IMPORTANT
Les versions SNS 3.x ne sont plus maintenues depuis le 1er juillet 2024.
Nous vous recommandons de mettre à jour vos firewalls SNS vers une version maintenue afin d’assurer la protection de votre infrastructure.
Nouvelles fonctionnalités de SNS 3.9.0
Configuration initiale via USB
Le mécanisme de configuration initiale par clé USB pour les firewalls en configuration d'usine a été amélioré.
Outre les fonctions d'import de licences (fichiers avec extension ".licence"), de mise à jour de firmware (fichiers avec extension ".maj"), d'import de sauvegardes de configuration (fichiers avec extension ".na"), d'import de packages de rattachement à un serveur SMC (fichiers avec extension ".pack") déjà disponibles dans les versions de firmware précédentes, ce mécanisme ajoute les fonctions d'import de certificats au format PKCS#12, d'import de fichiers contenant le mot de passe du super-administrateur admin, et d'exécution de fichiers contenant des commandes de configuration additionnelle (fichiers au format CSV) permettant, entre autres, de construire un cluster Haute Disponibilité.
Autres améliorations
- Meilleure gestion de la restauration d'un fichier de configuration,
- Lorsque plusieurs versions de firmware sont présentes sur la clé USB, seule la version la plus récente est appliquée au firewall à condition que celle-ci soit de version majeure identique ou de la version majeure suivante.
Restauration à distance du nœud défectueux d'un cluster
Les améliorations du mécanisme de configuration initiale via USB décrites ci-dessus associées à la possibilité de supprimer d'un cluster le nœud secondaire sans nécessité de saisir son numéro de série, permettent un remplacement et une configuration à distance du membre défectueux d'un cluster.
Certificats et PKI
Protocole SCEP
Le protocole SCEP (Simple Certificate Enrollment Protocol) est destiné à faciliter et automatiser le déploiement sécurisé de certificats au sein d'une infrastructure à clés publiques.
La première implémentation du protocole SCEP sur les firewalls SNS était basée sur l’ébauche de spécification IETF « Draft Nourse ». Cette évolution de l'implémentation du protocole SCEP est basée sur l’ébauche de spécification IETF « Draft Gutmann » qui a fait suite à « Draft Nourse ».
Le protocole SCEP utilise différents types de requêtes encapsulées dans HTTP pour réaliser les opérations suivantes :
- Distribution de la clé publique de l'autorité de certification (CA) signant les certificats,
- Requêtes de création ou de renouvellement de certificat à l'initiative de l'administrateur de la PKI,
- Requêtes de création ou de renouvellement de certificat à l'initiative du titulaire du certificat (enrôlement).
Un "profil" regroupant les paramètres nécessaires aux différentes requêtes SCEP (nom de la CA,...) peut être appelé lors de l'exécution de ces différentes commandes afin d'en simplifier la syntaxe.
L'implémentation du protocole SCEP intègre également le mécanisme de polling permettant de suivre l'évolution des demandes auprès du serveur hébergeant les CA lorsque celui-ci n'a pu traiter immédiatement une requête.
En version SNS 3.9.0, ces opérations sont exclusivement réalisables à l'aide des commandes CLI PKI SCEP. Pour plus d'informations concernant la syntaxe de ces commandes, veuillez-vous référer au Guide de référence des commandes CLI / Serverd.
Matériel
Stormshield Network SN710, SN910, SN2000 et SN3000
Les modèles de firewalls SN710, SN910, SN2000 et SN3000 supportent les cartes 4 ports fibre 10 Gigabit Ethernet Intel XL710.
Haute Disponibilité
La commande HA CLUSTER REMOVE accepte le paramètre générique "remote" pour désigner le noeud secondaire du cluster sans nécessité de connaître son numéro de série :
HA CLUSTER REMOVE serial="remote"
Pour plus d'informations concernant la syntaxe de ces commandes, veuillez-vous référer au Guide de référence des commandes CLI / Serverd.
Stormshield Management Center
La version SNS 3.9.0 permet au firewall d'intégrer un package de rattachement SMC précisant plusieurs serveurs d'administration ainsi que les interfaces réseau du firewall devant être utilisées pour la liaison avec chaque serveur SMC.
Prévention d'intrusion
Protocole SCTP
Le moteur de prévention d'intrusion prend en charge l'analyse du protocole de transport SCTP (Stream Control Transmission Protocol). Ce protocole, utilisé dans les réseaux de signalisation sur IP, gère notamment la notion de multi-homing (répartition de flux à destination de plusieurs adresses IP).
Réseau
DHCP
Le serveur DHCP interne des firewalls intègre deux options avancées utilisées pour la configuration des clients via le protocole Bootstrap (BOOTP) :
- next-server : adresse IP du serveur TFTP hébergeant le fichier de configuration du client.
- filename : nom du fichier de configuration à récupérer sur le serveur précédemment déclaré.
Interface Web d'administration
Logs (Journaux d'Audit)- Alarmes et Événements Système
Il est possible d'accéder directement à la configuration des Alarmes ou des Événements Système depuis une ligne de log sélectionnée dans les vues respectives.
Portail d'Authentification
Le lien vers l'autorité de certification (CA) du proxy SSL a été ajouté sur la page de déconnexion du portail d'authentification.
Filtrage et NAT
Un clic sur les boutons Chercher dans les logs ou Chercher dans la supervision pour une règle dont le nom n'est pas défini provoque l'affichage d'un message indiquant que la recherche d'une règle sans nom ne peut pas aboutir.
Supervision
Un champ de recherche a été ajouté dans les modules de supervision suivants :
- Routage,
- DHCP,
- VPN SSL,
- Listes Noires / Blanches.
Certificats et PKI
De nouvelles sondes concernant les dates de validité et l'état des autorités de certification et des certificats utilisés dans la configuration du firewall ont été ajoutées à l'indicateur de santé du firewall (affiché dans le bandeau supérieur de l'Interface Web d'Administration).
Pour plus d'informations sur ces sondes, veuillez-vous référer au Manuel Utilisateur SNS v3.