IPS-Firewalls NETASQ Release Notes 6.2.1

IPS-Firewalls NETASQ
Release Notes 6.2.1
Version 1.0 - © NETASQ 2006
Version 6.2.1
Catégorie
Sévérité
Vulnérabilités
N/A
Correctifs
Mineure
Fonctionnalités
Majeure
Fonctionnalités
NSBSD
Licence Version 9
Afin de bénéficier des nouvelles fonctionnalités et des nouveaux services, la licence
des produits NETASQ évolue. La nouvelle licence, version 9, inclut ces nouvelles
fonctionnalités et ces nouveaux services (service antispam VadeRetro, listes de
filtrage OPTENET).
Ajout de traces pour le module de Haute Disponibilité
Pour pouvoir suivre à tout instant l’activité des appliances participant au cluster de
Haute Disponibilité, NETASQ a enrichi les traces remontées par les produits lors du
fonctionnement de la fonctionnalité de Haute Disponibilité.
Support des F2000-E et F5000-C
Les appliances UTM NETASQ F2000-E et F5000-C ne sont supportés qu’à partir de
la version 6.2.1. Il est donc indispensable pour les détenteurs de F2000-E et F5000-C
qui souhaiterait installer la version majeure 6.2, d’installer la version 6.2.1.
Anglais : langage par défaut de l’appliance
Dorénavant chaque produit livré par NETASQ en version 6.2.x aura comme langage
par défaut, l’anglais. De même tout produit mis à jour et remis en configuration d’usine
(defaultconfig) aura comme langage par défaut, l’anglais.
ASQ
Ajout d’un plugin MGCP
Le moteur ASQ compte un plugin supplémentaire relatif à la VoIP, le plugin MGCP.
Ce plugin permet la gestion dynamique et la sécurisation du trafic.
Ajout d’un événement système en cas de mauvaise définition d’une règle de
QoS
Sur un appliance NETASQ, la politique de filtrage est associée à la politique de QoS
(les règles de filtrages font référence à une règle de QoS à appliquer). Ainsi si une
règle de filtrage est restaurée grâce aux fonctionnalités de sauvegarde / restauration
et qu’elle contient une référence à une règle de QoS, un événement système est
remonté pour indiquer que cette règle de filtrage ne peut appliquer la règle de QoS
associée car elle n’a pas été restaurée.
LDAP
Création d’utilisateurs lors de l’utilisation des fonctionnalités de Mapping
Version 1.0 …. - © NETASQ 2006
Page 2 sur 9
Référence: NA-RN-6.2.1-001-FR
Version 6.2.1
Il est désormais possible de créer des utilisateurs dans une base de données externe
même si les fonctionnalités de mapping de champs ont été activées sur cette base.
Cette fonctionnalité facilite notamment l’interaction avec Active Directory.
Authentification
Ajout du langage Portugais
Le portail d’authentification apparaît désormais en Portugais en fonction de la langue
du navigateur.
Ajout d’un événement système en cas d’échec de récupération de la CRL
La CRL est un élément important de la chaîne de confiance formée par une PKI. Si
l’appliance est dans l’impossibilité de récupérer cette CRL, cet événement permet
d’informer l’administrateur.
Caractères spéciaux dans les groupes d’utilisateurs
La gestion des groupes d’utilisateurs comportant des utilisateurs qui possèdent des
caractères spéciaux dans leur nom (DN), tels que les virgules ou les parenthèses par
exemple, a été améliorée.
Moteur événementiel
Ajout de traces concernant l’activation programmée des politiques
L’administrateur est averti de l’activation automatique d’une politique (filtrage, NAT,
VPN, filtrage d’URL…) définie par la programmation horaire.
Proxy HTTP
Intégration des listes d’URLs OPTENET
Les produits NETASQ permettent désormais l’intégration en option de la technologie
OPTENET pour les modèles F200 et supérieur. Cette nouvelle fonctionnalité permet
d’intégrer la base du leader européen de la sécurité web. Cette liste comprend 49
catégories.
Gestion dynamique des groupes d’utilisateurs
Jusqu’à présent, une règle de filtrage associée à un groupe d’utilisateur générait une
règle de filtrage par utilisateur. Désormais, le proxy HTTP n’interroge plus la base
d’utilisateurs au démarrage, la gestion des groupes est complètement dynamique. Il
connaît les groupes auxquels appartient l’utilisateur lorsque celui-ci s’authentifie et
non plus lors de la lecture de la configuration.
Support des plages d’adresses dans les règles de filtrage d’URL
Le champ source présent dans les règles de filtrage d’URL accepte désormais les
objets de type « plage d’adresses ». Cela permet la restriction du filtrage d’URL à un
groupe de machines sans pour autant devoir effectuer une règle pour chaque
machine.
Optimisation de la gestion des réponses HTTP aux multiples Content-Type
Dans les versions précédentes, les réponses HTTP contenant plusieurs entrées de
type Content-Type étaient bloquées, car elles étaient invalides. Désormais le proxy
Version 1.0 …. - © NETASQ 2006
Page 3 sur 9
Référence: NA-RN-6.2.1-001-FR
Version 6.2.1
HTTP accepte les réponses en conservant uniquement la première entrée du champ
Content-Type.
VPN IPsec
Support de plusieurs négociations de phase 2 en mode anonyme
En version 6.1, quand une extrémité de tunnel était définie par l’objet « any », il ne
pouvait y avoir qu’une seule phase 2 et il n’y avait pas de gestion des groupes de
réseaux dans cette phase 2. En version 6.2.1, il est désormais possible de définir
plusieurs phase 2 dans le cadre d’un tunnel anonyme et aussi d’utiliser des groupes
de réseaux dans cette définition.
Antispam
Ajout d’une analyse heuristique (VadeRetro)
NETASQ ajoute le moteur d’analyse Vade Retro de GOTO Software aux analyses par
liste noire DNS déjà présente. Ce moteur effectue une analyse détaillée du message
et de son en-tête grâce aux milliers de règles qu’il comprend. Cette analyse s’effectue
en parallèle à l’analyse par requête DNS afin d’optimiser les performances. Ce moteur
d’analyse est disponible pour les produits de type F200 et supérieurs possédant un
pack de maintenance valide.
Ces règles d’analyse sont mises à jour via Active Update.
Ajout d’une liste blanche de noms de domaine de fournisseur Internet
Les serveurs de liste noire DNS fournissent un haut niveau de détection des courriers
indésirables. Cependant, les serveurs de mails des fournisseurs Internet sont parfois
placés sur ces listes car ils autorisent le relais de Spam, ou tout simplement parce
qu’un spammeur utilise une adresse mail de ce fournisseur d’accès. En conséquence,
tous les mails provenant d’utilisateurs légitime de ces ISP sont également sur liste
noire. Afin d’éviter les fausses alertes, NETASQ maintient une liste blanche des
principaux serveurs publics. L’analyse par liste noire n’est pas effectuée pour ces
serveurs, elle est délégué dans ce cas au nouveau moteur d’analyse du contenu.
Cette liste blanche de serveurs est mise à jour via Active Update.
Ajout de liste noire
Cette nouvelle fonctionnalité complète les autres et permet de désigner manuellement
un nom de domaine comme source de Spam.
Ajout d’un entête antispam (compatible avec Spam-assassin)
Le module Antispam ajoute au message identifié comme spam, un entête synthétisant
le résultat de son analyse pour ce message. Cet entête antispam, est compatible avec
le format spamassassin, compris par les principaux clients de messageries, ce qui
permet une action automatique du client mail pour les messages taggés.
Administration
Réactivation automatique des modules affectés par des modifications d’objets
Dans les versions précédentes, la modification d’un objet utilisé dans la configuration
de l’appliance nécessitait la réactivation des modules qui utilisaient cet objet.
Version 1.0 …. - © NETASQ 2006
Page 4 sur 9
Référence: NA-RN-6.2.1-001-FR
Version 6.2.1
Désormais, le système détecte automatiquement les modules qui utilisent cet objet.
Les configurations sont mises à jour et les modules redémarrés.
Vérification de l’utilisation des interfaces de l’appliance
Le menu de configuration des interfaces d’un appliance intègre un nouvel onglet
permettant la visualisation des modules utilisant cette interface. Cet onglet inclut
également dans sa vérification les objets implicites associés à cette interface
(Network_xxx par exemple).
Ajout d’un menu de sélection de la partition de démarrage
Les produits NETASQ (F200 et +) possèdent 2 partitions, la partition principale, et une
partition secondaire. Le redémarrage d’un produit NETASQ est désormais facilité
grâce au menu de sélection de la partition de démarrage (en utilisant le Firewall
Manager, menu « Maintenance », puis « Partition de démarrage »). Grâce à ce menu
vous définissez sur quelle partition l’appliance démarrera, désormais, à partir du
prochain redémarrage.
Catégories de sauvegarde avancées
Afin de permettre un choix plus grand lors des étapes de sauvegarde et de
restauration de la configuration, NETASQ a ajouté un mode avancée, qui permet de
choisir une par une les catégories de sauvegarde.
ATTENTION : ce type de fonctionnalité permettra la restauration de configuration
fragmentée avec les risques que cela encourt (Tunnels VPN sans clés pré-partagées,
règles de filtrage sans les règles de QoS associées…).
Accès à la suite d’administration pour tous les produits
L’accès à la suite complète d’administration est désormais possible pour tous les
produits, y compris ceux pour lesquels, seul l’EZAdmin était disponible. En
conséquence, l’interface EZAdmin n’est plus supportée et ne peut plus être utilisée
pour la configuration des produits NETASQ.
Active Update
Support de l’authentification par proxy
Le module Active Update contacte le site WEB NETASQ pour télécharger
automatiquement les mises à jour des modules tels que le filtrage d’URL, les
signatures contextuelles, l’antispam et l’antivirus. Cette mise à jour peut se faire via un
proxy HTTP, et désormais les paramètres d’authentification peuvent être configurés.
Routage Dynamique
Support des protocoles BGP, RIP et OSPF
NETASQ intègre sur les produits F200 et supérieur, le module de routage dynamique
d’IPinfusion pour offrir une solution solide et éprouvée à ses clients. Il permet la
gestion des protocoles de routage RIP, BGP et OSPF.
VPN SSL
Même port d’écoute sur le poste client
En version 6.2, le module VPN SSL supporte plusieurs interface de boucle (loopback)
sur le poste client permettant ainsi la définition d’un même serveur local (poste client)
pour plusieurs serveurs distants utilisant un port d’écoute identique. Cette
Version 1.0 …. - © NETASQ 2006
Page 5 sur 9
Référence: NA-RN-6.2.1-001-FR
Version 6.2.1
fonctionnalité sert notamment dans le cadre de plusieurs serveurs Lotus. Cette
configuration est disponible en mode console uniquement.
Serveur DHCP
Distribution d’un serveur Call Manager (option 150/tftp)
Le Serveur Call Manager associé au protocole MGCP (VoIP) s’ajoute à la liste des
serveurs (DNS, WINS, SMTP, POP, NTP et NNTP) déjà distribué par le serveur
DHCP.
Proxy DNS
Ajout d’un événement système lors d’une rotation importante du cache
Un évènement système a été ajouté afin de signaler une rotation trop fréquente
(inférieure à une heure) du cache DNS. Cet événement permet de détecter une
utilisation anormale du protocole DNS (potentiellement liée à l’utilisation du protocole
DNS comme canal caché), ou un dimensionnement insuffisant du cache.
Mise à jour
Support d’une mise à jour depuis la version 6.0
La mise à jour depuis une version 6.0 vers une version 6.2 est supportée pour
l’ensemble des produits.
Firewall Manager
Modification de l’assistant de sauvegarde / restauration
Du fait de l’apparition d’un du mode de sauvegarde/restauration avancé, le menu
associé dans le Firewall Manager a été modifié en conséquence.
Optimisation de l’affichage de la fenêtre d’objets
De nombreuses modifications ont été apportés à la fenêtre des objets afin d’optimiser
son utilisation. Ces modifications portaient notamment sur le masquage des objets
« anonymous » et broadcast, le masquage du BaseDN des utilisateurs, l’ouverture de
l’arbre résultant d’une recherche, l’ajout d’un cache pour les informations LDAP, etc.
Message d’avertissement sur annulation
L’application demande une confirmation d’annulation des modifications effectuées sur
la configuration lorsque l’administrateur sort d’un menu en cliquant sur le bouton
« Annuler » ou la croix de fermeture de fenêtre (standard Windows).
Mise à jour du menu Licence
L’apparition de nouveaux services dans la gamme des services NETASQ a nécessité
la mise à jour en conséquence du menu Licence pour s’adapter au plus juste à la
politique de service en vigueur. Ce panneau comporte désormais un lien direct vers
les informations de licences disponibles sur l’espace privé.
Ajout de tests sur les caractères spéciaux
Divers améliorations, correctifs et vérifications ont été développés pour la prise en
compte de nouveaux caractères spéciaux (acceptés ou refusés).
Version 1.0 …. - © NETASQ 2006
Page 6 sur 9
Référence: NA-RN-6.2.1-001-FR
Version 6.2.1
Firewall Monitor
Déchiffrement du carnet d’adresses au démarrage
Les récentes modifications permettent le déchiffrement automatique du carnet
d’adresses associé au Firewall Monitor lors du démarrage de l’application, facilitant
ainsi son utilisation par l’administrateur.
Complétion des informations de Haute Disponibilité (H.A)
L’affichage des versions de la partition principale et de la partition de sauvegarde pour
chacun des appliances participant au cluster de Haute Disponibilité.
NETASQ Log Collector
Déconnexion automatique de la base lors du passage en mode veille
Nouveaux messages d’erreurs
AutoReport
Nouvelles possibilités de rapports avancés
Les modifications apportées à l’AutoReport permettent désormais l’utilisation de tous
les champs de la base SQL des fichiers de traces dans les rapports. De plus, il est
possible également d’ajouter un ou plusieurs filtres SQL sur les données, avant
analyse afin de pouvoir restreindre la portée du rapport à certaines données
spécifiques (plages d’adresses, firewalls, etc.)
Ajouts ergonomiques diverses
Les modifications ergonomiques ont permis l’apparition dans les rapports
automatiques effectués par le logiciel Autoreport de diagrammes en camembert ainsi
que l’ajout d’exemples et de modèles de rapports à programmer.
Correctifs
ASQ
Déblocage des fragments sur déclenchement d’une alarme avec action « Pass »
Lorsqu’un fragment déclenchait la remontée d’une alarme définie avec comme action
« Pass », les autres fragments associés (le reste du paquet fragmenté) restaient
bloqués par l’appliance.
Haute disponibilité
Détection de la défaillance de la liaison de contrôle principale au démarrage
Dès le démarrage des appliances participant au cluster de Haute Disponibilité, ceux-ci
détectent désormais l’absence de lien de contrôle principal.
Proxy HTTP
Comptabilisation erronée dans les traces du proxy HTTP
Dans certains cas spécifiques (réponse HTTP + état « Connection/Close »
notamment), le volume de données transitant au travers de l’appliance n’était pas
Version 1.0 …. - © NETASQ 2006
Page 7 sur 9
Référence: NA-RN-6.2.1-001-FR
Version 6.2.1
comptabilisé dans les traces de l’appliance (les fonctionnalités basées sur des quotas
étaient tout de même effective).
VPN IPSec
Suppression intempestive des SPD à la réception de « Delete SA »
Dans le cadre de tunnels VPN IPsec anonymes, lors de la réception d’une commande
« Delete SA », une vérification est effectuée afin de détecter la présence de SA
renégociée. Le tunnel n’est fermé qu’en l’absence de SA renégociée. Auparavant, le
tunnel était fermé dans tous les cas.
Proxy DNS
Support des plages d’adresses dans le cache DNS
Il était possible de définir des plages d’adresses dans les clients autorisés à effectuer
une requête DNS (voir configuration du proxy DNS) mais ces plages d’adresses
n’étaient pas interprétées par l’appliance si le cache était configuré en mode
transparent.
Authentification
Redirection sur le portail d’authentification en cas d’échec de la méthode SSL
Une erreur d’authentification par la méthode SSL ne redirigeait pas l’utilisateur vers le
portail d’authentification afin de permettre une nouvelle tentative d’authentification.
VPN SSL
Redirection vers une page d’erreur NETASQ en cas de non accès à un serveur
Lors de la connexion une page au travers du VPN SSL, lorsqu’un serveur configuré
n’était pas ou plus accessible à un utilisateur. Cet utilisateur était redirigé vers une
page d’erreur HTTP standard. Désormais, l’utilisateur sera redirigé vers une page
d’erreur spécifique.
Firewall Manager
Divers correctifs ont été apportés à l’application Firewall Manager afin de garantir une
meilleure stabilité. Les modifications ont notamment portées sur l’impossibilité
d’assigner des accès VPN avec les droits d’administration « object » et « user », le
traitement des suppressions et des erreurs associées à la boite d’objets, les multisélections, les détections de panne (bugreport) et la disparition des messages d’erreur
dans le cas d’une connexion forcée avec les droits de modification.
NETASQ Log Collector
Plusieurs correctifs divers ont été apportés au NETASQ Log Collector afin de
permettre une meilleure stabilité du service.
Version 1.0 …. - © NETASQ 2006
Page 8 sur 9
Référence: NA-RN-6.2.1-001-FR
Version 6.2.1
Problèmes identifiés
NSBSD
Conflit de fonctionnement entre l’activation manuelle et la programmation
horaire.
S’il existe, dans la configuration de l’appliance UTM, une programmation horaire des
slots (de filtrage, de NAT, de VPN…) et qu’une activation manuelle est effectuée – par
le biais du bouton « Activer » présent dans le sélectionneur de slot du Firewall
Manager – c’est la programmation horaire qui s’appliquera.
Cette fonctionnalité fait l’objet d’une correction dans la version 6.2 du firmware
NETASQ.
Version 1.0 …. - © NETASQ 2006
Page 9 sur 9
Référence: NA-RN-6.2.1-001-FR

Download Report