Changements de comportement

Cette section liste les changements de comportements automatiques liés à la mise à jour de votre firewall SNS en version 5.0.5 depuis la dernière version 4.8 LTSB disponible.

La version 5 de SNS étant une version majeure, elle introduit des changements de comportement pouvant avoir des impacts importants sur les configurations en production : il est donc fortement recommandé de consulter attentivement cette liste de changements de comportements ainsi que les pré-requis à la mise à jour en version 5.

Changements introduits en version 5.0.5

Fonctionnalités obsolètes supprimées en version 5

L'authentification multi-utilisateurs (authentification par cookie) est obsolète et sera supprimée dans une version à venir. Veuillez la remplacer par la méthode Agent TS.

Changements introduits en version 5.0

Prérequis pour la mise à jour

  • Après une mise à jour en version SNS 5.0.4 EA depuis SNS 4.3.41, et si les certificats utilisés pour les services VPN IPsec ou VPN SSL sont protégés par le TPM, il est nécessaire de resceller le module TPM.
    Pour plus d'informations sur le module TPM, reportez-vous à la section Trusted Platform Module du manuel utilisateur SNS.
  • La mise à jour en version 5 d'une configuration VPN SSL utilisant un algorithme différent de AES-128-GCM, AES-192-GCM, AES-256-GCM et ChaCha20-Poly1305) ou avec la compression activée est refusée.
  • La mise à jour d'un firewall en version 5 est refusée si le certificat utilisé par le firewall a été signé avec l'algorithme obsolète SHA1.
  • La mise à jour d'un firewall en version 5 est refusée si le moteur antiviral ClamAV est utilisé.
  • L’algorithme de chiffrement 3DES n'est plus disponible en version 5 de SNS pour les configurations IPsec. La mise à jour en version 5 d'une configuration IPsec utilisant cet algorithme étant refusée, veuillez modifier votre configuration IPsec et remplacer 3DES par un autre l’algorithme avant la mise à jour.
  • Le routage par interface n'est plus disponible en version 5 de SNS : la migration d'une configuration v4 utilisant cette fonctionnalité vers une version 5 de SNS est refusée par le système.

Certificats

Un certificat est généré automatiquement lors du premier démarrage d'un firewall en version 5 de SNS. Ce certificat est utilisé par les services d'authentification du firewall basés sur le protocole TLS (Interface Web d'administration, portail captif) pour les firewalls en configuration d'usine ou lorsque le certificat du portail n'a pas été défini explicitement.

Remplacement du package de rattachement d'un firewall SNS

Depuis SMC, vous pouvez générer à tout moment un nouveau package de rattachement pour un firewall déjà connecté à SMC, mais l'interface web d'administration du firewall ne permet pas de remplacer le package déjà installé. Une commande CLI est disponible pour effectuer le remplacement. Pour plus d'informations, reportez-vous à la section Installer un nouveau package de rattachement sur un firewall SNS du Manuel utilisateur SNS.

VPN SSL

  • Suite à la mise à jour en version 5 d'un firewall en configuration d'usine, l'option Data Channel Offload (DCO) est activée par défaut lors de l'utilisation du service VPN SSL. Si vous envisagez d'établir des tunnels SSL basés sur le protocole TCP, il est fortement recommandé de désactiver l'option DCO qui est destinée aux tunnels SSL basés sur UDP et n'entraîne aucun gain de performances pour les tunnels SSL basés sur TCP.
  • L'activation de l'option Data Channel Offload (DCO) utilisant la suite de chiffrement AES-256-GCM pour le VPN SSL rend les clients VPN TheGreenBow incompatibles avec la fonctionnalité de VPN SSL Stormshield.

Mots de passe

  • La politique de mots de passe définie sur les firewalls en configuration d'usine a été durcie. Elle impose désormais une longueur minimale de 16 caractères (8 auparavant), l'utilisation obligatoire de caractères alphanumériques / majuscules et minuscules / caractères spéciaux et une entropie minimale de 64 (20 auparavant).
  • Le jeu de caractères utilisé par le firewall pour encoder les mots de passe est désormais UTF-8 pour les firewalls en configuration d'usine. Ceci évite les soucis de connexion via SSH lorsque le mot de passe contient des caractères non ASCII (exemple : "€", caractères accentués,...).

Sauvegardes automatiques

Lorsque le module des sauvegardes automatiques est configuré pour utiliser un certificat signé avec l'algorithme obsolète SHA1, ce certificat est refusé et la sauvegarde automatique s'interrompt sans transmettre de données pour des raisons de sécurité. Un message d'erreur invite l'administrateur à générer un nouveau certificat personnalisé signé à l'aide d'un algorithme sécurisé.

Filtrage URL / SSL

La base d'URL embarquée a été supprimée. Pour continuer de réaliser du filtrage URL / SSL, vous pouvez :

Agent SNMP

  • Les algorithmes obsolètes de chiffrement du mot de passe ne peuvent plus être sélectionnés dans le panneau de configuration de l'agent SNMP v3. Seul l'algorithme AES-SHA2 (SHA256) est disponible par défaut. La mise à jour en version 5 de SNS d'une configuration utilisant un autre algorithme que SHA256 entraîne l'affichage d'une mention qui précise que l'algorithme utilisé est obsolète. Il est possible de le modifier à l'aide de la commande CLI / Serverd CONFIG SNMP USERV3.
    Plus d'informations sur la commande CONFIG SNMP USERV3.
  • Les tables SNMP dont l'indice commence à 1 sont désormais utilisées par défaut et les anciennes tables (indice commençant à 0) sont marquées comme obsolètes. Ces dernières sont amenées à disparaître dans une future version SNS.
    Lors de la mise à jour en version 5 ou supérieure d'un firewall SNS utilisant les anciennes tables, un avertissement est affiché pour inviter l'administrateur à activer les nouvelles tables SNMP en suivant la procédure décrite dans le Manuel utilisateur SNS v5.
  • Un message indique que la version 1 de SNMP est obsolète. Cette version sera supprimée dans une future version SNS.

Machines virtuelles EVA

Les firewalls virtuels EVA en configuration d'usine disposent désormais d'une partition /data d'une taille de 4 Go contre 2 Go dans les versions précédentes de SNS. Cette modification ne s'applique pas aux EVA installés dans une version antérieure et mis à jour en version 5 de SNS.

Proxy HTTP explicite

Le proxy HTTP explicite est obsolète et sera supprimé dans une future version SNS.

Captures réseau

Pour des raisons de sécurité, le droit nécessaire pour réaliser une capture réseau est désormais le droit "supervision en écriture" (mon_write).

Alarmes

L'alarme "Attaque de type Land" (alarme ip:21) ne se déclenche plus en IPv6 et ne génère plus d'entrée dans les logs. Cette protection est désormais assurée au sein du noyau du système d'exploitation du firewall.

Objets

Le nombre maximal d'éléments contenus dans un groupe est désormais limité à 3000 objets. La mise à jour en version 5 d'une configuration comprenant un groupe avec plus de 3000 éléments est autorisée, mais il ne sera plus possible d'ajouter d'objets dans ce groupe après la mise à jour.

Fonctionnalités obsolètes supprimées en version 5

  • Fonctions de hachage CRYPT, MD5, SMD5, SHA et SSHApour l'annuaire LDAP interne,
  • Fonctions de hachage MD4, MD5, RIPEMD-160 (rmd160), MD2, MDC-2 et l'algorithme de chiffrement DES-EDE3-CBC pour les protocoles basés sur SSL / TLS,
  • SNVM (Stormshield Network Vulnerability Manager),
  • VPN PPTP (Point-to-Point Tunneling Protocol),
  • Portail VPN SSL applicatif (mode applicatifs Web et applet java),
  • Arrêt du support des modems RNIS (modems téléphoniques reliés par câble série).