Nouvelles fonctionnalités et améliorations de SMC 3.9.1

Base d'objets

Utilisation d'objets dans des groupes

Un groupe peut désormais contenir deux fois le même objet, si celui-ci est contenu dans deux sous-groupes.

Ces groupes peuvent être utilisés dans les règles de filtrage et de translation.

Pagination des objets dans les groupes

Dans l'écran d'ajout ou de modification des groupes d'objets, groupes de ports et groupes de régions, les objets disponibles et les objets contenus dans le groupe sont désormais affichés par pages. Cette amélioration permet d'afficher les objets instantanément.

Gestion des firewalls SNS

Suppression des firewalls dans SMC

Désormais, la suppression d'un firewall ou d'un cluster dans SMC entraîne automatiquement la suppression de la configuration du rattachement à SMC sur les firewalls, à partir des versions 4.8.14 et supérieures et 5.0.2 et supérieures. Ainsi, un firewall ne tente plus de se connecter à SMC après sa suppression du serveur. Pour cela, le firewall doit être connecté à SMC au moment de la suppression.

La suppression depuis SMC n'impacte pas la configuration globale du firewall.

En savoir plus

Mise à jour des firewalls SNS

À partir de la version 4.8.9 de SNS, il est désormais possible de mettre à jour depuis SMC un firewall ou un cluster dont le module TPM est initialisé.

En savoir plus

Variables d'environnement

Variable SMC_IMPORT_RULES_FROM_SNS_TIMEOUT_INT

La nouvelle variable d'environnement SMC_IMPORT_RULES_FROM_SNS_TIMEOUT_INT permet de définir le temps d'attente maximal pour récupérer les règles locales et globales d'un firewall connecté à SMC.

Par défaut il est de 600 secondes, et la valeur minimale acceptée est de 30 secondes.

Variable SMC_BULK_RULES_OPERATIONS_TIMEOUT_INT

La nouvelle variable d'environnement SMC_BULK_RULES_OPERATIONS_TIMEOUT_INT permet de paramétrer le temps d'expiration après un copier/couper/coller des règles de filtrage et de translation.

Par défaut il est de 600 secondes, et la valeur minimale acceptée est de 30 secondes.

Description des variables d'environnement dans le Guide d'administration

Une description, ainsi que des valeurs minimales et maximales si applicable, ont été ajoutées pour chaque variable d'environnement dans la section Détails des variables d'environnement SMC_XXX du Guide d'administration de SMC.

Configuration du routage

Routage dynamique avec BIRD

Vous pouvez utiliser les trois nouveaux tokens suivants dans les configurations BIRD v1 et BIRD v2 :

  • rcvbuflen

  • sndbuflen

  • connect

Configuration des interfaces IPsec virtuelles (VTI)

SMC 3.9 supporte le nouveau champ Adresse IPv4 de destination d'une interface IPsec virtuelle, disponible depuis la version 5.1.0 de SNS. L'adresse doit être comprise dans le plan d'adressage de l'interface.

La route API PUT /papi/v1/firewalls/{uuidOrName}/interfaces supporte également ce nouveau champ. En cas d'utilisation du champ avec une version de SNS antérieure à la 5.1.0, une erreur est remontée.

Enfin, une nouvelle colonne "ipv4_dst_address" est désormais présente dans le fichier .csv de configuration des interfaces IPsec que SMC propose de télécharger lorsque vous créez une topologie par route et qu'elle comprend des firewalls dont la configuration du réseau n'est pas gérée par SMC. Cette colonne affiche une adresse IP pour les firewalls à partir de la version 5.1.0. Pour plus d'informations sur l'utilisation du fichier, reportez-vous à la section Configurer une topologie par route en maillage du Guide d'administration.

Avant toute mise à jour, veuillez consulter la section Préconisations.

Configuration des routes sur un firewall jamais connecté

SMC permet désormais de configurer à l'avance des routes sur un firewall SNS encore jamais connecté au serveur, via la route API PUT /papi/v1/firewalls/{uuidOrName}/routes.

Les routes ainsi créées sont visibles dans l'interface web d'administration de SMC et sont déployées à la première connexion du firewall.

Topologies VPN

Optimisation de la supervision des tunnels VPN

Les performances et les ressources utilisées lors de la récupération et de l'affichage des tunnels VPN IPsec ont été optimisées.

Authentification des administrateurs

Durcissement de la politique de mots de passe

Il est désormais possible d'imposer une valeur minimale d'entropie pour améliorer la robustesse des mots de passe d'administration définis sur SMC. Par défaut elle est de 64 bits.

De plus, après la mise à jour en version 3.9, les mots de passe doivent respecter les contraintes suivantes par défaut :

  • Au moins 16 caractères,

  • Au moins un caractère alphanumérique,

  • Au moins un caractère spécial,

  • Entropie de 64 bits.

Ces valeurs sont paramétrables dans la politique des mots de passe dans le menu Serveur SMC > Administrateurs.

Les mots de passe déjà en vigueur ne sont pas concernés par ces durcissements et continuent de fonctionner.

En savoir plus

Bascule automatique entre serveurs Radius et LDAP

Lorsque les deux types d'authentification d'utilisateurs LDAP et Radius sont activés, SMC procède à la vérification des comptes dans l'ordre suivant :

  1. Serveur Radius

  2. Serveur LDAP

  3. Comptes locaux

Avant la version 3.9 de SMC, en cas d'indisponibilité du serveur Radius, la recherche de compte basculait automatiquement sur le serveur LDAP, ce qui pouvait créer une faille de sécurité.

Désormais, la bascule automatique est désactivée par défaut. Une nouvelle case à cocher dans les paramètres Radius permet de l'activer.

ATTENTION
L'activation de cette option signifie qu'en cas de bascule, le niveau de sécurité de votre authentification correspondra à celui que vous avez défini dans votre configuration LDAP.

Lors de la mise à jour en version 3.9, la case est cependant cochée par défaut si les deux types d'authentification étaient déjà activés auparavant.

Consultation des journaux

Affichage du nom du serveur SMC dans le journal auth.log

Le nom donné au serveur SMC s'affiche désormais dans le journal auth.log. Ce fichier recense toutes les actions effectuées pour accéder au serveur SMC en mode console ou SSH. L'affichage du nom permet de faciliter l'utilisation de filtres dans des agrégateurs de journaux externes.

En savoir plus

Système

Optimisation de la vérification de l'utilisation des éléments

La fonctionnalité de vérification de l'utilisation des différents éléments (objets, certificats, interfaces, etc.) a été optimisée. Cette optimisation permet à SMC de consommer moins de ressources et de répondre plus rapidement.

API publique de SMC - Nouvelles routes

De nouvelles routes API ont été ajoutées en version 3.9 de SMC. Elles sont listées ci-après. Pour plus de détails sur les routes de l'API publique de SMC, reportez-vous à la documentation en ligne. Cette documentation est également accessible depuis l'interface web d'administration de SMC.

Sauvegarde automatique de la configuration de SMC et des firewalls SNS

Une nouvelle route API est disponible dans l'API publique de SMC pour télécharger une sauvegarde de la configuration de SMC et des firewalls.

Route Permet de
POST /papi/v1/backup/download

Télécharger la dernière sauvegarde automatique de la configuration du serveur SMC et des firewalls. Le fichier téléchargé latest-backup.tar.gz.enc est protégé par un mot de passe qui doit se conformer à la politique des mots de passe des utilisateurs de SMC.

Pour déchiffrer le fichier, utilisez la commande OpenSSL suivante :

openssl enc -d -aes-256-cbc -pbkdf2 -iter 200000 -md sha256 -in latest-backup.tar.gz.enc -out latest-backup.tar.gz && tar -xzf latest-backup.tar.gz

Gestion des groupes d'objets

Deux nouvelles routes sont disponibles dans l'API publique de SMC pour gérer finement les membres des groupes d'objets :

Route Permet de
POST /papi/v1/objects/groups/{uuidOrName}/members

Ajouter un ou plusieurs objets unitairement dans un groupe.
DELETE /papi/v1/objects/groups/{uuidOrName}/members Supprimer un ou plusieurs objets unitairement d'un groupe.