Release Notes CSG 5.0.2

Collax Security Gateway
29.06.2008

Hinweise zur Installation

Durchführen des Upgrades auf Version 5.0.2

Zur Installation des Software-Upgrade führen Sie bitte die folgenden Schritte durch:

  • Nehmen Sie zuerst eine Sicherung aller Systemdaten vor, bevor Sie die nächsten Schritte des Software-Upgrades durchführen. Prüfen Sie, ob das Backup korrekt durchgeführt werden konnte. Die erforderlichen Informationen erhalten Sie bei korrekter Konfiguration per E-Mail.
  • Gehen Sie auf System -> Systembetrieb -> Software -> System-Update und klicken auf Upgrade-Informationen. Bitte lesen Sie die Informationen aufmerksam durch. Bei weiteren Fragen zum System-Upgrade wenden Sie sich bitte vor der Installation an Collax GmbH.
  • Klicken Sie auf Upgrade starten. Der erfolgreiche Vorgang der Umstellung wird im Detail mit Please continue with downloading package list. und einem abschließendem Done! markiert.
  • Aktualisieren Sie nun die Paketliste für das Upgrade indem Sie auf Paketliste holen klicken. Auch hier wird der erfolgreiche Vorgang durch Done! markiert.
  • Nun können die Software-Pakete durch klicken von Pakete holen heruntergeladen werden. Wichtig: Wenn Sie die Pakete über eine langsame Leitung (ISDN, Analog usw.) herunterladen, kann es passieren, dass der Browser aufgrund eines Time-Outs die Verbindung zur Administrationsoberfläche abbricht, der Download ist jedoch noch im Hintergrund aktiv. Fahren Sie mit dem nächsten Schritt fort. Sollte eine Fehlermeldung erscheinen, warten Sie einige Minuten und probieren es erneut.
  • Klicken Sie nun auf Installieren. Diese Funktion installiert die heruntergeladenen Software-Pakete.
  • Beachten Sie, dass ein automatischer Reboot durchgeführt wird. Dieser ist erforderlich, damit der neue Kernel zur Verfügung stehen. Beim Boot-Vorgang werden zudem alle Einstellungen für die neue Version konfiguriert, der Vorgang dauert daher länger als gewöhnlich. Starten Sie anschliessend den Browser neu und aktivieren Sie Javascript. Der Reboot-Vorgang darf auf keinen Fall unterbrochen werden.

Hinweise zur Installation

Upgrade von Version kleiner als 4.1.26

Um das Upgrade durchführen zu können, muss mindestens der Software-Stand 4.1.26 installiert sein. Führen Sie die Schritte “Paketliste holen”, “Pakete holen” und “Installieren” durch, um zuerst auf die Version 4.1.26 zu aktualisieren.

Ist die Collax Business Server Version 4.1.26 vorhanden, können Sie der Beschreibung zur Durchführung des Upgrades auf Version Collax Business Server 5.0.2 folgen. Bitte beachten Sie hierzu die Release Notes zur aktuellen Version.

Überprüfen des Dateisystems

Vor dem Upgrade des Servers sollte eine Prüfung des Dateisystems durchgeführt werden. Dafür steht im Boot-Menü des Servers der Menüpunkt “Filesystem Check” zur Verfügung. Um die Prüfung durch zu führen, muss an den Server ein Bildschirm und eine Tastatur angeschlossen und anschließend ein Neustart ausgeführt werden. Nach dem Laden des BIOS kann im Boot-Menü der Eintrag “Filesystem Check” gewählt werden. Das Dateisystem wird daraufhin geprüft, und es werden entsprechende Statusmeldungen ausgegeben. Wenn das Dateisystem in Ordnung ist, startet der Server und das Upgrade kann durchgeführt werden. Technische Fragen zur Dateisystemprüfungen können an Ihren zertifizierten Collax-Partner oder an das Support-Team von Collax gestellt werden.

Dauer des Upgrades

Die Datenmenge des Upgrades beträgt je nach installierter Zusatzsoftware bis zu 320 MB. Je nach vorhandener Installation werden durch das Upgrade bis zu 320 Softwarepakete heruntergeladen und ersetzt. Der gesamte Upgrade-Vorgang erfordert daher einen zeitlichen Aufwand zwischen 45 Minuten und 180 Minuten.

Neu in dieser Version

Security: Firewall Tftp-Connection-Tracker

Verwenden Dienste unbestimmbare Ports für die Datenübertragung, müssen Connection-Tracker für die Firewall eingesetzt werden, um solche Verbindungen nachzuvollziehen. Mit diesem Update kann der Connection-Tracker für das Trivial File Transfer Protokoll (TFTP) in der Firewall bei Bedarf aktiviert werden. Verbindungen über dieses Protokoll können damit aufgebaut und protokolliert werden.

Add-on Software: Neue Version der Collax Virus Protection

Die Virenscanner-Software Collax Virus Protection bietet umfassenden Virenschutz für den Mail-Server, File-Server und Web-Server. Die Software wird mit diesem Collax System-Update auf die neuste Version aktualisiert.

Die Optionen “Desinfizierbare E-Mails”, “Beschädigte E-Mails”, “Warungen” für den E-Mail-Scanner entfallen ab dieser Version. Hinzu kommt die Möglichkeit E-Mails zusätzlich ín die Warteschlange für angehaltene E-Mails zu stellen, falls die betreffende E-Mail schon bereinigt wurde, oder bevor diese gelöscht werden sollen.

Hinweis: Bitte führen Sie nach der Installation das manuelle Pattern-Update aus, indem Sie im Menu Einstellungen -> Filter -> Collax Virus Protection, Reiter E-Mail auf den Button “Updates holen” am unteren Bildschirmrand klicken. Dieses Update ist für einen erfolgreichen Start der Dienste notwendig.

System-Management: Überwachung der Server-Dienste

Alle aktivierten Dienste des Collax Server werden auf ihren Arbeitsmodus hin überprüft, z.Bsp: running oder stopped, und dieser im Formular “System -> Überwachung/Auswertung -> Status -> Dienste” angezeigt. Ist die aktive Überwachung angeschaltet, werden die Dienste auch qualitativ getestet. In der neu hinzugekommenen Spalte Test wird angezeigt, ob die Funktion des Dienstes in Ordnung ist, oder ob Probleme währen des Betriebes aufgetaucht sind (Bsp: OK, WARNING, CRITICAL).

System-Management: Erweiterung der Systeminformationen

Bisher konnten Systeminformationen über CPU, RAM und Festplatten abgerufen werden. Ab diesem Update ist es möglich detaillierte grafische Informationen zusätzlich über Dateisystem, Festplatten und Netzwerkschnittstellen anzeigen zu lassen.

System-Management: Loggen von Firewall-Regeln

In der Firewall-Matrix wird geregelt, welche Netzwerkverbindungen, die über den Collax Server verlaufen, erlaubt oder verboten sind. Um die Protokollierung solcher geregelter Netzwerkverbindungen zu vereinfachen, kann man nun im Formular “Einstellungen->Netzwerk->Firewall->Allgemein->Optionen” das Logging für die Firewall-Matrix generell einstellen. Bisher musste dies für jede Verbindung einzeln eingestellt werden. Die Einstellung der Protokollierung von erlaubten oder verbotenen Verbindungen wird dann generell auf alle Firewall-Regeln, explizit oder implizit, angewandt und vereinfacht dadurch die Handhabung und die Auswertung der Regeln.

System-Management: Erweiterte ActiveDirectory-Integration

Bisher diente die Einbindung von Collax Servern in ein Microsoft ActiveDirectory dazu, die Benutzer von Diensten des Collax Servers im ActiveDirectory zu authentifizieren. Diese Funktion wird mit dieser Software-Version nun dahingehend erweitert, dass benutzerbezogene Daten aus dem ActiveDirectory ausgelesen und von den Collax Server-Diensten benutzt werden können. Wurde der Collax Server in ein ActiveDirectory eingebunden, steht im Menü Einstellungen -> Benutzungsrichtlinien -> PDC/ADS die Option ActiveDirectory-Proxy für die genannten Funktionen bereit.

Hardware: iSCSI-Initiator

iSCSI macht die Benutzung des SCSI-Protokolls über ein TCP/IP-Netzwerk möglich. Ab dieser Version ist die Funktion des Controllers, der iSCSI-Initiator, im Collax Server implementiert. Mit dem iSCSI-Initiator können Speichergeräte im Netzwerk (iSCSI-Targets) transparent als lokale Speichergeräte eingebunden werden. Zu den Funktionen des iSCSI-Initiator zählt die Target-Discovery, um Speichergeräte im Netzwerk schnell einbinden zu können, sowie die Möglichkeit der Authentifizierung am iSCSI-Target um eine Verbindung sicher aufzubauen.

Hardware: Treiber für 10Gigabit-NICs

Mit diesem Softwareupdate werden die aktuellen Treiber des Kernel 2.6.25.20 für 10GB-NICs implementiert. Diese Treiber unterstützen folgende NICs: Chelsio 10Gb Ethernet, Chelsio Communications T3 10Gb Ethernet, Intel® 10GbE PCI Express, Intel® PRO/10GbE PCI-X, S2IO 10Gbe XFrame NIC, NetXen Multi port (110) Gigabit, Sun Neptune 10Gbit, Tehuti Networks 10G, Broadcom NetXtremeII 10Gb.

In dieser Version behobene Probleme

Security: Kryptographiewerkzeug OpenSSL

Im Quellcode des Kryptographiewerkzeugs OpenSSL wurden Sicherheitslücken entdeckt. Diese werden mit diesem Software-Update geschlossen.

Mit diesem Update wird OpenSSL 0.9.8k installiert, die Fehlerbehebung bezieht sich auf folgende CVE-Nummer:

CVE-2009-0590 CVE-2009-0591 CVE-2009-0789

Security: GNU TLS- und SSL- Implementation

Im Quellcode von GnuTLS wurden Sicherheitslücken entdeckt. Diese werden mit diesem Software-Update geschlossen.

Die Version GnuTLS 2.6.6 wird installiert und behebt folgende Common Vulnerabilities and Exposures (CVE):

CVE-2008-4089 CVE-2009-1415 CVE-2009-1416 CVE-2009-1417

Security: Udev, Dynamisches Gerätemanagement

Im Quellcode von udev wurden Sicherheitslücken entdeckt. Diese werden mit diesem Software-Update geschlossen.

Ein Patch für udev Version 126 wird installiert und behebt folgende Common Vulnerabilities and Exposures (CVE):

CVE-2009-1185

Security: VPN-IKE-Dienst Pluto

Im Quellcode des IKE-Dienstes Pluto wurden Sicherheitslücken entdeckt. Diese werden mit diesem Software-Update geschlossen.

Ein Patch für Pluto 2.4.9 wird installiert und behebt folgende Common Vulnerabilities and Exposures (CVE):

CVE-2009-0790

Security: GNU Datentypbibliothek glib2

Im Quellcode von glib2 wurden Sicherheitslücken entdeckt. Diese werden mit diesem Software-Update geschlossen.

Ein Patch für die Version glib2 2.18.2 wird installiert und behebt folgende Common Vulnerabilities and Exposures (CVE):

CVE-2008-4316

Security: Authentifizierungsbibliothek libsasl2

Im Quellcode der Bibliothek libsasl2 wurden Sicherheitslücken entdeckt. Diese werden mit diesem Software-Update geschlossen.

Ein Patch für libsasl2 wird installiert und behebt folgende Common Vulnerabilities and Exposures (CVE):

CVE-2009-0688

Security: Systembibliothek libfreetype

Im Quellcode der Bibliothek libfreetype wurden Sicherheitslücken entdeckt. Diese werden mit diesem Software-Update geschlossen.

Ein Patch für libfreetype wird installiert und behebt folgende Common Vulnerabilities and Exposures (CVE):

CVE-2009-1416

Security: Web-Mail SquirrelMail

Im Quellcode von SquirrelMail wurden Sicherheitslücken entdeckt. Diese werden mit diesem Software-Update geschlossen.

Mit diesem Update wird SquirrelMail 1.4.18 installiert, die geschlossenen Sicherheitslücken beziehen sich auf folgende Common Vulnerabilities and Exposures (CVE):

CVE-2009-1578 CVE-2009-1579 CVE-2009-1580 CVE-2009-1581

Security: Samba, Windows SMB/CIFS Server für UNIX

Im Quell-Code des Windows SMB/CIFS File-Server Samba wurden Sicherheitslücken entdeckt. Diese werden mit diesem Software-Update geschlossen.

Ein Software-Patch für Version Samba 3.0.34 wird installiert und bezieht sich auf folgende Common Vulnerabilities and Exposures (CVE):

CVE-2009-1888

Hinweise

Collax SSL-VPN: Verhaltensänderungen von Objekten

Ab dieser neuen SSL-VPN-Version werden bei allen Objekten (SSL-Tunnels, Web-Weiterleitungen, Reverse-Proxy-Weiterleitungen und SSL-VPN-Anwendungen) die Netzwerkberechtigungen überprüft. Bei der Konfiguration sollte daher darauf geachtet werden, dass die entsprechenden Netzwerke mit in die Gruppenberechtigungen aufgenommen werden. Die Angabe eines Ports oder Interface für den SSL-VPN-Dienst entfällt mit dem Update auf diese Version.