Web Gateway 7.7.0 Notes de version
Transcription
Web Gateway 7.7.0 Notes de version
Notes de version Révision A McAfee Web Gateway 7.7.0 Sommaire A propos de cette version Nouvelles fonctionnalités et améliorations Problèmes résolus Instructions d'installation Problèmes connus Accès à la documentation sur le produit A propos de cette version Ce document contient des informations concernant la version actuelle. Il est vivement recommandé de le lire dans son intégralité. ® McAfee Web Gateway (Web Gateway) 7.7.0 est fourni en tant que version contrôlée. Cette version principale, qui inclut de nouvelles fonctionnalités et améliorations, résout les problèmes présents dans les précédentes versions. Si vous avez créé une configuration de liaison, fonctionnalité qui n'était pas prise en charge avant la sortie de Web Gateway 7.5.2, supprimez tous les paramètres de cette configuration avant de passer à cette nouvelle version. Vous risquez sinon de créer un état instable sur l'appliance. Après la mise à niveau, vous pouvez de nouveau mettre en œuvre une liaison d'interface réseau selon le chapitre Configuration système du Guide produit McAfee Web Gateway. 1 Nouvelles fonctionnalités et améliorations Cette version du produit inclut les nouvelles fonctionnalités et améliorations suivantes. Solutions HSM supplémentaires D'autres solutions sont disponibles pour utiliser un module de sécurité matériel (HSM) afin de renforcer la sécurité d'une clé privée. Vous pouvez utiliser un module de sécurité matériel à distance via un réseau SafeNet HSM fourni par un partenaire Intel (Gemalto), ou exécuter une émulation à l'aide d'OpenSSL. Pour plus d'informations, reportez-vous au chapitre Filtrage de contenu web du Guide Produit de McAfee Web Gateway. Configuration de l'ID de locataire Vous pouvez configurer un ID de locataire identifiant un client comme le propriétaire d'une instance spécifique de Web Gateway et d'autres produits de sécurité Intel que le client en question a achetés. ® ® ® ™ Utilisez les interfaces Web Gateway et McAfee ePolicy Orchestrator Cloud (McAfee ePO Cloud) pour configurer un ID de locataire. Pour obtenir plus d'informations, reportez-vous au chapitre Gestion centralisée du Guide Produit de McAfee Web Gateway. Cloud sandboxing Un jeu de règles a été créé pour envoyer des fichiers au nouveau produit Cloud Threat Defense, qui fournit le sandboxing et l'analyse de fichiers, y compris IoCs, permettant la détection et la prévention de menaces. Cloud Threat Defense est vendu sous licence distincte et sera prochainement disponible. Amélioration de la gestion des protocoles réseau Plusieurs améliorations ont été apportées à la gestion de protocoles réseau. • Le protocole HTTP/2 est désormais disponible afin de configurer les communications réseau. • Plusieurs améliorations ont été apportées à la configuration du contrôle du trafic sécurisé par le protocole SSL. • La bibliothèque Open SSL 1.0.2j s'utilise désormais pour traiter le trafic sécurisé par le protocole SSL. Configuration du proxy modifiée La configuration du proxy utilisant une console système a été améliorée, tandis que certaines fonctions héritées ne sont plus disponibles. 2 • Un proxy configuré sur l'interface utilisateur d'une appliance Web Gateway de façon à mettre à jour les informations de filtre peut aussi être configuré pour mettre à jour le système d'exploitation MLOS. • Vous pouvez aussi configurer la limitation de bande passante pour traiter le trafic Web quand Web Gateway est exécutée comme proxy en mode transparent ou en mode proxy haute disponibilité. • Lorsque vous configurez une adresse de destination pour un client ICAP, vous devez spécifier un nom de domaine qualifié complet au lieu d'une adresse IP. • La solution proxy SOCKS intégrée mise en œuvre pour une version antérieure de Web Gateway ne comprend plus l'option permettant d'exécuter un proxy SOCKS Dante. Cependant, il est possible de migrer d'une configuration dotée du proxy SOCKS Dante à une configuration dotée de la version modifiée de la solution intégrée. • Les options permettant de configurer les proxys ICQ et Yahoo sur Web Gateway ont été supprimées. Plusieurs améliorations de configuration Des améliorations ont été apportées à certaines tâches de configuration. • Quand l'administrateur sauvegarde une modification de configuration sur l'interface utilisateur, une option est prévue pour stocker un commentaire sur la modification. • Deux nouvelles propriétés ont été ajoutées pour stocker la date et l'heure selon l'horodatage UNIX comme chaîne au format GMT ou ISO. • Les listes contenant des éléments de sécurité web mises à disposition de l'administrateur sont qualifiées de listes fournies au lieu de listes gérées sur l'interface utilisateur, car ces listes ne sont effectivement pas gérées par Intel. • Les paramètres permettant de configurer l'utilisation des caches sur Web Gateway ont été modifiés. Problèmes résolus Les problèmes suivants sont résolus dans cette version du produit. Les références Bugzilla sont en entre parenthèses. Communication réseau • Lorsque Web Gateway a été exécutée en tant que proxy SOCKS via la méthode d'authentification Kerberos, une demande n'a pas été transmise au Web, car le proxy SOCKS n'a pas accepté la gestion de l'authentification effectuée par Kerberos (1132829). • Lorsque McAfee Client Proxy a été utilisé pour transférer du trafic à Web Gateway, les propriétés n'ont trouvé aucune correspondance pour l'adresse IP d'origine du client, car l'en-tête qui contenait l'adresse IP n'avait pas été déchiffré correctement. (1139163) • L'accès à un portail Web a été bloqué, car le serveur web a envoyé un certificat expiré, alors qu'un nouveau certificat avait déjà été enregistré sur Web Gateway. (1140586) • Après avoir effectué une sauvegarde et une restauration de Web Gateway, les règles configurées permettant de gérer les itinéraires statiques n'étaient plus respectées. (1141680) • Lors du traitement d'une réponse envoyée d'un proxy de tronçon suivant à Web Gateway, les informations d'en-tête sur la longueur du contenu n'ont pas été supprimées conformément aux règles, empêchant le transfert de la réponse au client demandeur. (1144491) • Web Gateway n'a pas pu ouvrir de connexion TLS à un serveur web spécifique, nécessitant l'utilisation d'un algorithme de signature SHA hérité. Une fonction a été mise en œuvre pour l'utilisation de signatures héritées permettant d'établir la connexion SSL. (1144894) • Lorsque Web Gateway a été exécutée comme proxy SOCKS, l'ajout de la propriété sur la taille du corps dans le journal des accès a empêché l'écriture des lignes du journal. Impossible d'écrire les lignes, car la taille du corps n'a pas pu être calculée en raison d'un ID interne qui n'a pas été défini correctement. (1146957) 3 • Lorsque Web Gateway a été configuré de façon à filtrer le trafic FTP via mode WCCP avec l'usurpation activée pour les adresses IP des clients, les demandes de synchronisation envoyées par le serveur FTP actif ont été ignorées sur Web Gateway. (1151584) • Lorsque le filtrage du type de média a été activé sur Web Gateway, le traitement du trafic HTTP a provoqué une erreur de serveur interne, car Web Gateway a supprimé certains scripts d'un type de script inconnu avec ce trafic. (1152454) • Les itinéraires statiques configurés sur Web Gateway ont été ignorés selon le protocole RIP et finalement supprimés en raison d'un débordement de mémoire tampon causé par le nombre important d'itinéraires. (1153204) Filtrage de contenu web • Un espace présent dans le chemin d'accès au fichier d'une URL a entraîné le classement inexact de l'URL en question. (1131993) • Lorsque les règles du jeu de règles par défaut destiné au filtrage HTML ont été traitées, les objets web non associés à HTLM ont été corrompus pendant le téléchargement, car ces règles leur ont également été appliquées en raison de critères de jeu de règles inexacts. (1138608) • Lorsque l'Anti-Malware engine a été mis à jour sur Web Gateway, la réinitialisation a été exceptionnellement longue, ayant une incidence sur le traitement des demandes qui a exigé une évaluation de la propriété Antivirus.IsInfected. (1145537) • Le problème de recherche de l'émetteur d'un certificat dans le cadre d'une communication sécurisée par le protocole SSL a entraîné l'échec du sous-système coordinateur avec un signal 6. (1149925) • Une clé privée pour une autorité de certification par défaut utilisée dans un jeu de règles destiné à la gestion des demandes McAfee ePO Cloud contenait un espace, rendant sa longueur non valide lors du décodage de la clé avant qu'elle ne soit chiffrée. Par conséquent, la clé a été rejetée par le processus de base, et la configuration n'a pas pu être sauvegardée une fois les modifications apportées. (1150070) • Une fois analysés par le serveur ICAP, les fichiers ont été renvoyés corrompus par Web Gateway, car les informations relatives à la taille de segment ont été détruites. (1152631) Vulnérabilités • Web Gateway n'a pas été concernée par la vulnérabilité CVE-2015-2600, qui portait sur l'utilisation d'un serveur Open SSH. Un package mis à jour destiné à supprimer cette vulnérabilité a néanmoins été mis en œuvre. Un package mis à jour chargé de traiter la vulnérabilité CVE-2016-3115 a également été mis en œuvre. Par conséquent, Web Gateway n'est plus concernée par cette vulnérabilité. (1112008) 4 • Web Gateway a été concernée par la vulnérabilité décrite dans l'annonce de sécurité NTP-4.2.8p7. Après la mise en œuvre d'un correctif, couvrant également plusieurs vulnérabilités connexes, Web Gateway n'était plus concernée. (1137393) • Web Gateway a été concernée par la vulnérabilité CVE-2016-6515, permettant l'utilisation de mots de passe d'une longueur illimitée quand OpenSSH était utilisé. Après la mise en œuvre d'un correctif, Web Gateway n'était plus concernée. (1156225) • Web Gateway a été concernée par la vulnérabilité CVE-2016-1762 et d'autres vulnérabilités ultérieurement, exposant ainsi la bibliothèque libxml2. Après la mise en œuvre d'un correctif, Web Gateway n'était plus concernée. (1159511) Divers • Quand Web Gateway a été configuré de façon à filtrer le trafic SOCKS, l'authentification utilisateur a échoué et Web Gateway a fermé la connexion. (1152258) • Aucune page de progression ne s'est ouverte pendant le téléchargement d'un fichier .zip, car une règle de filtrage du type de média a été traitée au préalable, exigeant un téléchargement complet. Le traçage de règles a commencé à résoudre le problème, mais a échoué à la suite du dépassement de la limite du nombre d'éléments de règle pouvant être tracés simultanément. (1155082) • Le processus principal sur Web Gateway a échoué plusieurs fois lors du traitement d'une URL en raison d'un problème pendant la synchronisation des threads de journalisation. (1156628) • L'utilisation d'une page de blocage pour bloquer plusieurs demandes d'accès au Web a déclenché une alerte de manière erronée. (1158404) Instructions d'installation La configuration minimale requise pour l'installation de cette nouvelle version de produit dépend de la version en cours d'exécution. • 7.3.x à 7.6.x : vous pouvez effectuer une mise à niveau vers la nouvelle version, après activation d'un référentiel. Reportez-vous à la section Mise à niveau à partir de la version 7.3.x ou ultérieure. • 7.0.x à 7.2.x : vous pouvez mettre à niveau vers la nouvelle version après avoir créé une sauvegarde de la configuration. Reportez-vous à la section Mise à niveau à partir de la version 7.2.x ou de toute version 7.x antérieure. Vous pouvez également créer une sauvegarde de la configuration, réimagez l'appliance en utilisant une image de la nouvelle version, et installez la sauvegarde. Utilisez les options fournies sous Troubleshooting | Backup/Restore (Dépannage | Sauvegarde/Restauration) dans l'interface utilisateur pour créer la sauvegarde. • 6.8.x ou 6.9.x : vous devez créer une nouvelle image de l'appliance en utilisant une image de la nouvelle version. Téléchargez une image de la nouvelle version à partir de la page de téléchargement de McAfee Content & Cloud Security Portal, à l'adresse : https://contentsecurity.mcafee.com/ software_mwg7_download. Pour plus d'informations sur la création d'une nouvelle image, reportez-vous au Guide d'installation de McAfee Web Gateway. Mise à niveau à partir de la version 7.3.x ou ultérieure Si vous disposez d'une version 7.3.x ou ultérieure, vous pouvez effectuer une mise à niveau vers la nouvelle version après activation d'un référentiel. Vous pouvez procéder à la mise à niveau sur l'interface utilisateur ou à partir d'une console système. 5 Activation du référentiel Activez le référentiel pour la nouvelle version à partir d'une console de système locale ou travaillez à distance en utilisant SSH. Procédure 1 Connectez-vous à l'appliance sur laquelle vous souhaitez effectuer la mise à niveau. 2 Exécutez la commande suivante : mwg-switch-repo 7.7.0 Vous pouvez maintenant mettre à niveau vers la nouvelle version sur l'interface utilisateur ou depuis une console système. Mise à niveau depuis l'interface utilisateur Vous pouvez utiliser les options de l'interface utilisateur pour effectuer la mise à niveau. Procédure 1 Sélectionnez Configuration | Appliances. 2 Dans l'arborescence des appliances, sélectionnez l'appliance sur laquelle vous souhaitez effectuer la mise à niveau. La barre d'outils de l'appliance s'affiche dans l'angle supérieur droit de l'onglet. 3 Cliquez sur Mettre à jour le logiciel de l'appliance. La mise à niveau vers la nouvelle version est effectuée. Au cours du processus de mise à niveau, vous serez déconnecté de l'interface utilisateur. 4 Lorsqu'un message vous indique que le processus de mise à niveau s'est terminé, procédez comme suit : a Connectez-vous à l'interface utilisateur. b Sélectionnez Configuration | Appliances, puis sélectionnez votre appliance. c Dans la barre d'outils de l'appliance, cliquez sur Reboot (Redémarrer). Une fois le redémarrage terminé, vous pouvez vous reconnecter à l'interface utilisateur et commencer à utiliser la nouvelle version. 6 Mise à niveau depuis une console système Vous pouvez effectuer la mise à niveau à partir d'une console système locale, ou bien à distance avec SSH. Procédure 1 Connectez-vous à l'appliance sur laquelle vous souhaitez effectuer la mise à niveau. 2 Exécutez les commandes suivantes : yum upgrade yum yumconf\* yum upgrade La mise à niveau vers la nouvelle version est effectuée. 3 Lorsqu'un message vous indique que le processus de mise à niveau est terminé, exécutez la commande suivante : reboot (Redémarrer) Une fois le redémarrage effectué, une invite de connexion s'affiche. Vous pouvez à présent vous connecter à l'interface utilisateur et commencer à utiliser la nouvelle version. Mise à niveau à partir de la version 7.2.x ou de toute version 7.x antérieure Lorsque vous utilisez une version 7.2.x ou toute version 7.x antérieure, créez une sauvegarde de configuration, puis utilisez une console système pour mettre à niveau à la nouvelle version. Le processus de mise à niveau inclut une importante mise à niveau du système d'exploitation. Plusieurs étapes sont nécessaires et l'opération prend plus de temps que d'habitude. Si ce processus échoue ou est interrompu, vous pouvez réimager l'appliance en utilisant une image de la nouvelle version et installer la sauvegarde de configuration. Téléchargez une image de la nouvelle version à partir de la page de téléchargement de McAfee Content & Cloud Security Portal, à l'adresse https://contentsecurity.mcafee.com/ software_mwg7_download. Pour plus d'informations sur la création d'une nouvelle image, reportez-vous au Guide d'installation McAfee Web Gateway. Procédure 1 Créez une sauvegarde de la configuration. Utilisez les options fournies sous Troubleshooting | Backup/Restore (Dépannage | Sauvegarde/Restauration) dans l'interface utilisateur pour créer la sauvegarde. 2 Utilisez la console système locale ou une connexion SSH pour vous connecter à l'appliance sur laquelle vous souhaitez effectuer la mise à niveau. 3 Exécutez les commandes suivantes : yum upgrade yum yumconf\* mwg-dist-upgrade 7.7.0 La mise à niveau vers la nouvelle version s'effectue en deux phases. Après chaque phase, l'appliance redémarre automatiquement. 7 4 Suivez l'une des méthodes ci-après pour terminer l'installation : • Si vous utilisez une console système locale : Une fois le deuxième redémarrage effectué, une invite de connexion s'affiche. Vous pouvez à présent vous connecter à l'interface utilisateur et commencer à utiliser la nouvelle version. • Si vous utilisez SSH : Lorsque l'appliance redémarre à l'issue de la première phase de mise à niveau, vous êtes déconnecté et la deuxième phase de mise à niveau commence. Une fois cette phase terminée et le redémarrage automatique effectué, vous pouvez vous connecter à l'interface utilisateur et commencer à utiliser la nouvelle version. La commande suivante vous permet d'afficher des messages sur la progression de la mise à niveau : tail -F /opt/mwg/log/update/mlos2.upgrade.log Lorsque vous constatez que la mise à niveau est terminée, appuyez sur Ctrl+C pour interrompre le processus. Vous pouvez à présent vous connecter à l'interface utilisateur et commencer à utiliser la nouvelle version. Problèmes connus Pour les problèmes connus de cette version du produit, reportez-vous à l'article KB87762 de la base de connaissances. Accès à la documentation sur le produit Sur le ServicePortal, vous pouvez trouver des informations relatives au produit mis sur le marché, dont de la documentation, des articles techniques, etc. Procédure 1 Accédez au ServicePortal à l'adresse https://support.mcafee.com et cliquez sur l'onglet Centre de connaissances. 2 Dans le volet Base de connaissances sous Type de contenu, cliquez sur Documentation relative aux produits. 3 Sélectionnez un produit et une version, puis cliquez sur Rechercher pour afficher une liste de documents. Documentation du produit Chaque produit McAfee dispose d'un ensemble complet de documents. La documentation du produit Web Gateway inclut les éléments suivants : 8 • Guide Produit de McAfee Web Gateway : décrit les fonctionnalités de Web Gateway et fournit une vue d'ensemble du produit, ainsi que des instructions détaillées relatives à sa configuration et sa maintenance. • Guide d'installation de McAfee Web Gateway : décrit le processus d'installation de Web Gateway, ainsi que de plusieurs dispositifs pouvant être exécutés avec le produit • McAfee Web Gateway Reference Guide - Rule Sets Change Log (Guide de référence : Journal des modifications des jeux de règles) : fournit une liste des modifications apportées aux jeux de règles existants et des ajouts de nouveaux jeux de règles pour la configuration de stratégie sur Web Gateway • McAfee Web Gateway Technical Note - SSO Catalog (Note Technique : Catalogue SSO) : fournit une liste des applications et des services cloud pris en charge par Web Gateway avec des modèles de connecteurs ou des connecteurs préconfigurés © 2016 Intel Corporation Intel et le logo Intel sont des marques commerciales ou des marques commerciales déposées d'Intel Corporation. McAfee et le logo McAfee sont des marques commerciales ou des marques commerciales déposées de McAfee, Inc. Les autres noms et marques sont la propriété de leurs détenteurs respectifs. 0A03