Release Notes CSG 7.0.12

Collax Security Gateway
20.09.2017

Hinweise zur Installation

Update installieren

Zur Installation dieses Updates führen Sie bitte die folgenden Schritte durch:

Vorgehen

  1. Nehmen Sie zuerst mit dem Collax Backup System eine Sicherung aller Systemdaten vor bevor Sie die nächsten Schritte des Software-Upgrades durchführen. Prüfen Sie, ob das Backup korrekt durchgeführt werden konnte. Die erforderlichen Informationen erhalten Sie bei korrekter Konfiguration per E-Mail.
  2. Gehen Sie auf System → Systembetrieb → Software → System-Update und klicken auf Paketliste holen. Der erfolgreiche Vorgang der Aktualisierung der Paketliste wird mit Done! markiert.
  3. Klicken Sie auf Pakete holen. Diese Funktion lädt dann die eben angezeigten Update-Pakete herunter.
  4. Klicken Sie nun auf Installieren. Diese Funktion installiert das neue Update. Das Ende des Vorgangs wird mit einem Done! angezeigt.
  5. Mit diesem Update wird ein neuer Kernel installiert. Nach der Installation des System-Updates erfolgt ein automatischer Neustart des Servers. Ein entsprechender Hinweis wird beim Abschluss des Update-Vorgangs ausgegeben.

Neu in dieser Version

Security: Webproxy Systemsicherheit

Collax Webproxy-Softwarepakete sind ab dieser Version “gehärtet” um Security-Verbesserungen durch mehrere aktivierte Optionen bei der Nutzung von HTTPS-Anfragen zu erreichen. Siehe hier

GUI: Weitere Kopien von Objekten anlegen

Mit diesem Release wird die Vervielfältigung einer ganzen Reihe weiterer Objekte von GUI Objekten konsequent umgesetzt. Hierbei steht die Anforderung im Vordergrund, immer wiederkehrende und sich wiederholende Objekte vervielfältigen zu können. Damit lassen sich Kopien bereits bestehender Objekte für die weitere Verwendung erstellen. Durch das neue GUI-Design, basierend auf den Vorschlägen des von Google entwickelten “Material Design”, wird dies ermöglicht. Zur Verfielfältigung wird die rechte Mousetaste auf dem Objekt mit der Aktion “Kopie anlegen” geklickt.

E-Mail: SMTP Submission Agent

Im Dialog Mail und Messaging → Mail → SMTP-Empfang werden die verschiedenen Einstellungen vorgenommen, die den SMTP-Empfang betreffen. Mit diesem Collax Update wird ein SMTP Submission Port 587 hinzugefügt, um E-Mails von authentifizierten Benutzern für die Client/Server Kommunikation entgegenzunehmen. Über diesen Port ist der E-Mail Versand nur möglich, wenn sich der Benutzer authentifiziert.

E-Mail: Benachrichtung über Zustellstatus

Der Dialog Mail und Messaging → Mail → SMTP-Versand enthält die Basiseinstellungen für den allgemeinen Versand von E-Mails. Mit diesem Collax Update werden Delivery Status Notifications (DSN) konfigurierbar gemacht. DSNs werden an den Sender einer E-Mail verschickt, wenn eine Nachricht nicht an den Empfänger zugestellt werden konnte. Hierbei kann die Zeit bis zur Warnung über verspätete Nachrichten und die maximale Zeit einer Nachricht in der Warteschlange eingestellt werden. Zudem kann die Sprache für DSN Nachrichten auf Deutsch gestellt werden.

Web Proxy: Clamcap - Scanengine und Virenbenachrichtigung

Clamcap (Clamav scanning icap server) ist eine zuverlässige High-Performance-Schnittstelle zwischen Web-Proxy und einem oder mehreren Viren Scanner Engines. Bei der Überprüfung von Webseiten werden nun erweiterte Infos über den verwendeten Virenscanner (Scanengine) und den gefundenen Virus in den Systemlogdateien angezeigt.

Web Proxy: Abhören und entschlüsseln

Der Inhalt von verschlüsseltem HTTP-Traffic (HTTPS) kann üblicherweise nicht bewertet oder gefiltert werden, da eine Verschlüsselung zwischen Web-Server und Browser stattfindet. Um HTTPS-Traffic auf Inhalt oder auf schadhafte Software prüfen zu können, kann daher die Abhörfunktion eingeschaltet werden. Der zugehörige Abschnitt “SSL-Interception” wurde nun in den Grundeinstellungen im Abschnitt „HTTPS-Anfragen” positioniert. Um ausschließlich URLs oder Domains zu filtern, muss die Option Nur URLs/Domains filtern im Dialog Web-Proxy -> Regeln gesetzt werden.

Web Proxy: Transparenter HTTPS Proxy

Die Funktion des tranparenten HTTPS-Proxies ermöglicht es, Anfragen an HTTPS-Seiten zu filtern, ohne dass Internet-Anwender Umstellungen auf Clientseite vornehmen brauchen. Dieser Dialog befindet sich unter Netzwerk -> Webproxy -> Berechtigungen. Hier wird der Web-Proxy-Server als transparenter HTTPS-Proxy aktiviert. Damit die Netzwerkgruppen auf den Transparenten Proxy zugreifen dürfen, muss der Proxy-Port für die jeweiligen Netzwerkgruppen freigegeben sein.

Um HTTPS-Traffic auf Inhalt oder auf schadhafte Software prüfen zu können, kann die Abhörfunktion eingeschaltet werden. Damit der Web-Proxy den verschlüsselten Verkehr untersuchen kann, ist ein CA-Zertifikat erforderlich, welches vom Web-Proxy an den Browser geliefert wird. Dieses Zertifikat wird bei jeder HTTPS-Verbindung an den Browser weitergegeben. Das gewählte Zertifikat kann für die Benutzer zum Download im Benutzer-Webaccess des Collax Server zur Verfügung gestellt werden und anschließend auf den Client-PCs importiert werden, damit der Browser diesem Zertifikat automatisch vertraut. Diese CA kann im Dialog X.509-Zertifikate für die Benutzer zum Download bereitgestellt werden und zusätzlich ohne Login über eine URL heruntergeladen werden.

Verschiedenes: Wichtige Systempakete

Mit dem Update werden Systempakete upgedatet. Anbei ein Auszug der bekanntesten Pakete. Folgende wichtige Systempakete werden mit der neuen Version installiert.

  • phpmyadmin 4.7.3
  • curl 7.55
  • ghostscript 9.20
  • tcpdump 4.7.3
  • clamav 0.99.2

In dieser Version behobene Probleme

Security: Optionsbleed-Bug

Eine Sicherheitslücke beim Apache Webserver führt zu einer kritischen Sicherheitslücke. Mit diesem Update wird eine neue Version von Apache mit zusätzlichem OptionsBleed patch installiert, worin die Lücke behoben ist.

E-Mail: Postmaster Benachrichtigung großer E-Mails

Die maximale Größe einer einzelnen E-Mail kann im Dialog “SMTP-Empfang” festgelegt werden. Bei der Abholung von E-Mails aus externen Postfächern funktionierte die Postmaster-Benachrichtigung bei Überschreitung der maximalen Größe einer E-Mail nicht mehr. Mit diesem Update funktioniert die Benachrichtigung an den Postmaster wieder zuverlässig.

E-Mail: Default Zertifikat bei SMTP-Empfang

Um TLS für eingehende SMTP-Verbindungen zu verwenden, muss für den SMTP-Dienst im Vorfeld ein Zertifikat erstellt oder importiert worden sein. Aufgrund eines Validierungsfehlers im Formular für den SMTP-Empfang lies sich das Default Formular nicht speichern. Mit diesem Update wird der Fehler behoben.

E-Mail: Korrigierte Empfangszeit der Mail-Queue

Alle eingehenden E-Mails werden in der Mailqueue, einer Warteschlange, zwischengespeichert. Die “Empfangen” Spalte zeigt den Zeitpunkt an, an dem die E-Mail beim System eingeliefert wurde. Aufgrund eines Konvertierungsfehlers wurde die Zeit um 2 Stunden versetzt angezeigt. Mit diesem Update wird der Fehler behoben.

Net: DHCP-Server

Der DHCP-Server dient dazu, den Systemen im lokalen Netz beim Starten eine IP-Adresse zuzuteilen und die Netzwerkkonfiguration zu übermitteln. Aufgrund von fehlerhaft erzeugten Konfigurationsdateien wurden unter Umständen keine Leases erzeugt und falsche IP-Adressen vergeben. Dies wird mit diesem Update behoben.

VPN: VPN Assistent und NCP Client

Der VPN Assistent hilft Ihnen bei der Einrichtung eines virtuellen privaten Netzwerkes (VPN). Für die Verbindung zu einem NCP Secure Entry Client kann die Konfiguration des Clients heruntergeladen werden. Aufgrund eines Fehler innerhalb des Assistenten war dies nicht mehr möglich. Dies wird mit diesem Release behoben.

Authentifizierung: Erweiterte Konfigurationsparameter des LDAP-Dienstes

Im Dialog des Verzeichnisdienstes LDAP kann nun im Modus “Proxy” ein abweichender Port angegeben werden. Üblicherweise läuft ein LDAP-Server auf Port 389. Die URI (Uniform Resource Identifier) der Verbindung kann zudem auch als verschlüsselte ldaps Verbindung konfiguriert werden und wird mit diesesm Release syntaktisch korrekt erzeugt. Ein weiteres Problem bei der Validierung von Zahlen innerhalb der Bezeichnung des Namensraumes für das LDAP-Verzeichnis durch die GUI wurde behoben.

Hinweise

System-Management: Überwachung von Festplatten an LSI Controllern

Mit diesem Update wird die aktive Überwachung durch Nagios für Media Errors von Raid-Controllern des Herstellers LSI angepasst. Bisher wurden bereits einzelne Festplattenfehler als Warning ausgegeben, obwohl der RAID Controller einzelne Fehler mühelos erkennen und automatisch korrigieren kann und noch kein Problem vorliegt. Die Warnung wird nun ab einer Schwelle von 100 Fehlern angezeigt.