Release-Notes zu genugate 7.3 - GeNUA

Release-Notes zu genugate 7.3
In diesen Release-Notes finden Sie Informationen zur genugate 7.3 Produktfamilie. Lesen Sie diese bitte
aufmerksam durch! Wir empfehlen Ihnen, dieses Upgrade zu installieren, da wir mit diesem Release
neue Features und Vereinfachungen in der Bedienung zur Verfügung stellen.
Wichtig - Backup!
Vor einem Upgrade empfehlen wir dringend, ein Konfigurations- oder besser noch ein vollständiges
Backup der genugate durchzuführen. Eine ausführliche Anleitung zur Vorgehensweise beim Upgrade
finden Sie in Kapitel 7 dieser Release-Notes.
Plattenspiegelung:
Die genugate-Modelle 400, 600 und 800 sind mit Spiegelplatten ausgerüstet.
Es gehört zum normalen Upgrade, dass das Mirroring auf Maschinen, die mit einem Offlinemirror (Spiegelplatten)
ausgerüstet sind, im Rahmen eines Upgrades deaktiviert wird. Dies ermöglicht es, den
Erfolg eines Upgradevorganges zu testen.
Das Vorgehen bei Modellen mit Plattenspiegelung ist wie folgt:
• Führen Sie den Upgrade durch wie in Kapitel 7 beschrieben. Die Synchronisierung der Spiegelplatten
wird dadurch automatisch deaktiviert.
• Test: In der Regel genügt es, das System mehrere Tage unter normalen Bedingungen laufen zu
lassen.
• Mirror reaktivieren: Löschen Sie dazu die Datei /var/db/.NOMIRROR. Dadurch wird die Synchronisierung
der Spiegelplatten wieder eingeschaltet, und der Mirror wird beim nächsten Lauf (i.d.R.
jede Nacht um 2:05) aktualisiert.
Empfohlen - Upgrade Test im Multi-User-Mode:
Mit Version 7.3 wurden einige Datenstrukturen in der Registry des Systems geändert. In Kapitel 6.2
wird die Durchführung eines ” Test-Upgrades“ beschrieben, der eine neue Registry erzeugt und auf Konsistenz
prüft.
Sollte diese Prozedur Warnungen ausgeben, empfehlen wir diese vor dem eigentlichen Upgrade zu
analysieren und ggf. Inkonsistenzen zu beseitigen.
RELEASE-NOTES GENUGATE 7.3 Seite 1 von 16

INHALTSVERZEICHNIS
Inhaltsverzeichnis
1 Umfang der Release-Notes 3
2 Neuerungen in genugate 7.3 3
2.1 Protokollkonformitätsfilter für die TCP-Policy . . . . . . . . . . . . . . . . . . . . . . . . . . 3
2.2 Neues DNS-Konzept . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
2.2.1 Zweistufiger Upgradeprozess . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
2.2.2 Anmerkungen zum Upgrade . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
2.3 Erweiterung der SSH-Policy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
2.4 Erweiterung der WWW-Policy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
3 Software-Updates und Verhaltensänderungen 8
4 Verwaltung via genucenter 9
5 Überblick über die Versionen mit Updatesupport 9
6 Vor dem Upgrade 9
6.1 Systemvoraussetzungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
6.2 Test-Upgrade im Multi-User-Mode . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
7 Installation des Upgrades 10
7.1 Upgradepfad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
7.2 Datensicherung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
7.3 Minimaler freier Festplattenspeicher . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
7.4 Durchführung des Upgrades . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
8 Informationen im Web 15
9 So erreichen Sie uns 16
Seite 2 von 16 RELEASE-NOTES GENUGATE 7.3

1 Umfang der Release-Notes
2 NEUERUNGEN IN GENUGATE 7.3
Diese Release-Notes bieten einen Überblick über Änderungen und Erweiterungen im Funktionsumfang
der genugate beim Wechsel von Version 7.2 zu Version 7.3. Genauere Erläuterungen zur Konfiguration
finden Sie in den genugate-Handbüchern.
Eine elektronische Variante dieser Release-Notes, die Software selbst und die aktuellen Handbücher
können Sie auf unseren Kundenseiten unter www.genua.de im ” Internen Kundenbereich“ herunterladen.
Gerne schicken wir Ihnen auch per Post eine CD zu; bitte senden Sie uns hierzu eine kurze E-Mail
an auftrag@genua.de.
2 Neuerungen in genugate 7.3
2.1 Protokollkonformitätsfilter für die TCP-Policy
Für die meisten weitverbreiteten Anwendungsprotokolle bietet die genugate dedizierte Policies, hinter
denen ein protokollspezifischer Proxy steckt. Dieser versteht das entsprechende Protokoll, erkennt Protokollverletzungen
und filtert potentiell gefährliche Inhalte heraus. Für exotischere oder proprietäre Protokolle,
für die eine solche Policy nicht existiert, muss man daher auf die generischen Policies zugreifen.
Für TCP-basierte Anwendungsprotokolle ist das die TCP-Policy. Diese bietet zwar einen umfassenden
Schutz vor Angriffen bis zur Transportschicht (Layer 4), da TCP-Verbindungen grundsätzlich am
Application Level Gateway (ALG) der genugate terminiert werden. Lediglich der Datenstrom der TCP-
Verbindung wird dann über eine zweite, vom ALG initiierte Verbindung an das Zielsystem weitergereicht.
Eine weitere Filterung des Datenstroms kann nicht erfolgen, da die TCP-Policy beliebige, auch völlig unbekannte,
Anwendungsprotokolle erlauben muss.
Da nicht bekannt ist, was bei Freischaltung einer TCP-Policy dann wirklich über die Firewall geht, führen
wir mit diesem Release den Protokollkonformitätsfilter (kurz PCF, von engl. Protocol Conformity Filter)
ein. Dieser ermöglicht es, den Verbindungsaufbau auf Anwendungsprotokollebene innerhalb des
TCP-Datenstroms genau zu analysieren. Damit kann zu Beginn einer entsprechenden Verbindung entschieden
werden, ob diese Verbindung zulässig ist oder geblockt werden soll.
Neben einer deutlichen Verbessserung der Sicherheit ermöglicht der Protokollkonformitätsfilter außerdem
das Durchsetzen von Sicherheit-Policies: Es können z.B. grundsätzlich SSL-verschlüsselte Verbindungen
erzwungen werden, oder die Verbindung kann so eingeschränkt werden, dass veraltete, als
unsicher eingestufte Protokollversionen unterbunden werden.
Ein weiterer Anwendungsfall ist der Schutz vor Konfigurationsfehlern: So können Sie z.B. selbst eine
Protokolldefinition erstellen, die auf einen ganz spezifischen Server-Banner filtert. Wird eine Verbindung
zu einem anderen Server aufgebaut, wird die Verbindung abgebrochen.
Da die TCP-Policy das Aufbrechen einer SSL-Verschlüsselung erlaubt, können Sie den Protokollkonformitätsfilter
auch auf ein Protokoll anwenden, dass innerhalb eine verschlüsselten Verbindung abläuft.
RELEASE-NOTES GENUGATE 7.3 Seite 3 von 16

2 NEUERUNGEN IN GENUGATE 7.3
Bitte beachten Sie, dass sich der Protokollkonformitätsfilter nur den Verbindungsaufbau einer TCP-
Verbindung genau anschaut. Anschließend läuft die Verbindung wie von der TCP-Policy gewohnt ungefiltert
weiter. Das Sicherheitsniveau der Policies für spezifische Anwendungsprotokolle ist wesentlich
höher, da von diesen der komplette Protokollablauf der Verbindung analysiert wird. Andererseits profitieren
Sie bei Nutzung des PCFs von der erhöhten Geschwindigkeit, da die TCP-Policy nach Überprüfung
des Verbindungsanfangs auf Socket-Splicing umschaltet. Dieses Feature sorgt dafür, dass der TCP-
Datenstrom im Kernel der genugate verarbeitet wird, was wesentlich schneller ist, als wenn er noch
durch einen Proxy-Prozess verarbeitet werden muss.
Um den Protokollkonformitätsfilter zu verwenden, müssen Sie bei der Konfiguration einer TCP-Policy
das Modul Filter aktivieren. Sie haben dann im entsprechenden Tab die Möglichkeit, eine von uns mitgelieferte
Protokolldefinition auszuwählen:
• BGP v4: Erlaubt Verbindungen des Routing-Protokolls BGP der Protokollversion 4.
• IMAP v4: Erlaubt E-Mail-Zugriffe über IMAP Version 4.
• LDAP: Erlaubt LDAP-Verbindungen.
• MySQL: Erlaubt MySQL-Verbindungen mit der Protokollversion 10 (MySQL 3.21 und neuere Versionen).
• POP3: Erlaubt POP3-Verbindungen.
• PostgreSQL: Erlaubt PostgreSQL-Verbindungen (unverschlüsselt oder verschlüsselt).
• PostgreSQL SSL: Erlaubt nur SSL-verschlüsselte PostgreSQL-Verbindungen. Unverschlüsselte
Verbindungen sind nicht erlaubt.
• PPTP: Erlaubt PPTP Kontrollverbindungen. Zusätzlich ist ein IP-Relay für die zugehörige GRE-
Verbindung erforderlich.
• RDP: Erlaubt Verbindungen, die ITU X.224 über T.123 benutzen, darunter fällt RDP (Remote
Desktop Protocol).
• SMB: Erlaubt Verbindungen, die Microsoft SMB oder SMB2 über TCP (Port 445) nutzen. Dies
beinhaltet alle Windows-Versionen seit Windows XP.
• SSH: Erlaubt SSH-Verbindungen mit den Protokollversionen 1 und 2.
• SSH v2: Erlaubt nur SSH-Protokollversion 2. Hierzu müssen sowohl Client als auch Server nur
auf Version 2 des SSH-Protokolls konfiguriert sein.
• SSL: Erlaubt SSL bzw. TLS verschlüsselte Verbindungen. Aus Sicherheitsgründen werden nur die
Protokolle SSL 3.0 und TLS 1.0 bis 1.2 erlaubt.
• VNC: Erlaubt Verbindungen, die das Remote Framebuffer Protokoll (RFB) benutzen, welches
zum Beispiel für VNC (Virtual Network Computing) benötigt wird. Im Moment werden die RFB-
Versionen 3.3, 3.7 und 3.8 unterstützt.
Seite 4 von 16 RELEASE-NOTES GENUGATE 7.3

2 NEUERUNGEN IN GENUGATE 7.3
In zukünftigen Versionen möchten wir die mitgelieferten Definitionen noch erweitern. Gerne nehmen wir
dazu Ihre Vorschläge an.
Bei Bedarf können Sie ausserdem die mitgelieferten Definitionen an eigene Zwecke anpassen oder
komplett selbst definieren. Bitte beachten Sie, dass dieses ein Experten-Feature ist, welches detaillierte
Kenntnisse von regulären Ausdrücken (RegEx) und Protokollen voraussetzt.
2.2 Neues DNS-Konzept
Die im genugate integrierte DNS-Unterstützung wurde komplett überarbeitet. Die neue Implementierung
ist jetzt in das regelbasierte GUI-Konzept mit Diensten und Policies integriert: Einzelne DNS-Server auf
der genugate werden nun als Policies vom Typ dnsserver verwaltet und können entweder Rekursiv und
Forward, nur Autoritativ oder beides sein. Der Zugriff auf die einzelnen DNS-Server wird wie bei anderen
Diensten jetzt ebenfalls über Dienste und ALG-Regeln konfiguriert.
Zonen werden zentral unter VERBINDUNGEN → DNS → ZONEN verwaltet. Sie können entweder über
die einzelnen Policies oder über die Übersichtsseite unter VERBINDUNGEN → DNS → ÜBERSICHT den
einzelnen autoritativen Nameservern zugeordnet werden. Selbstverständlich werden neben regulären
Zonen weiterhin Reverse- sowie Slave- und Master-Zonen unterstützt. Die Zonen-Konfiguration bietet
einen Standardsatz von Resource-Records an. Bei Bedarf kann die Zone im Expertenmodus um beliebige
weitere Records oder Spezialkonfigurationen erweitert werden. Dort erhalten Sie auch eine Übersicht
über den vom System automatisch generierten Teil der Zone.
Für lokale Dienste wie Mail, Policies mit dynamischer Zielbestimmung, den Web-Proxy oder den Updatemechanismus
für Antiviren-Patterns und Patches wird unter VERBINDUNGEN → DNS → LOKALER
RESOLVER eine Standard-DNS-Server-Policy konfiguriert. Bei Bedarf kann dieser Resolver für einzelne
Policies, die DNS-Auflösung verwenden, in den Policy-Optionen überschrieben werden.
Auch die technische Basis der DNS-Unterstützung wurde überarbeitet. Der bisher verwendete Nameserver
BIND wurde durch die Kombination aus Unbound (Rekursive Auflösung und Forwarder) und NSD
(Autoritativ) ersetzt.
Selbstverständlich hat das neue DNS-Konzept eine komplette IPv6-Unterstützung. Auch die Nutzung
von DNSSEC ist möglich. Das neue Konzept dient hierbei als Basis für einen Ausbau dieser Funktionalität
in den nächsten Releases.
2.2.1 Zweistufiger Upgradeprozess
Da DNS ein kritischer Systemdienst ist, wurde der Upgrade-Prozess für dieses Release zweigeteilt.
Zunächst führen Sie ein ganz normales Upgrade auf die neue Version der genugate durch. Anschliessend
läuft weiterhin die alte BIND-basierte DNS-Konfiguration. Im Anschluss können Sie die beim Upgrade
generierte Konfiguration begutachten, ggf. anpassen und für jede einzelne Nameserver-Instanz
aktivieren. Bei Bedarf können Sie auch wieder auf die alte Konfiguration zurückschalten.
Beim Upgrade gehen Sie bitte wie folgt vor:
RELEASE-NOTES GENUGATE 7.3 Seite 5 von 16

2 NEUERUNGEN IN GENUGATE 7.3
Es wird empfohlen zunächst einen Trockenupgrade durchzuführen und eventuell aufgetretene Warnungen
zu bearbeiten. Dazu legen Sie die genugate CD in das CD-ROM-Laufwerk und führen auf der
Kommandozeile den Befehl ggupgrade aus (siehe auch Kapitel 6.2).
Führen Sie anschließend den eigentlichen Upgrade wie in Kapitel 7.4 beschrieben durch.
Nach dem Neustart der genugate ist weiterhin Ihre alte DNS-Konfiguration aktiv. Zusätzlich wurden unter
VERBINDUNGEN mehrere neue Policies, Dienste und Regeln für die neue DNS-Konfiguration angelegt.
Diese den Adressen des ALGs entsprechenden Regeln werden aber nicht automatisch aktiviert. Die
dazugehörigen Konfigurationen der DNS-Server Unbound und NSD finden Sie unter
/cage/unbound/etc/unbound-POLICYNAME.conf bzw.
/cage/nsd/etc/nsd-POLICYNAME.conf.
Dort finden Sie auch die jeweilige Loopback-Adresse, die Sie zum Testen der Policies verwenden
können (z.B. dig @127.128.0.9 my.host.name). Dieses ist möglich, da die entsprechend konfigurierten
Unbound- und NSD- Prozesse bereits laufen, auch wenn die zugehörigen Regeln noch nicht
aktiv sind. Wenn alle Tests positiv verlaufen sind, können Sie erst die Unbound- und anschließend
die NSD-Regel aktivieren. Dadurch wird automatisch die alte DNS Konfiguration deaktiviert, aber nicht
gelöscht. Sollte es im Betrieb zu Problemen kommen, können Sie daher die neuen DNS Regeln jederzeit
wieder deaktivieren und damit problemlos auf die alte Konfiguration zurückschwenken.
2.2.2 Anmerkungen zum Upgrade
Bitte beachten Sie die folgenden Hinweise, wenn Sie ein Upgrade durchführen:
• Gültige Resource-Records, die vom Upgrader nicht verarbeitet werden können, werden in der GUI
unter VERBINDUNGEN → DNS → ZONEN → EXPERTE dargestellt. Sie bleiben auch mit dem neuen
DNS-Konzept gültig und werden weiterhin verwendet.
• Im Fall, dass Ihre genugate bisher Anfragen rekursiv oder als Forwarder aufgelöst hat, und zusätzlich
noch einzelne Zonen an andere Server weitergeleitet wurden oder lokal konfigurierte Zonen
aufgelöst wurden, ist folgendes zu beachten:
In dieser Kombination ist der Zonentransfer mit nur einer kombinierten Autoritativ, Rekursiv und
Forward Policy nicht möglich. Daher werden während des Upgrades je eine Rekursiv und Forward
und eine Autoritativ Policy mit den dazugehörigen Regeln angelegt.
Dabei bedürfen folgende Fälle besonderer Aufmerksamkeit:
– Clients im lokalen Netz lösen Namen rekursiv über die genugate auf. Zusätzlich machen
Rechner in einem anderen IP-Bereich des lokalen Netzes Zonentransfers von der
genugate: Die Rechner, die die Zonentransfers durchführen, müssen als Slaves im Master-
Tab der jeweiligen Zone eingetragen werden. Zusätzlich müssen Ihre IP-Adressen in die entsprechende
Source-ACL (eingehende Quell-ACL) der dazugehörigen Regel aufgenommen
werden.
– Die IP-Bereiche im o.g. Fall unterscheiden sich nicht: Die autoritative Regel, die für Zonentransfers
(NSD) verwendet wird, sowie die Regel für die rekursiven Abfragen (Unbound)
auf der genugate bekommen unterschiedliche IP-Adressen. Die Clients müssen, je nach ihrer
Funktion, entweder auf die eine oder die andere Adresse konfiguriert werden.
Seite 6 von 16 RELEASE-NOTES GENUGATE 7.3

2 NEUERUNGEN IN GENUGATE 7.3
– Die Rechner im internen Netz machen entweder nur rekursive Anfragen oder nur Zonentransfers:
Die jeweils nicht benötigte Regel kann gelöscht werden.
• Im alten DNS-GUI konnte ausgewählt werden, wer rekursive Anfragen stellen (any, lokal oder
lokale Netze) darf. Wenn diese Option auf any gesetzt ist, wird vom Upgrader eine Policy angelegt,
die rekursive Anfragen auflöst. In den anderen Fällen geschieht dieses nicht. Bitte passen sie in
diesem Fall selbst die entsprechende Policy an.
• Die BIND-Option allow-query, welche eine ACL enthält, die festlegt, von welchen Hosts DNS-
Anfragen beantwortet werden, wird vom Upgrader nicht berücksichtigt. Per Default werden Anfragen
von überall beantwortet. Ist dies nicht gewünscht, müssen entsprechende Quell-ACLs in
den ALG-Regeln konfiguriert werden. Auch die ACLs allow-recursion, allow-transfer und blackhole
werden vom Upgrader nicht berücksichtigt.
• Für Zonen vom Typ Master, die für Zone-Transfers genutzt werden, müssen nach dem Upgrade im
Zonen-GUI Slaves konfiguriert werden, die berechtigt sind, diese Zone zu beziehen.
• Momentan wird Classless Reverse Zone Delegation (RFC 2317) vom GUI nicht unterstützt. Falls
es benötigt wird, muss es mit Hilfe von Local Files manuell konfiguriert werden. Der Upgrader gibt
hierzu eine Warnung aus, wenn er entsprechende Reverse Zonen findet.
2.3 Erweiterung der SSH-Policy
Die in genugate 7.2 eingeführte SSH-Policy wurde um folgende Features erweitert:
• Authentisierung: Zusätzlich zur Authentisierung am Zielsystem ist nun auch eine vorgeschaltete
Passwortauthentisierung an der genugate möglich. Neben lokalen Benutzern werden LDAP, RA-
DIUS und eine Passwortdatei als Authentisierungsmethoden unterstützt.
• Zusätzliche Assoziationstypen: Die Assoziationstypen mit dynamischer Zielbestimmung aus der
Anfrage werden nun ebenfalls unterstützt. Bitte beachten Sie, dass es in diesem Fall nicht möglich
ist, den Host-Key des Zielsystems zur Generierung des Host-Keys, der dem Client präsentiert
wird, verwenden zu können, da zum Zeitpunkt des Schlüsselaustauschs das Zielsystem noch
nicht bekannt ist. Die genugate verwendet daher stets denselben Host-Key, eine automatisierte
Erkennung von Man-in-the-Middle-Angriffen zwischen genugate und Zielsystem ist daher nicht
mehr möglich.
• Group-Source-Destination-ACL: Bei Verwendung der Authentisierung ist es möglich, über die
Group-Source-Destination-ACL unterschiedliche Quell- und Ziel-ACLs in Abhängigkeit von der
Gruppenzugehörigkeit des Benutzers zu definieren.
2.4 Erweiterung der WWW-Policy
Ebenso wie die SSH-Policy unterstützt nun auch die WWW-Policy die Group-Source-Destination-ACL.
Bitte beachten Sie, dass diese ACL IP-Adressen- und nicht URL-basiert ist.
RELEASE-NOTES GENUGATE 7.3 Seite 7 von 16

3 SOFTWARE-UPDATES UND VERHALTENSÄNDERUNGEN
3 Software-Updates und Verhaltensänderungen
• Enthaltene Patches: In dieser Version sind alle relevanten Änderungen und Patches der Version
7.2 bis einschließlich Patch 4 enthalten. Eine detaillierte Liste entnehmen Sie bitte der Datei
/upgrade/G730 000.README auf der CD-ROM.
• OpenBSD: Das Betriebssystem OpenBSD wurde mit sämtlichen Komponenten auf die Version
5.1 aktualisiert.
• Squid: Der Web-Proxy Squid wurde auf die Version 3.1.21 aktualisiert.
• HTTP-Policy entfernt: Seit Version 6.1 gibt es die WWW-Server-Policy. Damit ist die HTTP-Policy
obsolet geworden. Sie wird daher mit diesem Release entfernt. Beim Upgrade werden noch verbliebene
HTTP-Policies automatisch in WWW-Server-Policies konvertiert.
• Hidden Key DST PORTS entfernt: Der manuell in der Registry eintragbare Key DST PORTS wurde
entfernt. Diese Änderung betrifft die FTP-, POP- und Telnet-Policies. Das Verhalten entspricht
nun der SSH-Policy: Der bei Assoziationstypen mit dynamischer Zielbestimmung aus der Anfrage
zulässige ausgehende Ziel-Port wird über den Dienst konfiguriert. Wird das Feld leer gelassen,
sind beliebige Ziel-Ports erlaubt. Sicherheitshalber ist daher beim Anlegen der entsprechenden
Dienste der Standard-Port vorbelegt und sollte bei Bedarf entfernt werden. Eine Liste von Ports ist
nicht mehr möglich. Bitte verwenden Sie hierzu eine Gruppe von Diensten.
• VLAN-Priorität entfernt: Da die entsprechende Konfiguration vom Betriebssystem nicht mehr
unterstützt wird, wurde die Möglichkeit, eine VLAN-Priorität zu konfigurieren, entfernt.
• Formatierung Accounting-Log: Im Accounting-Log ist die Sortierung der Key-Value-Paare jetzt
alphabetisch. Sollten Sie Skripte haben, die die Accounting-Daten auswerten, ist eventuell eine
Anpassung notwendig. Wir empfehlen, eine Auswertung auf Basis der Key-Value-Paare zu machen,
da eine bestimmte Position eines Werts innerhalb einer Log-Zeile nicht garantiert ist.
• Remote Access per IPv6: Remote Access funktioniert nun auch über IPv6, wenn entsprechende
IPv6-Adressen konfiguriert sind.
• Mehr man pages: Es wurden viele weitere man pages für die Programme in /usr/local/bin
und /usr/local/sbin hinzugefügt.
• rsync: Das Paket util enthält nun das Tool rsync.
• Virenscanner: Normalerweise entpackt der vscand der genugate Archive und übergibt die entpackten
Dateien der jeweiligen Virenscan-Engine. Alternativ kann in den Einstellungen des Virenscanners
nun konfiguriert werden, dass stattdessen der Virenscanner selbst das Entpacken
von Archiven vornimmt. Für eine besonders hohe Erkennungsrate können auch beide Optionen
kombiniert werden. Dieses ist allerdings mit Performance-Einbußen verbunden, da in diesem Fall
alle Dateien doppelt gescannt werden. Für die beste Balance aus Erkennungsrate und Performance
empfehlen wir, die bisherige Einstellung beizubehalten. Ausserdem ist es nun möglich, den
Timeout, nachdem der Virenscanner einer Scan-Vorgang abbricht, über die GUI zu konfigurieren.
• Generelles: Wie mit jedem Release gibt es auch mit genugate 7.3 wieder zahlreiche kleinere
Änderungen, die die Performance, Usability und Stabilität verbessern. Auch die Onlinehilfe und
die Suche in der GUI wurden an vielen Stellen verbessert.
Seite 8 von 16 RELEASE-NOTES GENUGATE 7.3

4 Verwaltung via genucenter
6 VOR DEM UPGRADE
genugate 7.3 ist nicht für die Verwaltung mittels genucenter vorgesehen. Die erneute Integration der
genugate erfolgt erst in der nächsten genucenter-Produktlinie, die sich aktuell in der Entwicklung befindet,
mit dem dann zur Verfügung stehenden genugate-Release.
Bitte verwenden Sie weiterhin genugate 7.0, wenn Sie genugate mit genucenter verwalten möchten. Sie
profitieren dabei von der aktuellen Zertifizierung und dem langen Produktsupport bis Oktober 2014.
5 Überblick über die Versionen mit Updatesupport
Neben genugate 7.3 werden aktuell noch folgende genugate-Versionen mit Korrekturen und Sicherheitsupdates
versorgt:
• genugate 6.3: Diese Version wird als vorherige CC EAL4+ zertifizierte genugate-Version noch bis
Januar 2013 unterstützt.
• genugate 7.0: Diese Version wurde im Januar 2012 nach CC EAL4+ zertifiziert und wird deshalb
noch bis Oktober 2014 mit Sicherheitsupdates und nötigen Korrekturen versorgt.
• genugate 7.1: Wie beim Release für diese Version angekündigt, werden wir diese Version bis
April 2013 mit Sicherheitsupdates und den nötigen Korrekturen versorgen.
• genugate 7.2: Diese Version wird ebenfalls bis April 2013 unterstützt.
Frühere Softwareversionen werden, wie auch in unseren allgemeinen Vertragsbedingungen für die Pflege
von Software beschrieben, nicht mehr unterstützt. Dies betrifft insbesondere auch genugate Version
6.2. Bitte upgraden Sie noch aktive ältere Systeme so bald wie möglich.
Bereits im April 2013 wird die nächste Version 7.4 veröffentlicht und auch danach ein halbjährlicher
Rhythmus eingehalten. Deshalb wird genugate 7.3 nur bis Oktober 2013 mit Sicherheitsupdates gepflegt.
Bitte verwenden Sie die zertifizierte Version mit Langzeitsupport, wenn jährliche Upgrades für
Sie nicht möglich sind.
Die nächste Zertifizierung ist mit genugate 8.0 für Oktober 2013 geplant. Diese zertifizierte Version
enthält dann auch wieder einen längeren Produktsupport von drei Jahren.
6 Vor dem Upgrade
6.1 Systemvoraussetzungen
• Der Upgrade auf Version 7.3 wird von jedem Patchlevel der Version 7.2 unterstützt.
• Zum Betrieb der Version 7.3 werden mindestens 1 GB RAM im ALG und 512 MB RAM im PFL
empfohlen.
• Um den Upgrade erfolgreich durchführen zu können, muss ausreichend freier Festplattenspeicher
auf dem ALG vorhanden sein. Die Prozedur zur Feststellung des Plattenspeichers wird in Kapitel
7.3 beschrieben.
RELEASE-NOTES GENUGATE 7.3 Seite 9 von 16

7 INSTALLATION DES UPGRADES
6.2 Test-Upgrade im Multi-User-Mode
Um in der aktuellen Konfiguration Inkonsistenzen, die zu Problemen beim Upgrade führen, rechtzeitig
erkennen und beheben zu können, sollte unbedingt ein ” Test-Upgrade“ des Systems durchgeführt
werden. Dazu muss wie folgt vorgegangen werden:
• Legen Sie im normalen Multi-User-Mode die CD in das Laufwerk Ihres Systems ein
• Führen Sie als Benutzer ’root’ das Kommando ’ggupgrade’ aus
Im Rahmen dieses Test-Upgrades wird als Erstes die Registry des Systems konvertiert und in die Datei
/etc/configfw/fw.cfg.pretty-G730 000 geschrieben ( ” human readable“). Die Registry des
laufenden Systems wird jedoch nicht modifiziert. Sollte es hierbei zu Problemen kommen, werden entsprechende
Hinweise ausgegeben. Probleme mit weitreichenden Konsequenzen müssen außerdem
explizit bestätigt werden.
Beachten Sie bitte, dass der Test-Upgrade nicht sicher feststellen kann, ob der Plattenplatz in älteren
Systemen ausreicht. Die Prozedur zur Feststellung des Plattenspeichers wird in 7.3 beschrieben.
Im Anschluss an die Probekonvertierung der Registry wird ein configfw-Lauf angestoßen. Dieser
stellt sicher, dass die Erzeugung der Konfigurationsdateien aus der konvertierten Registry reibungslos
funktioniert. Anschliessend kann das System entweder unverändert weiterbetrieben werden, oder der
eigentliche Upgrade (wie unter 7 beschrieben) durchgeführt werden.
Sollten bei der Durchführung des Test-Upgrades Probleme auftreten, wenden Sie sich bitte an Ihren
Service-Partner. Zusätzliche Informationen zum Upgrade werden in den Dateien
/var/gg/patches/G730 000.upgrade.log (Registry-Upgrade) und
/var/gg/patches/G730 000.configfw.log abgelegt.
7 Installation des Upgrades
7.1 Upgradepfad
genugate-Systeme ab der Version 7.2 können auf die Version 7.3 aktualisiert werden.
Ein bestimmtes Patchlevel der Version 7.2 ist hierbei nicht erforderlich.
7.2 Datensicherung
Bei dem Upgrade auf genugate 7.3 bleiben die Logdateien und E-Mails im Spool-Verzeichnis auf dem
System erhalten.
Trotzdem sollten Sie vor dem Upgrade mittels
# cfgbu -s -f
ein Backup Ihrer Konfiguration durchführen.
Um ebenfalls E-Mails und Logdateien zu sichern muss ein Komplettbackup des Systems erstellt werden.
Das Vorgehen hierzu ist im Administrations-Handbuch, Kapitel 4.1 ” Datensicherung“, beschrieben.
Seite 10 von 16 RELEASE-NOTES GENUGATE 7.3

7.3 Minimaler freier Festplattenspeicher
7 INSTALLATION DES UPGRADES
Um den Upgrade erfolgreich durchzuführen, muss auf den verschiedenen Partitionen der Festplatte
genügend freier Speicher vorhanden sein. Insbesondere sollten die Partitionen / und /usr mehr als
das Doppelte des bereits belegten Platzes als freien Speicherplatz zur Verfügung haben. Durch Eingabe
des Kommandos df -h können Sie die Belegung der Festplatte prüfen.
admin@gg:˜# df -h
Filesystem Size Used Avail Capacity Mounted on
/dev/sd0a 500M 64.0M 411M 13% /
/dev/sd0f 2.6G 126M 2.3G 5% /cage
mfs:6239 61.3M 6.0K 58.3M 0% /tmp
/dev/sd0d 2.6G 328M 2.1G 13% /usr
/dev/sd0e 1.3G 84.8M 1.1G 7% /var
In der Spalte ” Capacity“ wird der Füllgrad des jeweiligen Dateisystems angegeben.
7.4 Durchführung des Upgrades
Bitte beachten Sie:
Sie benötigen zur Durchführung des Upgrades physikalischen Zugang zur genugate, da CD-ROM
und USB-Stick eingelegt bzw. gewechselt werden müssen.
Legen Sie die genugate 7.3 CD-ROM in das Laufwerk, loggen Sie sich als Benutzer ” admin“ auf das
System ein und verwenden Sie das Kommando su um ” root“ zu werden.
admin@gg:˜# su -
Password:
Oct 01 00:47:11 gg su: admin to root on /dev/console
root@gg:˜#
Starten Sie ggupgrade, um den Upgrade zu beginnen.
root@gg:˜# ggupgrade
Executing upgrade script from cdrom.
Starting /cdrom/usr/local/gg/sbin/ggupgrade ...
Vor dem Upgrade werden jetzt die Patches für das neue Release
geholt. Daher wird Ihre genugate nach dem Upgrade gleich mit dem
aktuellsten Patchlevel arbeiten.
Before the upgrade the patches for the new release are fetched now.
That way your genugate will start working with the latest patchlevel
right after upgrade.
Get upgrade patch from cdrom ...
Retrieving G730_000.tar
Extracting G730_000.tar
Die Patches für die neue Version können über das Internet von
genua geholt werden.
The patches for the new version can be fetched from genua over the
Internet.
Patches von genua holen (ja nein) [ja]?
Get patches from genua (yes no) [yes]? ja
RELEASE-NOTES GENUGATE 7.3 Seite 11 von 16

7 INSTALLATION DES UPGRADES
Sie können bereits vor dem Neustart des Systems nach veröffentlichten Patches suchen, wenn Sie hier
yes oder ja eingeben.
Unter Umständen kündigt das System jetzt an, dass einige Fragen zur Installation gestellt werden.
Bestätigen Sie dies einfach mit [RETURN], das System wird die Fragen zur Installation überspringen
und mit dem Upgrade weitermachen.
Nun wird ein Test-Upgrade der Registry und ein Testlauf von configfw durchgeführt, um herauszufinden,
ob beim Upgrade Probleme zu erwarten sind. Sollte es hierbei zu Problemen kommen, kontaktieren
Sie bitte Ihren Service-Partner.
Starten Sie nun das System neu.
root@gg:˜# reboot
Oct 01 00:47:11 gg reboot: rebooted by admin
/etc/rc.shutdown in progress...
2/2 addresses added.
/etc/rc.shutdown complete.
syncing disks... done
rebooting...
Achten Sie darauf, dass das System von der eingelegten genugate 7.3 CD-ROM bootet. Dies wird durch
den Text CDBOOT im Bootprompt bestätigt.
>> OpenBSD/i386 CDBOOT 3.16
boot>
booting cd0a:bsd.install: 5548692+997388 [61+250496+229473]=0x6b3760
entry point at 0x200120
[ using 480448 bytes of bsd ELF symbol table ]
Copyright (c) 1982, 1986, 1989, 1991, 1993
The Regents of the University of California. All rights reserved.
Copyright (c) 1995-2012 OpenBSD. All rights reserved. http://www.OpenBSD.org
OpenBSD 5.1-stable (ALG.install) #0: Mo Oct 01 13:37:00 CET 2012
bluhm@g731.genua.de:/build/gg.73/73.D009/ALG.install
cpu0: Intel(R) Xeon(R) CPU X5570 @ 2.93GHz ("GenuineIntel" 686-class) 2.94 GHz
cpu0: FPU,V86,DE,PSE,TSC,MSR,PAE,MCE,CX8,APIC,SEP,MTRR,PGE,MCA,CMOV,PAT,PSE36,CFLUSH,DS,ACPI,MMX,FXSR,...
...
Nachdem der Kernel geladen wurde, werden Sie von der genugate 7.3 Installation begrüßt und müssen
die Installationssprache und Tastaturbelegung auswählen. Bei der Auswahl des Installationsmodus wählen
Sie upgrade.
genugate Installation
Sprache auswaehlen.
Sprache/Language (de en) [de] ? [RETURN]
Belegung der an der genugate angeschlossenen Tastatur auswaehlen.
Tastaturbelegung (us de de.nodead ... cf.nodead lv nl nl.nodead) [de.nodead] ? [RETURN]
kbd: keyboard mapping set to de.nodead
Systemerkennung.
Installieren, Upgrade durchfuehren oder System vom Backup restaurieren.
Modus (installation upgrade restaurieren) [installation] ? upgrade
Es werden nun die Festplatten geprüft, in das System eingebunden und für den Upgrade vorbereitet.
Seite 12 von 16 RELEASE-NOTES GENUGATE 7.3

Festplatte mounten.
Boot-Festplatte festlegen.
Erkenne Festplatten im System.
Boot-Festplatte erfolgreich festgelegt.
Alle Partition unmounten.
fstab auslesen.
Dateisysteme ueberpruefen.
/dev/rwd0a: file system is clean; not checking
/dev/rwd0f: file system is clean; not checking
/dev/rwd0d: file system is clean; not checking
/dev/rwd0e: file system is clean; not checking
Alle Partition mounten.
Flags entfernen.
genugate Lizenzen.
Lizenz initialisieren.
7 INSTALLATION DES UPGRADES
Die Lizenznummer und Hardware Seriennummer Ihrer genugate wird abgefragt. Die Werte aus genugate
7.2 gelten weiterhin und Sie müssen nur [RETURN] drücken, um diese beizubehalten.
Lizenz eingeben.
Der einzugebende Wert hat das Format 1234-PROD-ABCD-EFGH-IJKL-MNOP.
Lizenz [1234-PROD-ABCD-EFGH-IJKL-MNOP] ? [RETURN]
Seriennummer eingeben.
Der einzugebende Wert hat das Format XXXXX-XX-XXXX.
Seriennummer [12345-CD-89AB] ? [RETURN]
Es besteht nun die Möglichkeit, Patches vom USB-Stick, vom HA-Peer oder via Netzwerk zu beziehen.
Patches vom USB-Stick holen.
Patches vom USB-Medium holen (ja nein) [nein] ? [RETURN]
Patches vom HA-Peer holen.
Patches vom HA-Netzwerk holen (ja nein) [nein] ? [RETURN]
Patches von genua holen.
Patches vom Netzwerk holen (ja nein) [nein] ? [RETURN]
Das Upgrade wird nun begonnen, die neue Software wird auf das System kopiert und die Konfiguration
durchgeführt.
Upgrade beginnen.
Upgrade-Patch von Cdrom kopieren.
Retrieving G730_000.tar
Das System wird für den Upgrade vorbereitet.
Using new ggpatch /var/gg/patches/ggpatch.
...
Am Ende des Upgrade-Vorgangs werden Sie gefragt, ob Sie die Passwörter für den Administrator ” admin“
und ” root“ neu setzen wollen. Um die bestehenden Passwörter zu übernehmen, wählen Sie nein
durch Drücken von [RETURN].
Administrator Passwoerter setzen.
Passwoerter setzen (ja nein) [nein] ? [RETURN]
RELEASE-NOTES GENUGATE 7.3 Seite 13 von 16

7 INSTALLATION DES UPGRADES
Der Upgrade ist nun fertig. Drücken Sie [RETURN] um das System neu zu starten und entfernen Sie
die CD-ROM aus dem Laufwerk.
Druecken Sie zum Neustart und entfernen Sie nach der Meldung
’rebooting...’ die CDROM aus dem Laufwerk.
Jetzt neu starten (neustart) [neustart] ? [RETURN]
Das System startet nun die neue Software. Nach dem Laden des Kernels werden Sie aufgefordert,
das ” root“ Passwort einzugeben, da noch ein Bootinstall-Skript für die Aktualisierung des Paketfilters
ausgeführt werden muss.
Es wurde mindestens ein Bootinstall-Skript gefunden. Diese Skripten koennen
nur vom Systemverwalter ausgeführt werden. Daher wird jetzt nach dem
Passwort des Systemverwalters (root) gefragt. Wird das Passwort dreimal
falsch eingegeben, kann weiter gebootet werden, ohne dass die Bootskripten
ausgefuehrt wurden. Geben Sie bitte jetzt das root Passwort ein!
Sie haben 60 Sekunden sich zu authentisieren!
Root Passwort eingeben
Password:
Wählen Sie das Script aus der Liste durch die Auswahl von 1 und [RETURN]. Führen Sie es durch
Eingabe von j aus.
Waehlen Sie eine Liste von Bootinstall-Skripten aus, indem Sie die
entsprechenden Nummern eingeben, oder alle durch Eingabe von ’*’
================================================================
1) /var/gg/boot/bootinst.2012.10.01-08.15.00.exe
Create PFL bootmedium
Auswahl (1) []: 1
1) /var/gg/boot/bootinst.2012.10.01-08.15.00.exe
Create PFL bootmedium
Ist das ok? (j/n) [n]: j
Stecken Sie den PFL-USB-Stick in einen freien USB-Slot im ALG und schreiben das PFL-Medium.
Starten Sie den PFL gemäss den Anweisungen neu.
Wenn Sie sich nach Beendigung des Startvorgangs auf das ALG einloggen, werden Sie mit einer Meldung
begrüßt, in der die neue Versionsnummer steht.
login: admin
Password:
Last login: Mon Oct 01 08:14:59 on console
Welcome to your genugate Firewall System.
This system is running genugate Version 7.3 000 based on OpenBSD 5.1
admin@gg:/var/home/admin$
Verwenden Sie das Kommando su um ” root“ zu werden. Anschliessend führen Sie das Kommando
configfw aus. Dies ist nötig, da beim Upgrade selbst keinerlei Syntax-Checks für die erzeugten Konfigurationsdateien
stattfinden, um ein reibungsloses Upgrade durchführen zu können:
Seite 14 von 16 RELEASE-NOTES GENUGATE 7.3

8 INFORMATIONEN IM WEB
root@gg:˜# configfw
zone file /cage/ALG_2_INTERN/etc/namedb/gg.de.db: new serial (2009081061)

9 SO ERREICHEN SIE UNS
9 So erreichen Sie uns
genua, Gesellschaft für Netzwerk- und Unix-Administration mbh
Domagkstraße 7, 85551 Kirchheim bei München
Tel. (089) 99 19 50-900, Fax. (089) 99 19 50-999
E-Mail: info@genua.de, WWW: http://www.genua.de/
© 2012 genua mbh, Kirchheim, Alle Rechte vorbehalten. genugate und genua sind eingetragene Wa-
renzeichen der genua mbh.
Seite 16 von 16 RELEASE-NOTES GENUGATE 7.3