Release Notes CSG 7.2.10

Collax Security Gateway
14.07.2022

Hinweise zur Installation

Update installieren

Zur Installation dieses Updates führen Sie bitte die folgenden Schritte durch:

Vorgehen

  1. Nehmen Sie zuerst mit dem Collax Backup System eine Sicherung aller Systemdaten vor bevor Sie die nächsten Schritte des Software-Upgrades durchführen. Prüfen Sie, ob das Backup korrekt durchgeführt werden konnte. Die erforderlichen Informationen erhalten Sie bei korrekter Konfiguration per E-Mail.
  2. Gehen Sie auf Menu → Software → Systemupdate und klicken auf Paketliste holen. Der erfolgreiche Vorgang der Aktualisierung der Paketliste wird mit Done! markiert.
  3. Klicken Sie auf Pakete holen. Diese Funktion lädt dann die eben angezeigten Update-Pakete herunter.
  4. Klicken Sie nun auf Installieren. Diese Funktion installiert das neue Update. Das Ende des Vorgangs wird mit einem Done! angezeigt.
  5. Mit diesem Update wird ein neuer Kernel installiert. Nach der Installation des System-Updates erfolgt ein automatischer Neustart des Servers. Ein entsprechender Hinweis wird beim Abschluss des Update-Vorgangs ausgegeben.

Neu in dieser Version

Firewall: Ländersperre (Geo-IP Filter)

Mit diesem Update werden Geo-IP-Listen eingeführt. Über eine Ländersperre können Verbindungen aus ausgewählten Ländern durch die Firewall geblockt werden. Hierzu werden Listen verwendet, die IP-Adressen ein Land zuordnen. Es steht ein zweiter Modus zur Verfügung, über den eine White-List angelegt werden kann. Dann sind ausschließlich IP-Adressen aus den ausgewählten Ländern erlaubt. Die Auswahl ist auf maximal 50 Länder begrenzt. Eine Ländersperre verhindert auch Zugriffe per IPv6. Die Listen befinden sich im Dialog Firewall -> Allgemein.

VPN: WireGuard Netz-zu-Netz-Verbindungen

Mit diesem Update besteht die Möglichkeit Links vom Typ WireGuard zu konfigurieren. Bei der Konzeption von WireGuard standen die einfache Bedienbarkeit, eine hohe Geschwindigkeit und eine geringe Angriffsfläche im Vordergrund. Zur Einrichtung eines Tunnels müssen vorab nur die öffentlichen Schlüssel ausgetauscht werden. Bewährt hat sich WireGuard auch in Hinblick auf die Stabilität der Tunnel. Unterstützt werden Netz-zu-Netz-Verbindungen, Road-Warrior-Verbindungen noch nicht. Verbindungen können im Internet über IPv6 aufgebaut werden. Der Transport über IPv6 innerhalb des Tunnels wird noch nicht unterstützt.

SSL-VPN: Proxy für Outlook im Web

Ein Reverse-Proxy erlaubt den Zugriff aus dem Internet auf einen internen Webserver. Über den Reverse Proxy für OWA kann ein Exchange-Server per Browser erreichbar gemacht werden. Aktuell steht die Abkürzung OWA für “Outlook im Web”. Bekannt ist die Funktion des Exchange-Servers auch unter seinen vorherigen Namen “Outlook Web App” oder “Outlook Web Access”. Freigegeben ist die neue Funktion mit Exchange 2019. Der Dialog befindet sich unter Netzwerk -> SSL-VPN. Die Funktion ist im Zusatzmodul SSL-VPN enthalten. Z-Push und Proxy für OWA können nicht parallel betrieben werden.

Mail: DKIM für ausgehende E-Mails

Ab dieser Version steht das zusätzliche Filterverfahren Domain Keys Identified Mail (DKIM) für den Spamfilter auch für ausgehende E-Mails zur Verfügung. Der Spam-Filter kann bereits eingehende E-Mails aufgrund ihrer DKIM-Signatur bewerten. Nun können auch ausgehende E-Mails mit einer DKIM-Signatur versehen werden. Der Empfänger kann dann prüfen, ob sich die Mail-Domain des Absenders im Besitz des Absenders befindet und es sich um keine gefälschte Mail-Adresse handelt. Um die Signatur prüfen zu können, muss der öffentliche Schlüssel im DNS abgelegt werden. Hierzu kann auf der Administrationsoberfläche eine Textdatei erzeugt werden, die zur Konfiguration beim DNS-Provider der Mail-Domain verwendet werden kann. Der Dialog befindet sich unter Mail und Messaging -> Spam -> Reputationsdienste.

Mail: Externe E-Mails mit lokaler Domäne abweisen

Über diese Einstellung kann verhindert werden, dass eingehende E-Mails von extern den Absender faken. Es werden dann nur noch E-Mails mit einer Absenderadresse aus einer der lokalen E-Mail-Domains entgegengenommen, wenn sie aus einem internen Netzwerk stammt. Interne Netzwerke sind alle Netze, die in einer Netzwerkgruppe enthalten sind, die die Berechtigung Mail-Relay haben. Mit dieser Option werden externe E-Mails von vermeintlich internen Absendern abgewiesen. Die Option befindet sich im Dialog Mail und Messaging -> SMTP-Empfang -> Optionen.

Collax Central: Feature-Offensive

Mit Collax Central haben Sie jederzeit den Überblick über alle Collax Server. Das erleichtert die Administration erheblich. Durch die aktive System-Überwachung weist Collax Central frühzeitig auf sich anbahnende Probleme hin und bietet ein effektives Werkzeug für eine effiziente und schnelle Administration. Hier laufen alle Informationen zusammen. So können Probleme in einer großen Server-Landschaft auf einen Blick erkannt werden. Sporadische und regelmäßige Wartungsaufgaben sind schnell erledigt.

Aufgrund von Rückmeldungen, haben wir drei neue Funktionen für Collax Central eingeführt:

Zusammenfassungen: Es kann eine regelmäßige Zusammenfassung per E-Mail eingerichtet werden. Nicht zuletzt kann sie dazu dienen, die Betriebsbereitschaft von Collax Central sicherzustellen. Anhand der Zusammenfassungen lässt sich dann entscheiden, ob ausbleibende Meldungen bedeuten, dass es keine Probleme gibt oder darauf hinweisen, dass der Mail-Verkehr an sich gestört ist.

Entwarnung: Bei einigen gemeldeten Problemen kann man davon ausgehen, dass sie nur temporärer Natur sind. Sie erfordern zwar kein Eingreifen, hilfreich ist jedoch, dass Collax Central nun eine Entwarnung sendet, wenn das Problem nicht mehr besteht.

Link-Status: Auf der Oberfläche von Collax Central ist eine neue Box hinzugekommen. Sie enthält eine Übersicht und den Status der Links des Servers.

System-Management: Linux Kernel 5.10.128

Mit diesem Update wird der Linux Kernel 5.10.128 installiert.

GUI: Modernisierte Warn- und Dialogfenster

Mit diesem Update werden die Warn- und Dialogfelder der GUI modernisiert. Als Sahnehäubchen verfügt der Fehlerdialog jetzt über eine Schaltfläche “In die Zwischenablage kopieren” um den Administratoren das Kopieren von Informationen zu erleichtern.

System-Management: Überwachung des RAID-Status an Broadcom Controllern

Mit der Einführung der Controller-Familie Broadcom 95xx MegaRAID wurde ein Wechsel des Management-Tools von “megacli” auf “storcli” notwendig. Bitte beachten Sie, dass sich die Ausgaben der Meldungen der Überwachung (Nagios) dadurch ändern. Mit dem neuen Check werden nun auch die Temperaturen vom Controller, der Platten und der Einheit zur Cache-Pufferung (BBU oder CacheVault) überwacht. Beim Überschreiten der Schwelltemperaturen wird der Administrator informiert.

Security: Wichtige sicherheitsrelevante Systempakete

Im Quellcode wichtiger Systempakete wurden Sicherheitslücken entdeckt. Diese werden mit diesem Software-Update geschlossen. Anbei ein Auszug der bekanntesten Pakete und CVE Nummern.

Die Fehlerbehebung bezieht sich auf folgende CVE-Nummern

Open Source Virenscanner ClamAV 0.104.3 CVE-2022-20770 CVE-2022-20771 CVE-2022-20785 CVE-2022-20792 CVE-2022-20796

Download-Werkzeug Curl 7.83.1 CVE-2022-22576 CVE-2022-27775 CVE-2022-27776

Webserver Apache 2.4.54 siehe hier

Datenbankserver MariaDB 10.5.16 siehe hier

DNS-Server Bind 9.16.28 siehe hier

OpenSSH 9.0p1 siehe hier

Skriptsprache PHP 7.4.30 siehe hier

In dieser Version behobene Probleme

Zertifikate: CSR

Certificate Signing Requests (CSR) dienen dazu, Daten des Servers an den Zertifikatsaussteller (CA) zu übermitteln, um ein öffentlich signiertes SSL-Zertifikat zu erhalten. Aufgrund eines Fehlers beim Import der signierten Schlüssel in der GUI konnte der private Schlüssel nicht richtig dem CSR zugeordnet werden. Dies ist mit diesem Update behoben.

Let’s Encrypt: Export mit Bindestrich im Namen

Let’s Encrypt ist eine Zertifizierungsstelle, die kostenlose X.509-Zertifikate für die SSL-Verschlüsselung anbietet. Mit dem Collax Modul Let’s Encrypt werden die sonst üblichen händischen Vorgänge durch einen automatisierten Prozess vereinfacht. Wenn die in der grafischen Benutzeroberfläche vergebene Bezeichnung für das Zertifikat einen Bindestrich enthielt und das Zertifikat exportiert werden sollte, schlug dies fehl. Dies ist mit diesem Update behoben.

VPN: IKEv2 - mehrfach vergebene virtuelle Adressen

Bei VPN-Einwahlverbindungen (RoadWarrior-Verbindungen) mit Benutzer-Authentifizierung vom Typ IKEv2 konnte es in seltenen Fällen dazu führen, dass nach einer Providerzwangstrennung auf Seiten des Einwählenden virtuelle IP-Adressen mehrfach vergeben wurden. Der Fehler wird durch den Einsatz eines Acct-Session-Id Attributes gelöst und tritt damit nicht mehr auf.

GUI: Automatische Abmeldung Admin-GUI

Unter Benutzungsrichtlinien -> Administrator lässt sich eine automatische Abmeldung vom System konfigurieren. Aufgrund eines Fehlers wurde dies allerdings nicht korrekt erkannt, sodass Administratoren nicht abgemeldet wurden. Dieses Verhalten wurde korrigiert.

Hinweise

VPN: Fix für IKEv2 mit Microsoft Windows bricht nach 7,6 Stunden ab

VPN-Verbindungen mit IKEv2 und den Bordmitteln von Microsoft Windows werden nach genau 7,6 Stunden unterbrochen. Der Fehler tritt auf, da Microsoft Windows während der IKE-Neuverschlüsselung andere Algorithmen vorschlägt als bei der ersten Verbindung. Mit einem Registry-Fix lässt sich das Problem beheben, indem der Wert “NegotiateDH2048_AES256” unter HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Parameters auf 1 gesetzt wird.

Unter folgendem Link finden Sie eine REG-Datei (Registryeintrag) die den Registrierungsschlüssel hinzufügt. Collax übernimmt keine Haftung für Systemfehler, die daraus resultieren.