyse de paquets IPv6.
Commandes système sfctl
Référence support 85757
L'analyse des arguments passés aux commandes système sfctl ne s'arrête plus à tort après le premier caractère alphabétique. Ce comportement pouvait entraîner le déclenchement d'une commande ne correspondant pas à la commande demandée mais similaire à celle-ci jusqu'au premier caractère alphabétique.
Protocole SCTP - Haute disponibilité (HA)
Référence support 85372
A chaque bascule HA, la date d'établissement d'une association SCTP était incrémentée d'une seconde. Ce problème a été résolu.
Gestion des utilisateurs dans le moteur de prévention d'intrusion
Référence support 85999
Auparavant, lors du vidage des connexions, une recherche d'utilisateur était effectuée afin de relier les IP sources des connexions à des utilisateurs éventuels. La recherche est désormais effectuée à la création de la connexion afin d'éviter des temps de latence. Cette régression a été introduite en version SNS 3.4.0.
Matériel
Energy Efficient Ethernet (EEE)
L'activation de EEE sur les cartes réseau compatibles est désormais fonctionnelle. Ces cartes présentent la case à cocher Activer la norme IEEE 802.3az (EEE) dans leur configuration avancée.
Bus de communication LPC
Référence support 84328
Un problème d'accès concurrentiels sur le bus de communication LPC, pouvant entraîner des remises en configuration d'usine inopinées ou des lectures erronées de données de supervision matérielle, a été résolu.
Protocole Profinet
Référence support 86082
Les paquets Profinet, utilisant le VLAN 0, sont désormais correctement pris en charge par un firewall utilisant le driver igc ou doté d'une interface IX, et ne sont plus bloqués à tort.
Interface Web d'administration
Administrateurs - Compte admin
Le résultat de l'export de la clé privée ou de la clé publique du compte super-administrateur (compte admin) est désormais un fichier au format texte. Il était précédemment au format csv.
Protocoles - Filtrage dans l'onglet Analyse Sandboxing
La fonction de filtrage dans l'onglet Analyse Sandboxing des protocoles HTTP / SMTP / POP3 et IMAP et dans la grille des autorités de certification du protocole SSL est de nouveau fonctionnelle. Cette régression était apparue en version SNS 4.8.0.
Interfaces - Type de média
La valeur 5 Gbit/s a été ajoutée à la liste de médias pouvant être sélectionnés pour une interface réseau.
Restauration d'une configuration SNS v4.3.3x LTSB
La restauration d'une configuration SNS v4.3.3x LTSB sur un firewall en version 5.0 ne bloque plus l'accès à l'interface Web d'administration du firewall.
Haute disponibilité - Liens redondants
Référence support 86154
Lors de la création d'un cluster possédant deux liens HA, les adresses IP du lien secondaire sont désormais correctement prises en compte.
Routage dynamique BIRD
Lors d'une erreur de configuration du routage dynamique BIRD, la console de vérification affiche désormais l'ensemble des détails de l'erreur rencontrée. Cette information était auparavant tronquée.