Release Notes CSG 7.0.0
Collax Security Gateway
27.10.2016
Hinweise zur Installation
Update installieren
Zur Installation dieses Updates führen Sie bitte die folgenden Schritte durch:
Vorgehen
- Nehmen Sie zuerst mit dem Collax Backup System eine Sicherung aller Systemdaten vor bevor Sie die nächsten Schritte des Software-Upgrades durchführen. Prüfen Sie, ob das Backup korrekt durchgeführt werden konnte. Die erforderlichen Informationen erhalten Sie bei korrekter Konfiguration per E-Mail.
- Gehen Sie auf System → Systembetrieb → Software → System-Update und klicken auf Paketliste holen. Der erfolgreiche Vorgang der Aktualisierung der Paketliste wird mit Done! markiert.
- Klicken Sie auf Pakete holen. Diese Funktion lädt dann die eben angezeigten Update-Pakete herunter.
- Klicken Sie nun auf Installieren. Diese Funktion installiert das neue Update. Das Ende des Vorgangs wird mit einem Done! angezeigt.
- Mit diesem Update wird ein neuer Kernel installiert. Nach der Installation des System-Updates erfolgt ein automatischer Neustart des Servers. Ein entsprechender Hinweis wird beim Abschluss des Update-Vorgangs ausgegeben.
Neu in dieser Version
Security: Linux Kernel 4.4.24
Collax Server V7 enthält den neuesten Long Time Support (LTS) Kernel 4.4. Dieser wird bis Februar 2018 offiziell durch Herrn Greg Kroah-Hartmann gepflegt. Dadurch kann Collax seinen Kunden die beste und längste Unterstützung bzgl. Security und Hardware-Treibern bieten.
Security: Systemsicherheit
Collax bringt mit dem Projekt ein System, das nahezu 100% (97%) deterministisch/reproduzierbar ist. Das Collax-eigene Buildsystem ermöglicht, dass Binär-Dateien und auch System-Paketet (.deb) deterministisch erstellt werden. Daraus gebaute und ausgelieferte Binär-Dateien und Software-Pakete können eindeutig auf Veränderungen geprüft werden. So lässt sich Collax eindeutig als Quelle der Softwarepakete nachweisen. Gesamte Collax System-Pakete ab dieser Version „gehärtet“. Durch mehrere aktivierte Optionen der Collax Toolchain sind die von Collax ausgelieferten Binär-Dateien z.B. vor „memory corruption“-Angriffen geschützt. Technisch heißt das „Hardening“ und bedingt, dass z.B. Systemdienste eher abstürzen, statt evtl. eingebrachten Schadcode auszuführen.
Security: Besserer Schutz vor ssh Denial-of-Service Attacken
Mit diesem Update wurde der Dienst zum Schutz vor Denial-Of-Service (DoS) und Brute-Force-Attacken für ssh verbessert. Die neue Funktion ermöglicht es die IP-Adresse eines Angreifers nach einer bestimmten Anzahl unerlaubter Loginversuche zu sperren. Die Sperre kann für eine bestimmte Dauer gesperrt werden und wird nach Ablauf automatisch aufgehoben. Alternativ kann die Sperrung manuell aufgehoben werden.
GUI: GUI-Design
Die Administrationsoberfläche bekommt ein sichtbar neues Kleid. Basierend auf den Vorschlägen des von Google entwickelten „Material Design“ werden mehrere Elemente verändert, um ein ansprechendes und klares Design fortzuführen.
GUI: Verwaltungsobjekt Netzwerkgruppen
Durch die Einführung von Netzwerkgruppen können mehrere Ansprüche hinsichtlich transparenter Rechteverwaltung, besserer Netzwerkverwaltung und zukünftiger Verwaltung von IPv6-Netzwerken erfüllt werden. Netzwerkgruppen sind Gruppen, welche ausschließlich Mitglieder aus Netzwerken beinhalten. Momentan sind dies bestimmte Netze und bestimmte Hosts. Für die Zukunft können damit auch dynamische Anteile (s. IPv6) automatisch berücksichtigt werden. Netzwerkgruppen sind hierarchisch in Gruppen und Untergruppen gegliedert. Anwendung finden die Netzwerkgruppen in zwei Bereichen: Berechtigungen und Firewall-Matrix (Routing). Bezüglich Berechtigungen knüpfen Netzwerkgruppen an das bestehende Schema an, in dem sie Nutzungsrechte und nun Netzwerke kombinieren. Neu ist hier, dass Rechte innerhalb der Netzgruppen vererbt werden. In allen Dialogen, in denen Rechte für den Netzwerkzugang erteilt werden sollen, werden nun Netzwerkgruppen angezeigt. In der Firewall-Matrix werden ab dieser Version ausschließlich Netzwerkgruppen behandelt. Vorteile liegen hier in der Gruppierung und der damit verbundenen Vereinfachung der Darstellung und Verwaltung, auch durch die hierarchische Gliederung.
GUI: Transparente Rechtevergabe bei Benutzerrechte und Netzwerkzugang
Durch die Einführung der Netzwerkgruppen werden in der Verwaltung die Berechtigung eines Benutzers und die Berechtigung für den Netzwerkzugang unterschieden.
GUI: Host-Elemente
In der vorigen Collax Server-Version wurden in vielen Eingabefeldern die IP-Adressen von Hosts eingetragen. Collax Server V7 nutzt nun an vielen Stellen Host-Elemente. Als Host werden einzelne Rechner bezeichnet, die dem Collax Server bekannt sind. Ein Host als existierendes Element ist Voraussetzung für verschiedene Einstellungen, welche die Dienste betreffen. Host-Auswahlboxen ersetzen die Eingabefelder für IP-Adressen.
Web Proxy: Web Proxy und Web Proxy Regeln
Bitte beachten Sie folgende Hinweise für die Regelsätze im Collax Server V7 Release. Wichtig: Der umgeschriebene Regelsatz sollte nach dem Upgrade auf Version 7 geprüft werden. - Die Option “Weitere Regeln beachten” wird standardmäßig angewendet. Es werden immer alle Regeln im Regelsatz geprüft, bis es zu einer Übereinstimmung kommt. - Die Option “Keine Authentifizierung für” entfällt. Benutzerauthentifizierung wird durch die Angabe von Benutzergruppen innerhalb der Regeln möglich - Regeln gelten auch, wenn nur ein Zeitraum angegeben wurde. - Bestehende Regeln werden während des Upgrades anhand der neuen Optionen umgeschrieben. - Regeln ohne enthaltene Benutzer und Netze werden bereinigt.
Web Proxy: Transparenter Proxy
Der transparente Proxy kann für den Dienst HTTP aktiviert werden. Datenpakete zum Zielport 80 werden dann von der Firewall „abgefangen“ und an den Webproxy umgeleitet. Bisher wurde der transparente Proxy über die Firewall-Matrix konfiguriert. Ab diesem Release wird der transparente Web-Proxy in den Grundeinstellungen unter “Dienste -> Web-Proxy -> Web-Proxy-Server” aktiviert. Durch Aktivieren des transparenten Proxy wird eine DNAT-Regel für den Dienst HTTP unter „Netzwerk -> Firewall -> DNAT/Portweiterleitung“ erstellt.
Web Proxy: Kein Proxy für diese Hosts
Durch die Einführung von Host-Elementen können nun Proxyausnahmen für Hosts über Host-Auswahlboxen vorgenommen werden. Die Auswahl erfolgt über die Registerkarte Optionen unter Dienste -> Web-Proxy -> Web-Proxy-Server. Hier können die Hosts ausgewählt werden, für die kein Proxy verwendet werden soll.
Web Proxy: Reihenfolge von Filterregeln und Drag n Drop
Im Dialog Dienste -> Web-Proxy -> Regeln werden die Filterregeln für den Webproxyserver festgelegt. Eine solche Regel legt fest, welche URL-Listen zu welchen Zeiten gültig sind und ob die enthaltenen URLs gesperrt oder erlaubt werden. Die Reihenfolge der Regeln lässt sich nun bequem durch eine neu eingeführte Drag and Drop Aktion ändern.
Net: Firewall Matrix
Die Firewall-Matrix bietet eine einzigartige visuelle Darstellung von geregelten Netzwerkverbindungen. In der Firewall-Matrix werden ab dieser Version ausschließlich Netzwerkgruppen statt Netzwerke behandelt. Vorteile liegen hier in der Gruppierung und der damit verbundenen Vereinfachung der Darstellung und Verwaltung, auch durch die hierarchische Gliederung. Netzwerkgruppen sind hierarchisch in Gruppen und Untergruppen gegliedert. Anwendung finden die Netzwerkgruppen in zwei Bereichen: Berechtigungen und Firewall-Matrix (Routing).
Net: Optimierung im Netzwerk-Stack
Auf Änderungen bei Netzwerk-Verbindungen wird nicht nur auf Kernel-Signale über die „Netlink“-Schnittstelle reagiert, sondern auch proaktiv Informationen ausgewertet, die der Netlink-Schnittstelle nicht direkt bekannt sind (DNS, Routen-Erreichbarkeit, Next-Hop-Erreichbarkeit). Alternative Routen oder Schnittstellen-Verbindungen werden so sehr viel schneller als bisher aufgebaut. Die Zuverlässigkeit für bestehende Netzwerkverbindungen wird stark erhöht.
Net: Hostanalyse
Die neue Funktion “Hostanalyse” unter “System -> Netzwerk -> Firewall” erlaubt zu Prüfen welche Netzgruppen für die Berechtigungen eines Hosts verantwortlich sind. Dies kann zum Beispiel verwendet werden, um zu Prüfen auf welche Dienste ein bestimmter Host zugreifen darf und welche Firewallregeln gelten.
Net: Komplette IPv6 Unterstützung vorbereitet
Sämtliche nutzbare Services auf der neuen Collax Plattform sind auf die Einbindung in IPv6-Netzwerke vorbereitet. Dazu zählen natürlich Infrastruktur-Dienste wie z.B: LDAP-Benutzerverwaltung, DNS-, E-Mail- und Web-Server, wie auch sämtliche Sharing-Services von Apple Netatalk, Windows-File-Service über sämtlichen Malware-Filter-Systeme von ClamAV bis Web-Proxy-Filter.
Net: Verbesserte Linküberwachung
Das Verhalten des Programms “aklinkd” in bestimmten Szenarien wurde verbessert. Es fand ein kompletter Rewrite und eine Umbenennung in linkd4 statt.
Net: Dynamisches DNS hinter Router
Dynamisches DNS dient dazu, Server mit dynamischen IP-Adressen über einen festen Namen ansprechen zu können. Mit diesem Update lassen sich IP-Adressen beim DynDNS-Anbieter registrieren, auch wenn sich der Server hinter einem Router befindet.
VPN: StrongSwan IPsec
Ab dieser Version wird StrongSwan Version 5.5.0 implementiert.
VPN: iOS und Android VPN Anbindung
Ab dieser Version werden weitere VPN-Verbindung unterstützt. IKEv2 und IKE Config Mode erlauben und erleichtern die Anbindung von mobilen Geräten mit iOS oder Android. Ab dieser Version wird der Android StrongSwan Client und VPN-Verbindungen vom Typ L2TP unter iOS unterstützt und die Einrichtung erleichtert.
VPN: zusätzliche DH-Gruppen
Für den Schlüsselaustausch beim Aufbau von VPN-Tunneln werden die sogenannten Diffie-Hellman-Gruppen benutzt. Mit diesem Update werden die DH-Gruppen für den Schlüsselaustausch (IKE) und Datenaustausch (ESP) um die Gruppen 19 - 26 erweitert. Für VPN-Verbindungen nach dem IPsec-Standard können diese innerhalb der IPsec-Proposals definiert werden.
Siehe auch hier .
VPN: IPSec-Proposal nach BSI
Für den Aufbau von VPN-Tunneln werden Verschlüsselungsmethoden und Hash-Algorithmen benutzt und innerhalb von IPSec-Proposals definiert. Mit diesem Update wird ein neues Proposal nach Empfehlung des BSI vordefiniert.
Siehe auch hier .
Authentifizierung: Status der Active Directory Integration
Bei der Integration von Collax Servern in Active-Directory Umgebungen werden mit diesem Update erweiterte Laufzeitinformationen in einem zusätzlichen Feld angezeigt, was die Integration übersichtlicher macht. Hierzu muss die Funktion Active Directory-Proxy auf dem System aktiviert sein. Neben den letzten Änderungen und der letzten Synchronisation wird der Name des verbundenen Domain-Controllers (DC) angezeigt. Darüberhinaus wird geprüft, ob die Verbindung zum DC erfolgreich war oder ob ein Verbindungsfehler vorliegt und was der Grund dafür ist. Mit diesem Update wurde das Reporting-Verhalten verbessert.
Authentifizierung: Importierbare Active Directory Gruppen
Um Gruppen aus der Active Directory-Verwaltung anzuzeigen, muss das System einem Active Directory als Mitglied beigetreten sein und die Funktion Active Directory-Proxy auf dem System aktiviert sein. Die aufgelisteten Gruppen können dann in die lokalen Benutzungsrichtlinien eingebunden werden. Die Benutzer der AD-Gruppen werden weiterhin über das Active Directory verwaltet und sind nicht Bestandteil des lokalen Systems. Bei der Integration von importierbaren Gruppen in das System, werden mit diesem Release einige Verbesserungen implementiert. Die Anzeige von Gruppen mit ungültigen Zeichen wurde verbessert sowie von Computern und System- oder Kerberos-Accounts wird unterbunden. Insgesamt ist die Anzeige der nutzbaren Gruppen und Benutzer übersichtlicher gestaltet. User und Gruppen, die nicht importiert werden können, werden angezeigt mit Begründung.
Authentifizierung: Active Directory Synchronisation
Bisher fand in Umgebungen mit Active-Directory-Domänencontrollern (DCs) keine Synchronisation von Änderungen an Verzeichnisobjekten und deren Attributen mehr statt, wenn der DC während eines Configdurchlaufes nicht erreichbar war, auch wenn dieser wieder erreichbar war. Erst nach einem Neustart des Dienstes oder eines weiteren Configdurchlaufes synchronisierte sich dieser wieder. Mit diesem Update wurde das Verhalten verbessert und eine automatische Synchronisation erfolgt nun.
Add-on Software: Neue Version von Collax Virus Protection
Die Virenscanner-Software Collax Virus Protection bietet umfassenden Virenschutz für den Mail-Server, File-Server und Web-Server. Die Software wird mit diesem Collax System-Update auf die neuste Version aktualisiert.
Add-on Software: Neue Version von Avira Antivir
Die Virenscanner-Software Avira Antivir bietet umfassenden Virenschutz für den Mail-Server, File-Server und Web-Server. Die Software wird mit diesem Collax System-Update auf die neuste Version aktualisiert.
Add-on Software: Neue Version von Clam-AV
Der Open Source Virenscanner Clam-AV bietet umfassenden Virenschutz für den Mail-Server, File-Server und Web-Server. Die Software wird mit diesem Collax System-Update auf die neuste Version aktualisiert.
Verschiedenes: Wichtige Systempakete
Mit dem Collax Server V7 Update werden alle Systempakete upgedatet. Anbei ein Auszug der bekanntesten Pakete. Folgende wichtige Systempakete werden mit der neuen Version installiert.
- apache2 2.2.31
- php5 5.6.26
- perl5.8 5.22.1
- python 2.7.12
- openssl 1.0.2j
- libc6 2.18
- kernel 4.4.24
- mariadb 10.0.27
- squid 3.5.21
- samba 4.3.11
- bind 9.9.9.3
- dhcpd 4.3.4
- spamassassin 3.4.1
Verschiedenes: SSL/TLS Version bei lokalen Diensten
Für die Verbindung mit verschiedenen lokalen Diensten wie dem Administrations-Web-Server und dem IMAP-Server kann die Verschlüsselungsmethode SSL/TLS eingestellt werden. Zur Auswahl stehen hier die beiden Checkboxen “Kompatibel” und “Modern”. Da nicht alle Clients modernes TLS (z.B. TLS 1.2) unterstützen, wird aus abwärtskompatiblen Gründen schwaches TLS (z.B. TLS 1.0) konfigurierbar gemacht.
Verschiedenes: SDK Änderungen
System-Management: Schneller Supervisor für Prozesse
Die neue Collax Plattform erhält einen Manager der ausschließlich Prozesse und Dienste schnell und zuverlässig verwaltet. Dazu zählt die automatische Überwachung, das Starten und das Protokollieren der Prozesse und Dienste. Gerade Prozesse im Langzeitbetrieb, hoch verfügbare Prozesse oder systemkritische Prozesse werden durch den Management-Service sekundenschnell kontrolliert und bei Bedarf gestartet.
System-Management: Aktive Überwachung
Mit diesem Update wird die Aktive Überwachung durch Nagios nach der Installation standardmäßig aktiviert.
Hardware: Partitionierungsschema
Ab dieser Version erhalten Neuinstallationen ein neues Partitionierungsschema. Die Mindestgröße des Datenträgers wurde dabei auf 16 GB erhöht. Die Service Partition entfällt und die Reihenfolge von boot, swap, root und data hat sich geändert.
Hardware: PVSCSI-Treiber für VMWare-Unterstützung
Der VMware PVSCSI SCSI-Treiber wurde hinzugefügt, um die Installation in VMWare-Umgebungen zu vereinfachen. Dieser Treiber unterstützt VMware’s para virtualized SCSI HBA.
Hardware: VMCI-Treiber für VMWare-Unterstützung
VMware’s Virtual Machine Communication Interface Treiber wurde hinzugefügt, um die Installation in VMWare-Umgebungen zu vereinfachen. Dieser Treiber ermöglicht high-speed Kommunikation über das VMCI-Gerät.
Hardware: Microsoft Hyper-V-Unterstützung
Microsofts Hyper-V Linux Integration Services Treiber wurden hinzugefügt, um die Installation in Microsoft Hyper-V-Umgebungen zu vereinfachen. Dieser Treiber ermöglicht high-speed Kommunikation über den VMBus-Netzwerk-Controller als auch den SCSI-Controller.
Hardware: Erweiterung der Hardwareunterstützung von NVMe-Laufwerken
Mit diesem Update werden NVM Express (NVMe) Laufwerke unterstützt.
In dieser Version behobene Probleme
Security: ClamAV (32 Bit) hat kein Large Files Support
Die maximale Größe für Dateien die ClamAV (32Bit-Version) scannen kann liegt bei 2GB. Wird eine Datei größer als 2GB über den Web-Proxy heruntergeladen, bricht ClamAV den Vorgang ab, sobald die Datei geprüft werden soll. Der Download-Vorgang wird ebenso abgebrochen.
Hinweise
Security: Einbruchserkennung (IDS/IPS)
Ab dieser Version steht das netzwerkbasierte Intrusion Detection System (IDS) Snort nicht mehr zur Verfügung.
GUI: Ereignismonitor
Ab dieser Version steht der Ereignismonitor Prelude nicht mehr zur Verfügung.
Net: ISDN-Kanalbündelung
Ab dieser Version steht die ISDN-Kanalbündelung in den Einstellungen zum ISDN-Link nicht mehr zur Verfügung.
Net: RAS per ISDN
Ab dieser Version steht RAS (Remote Access Service) per direkter ISDN-Einwahl nicht mehr zur Verfügung.
Net: Unterstützung von analogen Modems
Ab dieser Version steht die Benutzung von analogen Links nicht mehr zur Verfügung.
Net: Multi-Level Firewall
Ab dieser Version stehen das Collax Modul Multi-Level Firewall und der Collax Multi-Level Firewall-Client nicht mehr zur Verfügung.
Net: Wake on LAN
Ab dieser Version steht Wake on LAN (WOL) nicht mehr zur Verfügung.
Hardware: 32-Bit CPU
Ab dieser Version stellt Collax die Unterstützung für 32-Bit Hardware ein. Updates stehen somit auch nicht mehr zur Verfügung.
Hardware: HP Smart Array CCISS Treiber
Während dem Upgrade wird der vorhandene Smart Array CCISS-Treiber durch den neuen HP Smart Array SCSI (HPSA) Treiber ersetzt.