Web Gateway 7.7.0 Notes de version

Notes de version
Révision A
McAfee Web Gateway 7.7.0
Sommaire
A propos de cette version
Nouvelles fonctionnalités et améliorations
Problèmes résolus
Instructions d'installation
Problèmes connus
Accès à la documentation sur le produit
A propos de cette version
Ce document contient des informations concernant la version actuelle. Il est vivement recommandé de
le lire dans son intégralité.
®
McAfee Web Gateway (Web Gateway) 7.7.0 est fourni en tant que version contrôlée. Cette version
principale, qui inclut de nouvelles fonctionnalités et améliorations, résout les problèmes présents dans
les précédentes versions.
Si vous avez créé une configuration de liaison, fonctionnalité qui n'était pas prise en charge
avant la sortie de Web Gateway 7.5.2, supprimez tous les paramètres de cette configuration
avant de passer à cette nouvelle version. Vous risquez sinon de créer un état instable sur
l'appliance.
Après la mise à niveau, vous pouvez de nouveau mettre en œuvre une liaison d'interface
réseau selon le chapitre Configuration système du Guide produit McAfee Web Gateway.
1
Nouvelles fonctionnalités et améliorations
Cette version du produit inclut les nouvelles fonctionnalités et améliorations suivantes.
Solutions HSM supplémentaires
D'autres solutions sont disponibles pour utiliser un module de sécurité matériel (HSM) afin de
renforcer la sécurité d'une clé privée.
Vous pouvez utiliser un module de sécurité matériel à distance via un réseau SafeNet HSM fourni par
un partenaire Intel (Gemalto), ou exécuter une émulation à l'aide d'OpenSSL.
Pour plus d'informations, reportez-vous au chapitre Filtrage de contenu web du Guide Produit de
McAfee Web Gateway.
Configuration de l'ID de locataire
Vous pouvez configurer un ID de locataire identifiant un client comme le propriétaire d'une instance
spécifique de Web Gateway et d'autres produits de sécurité Intel que le client en question a achetés.
®
®
®
™
Utilisez les interfaces Web Gateway et McAfee ePolicy Orchestrator Cloud (McAfee ePO Cloud) pour
configurer un ID de locataire.
Pour obtenir plus d'informations, reportez-vous au chapitre Gestion centralisée du Guide Produit de
McAfee Web Gateway.
Cloud sandboxing
Un jeu de règles a été créé pour envoyer des fichiers au nouveau produit Cloud Threat Defense, qui
fournit le sandboxing et l'analyse de fichiers, y compris IoCs, permettant la détection et la prévention
de menaces.
Cloud Threat Defense est vendu sous licence distincte et sera prochainement disponible.
Amélioration de la gestion des protocoles réseau
Plusieurs améliorations ont été apportées à la gestion de protocoles réseau.
•
Le protocole HTTP/2 est désormais disponible afin de configurer les communications réseau.
•
Plusieurs améliorations ont été apportées à la configuration du contrôle du trafic sécurisé par le
protocole SSL.
•
La bibliothèque Open SSL 1.0.2j s'utilise désormais pour traiter le trafic sécurisé par le
protocole SSL.
Configuration du proxy modifiée
La configuration du proxy utilisant une console système a été améliorée, tandis que certaines
fonctions héritées ne sont plus disponibles.
2
•
Un proxy configuré sur l'interface utilisateur d'une appliance Web Gateway de façon à mettre à jour
les informations de filtre peut aussi être configuré pour mettre à jour le système d'exploitation
MLOS.
•
Vous pouvez aussi configurer la limitation de bande passante pour traiter le trafic Web quand Web
Gateway est exécutée comme proxy en mode transparent ou en mode proxy haute disponibilité.
•
Lorsque vous configurez une adresse de destination pour un client ICAP, vous devez spécifier un
nom de domaine qualifié complet au lieu d'une adresse IP.
•
La solution proxy SOCKS intégrée mise en œuvre pour une version antérieure de Web Gateway ne
comprend plus l'option permettant d'exécuter un proxy SOCKS Dante.
Cependant, il est possible de migrer d'une configuration dotée du proxy SOCKS Dante à une
configuration dotée de la version modifiée de la solution intégrée.
•
Les options permettant de configurer les proxys ICQ et Yahoo sur Web Gateway ont été
supprimées.
Plusieurs améliorations de configuration
Des améliorations ont été apportées à certaines tâches de configuration.
•
Quand l'administrateur sauvegarde une modification de configuration sur l'interface utilisateur, une
option est prévue pour stocker un commentaire sur la modification.
•
Deux nouvelles propriétés ont été ajoutées pour stocker la date et l'heure selon l'horodatage UNIX
comme chaîne au format GMT ou ISO.
•
Les listes contenant des éléments de sécurité web mises à disposition de l'administrateur sont
qualifiées de listes fournies au lieu de listes gérées sur l'interface utilisateur, car ces listes ne sont
effectivement pas gérées par Intel.
•
Les paramètres permettant de configurer l'utilisation des caches sur Web Gateway ont été modifiés.
Problèmes résolus
Les problèmes suivants sont résolus dans cette version du produit. Les références Bugzilla sont en
entre parenthèses.
Communication réseau
•
Lorsque Web Gateway a été exécutée en tant que proxy SOCKS via la méthode d'authentification
Kerberos, une demande n'a pas été transmise au Web, car le proxy SOCKS n'a pas accepté la
gestion de l'authentification effectuée par Kerberos (1132829).
•
Lorsque McAfee Client Proxy a été utilisé pour transférer du trafic à Web Gateway, les propriétés
n'ont trouvé aucune correspondance pour l'adresse IP d'origine du client, car l'en-tête qui contenait
l'adresse IP n'avait pas été déchiffré correctement. (1139163)
•
L'accès à un portail Web a été bloqué, car le serveur web a envoyé un certificat expiré, alors qu'un
nouveau certificat avait déjà été enregistré sur Web Gateway. (1140586)
•
Après avoir effectué une sauvegarde et une restauration de Web Gateway, les règles configurées
permettant de gérer les itinéraires statiques n'étaient plus respectées. (1141680)
•
Lors du traitement d'une réponse envoyée d'un proxy de tronçon suivant à Web Gateway, les
informations d'en-tête sur la longueur du contenu n'ont pas été supprimées conformément aux
règles, empêchant le transfert de la réponse au client demandeur. (1144491)
•
Web Gateway n'a pas pu ouvrir de connexion TLS à un serveur web spécifique, nécessitant
l'utilisation d'un algorithme de signature SHA hérité. Une fonction a été mise en œuvre pour
l'utilisation de signatures héritées permettant d'établir la connexion SSL. (1144894)
•
Lorsque Web Gateway a été exécutée comme proxy SOCKS, l'ajout de la propriété sur la taille du
corps dans le journal des accès a empêché l'écriture des lignes du journal. Impossible d'écrire les
lignes, car la taille du corps n'a pas pu être calculée en raison d'un ID interne qui n'a pas été défini
correctement. (1146957)
3
•
Lorsque Web Gateway a été configuré de façon à filtrer le trafic FTP via mode WCCP avec
l'usurpation activée pour les adresses IP des clients, les demandes de synchronisation envoyées
par le serveur FTP actif ont été ignorées sur Web Gateway. (1151584)
•
Lorsque le filtrage du type de média a été activé sur Web Gateway, le traitement du trafic HTTP a
provoqué une erreur de serveur interne, car Web Gateway a supprimé certains scripts d'un type de
script inconnu avec ce trafic. (1152454)
•
Les itinéraires statiques configurés sur Web Gateway ont été ignorés selon le protocole RIP et
finalement supprimés en raison d'un débordement de mémoire tampon causé par le nombre
important d'itinéraires. (1153204)
Filtrage de contenu web
•
Un espace présent dans le chemin d'accès au fichier d'une URL a entraîné le classement inexact de
l'URL en question. (1131993)
•
Lorsque les règles du jeu de règles par défaut destiné au filtrage HTML ont été traitées, les objets
web non associés à HTLM ont été corrompus pendant le téléchargement, car ces règles leur ont
également été appliquées en raison de critères de jeu de règles inexacts. (1138608)
•
Lorsque l'Anti-Malware engine a été mis à jour sur Web Gateway, la réinitialisation a été
exceptionnellement longue, ayant une incidence sur le traitement des demandes qui a exigé une
évaluation de la propriété Antivirus.IsInfected. (1145537)
•
Le problème de recherche de l'émetteur d'un certificat dans le cadre d'une communication
sécurisée par le protocole SSL a entraîné l'échec du sous-système coordinateur avec un signal 6.
(1149925)
•
Une clé privée pour une autorité de certification par défaut utilisée dans un jeu de règles destiné à
la gestion des demandes McAfee ePO Cloud contenait un espace, rendant sa longueur non valide
lors du décodage de la clé avant qu'elle ne soit chiffrée.
Par conséquent, la clé a été rejetée par le processus de base, et la configuration n'a pas pu être
sauvegardée une fois les modifications apportées. (1150070)
•
Une fois analysés par le serveur ICAP, les fichiers ont été renvoyés corrompus par Web Gateway,
car les informations relatives à la taille de segment ont été détruites. (1152631)
Vulnérabilités
•
Web Gateway n'a pas été concernée par la vulnérabilité CVE-2015-2600, qui portait sur l'utilisation
d'un serveur Open SSH. Un package mis à jour destiné à supprimer cette vulnérabilité a néanmoins
été mis en œuvre.
Un package mis à jour chargé de traiter la vulnérabilité CVE-2016-3115 a également été mis en
œuvre. Par conséquent, Web Gateway n'est plus concernée par cette vulnérabilité. (1112008)
4
•
Web Gateway a été concernée par la vulnérabilité décrite dans l'annonce de sécurité NTP-4.2.8p7.
Après la mise en œuvre d'un correctif, couvrant également plusieurs vulnérabilités connexes, Web
Gateway n'était plus concernée. (1137393)
•
Web Gateway a été concernée par la vulnérabilité CVE-2016-6515, permettant l'utilisation de mots
de passe d'une longueur illimitée quand OpenSSH était utilisé. Après la mise en œuvre d'un
correctif, Web Gateway n'était plus concernée. (1156225)
•
Web Gateway a été concernée par la vulnérabilité CVE-2016-1762 et d'autres vulnérabilités
ultérieurement, exposant ainsi la bibliothèque libxml2. Après la mise en œuvre d'un correctif, Web
Gateway n'était plus concernée. (1159511)
Divers
•
Quand Web Gateway a été configuré de façon à filtrer le trafic SOCKS, l'authentification utilisateur
a échoué et Web Gateway a fermé la connexion. (1152258)
•
Aucune page de progression ne s'est ouverte pendant le téléchargement d'un fichier .zip, car une
règle de filtrage du type de média a été traitée au préalable, exigeant un téléchargement complet.
Le traçage de règles a commencé à résoudre le problème, mais a échoué à la suite du
dépassement de la limite du nombre d'éléments de règle pouvant être tracés simultanément.
(1155082)
•
Le processus principal sur Web Gateway a échoué plusieurs fois lors du traitement d'une URL en
raison d'un problème pendant la synchronisation des threads de journalisation. (1156628)
•
L'utilisation d'une page de blocage pour bloquer plusieurs demandes d'accès au Web a déclenché
une alerte de manière erronée. (1158404)
Instructions d'installation
La configuration minimale requise pour l'installation de cette nouvelle version de produit dépend de la
version en cours d'exécution.
•
7.3.x à 7.6.x : vous pouvez effectuer une mise à niveau vers la nouvelle version, après activation
d'un référentiel. Reportez-vous à la section Mise à niveau à partir de la version 7.3.x ou ultérieure.
•
7.0.x à 7.2.x : vous pouvez mettre à niveau vers la nouvelle version après avoir créé une
sauvegarde de la configuration. Reportez-vous à la section Mise à niveau à partir de la
version 7.2.x ou de toute version 7.x antérieure.
Vous pouvez également créer une sauvegarde de la configuration, réimagez l'appliance en utilisant
une image de la nouvelle version, et installez la sauvegarde.
Utilisez les options fournies sous Troubleshooting | Backup/Restore (Dépannage | Sauvegarde/Restauration)
dans l'interface utilisateur pour créer la sauvegarde.
•
6.8.x ou 6.9.x : vous devez créer une nouvelle image de l'appliance en utilisant une image de la
nouvelle version.
Téléchargez une image de la nouvelle version à partir de la page de téléchargement de McAfee
Content & Cloud Security Portal, à l'adresse : https://contentsecurity.mcafee.com/
software_mwg7_download.
Pour plus d'informations sur la création d'une nouvelle image, reportez-vous au Guide d'installation de
McAfee Web Gateway.
Mise à niveau à partir de la version 7.3.x ou ultérieure
Si vous disposez d'une version 7.3.x ou ultérieure, vous pouvez effectuer une mise à niveau vers la
nouvelle version après activation d'un référentiel.
Vous pouvez procéder à la mise à niveau sur l'interface utilisateur ou à partir d'une console système.
5
Activation du référentiel
Activez le référentiel pour la nouvelle version à partir d'une console de système locale ou travaillez à
distance en utilisant SSH.
Procédure
1
Connectez-vous à l'appliance sur laquelle vous souhaitez effectuer la mise à niveau.
2
Exécutez la commande suivante :
mwg-switch-repo 7.7.0
Vous pouvez maintenant mettre à niveau vers la nouvelle version sur l'interface utilisateur ou depuis
une console système.
Mise à niveau depuis l'interface utilisateur
Vous pouvez utiliser les options de l'interface utilisateur pour effectuer la mise à niveau.
Procédure
1
Sélectionnez Configuration | Appliances.
2
Dans l'arborescence des appliances, sélectionnez l'appliance sur laquelle vous souhaitez effectuer la
mise à niveau.
La barre d'outils de l'appliance s'affiche dans l'angle supérieur droit de l'onglet.
3
Cliquez sur Mettre à jour le logiciel de l'appliance.
La mise à niveau vers la nouvelle version est effectuée. Au cours du processus de mise à niveau,
vous serez déconnecté de l'interface utilisateur.
4
Lorsqu'un message vous indique que le processus de mise à niveau s'est terminé, procédez comme
suit :
a
Connectez-vous à l'interface utilisateur.
b
Sélectionnez Configuration | Appliances, puis sélectionnez votre appliance.
c
Dans la barre d'outils de l'appliance, cliquez sur Reboot (Redémarrer).
Une fois le redémarrage terminé, vous pouvez vous reconnecter à l'interface utilisateur et
commencer à utiliser la nouvelle version.
6
Mise à niveau depuis une console système
Vous pouvez effectuer la mise à niveau à partir d'une console système locale, ou bien à distance avec
SSH.
Procédure
1
Connectez-vous à l'appliance sur laquelle vous souhaitez effectuer la mise à niveau.
2
Exécutez les commandes suivantes :
yum upgrade yum yumconf\*
yum upgrade
La mise à niveau vers la nouvelle version est effectuée.
3
Lorsqu'un message vous indique que le processus de mise à niveau est terminé, exécutez la
commande suivante :
reboot (Redémarrer)
Une fois le redémarrage effectué, une invite de connexion s'affiche. Vous pouvez à présent vous
connecter à l'interface utilisateur et commencer à utiliser la nouvelle version.
Mise à niveau à partir de la version 7.2.x ou de toute
version 7.x antérieure
Lorsque vous utilisez une version 7.2.x ou toute version 7.x antérieure, créez une sauvegarde de
configuration, puis utilisez une console système pour mettre à niveau à la nouvelle version.
Le processus de mise à niveau inclut une importante mise à niveau du système d'exploitation.
Plusieurs étapes sont nécessaires et l'opération prend plus de temps que d'habitude. Si ce processus
échoue ou est interrompu, vous pouvez réimager l'appliance en utilisant une image de la nouvelle
version et installer la sauvegarde de configuration.
Téléchargez une image de la nouvelle version à partir de la page de téléchargement de McAfee
Content & Cloud Security Portal, à l'adresse https://contentsecurity.mcafee.com/
software_mwg7_download.
Pour plus d'informations sur la création d'une nouvelle image, reportez-vous au Guide d'installation
McAfee Web Gateway.
Procédure
1
Créez une sauvegarde de la configuration.
Utilisez les options fournies sous Troubleshooting | Backup/Restore (Dépannage | Sauvegarde/Restauration)
dans l'interface utilisateur pour créer la sauvegarde.
2
Utilisez la console système locale ou une connexion SSH pour vous connecter à l'appliance sur
laquelle vous souhaitez effectuer la mise à niveau.
3
Exécutez les commandes suivantes :
yum upgrade yum yumconf\*
mwg-dist-upgrade 7.7.0
La mise à niveau vers la nouvelle version s'effectue en deux phases. Après chaque phase,
l'appliance redémarre automatiquement.
7
4
Suivez l'une des méthodes ci-après pour terminer l'installation :
•
Si vous utilisez une console système locale :
Une fois le deuxième redémarrage effectué, une invite de connexion s'affiche. Vous pouvez à
présent vous connecter à l'interface utilisateur et commencer à utiliser la nouvelle version.
•
Si vous utilisez SSH :
Lorsque l'appliance redémarre à l'issue de la première phase de mise à niveau, vous êtes
déconnecté et la deuxième phase de mise à niveau commence.
Une fois cette phase terminée et le redémarrage automatique effectué, vous pouvez vous
connecter à l'interface utilisateur et commencer à utiliser la nouvelle version.
La commande suivante vous permet d'afficher des messages sur la progression de la mise à
niveau :
tail -F /opt/mwg/log/update/mlos2.upgrade.log
Lorsque vous constatez que la mise à niveau est terminée, appuyez sur Ctrl+C pour
interrompre le processus. Vous pouvez à présent vous connecter à l'interface utilisateur et
commencer à utiliser la nouvelle version.
Problèmes connus
Pour les problèmes connus de cette version du produit, reportez-vous à l'article KB87762 de la base
de connaissances.
Accès à la documentation sur le produit
Sur le ServicePortal, vous pouvez trouver des informations relatives au produit mis sur le marché, dont
de la documentation, des articles techniques, etc.
Procédure
1
Accédez au ServicePortal à l'adresse https://support.mcafee.com et cliquez sur l'onglet Centre de
connaissances.
2
Dans le volet Base de connaissances sous Type de contenu, cliquez sur Documentation relative aux produits.
3
Sélectionnez un produit et une version, puis cliquez sur Rechercher pour afficher une liste de
documents.
Documentation du produit
Chaque produit McAfee dispose d'un ensemble complet de documents. La documentation du produit
Web Gateway inclut les éléments suivants :
8
•
Guide Produit de McAfee Web Gateway : décrit les fonctionnalités de Web Gateway et fournit une
vue d'ensemble du produit, ainsi que des instructions détaillées relatives à sa configuration et sa
maintenance.
•
Guide d'installation de McAfee Web Gateway : décrit le processus d'installation de Web Gateway,
ainsi que de plusieurs dispositifs pouvant être exécutés avec le produit
•
McAfee Web Gateway Reference Guide - Rule Sets Change Log (Guide de référence : Journal des
modifications des jeux de règles) : fournit une liste des modifications apportées aux jeux de règles
existants et des ajouts de nouveaux jeux de règles pour la configuration de stratégie sur Web
Gateway
•
McAfee Web Gateway Technical Note - SSO Catalog (Note Technique : Catalogue SSO) : fournit une
liste des applications et des services cloud pris en charge par Web Gateway avec des modèles de
connecteurs ou des connecteurs préconfigurés
© 2016 Intel Corporation
Intel et le logo Intel sont des marques commerciales ou des marques commerciales déposées d'Intel Corporation. McAfee et le logo
McAfee sont des marques commerciales ou des marques commerciales déposées de McAfee, Inc. Les autres noms et marques sont la
propriété de leurs détenteurs respectifs.
0A03