IMPORTANT
Les versions SNS 3.x ne sont plus maintenues depuis le 1er juillet 2024.
Nous vous recommandons de mettre à jour vos firewalls SNS vers une version maintenue afin d’assurer la protection de votre infrastructure.
Nouvelles fonctionnalités de SNS 3.3.0
Système
VPN IPsec
Une politique IPsec peut regrouper des correspondants utilisant des versions différentes du protocole IKE avec des limitations dans l'utilisation du protocole IKEv1 (cf. section Précisions sur les cas d'utilisation). Cette fonctionnalité n'ayant pas pu être testée dans des environnements complexes et hétérogènes, il est donc fortement conseillé de l'éprouver sur une configuration de tests.
Il est possible de définir une liste des annuaires LDAP devant être parcourus séquentiellement pour authentifier les utilisateurs nomades (authentification par certificat ou clé pré-partagée).
Interfaces
Il est possible de définir des interfaces dans un réseau sans adresse de broadcast (masque réseau /31 - RFC 3021). Ces interfaces sont exclusivement destinées à des échanges point à point.
Un champ "Priorité (CoS)" peut être défini pour les interfaces de type VLAN. Cette priorité de type CoS (Classe de Service) est alors forcée pour l'ensemble des paquets émis par cette interface.
Objets globaux
Lors d'un déploiement de configuration via Stormshield Management Center, des contrôles supplémentaires sont effectués sur les objets globaux utilisés dans les directives de routage du firewall.
Authentification par certificat
Une option avancée permet d’activer l'authentification des utilisateurs parmi plusieurs annuaires LDAP. Lorsque une chaîne de caractères, définie par une expression régulière, est trouvée dans un champ choisi du certificat présenté par l'utilisateur, l’annuaire LDAP associé est interrogé pour authentifier cet utilisateur et vérifier ses droits d’accès.
Certificats et PKI
Les firewalls SNS permettent de définir des autorités de certification distinctes pour la signature des échanges SCEP et pour la signature des certificats d'enrôlement. Ce paramétrage est exclusivement réalisable à l'aide de la ligne de commande PKI SCEP QUERY scep_ca_name.
Analyse Sandboxing
Des informations complémentaires sont transmises lors de l'envoi de fichiers pour une analyse Sandboxing :
- Version du firmware du firewall,
- Types mime et noms de tous les fichiers inclus dans les archives.
Notifications
La version 3.3.0 de firmware supporte l'envoi sécurisé d'e-mails à l'aide du protocole SMTP associé au mécanisme STARTTLS.
Dans le paramétrage du serveur SMTP, une adresse e-mail remplace le nom de domaine DNS afin d'assurer la compatibilité avec certains service SMTP externes (Microsoft Office 365 par exemple).
Routage - Routes de retour
Il n'est plus obligatoire de préciser l'adresse MAC pour les objets réseau correspondant aux passerelles sélectionnées dans les routes de retour. En effet, lorsqu'elle n'est pas renseignée, l'adresse MAC est apprise dynamiquement.
Règles implicites
Les outils d'administration (Stormshield Management Center, SN Real-Time Monitor) se connectant au port d’administration Web du firewall (TCP/443 - HTTPS par défaut), les règles implicites autorisant la connexion au firewall depuis le réseau local sur le port d'administration historique (TCP/1300) sont désactivées pour les firewalls en configuration d'usine.
Les administrateurs utilisant Global Administration, SN Centralized Manager ou les binaires NSRPC peuvent créer des règles de filtrage explicites (méthode conseillée) ou réactiver manuellement ces règles implicites.
Journaux d'audit
Le journal des connexions (fichier l_connection) indique comme nom de destination (champ dstname) le SNI (Server Name Indication) demandé par la machine cliente lors de la négociation TLS.
Le journal relatif aux tunnels IPsec (fichier l_vpn) précise le nom de l'utilisateur ayant déclenché la trace ainsi que son groupe s'il est défini.
Administration centralisée
L'adresse source devant être utilisée pour la connexion du firewall à son serveur d'administration centralisé (SMC) peut être forcée. Ce paramétrage est exclusivement réalisable à l'aide des lignes de commande CONFIG FWADMIN UPDATE et CONFIG FWADMIN ACTIVATE. Le détail de ces commandes est disponible dans le document CLI SERVERD Commands Reference Guide.
Agent SNMP
Une nouvelle OID permettant de remonter le commentaire attribué à une interface a été ajoutée à la MIB Stormshield des interfaces réseau (STORMSHIELD-IF-MIB).
Prévention d’intrusion
Protocole TCP
La valeur par défaut de la durée d'expiration d'une connexion TCP est fixée à 3600 secondes (1 heure) pour un firewall en configuration d'usine.
Protocole DNS
Le moteur de prévention d’intrusion analyse l'implémentation du protocole DNS sur TCP.
Protocole BACnet/IP
Le moteur de prévention d’intrusion analyse le protocole industriel BACnet/IP (Building Automation and Control Networks over IP).
Multipath TCP
Le moteur de prévention d'intrusion du firewall n'étant pas en mesure d'analyser les connexions multiptah TCP, une alarme bloquante spécifique à la détection de ce type d'extensions a été ajoutée ("Multipath TCP").
Protocole TDS
Le moteur de prévention d’intrusion analyse le protocole TDS (Tabular Data Stream) utilisé pour les requêtes à destination de bases de données Microsoft SQL Server.
Notez que tous les flux utilisant le port 5000/TCP sont ainsi analysés en tant que protocole TDS.
Protocole Facebook Zero
Référence support 64995
Facebook ayant implémenté le protocole Facebook Zero (basé sur le protocole QUIC de Google), l'utilisation d'applications comme Facebook Messenger déclenchait une alarme bloquante "Paquet SSL invalide". Une alarme dédiée "Protocole Facebook Zero détecté" a été créée afin de permettre à l'administrateur d'identifier et d'autoriser ce type de connexions.
Interface Web d'administration
Enregistrement des commandes
Le bandeau supérieur de l'interface d'administration inclut un bouton permettant d'enregistrer la séquence de commandes effectuées lors de toute action de configuration du firewall. A l’interruption de l'enregistrement, cette séquence de commandes est affichée afin de pouvoir être copiée et collée dans un éditeur de texte (pour utilisation dans script NSRPC par exemple).
Cette fonctionnalité peut être activée ou désactivée dans les préférences utilisateur de l'interface Web d'administration.
Affichage de menus
L'affichage de certains menus est lié à l'activation ou à la disponibilité de fonctionnalités liées :
- le menu Utilisateurs et groupes n’est affiché que lorsqu'au moins annuaire est défini,
- le menu Journaux d'audit ne s'affiche pas sur les firewalls démunis de supports de stockage,
- le menu Rapports n'est apparent que lorsque les rapports sont activés,
- le menu Mes favoris est affiché dès lors qu'un premier favori est défini.
Filtrage et NAT
Lors de la modification successive de plusieurs cellules d'une politique de filtrage, les symboles de modification de ces cellules restent visibles jusqu'à la validation de la politique de filtrage.
Certains champs de sélection d'objet proposent un bouton d'accès à un menu contextuel pour créer un nouvel objet ou modifier un objet existant depuis le module de Filtrage/NAT.
Supervision des utilisateurs
De nouvelles colonnes précisant si l'utilisateur est autorisé à utiliser le portail VPN SSL, à établir un tunnel VPN SSL ou un tunnel VPN IPsec ont été ajoutées.
SN Real-Time Monitor
Supervision des machines
Référence support 59595
Les machines situées derrière des interfaces non protégées et faisant l’objet de connexions traversant le firewall sont affichées dans la vue Machines de SN Real-Time Monitor.