IMPORTANT
Les versions SNS 3.x ne sont plus maintenues depuis le 1er juillet 2024.
Nous vous recommandons de mettre à jour vos firewalls SNS vers une version maintenue afin d’assurer la protection de votre infrastructure.
Nouvelles fonctionnalités de SNS 3.4.0
Protection des données personnelles
Dans un souci de conformité avec le règlement européen RGPD (Règlement général sur la protection des données), les données personnelles présentes dans les logs (e.g., utilisateur, nom de machine, IP source, ...) ne sont plus affichées de manière systématique. Par défaut, seul le super administrateur (compte admin) peut les visualiser. Les autres administrateurs ne sont autorisés à activer le mode Accès complet aux logs (données sensibles) qu'après réception d'un Code d'accès aux données privées individuel et temporaire.
Bridge avec interface Wi-Fi (expérimental)
Il est désormais possible d'ajouter une interface Wi-Fi à un bridge. Cette fonctionnalité est expérimentale : elle est accessible uniquement via la commande CLI CONFIG NETWORK INTERFACE et un seul SSID par bridge est supporté. Le bridge porte l'adresse MAC de l'interface Wi-Fi.
Système
Haute disponibilité
Une option permettant de déclencher la synchronisation des sessions selon leur durée a été ajoutée (configuration avancée). Les sessions dont la durée est inférieure à la valeur précisée dans le champ Durée minimale des connexions à synchroniser (secondes) seront ignorées lors d'une synchronisation. Cette option permet ainsi d'éviter de synchroniser des connexions très brèves et pouvant être très nombreuses, comme les requêtes DNS par exemple.
Commandes CLI
La nouvelle commande CLI MONITOR FAN permet de superviser l'état des ventilateurs des firewalls SN6100. Le détail de cette commande est disponible dans le document CLI SERVERD Commands Reference Guide.
VPN IPsec
Le schéma de ré-authentification "Make-before-break" garantit que la négociation d'un nouveau tunnel soit bien effective avant de supprimer les anciens tunnels. Ce schéma est désormais activé par défaut. Si un problème survient, il est possible de le désactiver via la commande CLI CONFIG IPSEC UPDATE slot=xx MakeBeforeBreak=0. Le détail de cette commande est disponible dans le document CLI SERVERD Commands Reference Guide.
Dans la configuration d'utilisateurs anonymes (nomades) ModeConfig , il est possible de sélectionner un groupe d'objets pour définir les serveurs DNS.
VPN SSL
Le niveau de confidentialité s'adapte maintenant au niveau d'authentification : la taille de la clé Diffie-Hellman (confidentialité) est toujours supérieure ou égale à la taille de la clé publique (authentification), avec une tolérance de 3 bits.
Bannière SSH
Il est possible de personnaliser la bannière d'accueil des connexions en SSH au firewall. Pour ce faire, il suffit de déposer dans le répertoire ConfigFiles un fichier sshd-banner contenant cette bannière et d'exécuter la commande enservice. Le détail de cette commande est disponible dans le document CLI Console / SSH command reference guide.
Agent SNMP
Les informations d'utilisation de bande passante des files d'attentes de QoS peuvent désormais être collectées via SNMP.
Routage dynamique BIRD
L'outil BFD (Détection de transfert bidirectionnel) est désormais intégré au module de routage dynamique BIRD. Il est uniquement disponible à des fins expérimentales.
Prévention d’intrusion
Protocoles industriels OPC HDA et OPC AE
Les protocoles industriels OPC HDA (Historical Data Access) et OPC AE (Alarms & Events) sont désormais supportés. Il est possible de personnaliser les événements autorisés sur le réseau et de contrôler les commandes utilisées par ces protocoles.
Protocoles Oracle TNS, LDAP et HTTP
L'analyse des protocoles Oracle TNS (Transparent Network Substrate), LDAP et HTTP ont été améliorés afin d'augmenter le taux de détection des malwares et attaques.
L'analyse LDAP intercepte le trafic LDAP traversant le firewall. Veuillez donc effectuer des tests avant de l'appliquer dans votre environnement de production.
Une nouvelle alarme Protocole HTTP invalide: analyse stricte a été ajoutée pour prendre en compte les erreurs HTTP. Dans le profil d'inspection de modèle HAUTE utilisé par défaut dans le profil 09, l'alarme est de niveau Mineur, et le trafic qui la remonte est bloqué.
Protocole TCP
Le délai de conservation par défaut d'une connexion close est passé de 20 secondes à 2 secondes.
Protocoles basés sur DCE/RPC
Parmi les connexions secondaires des protocoles basés sur DCE/RPC, le moteur de prévention d’intrusion analyse désormais l'UUID ISystemActivator avec la méthode RemoteCreateInstance (Opnum 4). La translation d’adresses n’est pas disponible pour ce type de connexion secondaire.
Protection applicative
Filtrage URL
Il est désormais possible de configurer les pages de blocage du filtrage URL de manière à rediriger l'utilisateur vers le portail d'authentification. Ceci permet de mettre en place une politique qui filtre les utilisateurs non authentifiés puis leur donne accès au site web après authentification.
Applications et protections
Par défaut, le profil d'inspection IPS_09 du module Configuration > Protection applicative > Applications et protections est maintenant basé sur un modèle d'alarme de type HAUTE. De plus, la politique de filtrage 9 est renommée (9) Pass all High et contient une règle de filtrage qui utilise le nouveau profil d'inspection IPS_09.
Cette modification n'est pas disponible suite à une mise à jour du firmware, mais uniquement en cas de nouvelle installation ou de restauration de la configuration usine.
Rapports
Catégories Sandboxing et Sécurité
De nouveaux rapports ont été ajoutés :
- Top des types de fichiers les plus fréquemment analysés,
- Top des machines ayant soumis le plus de fichiers à l'analyse Sandboxing,
- Top des protocoles ayant recours à l'analyse Sandboxing,
- Top des utilisateurs ayant soumis des fichiers à l'analyse Sandboxing,
- Taux de détection par moteur d'analyse (Sandboxing, Antivirus, AntiSpam).
Pour pouvoir afficher ces nouveaux rapports, vous devez en désactiver certains autres car le nombre de rapports est limité à 30.
Interface Web d'administration
Il est désormais possible de mettre en favoris les différentes pages de l'Interface Web d'administration dans le navigateur.
Tableau de bord - Sandboxing
Le widget Sandboxing intègre des informations additionnelles à l'état de la connexion et aux quotas de fichiers soumis :
- Connecté, quota de fichiers soumis dépassé,
- Connecté, quota de fichiers soumis inconnu,
- Limité, quota de fichiers soumis dépassé,
- Limité, quota de fichiers soumis inconnu.
Filtrage et NAT
Le nombre de caractères autorisés dans la source et la destination d'une règle de filtrage est passé de 250 à 500. Vous pouvez ainsi entrer une liste d'objets plus longue dans ces champs.
Matériel
Plusieurs files d'attente matérielles sont maintenant allouées automatiquement pour les machines virtuelles disposant de plusieurs CPU virtuels et des interfaces VMware vmxnet3. Vous pouvez désactiver la fonction multi-files d'attente en ajoutant pohw.pci.honor_msi_blacklist=1 au fichier /boot/loader.conf.custom. Redémarrez ensuite la machine virtuelle pour prendre en compte la nouvelle configuration.