Release Notes CSG 5.5.0

Collax Security Gateway
13.03.2012

Hinweise zur Installation

Update installieren

Zur Installation dieses Updates führen Sie bitte die folgenden Schritte durch:

Vorgehen

  1. Gehen Sie auf System → Systembetrieb → Software → System-Update und lesen Sie die Informationen zum Upgrade. Beachten Sie die Hinweise zur Dauer des Vorgangs.
  2. Wenn alle Vorbereitungen getroffen wurden kreuzen Sie die Checkbox Ja, ich möchte das Upgrade auf Version 5.5 vornehmen an und klicken Sie anschließend auf Upgrade starten.
  3. Klicken Sie auf Paketliste holen. Der erfolgreiche Vorgang der Aktualisierung der Paketliste wird mit Done! markiert.
  4. Klicken Sie auf Pakete holen. Diese Funktion lädt dann die eben angezeigten Update-Pakete herunter. Wichtig: Wenn Sie die Pakete über eine langsame Leitung (ISDN, Analog usw.) herunterladen, kann es passieren, dass der Browser aufgrund eines Time-Outs die Verbindung zur Administrationsoberfläche abbricht, der Download ist jedoch noch im Hintergrund aktiv. Fahren Sie mit dem nächsten Schritt fort. Sollte eine Fehlermeldung erscheinen, warten Sie einige Minuten und probieren es erneut.
  5. Klicken Sie nun auf Installieren. Diese Funktion installiert das neue Update. Das Ende des Vorgangs wird mit einem Done! angezeigt.
  6. Mit diesem Update wird ein neuer Kernel installiert. Nach der Installation des System-Updates erfolgt ein automatischer Neustart des Servers. Ein entsprechender Hinweis wird beim Abschluss des Update-Vorgangs ausgegeben.

Hinweise zur Installation

Updates für 32-bit und 64-Bit Systeme verfügbar

Mit der Version 5.5.0 werden alle neu ausgelieferten Collax Server unter 64 Bit betrieben. Updates wird es in 64 Bit und weiterhin für die installierten 32-Bit-Systeme geben.

Neu in dieser Version

Security: Passwort-Richtlinien für Systembenutzer

Auf Benutzer können ab dieser Version optional Passwort-Richtlinien angewendet werden. Als Parameter können Passwortlänge, -gültigkeitsdauer, Anzahl der Sonderzeichen, Anzahl der Groß- oder Kleinbuchstaben und Anzahl der Ziffern definiert werden. Es lassen sich verschiedene Passwort-Richtlinien auf unterschiedliche Benutzer anwenden. Die Sicherheit für das System und das Unternehmen kann durch die Definition von strengeren, aber praktikablen, Passwort-Richtlinien erhöht werden.

GUI: Zusatzmodule bei Registrierung installieren

Um die Ersteinrichtung zu vereinfachen, bietet der Assistent für die Registrierung ab diesem Update die Option, alle lizenzierten Module direkt nach der erfolgreichen Registrierung automatisch zu installieren und gegebenenfalls ein Systemupdate vorzunehmen. Dies verkürzt die Ersteinrichtung wesentlich.

Web Proxy: SSL-Interception

Der Inhalt von verschlüsseltem HTTP-Traffic (HTTPS) kann üblicherweise nicht bewertet oder gefiltert werden, da eine Verschlüsselung zwischen Web-Server und Browser stattfindet. In diesem Update kann SSL-Interception im Web-Proxy eingeschaltet werden. Dies ermöglicht es dem Web-Proxy sich in verschlüsselte Verbindungen einzuklinken, um den Inhalt auf z.B. auf schadhafte Software oder ungewollten Inhalt zu untersuchen.

Zertifikate: Kompatibilität von Zertifikaten zu OS X

Ab diesem Update werden Zertifikate von Collax Servern inklusive IP-Adresse als Attribut ausgestellt. Dadurch können diese Zertifikate in Mac OS X eingelesen und verwendet werden.

VPN: StrongSwan IPsec

Ab dieser Version wird StrongSwan als OpenSource IPsec-Basis implementiert.

VPN: IPsec mit XAUTH

Ab diesem Update können IPsec-VPN-Verbindungen mit der erweiterten Authentifizierungsart XAUTH konfiguriert werden. Hierbei kann noch unterschieden werden, ob das IPsec XAUTH im Modus Server, eingehende VPN-Anfragen werden zusätzlich über die lokale Gruppenberechtigungen authentifiziert, oder im Modus Client, ausgehende VPN-Verbindungen werden anhand von Benutzername und Passwort an der Gegenstelle authentifiziert, betrieben werden soll.

Backup/Restore: Laufzeitbeschränkungen von Sicherungs-Jobs

In bestimmten Fällen ist es sinnvoll, dass Sicherungs-Jobs vorzeitig automatisch abgebrochen werden. Ab dieser Version können vier verschiedene Laufzeitbeschränkungen definiert werden, um die eigenen Sicherungsstrategien besser umsetzen zu können. Zu den Parametern gehört die maximale Startverzögerung, die angibt wie lange sich ein Job eines geplanten Sicherungsjobs verzögern darf, weil beispielsweise noch ein vorhergehender Job läuft. Die maximale Laufzeit gibt an, wie lange ein Job aktiv sein darf. Innerhalb eines Jobs gibt die maximale Wartezeit an, wie lange ein Job unterbrochen werden darf, um zum Beispiel ein Band zu wechseln. Letztendlich gibt die maximale Dauer an, wie lange ein Job inklusive Startverzögerung, Lauf- und Wartezeit überhaupt dauern darf, damit Jobs zum Beispiel nicht während der Arbeitszeit durchgeführt werden. Jeder Parameter kann einzeln im Formular Einstellungen → Systembetrieb → Datensicherung → Allgemein eingestellt werden.

Verschiedenes: Wichtige Systempakete

Folgende wichtige Systempakete werden mit der neuen Version installiert:

  • apache2 2.2.21
  • bacula 5.2.3
  • bind 9.6
  • kernel 2.6.32.55
  • libc6 2.8
  • openldap 2.4.23
  • openssl 0.9.8k

Verschiedenes: MySQL Version 5.5.20

Ab dieser Version wird die MySQL-Version 5.5.20 installiert. Diese Version bringt Änderungen bezüglich der Standard-Storage-Engine. War bisher keine spezielle Datenbank-Engine definiert, wurden Datenbanken für MyISAM als Standard-Engine erzeugt. Ab dieser Version wird der Standard für neue Datenbanken auf die Engine InnoDB geändert.

Verschiedenes: MySQL-Dialog

Ab dieser Version wird das Formular für die MySQL-Datenbank auf jeden Collax Produkt angezeigt.

Verschiedenes: Erweiterung MySQL Tuningparameter

Ab dieser Version wird das MySQL-Tuning anhand eines Tuningparameters erweitert. Zusätzlich können Anteile an die Storage-Engines InnoDB und MyISAM abgezweigt werden. Prinzipiell werden Details der MySQL-Parameter ab dieser Version angezeigt.

System-Management: GUI-Benachrichtigung von Systemtätigkeiten

Die Einfachheit der Collax Administrations-GUI gründet unter anderem auf der Ansteuerung von vielen Prozessen, die im Hintergrund arbeiten und dem Bediener viele Aufgaben abnehmen. Ab diesem Update kann die Liste der angesteuerten und aktiven Hintergrundprozesse per Mausklick oben rechts angezeigt werden.

System-Management: Ansteuerung Watchdog-Timer für Collax Server

Ab dieser Version kann ein Intel 6300ESB-basierendes Watchdog-Gerät angesteuert werden. Die Aktivierung wird im Menü Einstellungen → Systembetrieb → Überwachung → Watchdog-Timer vorgenommen. Der Watchdog ist ein Timer, der einen Neustart des Systems durch Reset auslöst, wenn die Datenpartition auf dem System nicht korrekt beschrieben werden kann.

System-Management: Erweiterte Überwachungsoptionen von Hosts

Standardmäßig können von einem Collax Server bestimmte Netzwerkdienste von Hosts aktiv überwacht werden. Ab diesem Update steht nun auch die Überwachung von Host-seitigen Diensten zur Verfügung. Das Testspektrum umfasst netzwerkbasierende Dienste wie DNS, HTTP, POP3 oder SMTP. Zum anderen können auch systemeigene Funktionen und Werte, wie CPU, RAM, Swap, Prozesse, laufende Dienste, Events oder Festplatten der Hosts überwacht werden.

In dieser Version behobene Probleme

GUI: Firefox und Fokus innerhalb Tabellen

Bisher konnte in Tabellen, die innerhalb eines Abschnittes im Dialog mit Scrollbalken angezeigt wurden, Tabellenzeilen nicht korrekt fokussiert werden. Dieser Fehler trat nur in Verbindung mit Scrollbalken und dem Browser Firefox auf. Ab diesem Update wird die Methode qx.html.Scroll im AJAX-Framework deaktiviert, Tabellenzeilen können damit in neuen Browsern korrekt fokussiert werden.

GUI: Popup taucht an der falschen Stelle im Dialog auf

Wurde in Dialogen gescrollt und Popup-Objekte aufgerufen, zum Beispiel Listboxen oder Kontext-Menüs, wurden diese Popup-Objekte nicht am korrekten Platz angezeigt. In diesem Update wird die Methode qx.ui.popup.Popup korrigiert, dadurch werden alle Popup-Objekte in Dialogen an der richtigen Stelle angezeigt.

E-Mail: SMTP-Auth mit Benutzer aus Active Directory

Wurden Benutzer über ein Active Directory authentifiziert und sollten von extern E-Mails über SMTP-Auth versendet werden, schlug die Authentifizierung fehl, weil das entsprechende PAM-File fehlerhaft war. Das PAM-File zur SMTP-Authentifizierung wird mit diesem Update korrigiert.

Web Proxy: Web-Proxy, Virenscanner und falscher interner DNS

Wurde der Webproxy Squid mit Virenscanner betrieben und konnten zusätzlich intern keine Reverse-Lookups ausgeführt werden, dauerte der Aufruf von Webseiten länger als eine Minute. Um die Effekte von fehlerhaften DNS-Konfigurationen im internen Netz beim Aufbau von Webseiten über den Web-Proxy zu vermeiden, wird ab diesem Update der DNS-Lookup über den Virenscanner deaktiviert. Die Dauer der Webseitenaufrufe verhält sich dadurch wieder innerhalb normaler Parameter.

Wurde eine Verbindung neu hinzugefügt, erschien eine Fehlermeldung im Formular Überwachung → Status → Link-Status weil noch keine Performance-Daten für die Verbindung vorhanden waren. Mit dieser Version wird die Anzeige korrigiert.

Net: Generatorskript für Traffic-Shaping erzeugt Kernel Out Of Memory (OOM)

Wurden verschiedene Verbindungen in einer Routing-Schleife konfiguriert und zusätzlich Bandbreitenmanagement für diese Verbindungen benutzt, durchlief das Generatorskript shaper.gen eine Endlosschleife. Dadurch kam es zu einem Kernel OOM (Out Of Memory), der Platz im Hauptspeicher reichte nicht aus. Mit dieser Version wird das Generatorskript shaper.gen aktualisiert, damit solche Routing-Schleifen erkannt werden. Das Skript bricht dann ab und verhindert ein Kernel OOM.

VPN: SNAT Regel wird nicht gesetzt

Wurden mehrere SNAT-Regeln in der Firewall-Matrix für lokale Netzwerke eines VPN-Tunnels konfiguriert, wurden bestimmte Regeln im System nicht erzeugt. Dies wird mit diesem Update behoben, alle SNAT-Regeln für Netzwerke eines VPN-Tunnels werden erzeugt.

VPN: IPSEC_BLOCK Regel wird nicht gelöscht

Wenn IPsec VPN-Tunnel beendet wurden, wurde teilweise die zugehörige Firewall-Regel nicht gelöscht. Beim Wiederaufbau des Tunnels wurden nachfolgend die Netzwerkpakete geblockt. Dies wird mit diesem Update behoben.

Wenn ein IPsec-Link mit einem RSA-Key erzeugt oder gespeichert wurde, erschien eine Fehlermeldung. Die Validierung des GUI-Backends wird ab dieser Version korrigiert. Der RSA-Schlüssel wird in einem IPsec-Link korrekt geprüft, das Formular kann gespeichert werden.

Authentifizierung: LDAP Start und AD-Proxy

Collax Systeme lassen sich für bestimmte Zwecke in ein Active Directory einbinden. Wurde zusätzlich die Funktion AD-Proxy zur Synchronisation benutzt konnte der Start des lokalen LDAP-Directories nach einem System-Update sehr lange dauern. Ursache dafür war die große Anzahl an LDAP-Logdateien, die beim Start von LDAP eingelesen wurden und diesen dadurch verzögerte. Mit diesem Update werden veraltete LDAP-Logdateien während des Installationsprozesses aufgeräumt, dadurch startet LDAP zeitnah. Zusätzlich werden die Logdateien zukünftig während des Betriebes regelmäßig auf ihre Aktualität geprüft und falls erforderlich aufgeräumt.

Authentifizierung: Verbesserungen von Active Directory Integration

Für die Anbindung an ein Active Directory werden mit dieser Version verschiedenen Verbesserungen implementiert: Beim Import von Gruppen aus dem Active Directory wird Gross- und Kleinschreibung unterschieden. Es können nun mehrere E-Mail-Adressen für Benutzer importiert werden. Die Synchronisation mit dem Active Directory (Funktion AD-Proxy) wird durch die Aktive Überwachung geprüft. Importierte Objekte werden im LDAP aufgeräumt, wenn das AD verlassen wird.

Falsche Anzeige im Lizenzstatus

Im Lizenzstatusformular wurde bisher die Anzahl der Benutzer mit 0 angezeigt. Die Lizenzlimits werden ab diesem Update korrigiert und die Anzahl der Benutzer des Dienstes angezeigt.

Verschiedenes: IP-Adresse von Collax Server in DNS-Masterzone

Bisher wurden alle lokalen IP-Adressen des Collax Servers in den Zoneneintrag einer DNS-Masterzone geschrieben, auch wenn im Hosteintrag des Collax Servers nur eine IP-Adresse eingetragen war. Mit diesem Update wird dies korrigiert. Wenn der Collax Server als DNS-Host und als Mitglied in einer DNS-Zone angelegt wird, wird nur die angegebene IP-Adresse in die Zone eingetragen.

System-Management: Aktive Überwachung von LSI Megaraid-Controller

Ab diesem Update ist die Überwachung und E-Mail-Benachrichtigung für Megaraid-Controller von LSI korrigiert. Die Aktive Überwachung prüft den Status angeschlossener Raid-Systeme.

Hinweise

Security: Ändern des Passworts erzeugt Meldung bei Windows XP

Die Passwort-Richtlinien gelten auf einem Collax Server als PDC auch für die angeschlossenen Windows-Rechner. Das Passwort kann über Windows erfolgreich geändert werden, dies erzeugt fälschlicherweise eine Fehlermeldung in Windows, die ignoriert werden kann.

Net: VPN-Tunnel mit iPhone

Um einen VPN-Tunnel zwischen einem Collax Server und einem iPhone aufzubauen muss der Link-Typ PPTP benutzt werden.

VPN: IPsec-Proposals

Ab dieser Version entfällt das IPsec-Proposal _old_cisco. Ebenso können die Verschlüsselungsmethode DES (56Bit) und die Diffie-Hellmann-Gruppe DH-Group 1 (768 Bit) nicht mehr als Eigenschaften eines IPsec-Proposals gewählt werden. Alternativ müssen stärkere Verschlüsselungsmethoden gewählt werden.

VPN: Aggressive Mode

Ab dieser Version steht der Aggressive Mode bei IPsec-Verbindungen nicht mehr zur Verfügung.

Backup/Restore: Erste Sicherung ist Vollsicherung

Durch Veränderungen an den Sicherungskomponenten wird nach einem Update auf Version 5.5 die erste Sicherung immer eine Vollsicherung sein, auch wenn nur eine inkrementelle Sicherung konfiguriert ist.

Inhalt