Release-Notes zu genugate 7.3 - GeNUA

Release-Notes zu genugate 7.3In diesen Release-Notes finden Sie Informationen zur genugate 7.3 Produktfamilie. Lesen Sie diese bitteaufmerksam durch! Wir empfehlen Ihnen, dieses Upgrade zu installieren, da wir mit diesem Releaseneue Features und Vereinfachungen in der Bedienung zur Verfügung stellen.Wichtig - Backup!Vor einem Upgrade empfehlen wir dringend, ein Konfigurations- oder besser noch ein vollständigesBackup der genugate durchzuführen. Eine ausführliche Anleitung zur Vorgehensweise beim Upgradefinden Sie in Kapitel 7 dieser Release-Notes.Plattenspiegelung:Die genugate-Modelle 400, 600 und 800 sind mit Spiegelplatten ausgerüstet.Es gehört zum normalen Upgrade, dass das Mirroring auf Maschinen, die mit einem Offlinemirror (Spiegelplatten)ausgerüstet sind, im Rahmen eines Upgrades deaktiviert wird. Dies ermöglicht es, denErfolg eines Upgradevorganges zu testen.Das Vorgehen bei Modellen mit Plattenspiegelung ist wie folgt:• Führen Sie den Upgrade durch wie in Kapitel 7 beschrieben. Die Synchronisierung der Spiegelplattenwird dadurch automatisch deaktiviert.• Test: In der Regel genügt es, das System mehrere Tage unter normalen Bedingungen laufen zulassen.• Mirror reaktivieren: Löschen Sie dazu die Datei /var/db/.NOMIRROR. Dadurch wird die Synchronisierungder Spiegelplatten wieder eingeschaltet, und der Mirror wird beim nächsten Lauf (i.d.R.jede Nacht um 2:05) aktualisiert.Empfohlen - Upgrade Test im Multi-User-Mode:Mit Version 7.3 wurden einige Datenstrukturen in der Registry des Systems geändert. In Kapitel 6.2wird die Durchführung eines ”Test-Upgrades“ beschrieben, der eine neue Registry erzeugt und auf Konsistenzprüft.Sollte diese Prozedur Warnungen ausgeben, empfehlen wir diese vor dem eigentlichen Upgrade zuanalysieren und ggf. Inkonsistenzen zu beseitigen.RELEASE-NOTES GENUGATE 7.3 Seite 1 von 16

INHALTSVERZEICHNISInhaltsverzeichnis1 Umfang der Release-Notes 32 Neuerungen in genugate 7.3 32.1 Protokollkonformitätsfilter für die TCP-Policy . . . . . . . . . . . . . . . . . . . . . . . . . . 32.2 Neues DNS-Konzept . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52.2.1 Zweistufiger Upgradeprozess . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52.2.2 Anmerkungen zum Upgrade . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62.3 Erweiterung der SSH-Policy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72.4 Erweiterung der WWW-Policy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73 Software-Updates und Verhaltensänderungen 84 Verwaltung via genucenter 95 Überblick über die Versionen mit Updatesupport 96 Vor dem Upgrade 96.1 Systemvoraussetzungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96.2 Test-Upgrade im Multi-User-Mode . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107 Installation des Upgrades 107.1 Upgradepfad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107.2 Datensicherung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107.3 Minimaler freier Festplattenspeicher . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117.4 Durchführung des Upgrades . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 118 Informationen im Web 159 So erreichen Sie uns 16Seite 2 von 16 RELEASE-NOTES GENUGATE 7.3

2 NEUERUNGEN IN GENUGATE 7.31 Umfang der Release-NotesDiese Release-Notes bieten einen Überblick über Änderungen und Erweiterungen im Funktionsumfangder genugate beim Wechsel von Version 7.2 zu Version 7.3. Genauere Erläuterungen zur Konfigurationfinden Sie in den genugate-Handbüchern.Eine elektronische Variante dieser Release-Notes, die Software selbst und die aktuellen Handbücherkönnen Sie auf unseren Kundenseiten unter www.genua.de im ”Internen Kundenbereich“ herunterladen.Gerne schicken wir Ihnen auch per Post eine CD zu; bitte senden Sie uns hierzu eine kurze E-Mailan auftrag@genua.de.2 Neuerungen in genugate 7.32.1 Protokollkonformitätsfilter für die TCP-PolicyFür die meisten weitverbreiteten Anwendungsprotokolle bietet die genugate dedizierte Policies, hinterdenen ein protokollspezifischer Proxy steckt. Dieser versteht das entsprechende Protokoll, erkennt Protokollverletzungenund filtert potentiell gefährliche Inhalte heraus. Für exotischere oder proprietäre Protokolle,für die eine solche Policy nicht existiert, muss man daher auf die generischen Policies zugreifen.Für TCP-basierte Anwendungsprotokolle ist das die TCP-Policy. Diese bietet zwar einen umfassendenSchutz vor Angriffen bis zur Transportschicht (Layer 4), da TCP-Verbindungen grundsätzlich amApplication Level Gateway (ALG) der genugate terminiert werden. Lediglich der Datenstrom der TCP-Verbindung wird dann über eine zweite, vom ALG initiierte Verbindung an das Zielsystem weitergereicht.Eine weitere Filterung des Datenstroms kann nicht erfolgen, da die TCP-Policy beliebige, auch völlig unbekannte,Anwendungsprotokolle erlauben muss.Da nicht bekannt ist, was bei Freischaltung einer TCP-Policy dann wirklich über die Firewall geht, führenwir mit diesem Release den Protokollkonformitätsfilter (kurz PCF, von engl. Protocol Conformity Filter)ein. Dieser ermöglicht es, den Verbindungsaufbau auf Anwendungsprotokollebene innerhalb desTCP-Datenstroms genau zu analysieren. Damit kann zu Beginn einer entsprechenden Verbindung entschiedenwerden, ob diese Verbindung zulässig ist oder geblockt werden soll.Neben einer deutlichen Verbessserung der Sicherheit ermöglicht der Protokollkonformitätsfilter außerdemdas Durchsetzen von Sicherheit-Policies: Es können z.B. grundsätzlich SSL-verschlüsselte Verbindungenerzwungen werden, oder die Verbindung kann so eingeschränkt werden, dass veraltete, alsunsicher eingestufte Protokollversionen unterbunden werden.Ein weiterer Anwendungsfall ist der Schutz vor Konfigurationsfehlern: So können Sie z.B. selbst eineProtokolldefinition erstellen, die auf einen ganz spezifischen Server-Banner filtert. Wird eine Verbindungzu einem anderen Server aufgebaut, wird die Verbindung abgebrochen.Da die TCP-Policy das Aufbrechen einer SSL-Verschlüsselung erlaubt, können Sie den Protokollkonformitätsfilterauch auf ein Protokoll anwenden, dass innerhalb eine verschlüsselten Verbindung abläuft.RELEASE-NOTES GENUGATE 7.3 Seite 3 von 16

2 NEUERUNGEN IN GENUGATE 7.3Bitte beachten Sie, dass sich der Protokollkonformitätsfilter nur den Verbindungsaufbau einer TCP-Verbindung genau anschaut. Anschließend läuft die Verbindung wie von der TCP-Policy gewohnt ungefiltertweiter. Das Sicherheitsniveau der Policies für spezifische Anwendungsprotokolle ist wesentlichhöher, da von diesen der komplette Protokollablauf der Verbindung analysiert wird. Andererseits profitierenSie bei Nutzung des PCFs von der erhöhten Geschwindigkeit, da die TCP-Policy nach Überprüfungdes Verbindungsanfangs auf Socket-Splicing umschaltet. Dieses Feature sorgt dafür, dass der TCP-Datenstrom im Kernel der genugate verarbeitet wird, was wesentlich schneller ist, als wenn er nochdurch einen Proxy-Prozess verarbeitet werden muss.Um den Protokollkonformitätsfilter zu verwenden, müssen Sie bei der Konfiguration einer TCP-Policydas Modul Filter aktivieren. Sie haben dann im entsprechenden Tab die Möglichkeit, eine von uns mitgelieferteProtokolldefinition auszuwählen:• BGP v4: Erlaubt Verbindungen des Routing-Protokolls BGP der Protokollversion 4.• IMAP v4: Erlaubt E-Mail-Zugriffe über IMAP Version 4.• LDAP: Erlaubt LDAP-Verbindungen.• MySQL: Erlaubt MySQL-Verbindungen mit der Protokollversion 10 (MySQL 3.21 und neuere Versionen).• POP3: Erlaubt POP3-Verbindungen.• PostgreSQL: Erlaubt PostgreSQL-Verbindungen (unverschlüsselt oder verschlüsselt).• PostgreSQL SSL: Erlaubt nur SSL-verschlüsselte PostgreSQL-Verbindungen. UnverschlüsselteVerbindungen sind nicht erlaubt.• PPTP: Erlaubt PPTP Kontrollverbindungen. Zusätzlich ist ein IP-Relay für die zugehörige GRE-Verbindung erforderlich.• RDP: Erlaubt Verbindungen, die ITU X.224 über T.123 benutzen, darunter fällt RDP (RemoteDesktop Protocol).• SMB: Erlaubt Verbindungen, die Microsoft SMB oder SMB2 über TCP (Port 445) nutzen. Diesbeinhaltet alle Windows-Versionen seit Windows XP.• SSH: Erlaubt SSH-Verbindungen mit den Protokollversionen 1 und 2.• SSH v2: Erlaubt nur SSH-Protokollversion 2. Hierzu müssen sowohl Client als auch Server nurauf Version 2 des SSH-Protokolls konfiguriert sein.• SSL: Erlaubt SSL bzw. TLS verschlüsselte Verbindungen. Aus Sicherheitsgründen werden nur dieProtokolle SSL 3.0 und TLS 1.0 bis 1.2 erlaubt.• VNC: Erlaubt Verbindungen, die das Remote Framebuffer Protokoll (RFB) benutzen, welcheszum Beispiel für VNC (Virtual Network Computing) benötigt wird. Im Moment werden die RFB-Versionen 3.3, 3.7 und 3.8 unterstützt.Seite 4 von 16 RELEASE-NOTES GENUGATE 7.3

2 NEUERUNGEN IN GENUGATE 7.3In zukünftigen Versionen möchten wir die mitgelieferten Definitionen noch erweitern. Gerne nehmen wirdazu Ihre Vorschläge an.Bei Bedarf können Sie ausserdem die mitgelieferten Definitionen an eigene Zwecke anpassen oderkomplett selbst definieren. Bitte beachten Sie, dass dieses ein Experten-Feature ist, welches detaillierteKenntnisse von regulären Ausdrücken (RegEx) und Protokollen voraussetzt.2.2 Neues DNS-KonzeptDie im genugate integrierte DNS-Unterstützung wurde komplett überarbeitet. Die neue Implementierungist jetzt in das regelbasierte GUI-Konzept mit Diensten und Policies integriert: Einzelne DNS-Server aufder genugate werden nun als Policies vom Typ dnsserver verwaltet und können entweder Rekursiv undForward, nur Autoritativ oder beides sein. Der Zugriff auf die einzelnen DNS-Server wird wie bei anderenDiensten jetzt ebenfalls über Dienste und ALG-Regeln konfiguriert.Zonen werden zentral unter VERBINDUNGEN → DNS → ZONEN verwaltet. Sie können entweder überdie einzelnen Policies oder über die Übersichtsseite unter VERBINDUNGEN → DNS → ÜBERSICHT deneinzelnen autoritativen Nameservern zugeordnet werden. Selbstverständlich werden neben regulärenZonen weiterhin Reverse- sowie Slave- und Master-Zonen unterstützt. Die Zonen-Konfiguration bieteteinen Standardsatz von Resource-Records an. Bei Bedarf kann die Zone im Expertenmodus um beliebigeweitere Records oder Spezialkonfigurationen erweitert werden. Dort erhalten Sie auch eine Übersichtüber den vom System automatisch generierten Teil der Zone.Für lokale Dienste wie Mail, Policies mit dynamischer Zielbestimmung, den Web-Proxy oder den Updatemechanismusfür Antiviren-Patterns und Patches wird unter VERBINDUNGEN → DNS → LOKALERRESOLVER eine Standard-DNS-Server-Policy konfiguriert. Bei Bedarf kann dieser Resolver für einzelnePolicies, die DNS-Auflösung verwenden, in den Policy-Optionen überschrieben werden.Auch die technische Basis der DNS-Unterstützung wurde überarbeitet. Der bisher verwendete NameserverBIND wurde durch die Kombination aus Unbound (Rekursive Auflösung und Forwarder) und NSD(Autoritativ) ersetzt.Selbstverständlich hat das neue DNS-Konzept eine komplette IPv6-Unterstützung. Auch die Nutzungvon DNSSEC ist möglich. Das neue Konzept dient hierbei als Basis für einen Ausbau dieser Funktionalitätin den nächsten Releases.2.2.1 Zweistufiger UpgradeprozessDa DNS ein kritischer Systemdienst ist, wurde der Upgrade-Prozess für dieses Release zweigeteilt.Zunächst führen Sie ein ganz normales Upgrade auf die neue Version der genugate durch. Anschliessendläuft weiterhin die alte BIND-basierte DNS-Konfiguration. Im Anschluss können Sie die beim Upgradegenerierte Konfiguration begutachten, ggf. anpassen und für jede einzelne Nameserver-Instanzaktivieren. Bei Bedarf können Sie auch wieder auf die alte Konfiguration zurückschalten.Beim Upgrade gehen Sie bitte wie folgt vor:RELEASE-NOTES GENUGATE 7.3 Seite 5 von 16

2 NEUERUNGEN IN GENUGATE 7.3Es wird empfohlen zunächst einen Trockenupgrade durchzuführen und eventuell aufgetretene Warnungenzu bearbeiten. Dazu legen Sie die genugate CD in das CD-ROM-Laufwerk und führen auf derKommandozeile den Befehl ggupgrade aus (siehe auch Kapitel 6.2).Führen Sie anschließend den eigentlichen Upgrade wie in Kapitel 7.4 beschrieben durch.Nach dem Neustart der genugate ist weiterhin Ihre alte DNS-Konfiguration aktiv. Zusätzlich wurden unterVERBINDUNGEN mehrere neue Policies, Dienste und Regeln für die neue DNS-Konfiguration angelegt.Diese den Adressen des ALGs entsprechenden Regeln werden aber nicht automatisch aktiviert. Diedazugehörigen Konfigurationen der DNS-Server Unbound und NSD finden Sie unter/cage/unbound/etc/unbound-POLICYNAME.conf bzw./cage/nsd/etc/nsd-POLICYNAME.conf.Dort finden Sie auch die jeweilige Loopback-Adresse, die Sie zum Testen der Policies verwendenkönnen (z.B. dig @127.128.0.9 my.host.name). Dieses ist möglich, da die entsprechend konfiguriertenUnbound- und NSD- Prozesse bereits laufen, auch wenn die zugehörigen Regeln noch nichtaktiv sind. Wenn alle Tests positiv verlaufen sind, können Sie erst die Unbound- und anschließenddie NSD-Regel aktivieren. Dadurch wird automatisch die alte DNS Konfiguration deaktiviert, aber nichtgelöscht. Sollte es im Betrieb zu Problemen kommen, können Sie daher die neuen DNS Regeln jederzeitwieder deaktivieren und damit problemlos auf die alte Konfiguration zurückschwenken.2.2.2 Anmerkungen zum UpgradeBitte beachten Sie die folgenden Hinweise, wenn Sie ein Upgrade durchführen:• Gültige Resource-Records, die vom Upgrader nicht verarbeitet werden können, werden in der GUIunter VERBINDUNGEN → DNS → ZONEN → EXPERTE dargestellt. Sie bleiben auch mit dem neuenDNS-Konzept gültig und werden weiterhin verwendet.• Im Fall, dass Ihre genugate bisher Anfragen rekursiv oder als Forwarder aufgelöst hat, und zusätzlichnoch einzelne Zonen an andere Server weitergeleitet wurden oder lokal konfigurierte Zonenaufgelöst wurden, ist folgendes zu beachten:In dieser Kombination ist der Zonentransfer mit nur einer kombinierten Autoritativ, Rekursiv undForward Policy nicht möglich. Daher werden während des Upgrades je eine Rekursiv und Forwardund eine Autoritativ Policy mit den dazugehörigen Regeln angelegt.Dabei bedürfen folgende Fälle besonderer Aufmerksamkeit:– Clients im lokalen Netz lösen Namen rekursiv über die genugate auf. Zusätzlich machenRechner in einem anderen IP-Bereich des lokalen Netzes Zonentransfers von dergenugate: Die Rechner, die die Zonentransfers durchführen, müssen als Slaves im Master-Tab der jeweiligen Zone eingetragen werden. Zusätzlich müssen Ihre IP-Adressen in die entsprechendeSource-ACL (eingehende Quell-ACL) der dazugehörigen Regel aufgenommenwerden.– Die IP-Bereiche im o.g. Fall unterscheiden sich nicht: Die autoritative Regel, die für Zonentransfers(NSD) verwendet wird, sowie die Regel für die rekursiven Abfragen (Unbound)auf der genugate bekommen unterschiedliche IP-Adressen. Die Clients müssen, je nach ihrerFunktion, entweder auf die eine oder die andere Adresse konfiguriert werden.Seite 6 von 16 RELEASE-NOTES GENUGATE 7.3

2 NEUERUNGEN IN GENUGATE 7.3– Die Rechner im internen Netz machen entweder nur rekursive Anfragen oder nur Zonentransfers:Die jeweils nicht benötigte Regel kann gelöscht werden.• Im alten DNS-GUI konnte ausgewählt werden, wer rekursive Anfragen stellen (any, lokal oderlokale Netze) darf. Wenn diese Option auf any gesetzt ist, wird vom Upgrader eine Policy angelegt,die rekursive Anfragen auflöst. In den anderen Fällen geschieht dieses nicht. Bitte passen sie indiesem Fall selbst die entsprechende Policy an.• Die BIND-Option allow-query, welche eine ACL enthält, die festlegt, von welchen Hosts DNS-Anfragen beantwortet werden, wird vom Upgrader nicht berücksichtigt. Per Default werden Anfragenvon überall beantwortet. Ist dies nicht gewünscht, müssen entsprechende Quell-ACLs inden ALG-Regeln konfiguriert werden. Auch die ACLs allow-recursion, allow-transfer und blackholewerden vom Upgrader nicht berücksichtigt.• Für Zonen vom Typ Master, die für Zone-Transfers genutzt werden, müssen nach dem Upgrade imZonen-GUI Slaves konfiguriert werden, die berechtigt sind, diese Zone zu beziehen.• Momentan wird Classless Reverse Zone Delegation (RFC 2317) vom GUI nicht unterstützt. Fallses benötigt wird, muss es mit Hilfe von Local Files manuell konfiguriert werden. Der Upgrader gibthierzu eine Warnung aus, wenn er entsprechende Reverse Zonen findet.2.3 Erweiterung der SSH-PolicyDie in genugate 7.2 eingeführte SSH-Policy wurde um folgende Features erweitert:• Authentisierung: Zusätzlich zur Authentisierung am Zielsystem ist nun auch eine vorgeschaltetePasswortauthentisierung an der genugate möglich. Neben lokalen Benutzern werden LDAP, RA-DIUS und eine Passwortdatei als Authentisierungsmethoden unterstützt.• Zusätzliche Assoziationstypen: Die Assoziationstypen mit dynamischer Zielbestimmung aus derAnfrage werden nun ebenfalls unterstützt. Bitte beachten Sie, dass es in diesem Fall nicht möglichist, den Host-Key des Zielsystems zur Generierung des Host-Keys, der dem Client präsentiertwird, verwenden zu können, da zum Zeitpunkt des Schlüsselaustauschs das Zielsystem nochnicht bekannt ist. Die genugate verwendet daher stets denselben Host-Key, eine automatisierteErkennung von Man-in-the-Middle-Angriffen zwischen genugate und Zielsystem ist daher nichtmehr möglich.• Group-Source-Destination-ACL: Bei Verwendung der Authentisierung ist es möglich, über dieGroup-Source-Destination-ACL unterschiedliche Quell- und Ziel-ACLs in Abhängigkeit von derGruppenzugehörigkeit des Benutzers zu definieren.2.4 Erweiterung der WWW-PolicyEbenso wie die SSH-Policy unterstützt nun auch die WWW-Policy die Group-Source-Destination-ACL.Bitte beachten Sie, dass diese ACL IP-Adressen- und nicht URL-basiert ist.RELEASE-NOTES GENUGATE 7.3 Seite 7 von 16

3 SOFTWARE-UPDATES UND VERHALTENSÄNDERUNGEN3 Software-Updates und Verhaltensänderungen• Enthaltene Patches: In dieser Version sind alle relevanten Änderungen und Patches der Version7.2 bis einschließlich Patch 4 enthalten. Eine detaillierte Liste entnehmen Sie bitte der Datei/upgrade/G730 000.README auf der CD-ROM.• OpenBSD: Das Betriebssystem OpenBSD wurde mit sämtlichen Komponenten auf die Version5.1 aktualisiert.• Squid: Der Web-Proxy Squid wurde auf die Version 3.1.21 aktualisiert.• HTTP-Policy entfernt: Seit Version 6.1 gibt es die WWW-Server-Policy. Damit ist die HTTP-Policyobsolet geworden. Sie wird daher mit diesem Release entfernt. Beim Upgrade werden noch verbliebeneHTTP-Policies automatisch in WWW-Server-Policies konvertiert.• Hidden Key DST PORTS entfernt: Der manuell in der Registry eintragbare Key DST PORTS wurdeentfernt. Diese Änderung betrifft die FTP-, POP- und Telnet-Policies. Das Verhalten entsprichtnun der SSH-Policy: Der bei Assoziationstypen mit dynamischer Zielbestimmung aus der Anfragezulässige ausgehende Ziel-Port wird über den Dienst konfiguriert. Wird das Feld leer gelassen,sind beliebige Ziel-Ports erlaubt. Sicherheitshalber ist daher beim Anlegen der entsprechendenDienste der Standard-Port vorbelegt und sollte bei Bedarf entfernt werden. Eine Liste von Ports istnicht mehr möglich. Bitte verwenden Sie hierzu eine Gruppe von Diensten.• VLAN-Priorität entfernt: Da die entsprechende Konfiguration vom Betriebssystem nicht mehrunterstützt wird, wurde die Möglichkeit, eine VLAN-Priorität zu konfigurieren, entfernt.• Formatierung Accounting-Log: Im Accounting-Log ist die Sortierung der Key-Value-Paare jetztalphabetisch. Sollten Sie Skripte haben, die die Accounting-Daten auswerten, ist eventuell eineAnpassung notwendig. Wir empfehlen, eine Auswertung auf Basis der Key-Value-Paare zu machen,da eine bestimmte Position eines Werts innerhalb einer Log-Zeile nicht garantiert ist.• Remote Access per IPv6: Remote Access funktioniert nun auch über IPv6, wenn entsprechendeIPv6-Adressen konfiguriert sind.• Mehr man pages: Es wurden viele weitere man pages für die Programme in /usr/local/binund /usr/local/sbin hinzugefügt.• rsync: Das Paket util enthält nun das Tool rsync.• Virenscanner: Normalerweise entpackt der vscand der genugate Archive und übergibt die entpacktenDateien der jeweiligen Virenscan-Engine. Alternativ kann in den Einstellungen des Virenscannersnun konfiguriert werden, dass stattdessen der Virenscanner selbst das Entpackenvon Archiven vornimmt. Für eine besonders hohe Erkennungsrate können auch beide Optionenkombiniert werden. Dieses ist allerdings mit Performance-Einbußen verbunden, da in diesem Fallalle Dateien doppelt gescannt werden. Für die beste Balance aus Erkennungsrate und Performanceempfehlen wir, die bisherige Einstellung beizubehalten. Ausserdem ist es nun möglich, denTimeout, nachdem der Virenscanner einer Scan-Vorgang abbricht, über die GUI zu konfigurieren.• Generelles: Wie mit jedem Release gibt es auch mit genugate 7.3 wieder zahlreiche kleinereÄnderungen, die die Performance, Usability und Stabilität verbessern. Auch die Onlinehilfe unddie Suche in der GUI wurden an vielen Stellen verbessert.Seite 8 von 16 RELEASE-NOTES GENUGATE 7.3

6 VOR DEM UPGRADE4 Verwaltung via genucentergenugate 7.3 ist nicht für die Verwaltung mittels genucenter vorgesehen. Die erneute Integration dergenugate erfolgt erst in der nächsten genucenter-Produktlinie, die sich aktuell in der Entwicklung befindet,mit dem dann zur Verfügung stehenden genugate-Release.Bitte verwenden Sie weiterhin genugate 7.0, wenn Sie genugate mit genucenter verwalten möchten. Sieprofitieren dabei von der aktuellen Zertifizierung und dem langen Produktsupport bis Oktober 2014.5 Überblick über die Versionen mit UpdatesupportNeben genugate 7.3 werden aktuell noch folgende genugate-Versionen mit Korrekturen und Sicherheitsupdatesversorgt:• genugate 6.3: Diese Version wird als vorherige CC EAL4+ zertifizierte genugate-Version noch bisJanuar 2013 unterstützt.• genugate 7.0: Diese Version wurde im Januar 2012 nach CC EAL4+ zertifiziert und wird deshalbnoch bis Oktober 2014 mit Sicherheitsupdates und nötigen Korrekturen versorgt.• genugate 7.1: Wie beim Release für diese Version angekündigt, werden wir diese Version bisApril 2013 mit Sicherheitsupdates und den nötigen Korrekturen versorgen.• genugate 7.2: Diese Version wird ebenfalls bis April 2013 unterstützt.Frühere Softwareversionen werden, wie auch in unseren allgemeinen Vertragsbedingungen für die Pflegevon Software beschrieben, nicht mehr unterstützt. Dies betrifft insbesondere auch genugate Version6.2. Bitte upgraden Sie noch aktive ältere Systeme so bald wie möglich.Bereits im April 2013 wird die nächste Version 7.4 veröffentlicht und auch danach ein halbjährlicherRhythmus eingehalten. Deshalb wird genugate 7.3 nur bis Oktober 2013 mit Sicherheitsupdates gepflegt.Bitte verwenden Sie die zertifizierte Version mit Langzeitsupport, wenn jährliche Upgrades fürSie nicht möglich sind.Die nächste Zertifizierung ist mit genugate 8.0 für Oktober 2013 geplant. Diese zertifizierte Versionenthält dann auch wieder einen längeren Produktsupport von drei Jahren.6 Vor dem Upgrade6.1 Systemvoraussetzungen• Der Upgrade auf Version 7.3 wird von jedem Patchlevel der Version 7.2 unterstützt.• Zum Betrieb der Version 7.3 werden mindestens 1 GB RAM im ALG und 512 MB RAM im PFLempfohlen.• Um den Upgrade erfolgreich durchführen zu können, muss ausreichend freier Festplattenspeicherauf dem ALG vorhanden sein. Die Prozedur zur Feststellung des Plattenspeichers wird in Kapitel7.3 beschrieben.RELEASE-NOTES GENUGATE 7.3 Seite 9 von 16

7 INSTALLATION DES UPGRADES6.2 Test-Upgrade im Multi-User-ModeUm in der aktuellen Konfiguration Inkonsistenzen, die zu Problemen beim Upgrade führen, rechtzeitigerkennen und beheben zu können, sollte unbedingt ein ”Test-Upgrade“ des Systems durchgeführtwerden. Dazu muss wie folgt vorgegangen werden:• Legen Sie im normalen Multi-User-Mode die CD in das Laufwerk Ihres Systems ein• Führen Sie als Benutzer ’root’ das Kommando ’ggupgrade’ ausIm Rahmen dieses Test-Upgrades wird als Erstes die Registry des Systems konvertiert und in die Datei/etc/configfw/fw.cfg.pretty-G730 000 geschrieben ( ”human readable“). Die Registry deslaufenden Systems wird jedoch nicht modifiziert. Sollte es hierbei zu Problemen kommen, werden entsprechendeHinweise ausgegeben. Probleme mit weitreichenden Konsequenzen müssen außerdemexplizit bestätigt werden.Beachten Sie bitte, dass der Test-Upgrade nicht sicher feststellen kann, ob der Plattenplatz in älterenSystemen ausreicht. Die Prozedur zur Feststellung des Plattenspeichers wird in 7.3 beschrieben.Im Anschluss an die Probekonvertierung der Registry wird ein configfw-Lauf angestoßen. Dieserstellt sicher, dass die Erzeugung der Konfigurationsdateien aus der konvertierten Registry reibungslosfunktioniert. Anschliessend kann das System entweder unverändert weiterbetrieben werden, oder dereigentliche Upgrade (wie unter 7 beschrieben) durchgeführt werden.Sollten bei der Durchführung des Test-Upgrades Probleme auftreten, wenden Sie sich bitte an IhrenService-Partner. Zusätzliche Informationen zum Upgrade werden in den Dateien/var/gg/patches/G730 000.upgrade.log (Registry-Upgrade) und/var/gg/patches/G730 000.configfw.log abgelegt.7 Installation des Upgrades7.1 Upgradepfadgenugate-Systeme ab der Version 7.2 können auf die Version 7.3 aktualisiert werden.Ein bestimmtes Patchlevel der Version 7.2 ist hierbei nicht erforderlich.7.2 DatensicherungBei dem Upgrade auf genugate 7.3 bleiben die Logdateien und E-Mails im Spool-Verzeichnis auf demSystem erhalten.Trotzdem sollten Sie vor dem Upgrade mittels# cfgbu -s -f ein Backup Ihrer Konfiguration durchführen.Um ebenfalls E-Mails und Logdateien zu sichern muss ein Komplettbackup des Systems erstellt werden.Das Vorgehen hierzu ist im Administrations-Handbuch, Kapitel 4.1 ”Datensicherung“, beschrieben.Seite 10 von 16 RELEASE-NOTES GENUGATE 7.3

7 INSTALLATION DES UPGRADESSie können bereits vor dem Neustart des Systems nach veröffentlichten Patches suchen, wenn Sie hieryes oder ja eingeben.Unter Umständen kündigt das System jetzt an, dass einige Fragen zur Installation gestellt werden.Bestätigen Sie dies einfach mit [RETURN], das System wird die Fragen zur Installation überspringenund mit dem Upgrade weitermachen.Nun wird ein Test-Upgrade der Registry und ein Testlauf von configfw durchgeführt, um herauszufinden,ob beim Upgrade Probleme zu erwarten sind. Sollte es hierbei zu Problemen kommen, kontaktierenSie bitte Ihren Service-Partner.Starten Sie nun das System neu.root@gg:˜# rebootOct 01 00:47:11 gg reboot: rebooted by admin/etc/rc.shutdown in progress...2/2 addresses added./etc/rc.shutdown complete.syncing disks... donerebooting...Achten Sie darauf, dass das System von der eingelegten genugate 7.3 CD-ROM bootet. Dies wird durchden Text CDBOOT im Bootprompt bestätigt.>> OpenBSD/i386 CDBOOT 3.16boot>booting cd0a:bsd.install: 5548692+997388 [61+250496+229473]=0x6b3760entry point at 0x200120[ using 480448 bytes of bsd ELF symbol table ]Copyright (c) 1982, 1986, 1989, 1991, 1993The Regents of the University of California. All rights reserved.Copyright (c) 1995-2012 OpenBSD. All rights reserved. http://www.OpenBSD.orgOpenBSD 5.1-stable (ALG.install) #0: Mo Oct 01 13:37:00 CET 2012bluhm@g731.genua.de:/build/gg.73/73.D009/ALG.installcpu0: Intel(R) Xeon(R) CPU X5570 @ 2.93GHz ("GenuineIntel" 686-class) 2.94 GHzcpu0: FPU,V86,DE,PSE,TSC,MSR,PAE,MCE,CX8,APIC,SEP,MTRR,PGE,MCA,CMOV,PAT,PSE36,CFLUSH,DS,ACPI,MMX,FXSR,......Nachdem der Kernel geladen wurde, werden Sie von der genugate 7.3 Installation begrüßt und müssendie Installationssprache und Tastaturbelegung auswählen. Bei der Auswahl des Installationsmodus wählenSie upgrade.genugate InstallationSprache auswaehlen.Sprache/Language (de en) [de] ? [RETURN]Belegung der an der genugate angeschlossenen Tastatur auswaehlen.Tastaturbelegung (us de de.nodead ... cf.nodead lv nl nl.nodead) [de.nodead] ? [RETURN]kbd: keyboard mapping set to de.nodeadSystemerkennung.Installieren, Upgrade durchfuehren oder System vom Backup restaurieren.Modus (installation upgrade restaurieren) [installation] ? upgradeEs werden nun die Festplatten geprüft, in das System eingebunden und für den Upgrade vorbereitet.Seite 12 von 16 RELEASE-NOTES GENUGATE 7.3

7 INSTALLATION DES UPGRADESFestplatte mounten.Boot-Festplatte festlegen.Erkenne Festplatten im System.Boot-Festplatte erfolgreich festgelegt.Alle Partition unmounten.fstab auslesen.Dateisysteme ueberpruefen./dev/rwd0a: file system is clean; not checking/dev/rwd0f: file system is clean; not checking/dev/rwd0d: file system is clean; not checking/dev/rwd0e: file system is clean; not checkingAlle Partition mounten.Flags entfernen.genugate Lizenzen.Lizenz initialisieren.Die Lizenznummer und Hardware Seriennummer Ihrer genugate wird abgefragt. Die Werte aus genugate7.2 gelten weiterhin und Sie müssen nur [RETURN] drücken, um diese beizubehalten.Lizenz eingeben.Der einzugebende Wert hat das Format 1234-PROD-ABCD-EFGH-IJKL-MNOP.Lizenz [1234-PROD-ABCD-EFGH-IJKL-MNOP] ? [RETURN]Seriennummer eingeben.Der einzugebende Wert hat das Format XXXXX-XX-XXXX.Seriennummer [12345-CD-89AB] ? [RETURN]Es besteht nun die Möglichkeit, Patches vom USB-Stick, vom HA-Peer oder via Netzwerk zu beziehen.Patches vom USB-Stick holen.Patches vom USB-Medium holen (ja nein) [nein] ? [RETURN]Patches vom HA-Peer holen.Patches vom HA-Netzwerk holen (ja nein) [nein] ? [RETURN]Patches von genua holen.Patches vom Netzwerk holen (ja nein) [nein] ? [RETURN]Das Upgrade wird nun begonnen, die neue Software wird auf das System kopiert und die Konfigurationdurchgeführt.Upgrade beginnen.Upgrade-Patch von Cdrom kopieren.Retrieving G730_000.tarDas System wird für den Upgrade vorbereitet.Using new ggpatch /var/gg/patches/ggpatch....Am Ende des Upgrade-Vorgangs werden Sie gefragt, ob Sie die Passwörter für den Administrator ”admin“und ”root“ neu setzen wollen. Um die bestehenden Passwörter zu übernehmen, wählen Sie neindurch Drücken von [RETURN].Administrator Passwoerter setzen.Passwoerter setzen (ja nein) [nein] ? [RETURN]RELEASE-NOTES GENUGATE 7.3 Seite 13 von 16

7 INSTALLATION DES UPGRADESDer Upgrade ist nun fertig. Drücken Sie [RETURN] um das System neu zu starten und entfernen Siedie CD-ROM aus dem Laufwerk.Druecken Sie zum Neustart und entfernen Sie nach der Meldung’rebooting...’ die CDROM aus dem Laufwerk.Jetzt neu starten (neustart) [neustart] ? [RETURN]Das System startet nun die neue Software. Nach dem Laden des Kernels werden Sie aufgefordert,das ”root“ Passwort einzugeben, da noch ein Bootinstall-Skript für die Aktualisierung des Paketfiltersausgeführt werden muss.Es wurde mindestens ein Bootinstall-Skript gefunden. Diese Skripten koennennur vom Systemverwalter ausgeführt werden. Daher wird jetzt nach demPasswort des Systemverwalters (root) gefragt. Wird das Passwort dreimalfalsch eingegeben, kann weiter gebootet werden, ohne dass die Bootskriptenausgefuehrt wurden. Geben Sie bitte jetzt das root Passwort ein!Sie haben 60 Sekunden sich zu authentisieren!Root Passwort eingebenPassword:Wählen Sie das Script aus der Liste durch die Auswahl von 1 und [RETURN]. Führen Sie es durchEingabe von j aus.Waehlen Sie eine Liste von Bootinstall-Skripten aus, indem Sie dieentsprechenden Nummern eingeben, oder alle durch Eingabe von ’*’================================================================1) /var/gg/boot/bootinst.2012.10.01-08.15.00.exeCreate PFL bootmediumAuswahl (1) []: 11) /var/gg/boot/bootinst.2012.10.01-08.15.00.exeCreate PFL bootmediumIst das ok? (j/n) [n]: jStecken Sie den PFL-USB-Stick in einen freien USB-Slot im ALG und schreiben das PFL-Medium.Starten Sie den PFL gemäss den Anweisungen neu.Wenn Sie sich nach Beendigung des Startvorgangs auf das ALG einloggen, werden Sie mit einer Meldungbegrüßt, in der die neue Versionsnummer steht.login: adminPassword:Last login: Mon Oct 01 08:14:59 on consoleWelcome to your genugate Firewall System.This system is running genugate Version 7.3 000 based on OpenBSD 5.1admin@gg:/var/home/admin$Verwenden Sie das Kommando su um ”root“ zu werden. Anschliessend führen Sie das Kommandoconfigfw aus. Dies ist nötig, da beim Upgrade selbst keinerlei Syntax-Checks für die erzeugten Konfigurationsdateienstattfinden, um ein reibungsloses Upgrade durchführen zu können:Seite 14 von 16 RELEASE-NOTES GENUGATE 7.3

8 INFORMATIONEN IM WEBroot@gg:˜# configfwzone file /cage/ALG_2_INTERN/etc/namedb/gg.de.db: new serial (2009081061)

9 SO ERREICHEN SIE UNS9 So erreichen Sie unsgenua, Gesellschaft für Netzwerk- und Unix-Administration mbhDomagkstraße 7, 85551 Kirchheim bei MünchenTel. (089) 99 19 50-900, Fax. (089) 99 19 50-999E-Mail: info@genua.de, WWW: http://www.genua.de/© 2012 genua mbh, Kirchheim, Alle Rechte vorbehalten. genugate und genua sind eingetragene Warenzeichender genua mbh.Seite 16 von 16 RELEASE-NOTES GENUGATE 7.3