IMPORTANT
Les versions SNS 3.x ne sont plus maintenues depuis le 1er juillet 2024.
Nous vous recommandons de mettre à jour vos firewalls SNS vers une version maintenue afin d’assurer la protection de votre infrastructure.
Correctifs de SNS 3.7.21 LTSB
Système
Événements système
Référence support 80426
L'événement système n°19 : "LDAP inaccessible" se déclenche désormais en cas de problème d'accès à un annuaire LDAP défini dans la configuration du firewall.
VPN IPsec
Référence support 77477
Une configuration IPsec associée à une règle de NAT concernant les paquets destinés au tunnel et une règle de QoS pour les flux transitant par ce tunnel provoquait la saturation de la mémoire du firewall et entraînait l'instabilité du cluster en cas de configuration en haute disponibilité. Ce problème a été corrigé.
Référence support 82403
L'envoi des logs "INITIAL-CONTACT sent" et "INITIAL-CONTACT received" via Syslog pouvait causer de forts ralentissements durant la phase de négociation des tunnels. Ce problème a été corrigé et concernait les firewalls modèles SN200, SN300, SN500, SN510, SN700, SN710, SN900, SN910, SN2000, SN2100, SN3000, SN3100, SN6000, SN6100, SNi40, U30S, U70S, U150S, U250S, U500S et U800S.
Référence support 81471
Dans une configuration utilisant un tunnel VPN IPsec soumis à une forte charge réseau, l'expiration d'une entrée ARP ne provoque plus de perte de paquets réseau.
VPN IPsec - Routage
Référence support 80662
La prise en compte d'un changement d'état d'une route réseau associée à une Security Policy IPsec n'entraîne plus un arrêt inopiné du service et un blocage du firewall.
Annuaire LDAP - Serveur de secours
Référence support 80428
Dans une configuration LDAP(S) définie avec un serveur de secours, lorsque :
- Le firewall a basculé sur le serveur LDAP(S) de secours faute de réponse du serveur principal,
- Le serveur de secours ne répond pas à son tour.
Alors le firewall tente de se reconnecter immédiatement au serveur principal sans attendre le délai de 10 minutes défini en configuration d'usine.
Agent SNMP
Référence support 81710
Des problèmes de fuites mémoire liés à l’agent SNMP ont été corrigés.
Référence support 81573 - 81588 - 81529
Lorsque le firewall reçoit une requête SNMP, l'adresse de réponse utilisée par l'agent SNMP est de nouveau correcte et correspond bien à l'adresse IP du firewall interrogée lors de cette requête SNMP.
Référence support 81710
Des améliorations ont été apportées au mécanisme de gestion de la table des alarmes SNMP. Elles permettent d'éviter un phénomène de duplication des OID qui empêchait l'émission de certaines alarmes.
Haute disponibilité (HA)
Référence support 80049
Dans une configuration en haute disponibilité, après le basculement d'un nœud de l'état actif à l'état passif, le nœud passif continuait de superviser les objets routeurs en plus des interfaces HA, générant ainsi des erreurs d'envoi de paquets. Ce problème a été corrigé.
Référence support 80049
Dans une configuration en haute disponibilité, après un double basculement d'un nœud (de l'état actif à l'état passif, puis de nouveau à l'état actif), une anomalie de communication entre plusieurs composants du mécanisme de supervision des passerelles provoquait des incohérences dans l'état des passerelles supervisées ainsi que dans la mise à jour des routes permettant de superviser ces passerelles. Ces problèmes ont été corrigés.
Réseau
Renouvellement d'un bail DHCP
Références support 82238 - 82359
Lorsqu'un paquet UNICAST en provenance du port 67 et à destination du port 68 tentait de traverser le firewall (notamment dans le cas d'un renouvellement d'un bail DHCP), ce dernier pouvait être bloqué et ne jamais aboutir si l'interface de provenance et de sortie du paquet ne faisait pas partie d'un bridge.
Désormais, il est possible de corriger ce comportement en modifiant la valeur du paramètre UseAutoFastRoute à Off grâce à la commande CLI / Serverd suivante :
CONFIG PROTOCOL TCPUDP COMMON IPS CONNECTION UseAutoFastRoute=<On|Off>
Prévention d'intrusion
Statistiques du moteur de prévention d'intrusion
Références support 79713 - 82437 - 81466
Des optimisations ont été apportées au mécanisme de gestion des statistiques du moteur de prévention d'intrusion. Elles permettent d'éviter de potentielles pertes de paquets lors du traitement récurrent de ces statistiques sur un firewall soumis à une charge réseau importante.