IMPORTANT
Les versions SNS 3.x ne sont plus maintenues depuis le 1er juillet 2024.
Nous vous recommandons de mettre à jour vos firewalls SNS vers une version maintenue afin d’assurer la protection de votre infrastructure.
Préconisations
Avant de migrer une configuration existante vers la version 3 de firmware, veuillez :
- Prendre connaissance de l'ensemble des Notes de Version intermédiaires,
- Lire attentivement la section Problèmes connus de la Base de connaissances Stormshield (anglais uniquement - identifiants identiques à ceux de votre espace client MyStormshield),
- Lire attentivement la section Précisions sur les cas d’utilisation,
- Réaliser une sauvegarde de la partition principale vers la partition secondaire ainsi qu'une sauvegarde de configuration.
Mettre à jour un firewall depuis une version SNS 3.7 LTSB vers une version 3.11 LTSB entraîne des changements techniques apparus entre ces deux branches de versions, pouvant ainsi modifier le comportement du firewall mis à jour. Parmi ces changements, veuillez noter que :
- SNS 3.8.0 - Réseau : l'usage plus strict du mode promiscuous peut entraîner un changement de comportements dans les certaines configurations (Interface Ethernet portant au moins un VLAN sur lequel l'adresse MAC a été forcée, Interface Ethernet désactivée portant un ou plusieurs VLAN, Interface Ethernet porteuse d'un ou plusieurs VLAN inclus dans un bridge, Interface HA portant un ou plusieurs VLAN).
En savoir plus - SNS 3.8.0 - VPN SSL : certains algorithmes d'authentification ne sont plus supportés pour le VPN SSL. La configuration des clients VPN SSL doit donc être modifiée en conséquence. En savoir plus
- SNS 3.8.0 - VPN IPsec et CRL : lorsque le paramètre CRLRequired est activé dans la configuration d'une politique VPN, il est désormais nécessaire de disposer de toutes les CRL de la chaîne de certification.
- SNS 3.10.1 - VPN SSL et certificats : dans les configurations VPN SSL utilisant des certificats qui ne disposent pas du champ KeyUsage, les services externes peuvent ne plus parvenir à communiquer avec le firewall. En savoir plus
- SNS 3.10.1 - Sécurité renforcée lors de la mise à jour du firmware : afin de renforcer la sécurité lors des mises à jour de firmware, les serveurs du service Autoupdate sont désormais joignables uniquement en HTTPS. Si le firewall mis à jour comportait une règle spécifique pour l'accès à ce service, cette règle doit être modifiée pour continuer à autoriser ces flux. En savoir plus
- SNS 3.10.1 - Système : l'actualisation automatiques des fuseaux horaires lors des passages à l'heure d'été / d'hiver peut rendre inopérantes certaines procédures d'authentification sensibles aux paramètres horaires. En savoir plus
Haute Disponibilité et VPN IPsec (IKEv2)
En version 3.7.x, dans le cas d'une configuration VPN IPsec sur un cluster, la mise à jour du firewall passif du cluster vers une version 3.9.x ou supérieure entraîne la renégociation des tunnels IPsec déjà établis.
Gestion des adresses MAC
En version 3.8.0, la gestion des adresses MAC a été modifiée afin de corriger des problèmes rencontrés sur la prise en charge de certaines configurations avancées des interfaces.
Stormshield applique ainsi un usage plus strict du mode promiscuous.
Ces modifications peuvent se traduire par un changement de comportement dans les configurations suivantes :
- Interface Ethernet portant au moins un VLAN sur lequel l'adresse MAC a été forcée [1],
- Interface Ethernet désactivée portant un ou plusieurs VLAN(s),
- Interface Ethernet porteuse d'un ou plusieurs VLAN inclus dans un bridge,
- Interface HA portant un ou plusieurs VLAN.
[1] La Haute Disponibilité implique le forçage des adresses MAC sur l'un des membres du cluster.
Si vous êtes concerné par l'une de ces configurations, veuillez vérifier que tous vos équipements réseau référencent bien l'adresse MAC réelle de votre firewall.
Pour de plus amples informations, veuillez consulter cet article de la Base de Connaissances Stormshield.
Protocole SSL
Depuis la version 3.7.0 de firmware, les suites de chiffrement présentant un niveau de sécurité faible (suites basées sur MD5, SHA1 et DES) ne sont plus disponibles pour le protocole SSL utilisé par les différents composants du firewall (VPN SSL, Proxy SSL, ...).
Pour les configurations qui utilisent ces suites de chiffrement, il est nécessaire de choisir des algorithmes de niveau de sécurité supérieur avant d'effectuer la migration du firewall en version SNS 3.7.0 ou supérieure. Dans le cas contraire, les services concernés ne fonctionneront pas ou refuseront de démarrer.
VPN IPsec
Référence support 66421
Avant de mettre à jour le firewall en version 3, vérifiez votre configuration VPN IPsec de la manière suivante :
Dans le menu Configuration > VPN > VPN IPsec > onglet Identification, vérifiez que les adresses e-mail indiquées dans la zone Tunnels nomades : Clés-prépartagées soient correctement formées, et corrigez-les si besoin.
Si une adresse contient une irrégularité (e.g., product@stormshield ou product@stormshield.e), l'activation de la politique IPsec échouera avec l'erreur Failed to parse PSK list from slotfile.
Machines Virtuelles EVA
Il est recommandé de positionner la mémoire d'une machine EVA à 2 Go minimum en cas d'utilisation intensive de l'antivirus et du sandboxing.
Extended Web Control
Si le mode synchrone est activé pour la solution de filtrage d’URL Extended Web Control (paramètre X-CloudURL_Async=0 dans la section [Config] du fichier de configuration ConfigFiles/proxy), il est impératif de le désactiver avant de mettre à jour le firewall en v3. Pour ce faire, supprimez la ligne contenant ce paramètre X-CloudURL_Async.
Mise à jour d'un cluster avec plusieurs liens de haute disponibilité
Pour un cluster mettant en œuvre plus d'un lien dédié à la haute disponibilité, il est nécessaire de s'assurer que le lien principal est actif avant de procéder à la mise à jour en version 3.
Méthode d'authentification "Agent SSO"
Dans une configuration utilisant la méthode d'authentification "Agent SSO", il est nécessaire d'effectuer la migration de SN SSO Agent dans une version égale ou supérieure à la version 1.4 avant de réaliser celle du firewall.
Il est également nécessaire de renseigner le champ "Nom de domaine" dans la configuration de SN SSO Agent avant migration du firewall. Ce nom de domaine doit correspondre au nom réel du domaine (exemple : stormshield.eu) pour permettre le fonctionnement de SN SSO Agent.
Routage par politique de filtrage
Si une remise en configuration d’usine du firewall (defaultconfig) est réalisée suite à une migration d'une version 1 vers une version 2 puis vers une version 3, l’ordre d’évaluation du routage est modifié et le routage par politique de filtrage [PBR] devient prioritaire (routage par politique de filtrage > routage statique > routage dynamique >…> routage par défaut). En revanche, en l’absence de remise en configuration d’usine du firewall, l’ordre d’évaluation reste inchangé par rapport à la version 1 (routage statique > routage dynamique > routage par politique de filtrage [PBR] > routage par interface > routage par répartition de charge > routage par défaut).
Politique de filtrage et utilisateurs
Dans les versions précédentes de firmware, la politique de filtrage ne distinguait pas les utilisateurs des groupes. En version 3, la gestion des annuaires multiples impose une vérification stricte des utilisateurs. Une migration de configuration vers la version 3 de firmware peut ainsi générer des avertissements invitant l'administrateur à ressaisir les utilisateurs dans sa politique de filtrage pour lever cette ambiguïté.