IMPORTANT
Les versions SNS 3.x ne sont plus maintenues depuis le 1er juillet 2024.
Nous vous recommandons de mettre à jour vos firewalls SNS vers une version maintenue afin d’assurer la protection de votre infrastructure.
Nouvelles fonctionnalités de SNS 3.5.0
Prévention d'intrusion
Analyse Sandboxing
Les rapports d'activité et logs de l'analyse Sandboxing permettent d'accéder en un clic à la page descriptive du fichier malveillant détecté sur le portail Stormshield Breach Fighter.
Protocole industriel CIP
Les firewalls SNS détectent et analysent désormais le protocole CIP (Common Industrial Protocol).
Le protocole CIP englobe une suite compréhensive de messages et des services pour des applications d’automatisation industrielles comprenant le contrôle, la sécurité, la synchronisation, le mouvement, la configuration et des informations. Il est notamment mis en œuvre dans les couches supérieures du protocole Ethernet/IP. Pour plus de détail, consultez le Manuel d'utilisation et de configuration SNSv3.
Protocole industriel UMAS
Les firewalls SNS détectent et analysent désormais les codes de fonction UMAS (Unified Messaging Application Services). Le protocole UMAS est une extension du protocole Modbus. Il est la propriété intellectuelle de Schneider Electric. Pour plus de détail, consultez le Manuel d'utilisation et de configuration SNSv3.
Protocole NTP
L'analyse du protocole NTP a été enrichie et dispose désormais d'un panneau de configuration dédié permettant notamment d'analyser ou de bloquer les modes et opérations de ce protocole (NTPv3 et NTPv4). Pour plus de détail, consultez le Manuel d'utilisation et de configuration SNSv3.
Protocole SSL
La présentation d'un certificat client non sollicité par le serveur déclenche une nouvelle alarme (non bloquante par défaut) : "SSL : Certificat client non sollicité".
Configuration
Nom du firewall
Le nom du firewall peut désormais contenir 127 caractères contre 15 auparavant.
Filtrage et NAT
Option "IPsec only"
Deux conditions optionnelles ont été ajoutées dans le panneau Action du paramétrage d'une règle de filtrage afin de n'autoriser les paquets correspondant à cette règle que s'ils traversent un tunnel IPsec en sortie du traitement de la règle :
- Forcer en IPsec les paquets source pour les paquets traversant la règle dans le sens source vers destination,
- Forcer en IPsec les paquets retour pour les paquets retour d'une connexion correspondant à la règle.
Ceci permet par exemple de rejeter les paquets si le tunnel IPsec n'est pas configuré ou s'il est inactif.
Authentification
Portail captif - Page de déconnexion
Il est possible d'activer, pour chaque profil du portail captif (portail d'authentification), une page réservée à la déconnexion. Une fois l'utilisateur authentifié, cette page s'affiche à la place du portail captif tandis que la page Web demandée s'ouvre dans un nouvel onglet.
VPN
VPN IPsec IKEv2
Une option permettant de ne pas provoquer une ré-authentification complète lors du renouvellement des SA a été ajoutée. Dans ce cas, seul un renouvellement des clés est effectué afin d'éviter d'éventuelles pertes de paquets lors de la ré-authentification.
Cette option entraîne donc une dégradation de la sécurité puisque la vérification de l’identité du correspondant, et en particulier de la CRL, n’est réalisée qu’à l’initialisation du tunnel et non plus à chaque renouvellement de phase IKE.
Ce comportement peut être activé uniquement en ligne de commande :
config ipsec peer update name=Site_Name reauth=0
L'activation de ce comportement entraîne ainsi l’affichage d'un message d’avertissement : « L'option de ré-authentification étant désactivée, les éléments d'authentification seront vérifiés uniquement lors la négociation initiale des SA IKE ».
Réseau
DHCP
La limite du nombre d'adresses IP pouvant être distribuées par le serveur DHCP était fixée selon le type de firewall (S, M, M-VM, L, XL, XL-VM). Elle est désormais propre à chaque modèle.
Machines virtuelles
Surveillance - Watchdog
Les firewalls virtuels disposent désormais d'un mécanisme de surveillance (watchdog) leur permettant de redémarrer automatiquement en cas d'inactivité prolongée d'une durée déterminée.
Notifications
Alertes e-mail
Le firewall peut désormais vérifier l'identité du serveur SMTP par lequel les e-mails de notification sont émis. Ceci n'est possible que lorsque le chiffrement est activé et requiert donc la présence de l'option STARTTLS sur le serveur SMTP. Cette vérification se base sur le certificat présenté par le serveur lors du chiffrement.
Interface Web d'administration
Bridge et interface Wi-Fi
L'ajout ou le retrait d'une interface Wi-Fi dans un bridge peut désormais être réalisé à l'aide d'un glisser / déplacer dans le module de configuration Réseau > Interfaces.
Alertes e-mail
Un bouton permettant d'envoyer un e-mail de test pour vérifier la configuration SMTP du firewall a été ajouté dans le module de paramétrage des Alertes e-mail.