Nouvelles fonctionnalités et améliorations de SNS 5.0.2 EA

Portail captif, VPN SSL et gestion des autorisations grâce à l'authentification Microsoft Entra ID

La version 5.0 de SNS introduit le support du protocole d'autorisation OpenID Connect (OIDC) afin d'être compatible avec l'authentification SSO Microsoft Entra ID.

Ceci permet aux utilisateurs de s'authentifier avec leur compte Microsoft Entra ID et d'être autorisés, selon les droits définis, à accéder au portail captif du firewall, à l'interface Web d'administration du firewall, à établir un tunnel via Stormshield SSL VPN ou d'être reconnus dans les règles de filtrage nécessitant une authentification.

VPN IPsec - Cryptographie hybride pour le chiffrement post-quantique

À partir de la version 5.0 de SNS, la cryptographie hybride peut être utilisée pour se protéger contre les attaques quantiques à l'aide d'algorithmes hybrides normalisés par le NIST dans le Module-Lattice-Based Key-Encapsulation Mechanism Standard (ML-KEM).

Vous pouvez utiliser un algorithme résistant aux attaques post-quantiques en plus de l'algorithme traditionnel pour protéger l'échange de clés des attaques quantiques. Notez que la cryptographie symétrique n'est pas vulnérable à ce type d'attaque.

Les algorithmes supportés en version 5.0 de SNS sont les suivants :

  • ML-KEM-512,
  • ML-KEM-768,
  • ML-KEM-1024.

Deux profils de chiffrement utilisant ces algorithmes en mode hybride sont désormais proposés dans l'onglet Profils de chiffrement du module VPN IPsec :

  • PQCEncryption : destiné aux configurations avec des correspondants utilisant exclusivement ce nouveau chiffrement post-quantique hybride,
  • PQCTransition : destiné aux configurations en cours de transition vers ce nouveau chiffrement post-quantique hybride.

VPN SSL - Performances

Le service VPN SSL intègre désormais le module Data Channel Offload (DCO) : lorsque DCO est activé, les opérations de chiffrement / déchiffrement des paquets de données transitant dans les tunnels VPN SSL sont traitées dans le noyau du système d'exploitation et non plus par le service VPN SSL du firewall. Ceci offre des performances accrues et permet au service VPN SSL de traiter l'établissement d'un nombre plus important de tunnels VPN SSL.

Notez que DCO :

  • N'est compatible qu'avec les tunnels VPN SSL basés sur UDP,
  • N'est pas activé par défaut lors de la migration d'une configuration existante,
  • Nécessite la sélection de la suite de chiffrement AES-GCM.

VPN IPsec - Mode transition DR

Le mode Diffusion Restreinte (DR) introduit en version SNS 4.2 ne permet pas de faire cohabiter des politiques respectant les spécifications IPsec DR définies par l'ANSSI et des politiques respectant la norme IPsec standard (RFC 7292 IKEv2bis).

La version 5.0 de SNS permet de configurer des tunnels VPN IPsec se comportant comme des tunnels en mode DR, tout en conservant la possibilité d'établir des tunnels VPN IPsec respectant la norme standard. Cette fonctionnalité, nommée "Mode Transition DR", s'applique aux architectures complexes dont le processus de mise en conformité avec le mode DR doit passer par une phase de transition pendant laquelle des politiques IPsec DR et standard (non-DR) seront amenées à coexister.

Pour plus d'informations sur le mode Transition DR, consultez la Note Technique Utiliser le mode Transition DR pour rendre une architecture IPSec compatible avec le mode DR.

API REST de configuration

La version 5.0 de SNS fournit un premier socle d'API REST pour interagir avec vos firewalls à l'aide d’outils d'orchestration.

Cette première version permet de manipuler les listes noires de machines mises en quarantaine par l'administrateur.

Cette API sera enrichie au fur et à mesure des versions SNS à venir.

Pour plus d'informations sur l'activation de l'API REST et la manipulation des clés API, consultez le manuel utilisateur SNS v5 ainsi que la documentation de l'API REST SNS.

Qualité de service (QoS)

La fonctionnalité de QoS n'est désormais plus en accès anticipé.

Pour plus d'informations sur la QoS consultez la Note Technique Configurer la QoS sur les firewalls SNS.

Sécurité renforcée

Durcissement du système

Dans le cadre du durcissement du système d'exploitation SNS, la gestion des privilèges a été renforcée lors d'opérations de maintenance, de mise à jour du firewall ou de l'utilisation de certains services (agent SNMP, envoi d'e-mails...).

Certificats signé avec l'algorithme SHA1

À compter de la version 5.0 de SNS, les certificats signés avec l'algorithme SHA1 ne sont plus supportés et ne peuvent plus être utilisés dans les différents modules proposant l'utilisation de certificats (VPN SSL, Télémétrie, Sauvegardes automatiques...).

Vérification de l'activation de Secure Boot

L'interface Web d'administration affiche un message d'avertissement lorsque Secure Boot n'est pas activé sur le firewall. Notez que l'activation de Secure Boot impose des contraintes : pour évaluer ces contraintes et suivre la procédure d'activation de Secure Boot, veuillez consulter la Note Technique Gérer Secure Boot dans l'UEFI des firewalls.

Politique de mots de passe

La politique de mots de passe autorise désormais l'utilisation d'une combinaison de caractères alphanumériques majuscules / minuscules et de caractères spéciaux. Elle est sélectionnée par défaut sur les firewalls en configuration d'usine.

Configuration d'usine - Modification des serveurs DNS utilisés par le firewall

En configuration d'usine, les firewalls SNS utilisent désormais les serveurs DNS proposés par le service européen dns0.eu.

Intégration dans divers environnements

SD-WAN

La gestion du contrôle de disponibilité des passerelles SD-WAN a été améliorée afin de mieux prendre en compte certains cas spécifiques de coupures réseau dans les environnements disposant de plusieurs accès WAN.

Pour plus d'informations concernant la configuration du SD-WAN, consultez la Note Technique SD-WAN - Sélectionner le meilleur lien réseau.

Script pour les firewalls EVA dans VMWare

Dans un environnement VMWare, il est désormais possible de définir un script "user-data" lors du déploiement d’un modèle OVF d’un firewall EVA dans vSphere Client.

Zero Touch Provisioning (ZTP)

Support du processus d’enrôlement Zero Touch Provisioning (ZTP) avec la console de management centralisé (SMC version 3.8 ou supérieure).

Notez que cette fonctionnalité n'est pas disponible pour les firewalls disposant d'un certificat interne signé par la CA Netasq (firewalls produits avant 2019).

Évolution des performances

Performances générales

La version 5 de SNS améliore les performances générales des firewalls Stormshield.

Pour plus d'informations concernant les performances des firewalls, veuilles consulter les fiches produits disponibles sur le site institutionnel de Stormshield.

Proxy

Les performances du proxy ont été améliorées et autorisent jusqu'à 25% de débit supplémentaire.

Rechargement asynchrone des règles de filtrage

Le rechargement de la politique de filtrage peut désormais être réalisé de manière asynchrone afin de minimiser l'impact sur le trafic réseau : les règles de filtrage ne sont pas réévaluées immédiatement, mais au moment de leur utilisation.

Ce mécanisme est particulièrement intéressant pour les configurations regroupant un nombre élevé de règles et de connexions concurrentes.

Il n'est pas actif par défaut et doit être activé à l'aide de la séquence de commandes CLI / Serverd suivante :

CONFIG SECURITYINSPECTION COMMON STATEFUL AsyncReload=1
CONFIG SECURITYINSPECTION ACTIVATE

Pour plus d'informations sur le rechargement asynchrone des règles de filtrage, consultez la Note Technique Mettre en œuvre le rechargement asynchrone des règles de filtrage.

Amélioration de l'expérience utilisateur

Interface Web d'administration

L'interface Web d'administration du firewall permet désormais d'ouvrir simultanément un onglet de configuration et un onglet de supervision dans un même navigateur. Ceci permet de visualiser plus facilement la bonne application de la configuration.

Cette manipulation est réalisable en cliquant sur l'icône présente dans l'intitulé des onglets Configuration et Monitoring.

Le thème SNS et l'interface utilisateur ont été revus pour une plus grande fluidité de navigation.

TPM

Le flux de traitement lié au TPM a été amélioré en supprimant la nécessité de sceller avec les nouvelles caractéristiques techniques du système les secrets stockés dans le TPM lors d'une modification impactant l'UEFI du firewall.

Supervision des tunnels IPsec

Une barre de recherche est désormais disponible dans le module de supervision du VPN IPsec.

Logs en temps réel

Le module Logs en temps réel permet de visualiser les derniers logs stockés en mémoire sur les firewalls ne disposant pas d'une carte SD.

Protocole HTTP

Il est désormais possible de configurer la valeur des deux jetons de configuration AuthorizationBearerBuffer et AuthorizationNegotiateBuffer dans le module de configuration de l'analyse protocolaire HTTP.

Envoi d'e-mails

Le moteur d'envoi d'e-mails a été durci pour une sécurité accrue et les modèles de messages sont désormais personnalisables dans l'interface Web d'administration grâce à l'utilisation de variables pour chacun d'entre eux.

Version du BIOS - Commande CLI / Serverd

La commande CLI / Serverd SYSTEM PROPERTY remonte désormais les informations concernant le BIOS du firewall, notamment la version de BIOS.

SNMP - Nouvelle table snsMemUsageTable

Une nouvelle table snsMemUsageTable a été ajoutée dans la MIB STORMSHIELD-SYSTEM-MONITOR-MIB.txt afin de présenter de manière plus exploitable les différentes mesures de consommation mémoire.

Télémétrie

Nouvelles données remontées par le service de télémétrie

Le service de télémétrie de la version 5.0 de SNS remonte de nouvelles données :

  • Données concernant l'état du SSD :
    • Nombre de blocs retirés de l'utilisation du SSD en raison d'un échec de programmation ou d'effacement,
    • Nombre d'heures de mise sous tension du SSD,
    • Nombre moyen d'effacements des blocs (nombre de fois où le SSD a été complètement écrit),
    • Pourcentage de durée de vie restante,
    • Indicateur d'usure du SSD (0 - 100%),
    • Nombre total de secteurs de 512 octets écrits pendant toute la durée de vie du SSD,
    • Nombre total de secteurs de 512 octets lus pendant toute la durée de vie du SSD.
  • Données concernant la politique de filtrage :
    • Nombre de rechargements de la politique de filtrage depuis le démarrage du firewall,
    • État d'activation du mode de rechargement asynchrone des règles de filtrage.
  • Données concernant les tunnels IPsec :
    • Nombre de tunnels mobiles configurés avec un mécanisme Key-Encapsulation Mechanism (KEM) utilisant un algorithme résistant aux attaques post-quantiques,
    • Nombre de tunnels mobiles établis avec un mécanisme KEM utilisant un algorithme résistant aux attaques post-quantiques,
    • Nombre de tunnels site-à-site configurés avec un mécanisme KEM utilisant un algorithme résistant aux attaques post-quantiques,
    • Nombre de tunnels site-à-site établis avec un mécanisme KEM utilisant un algorithme résistant aux attaques post-quantiques.

En transmettant ces données parfaitement anonymes, vous aidez Stormshield à affiner les tailles et limites des futures plate-formes matérielles et versions SNS.

Plus d'informations sur le service de télémétrie.

Divers

  • Système d'exploitation : la version 5 de SNS est basée sur FreeBSD 14.
  • Prévention d'intrusion : les services NPDU et BVLL sont désormais pris en charge par le moteur d'analyse protocolaire BacNet/IP.
  • La fonctionnalité Energy Efficient Ethernet (EEE) associée aux cartes réseau Ethernet 2.5 Gbit/s est désormais prise en charge.
  • L'OID sysObjectID (1.3.6.1.2.1.1.2) permet désormais de récupérer le modèle du firewall via une requête SNMP.