O letošních prázdninách vývojáři společnosti Stormshield nezaháleli a vyšly dvě aktualizace pro zařízení SNS (Stormshield Network Security), tedy firewally.
Verze 4.5.1 obsahuje následující výběr těch nejzajímavějších vylepšení a nových funkcí:
- Dvou-faktorová autentizace (2FA)
Stormshield implementoval technologii pro dvou-faktorovou autentizaci pomoci TOTP (time-based one-time passwords), tedy časově omezených jednorázových hesel přímo do software. Není tedy třeba žádná další aplikace od třetích stran. Funkce 2FA poskytuje možnost autentizace pro:
* Captive Portal
* SSL VPN spojení
* Administraci pomocí web rozhraní
* Přístup přes SSH/Konzoli
* VPN spojení pomocí IPsec protokolu s XauthV některém z příštích článků si tuto funkci vyzkoušíme a ukážeme detailně.
- Dynamické směrování multicast provozu
Stormshield podporuje dynamické směrování Multicastu pomocí IGMPv2 a v3, a dále PIMv2
Funkcionalita je nyní v předběžném přístupu a není doporučeno ji zatím využívat na produkčních zařízeních.
- Podpora S7 Plus Protokolu
Stormshield přidal možnost analýzy průmyslového protokolu S7 Plus od společnosti Siemens.
- IEC 60870-5-140 Protokol
Byl vytvořen nový alarm „IEC 60870-5-104: Invalid TESTFR act message with connection context“ (iec104:756), aby umožnil průchod paketům IEC 60870-5-104 TESTFR act (stavová kontrola paketů) při opuštění IEC. Analýza protokolu 60870-5-104 povolena.
- Automatické odpojení expirovaných SSL VPN spojení
Pomocí příkazové řádky je možné nastavit hodnotu (ve vteřinách) pro parametr „idle timeout“. Po vypršení této hodnoty budou všechna neaktivní SSL VPN spojení automaticky ukončena.
- Nové DH (Diffie-Hellman) skupiny pro IPsec enkrypční profily
Aktuálně je možné pro IPsec VPN použít skupiny moderních eliptických křivek DH31 a DH32.
Verze 4.5.2 přináší pouze jednu novinku v podobě rozšíření výstupu pro příkaz „showSPD“. Ve výstupu je aktuálně možné najít následující informace:
* Lokální a vzdálená síť: (např. 192.168.1.0/24[any] 10.0.0.0/24[any],
* Směr navázaného VPN spojení: např. „out ipsec“,
* IP adresy obou VPN zařízení/bran: „esp/tunnel/local address – remote address“,
* Identifikátor (ID) pro IPSec SA (Security association): „unique#13579“.Druhý zářijový týden nám přinesl aktuální verzi 4.5.3, ve které jsou 2 vylepšení:
- Quality of Service (QoS) – Filtering
V bezpečnostních politikách je nyní možné vybrat fronty pro obejití/bypass QoS.
- Quality of Service (QoS) – Traffic Shapers
Pro aplikaci QoS byly vylepšeny konfigurační parametry pro tzv. „traffic shapery“. Příchozí a odchozí propustnost lze nyní konfigurovat samostatně pro každé rozhraní. Zařazení do fronty založené na třídách (Class-based queuing) lze proto nastavit v architektuře LAN/WAN/DMZ a více sítí WAN.
