Release-Notes zu genugate 7.3 - GeNUA

Weitere Magazine

Empfehlungen

Info

2 NEUERUNGEN IN GENUGATE 7.3Bitte beachten Sie, dass sich der Protokollkonformitätsfilter nur den Verbindungsaufbau einer TCP-Verbindung genau anschaut. Anschließend läuft die Verbindung wie von der TCP-Policy gewohnt ungefiltertweiter. Das Sicherheitsniveau der Policies für spezifische Anwendungsprotokolle ist wesentlichhöher, da von diesen der komplette Protokollablauf der Verbindung analysiert wird. Andererseits profitierenSie bei Nutzung des PCFs von der erhöhten Geschwindigkeit, da die TCP-Policy nach Überprüfungdes Verbindungsanfangs auf Socket-Splicing umschaltet. Dieses Feature sorgt dafür, dass der TCP-Datenstrom im Kernel der genugate verarbeitet wird, was wesentlich schneller ist, als wenn er nochdurch einen Proxy-Prozess verarbeitet werden muss.Um den Protokollkonformitätsfilter zu verwenden, müssen Sie bei der Konfiguration einer TCP-Policydas Modul Filter aktivieren. Sie haben dann im entsprechenden Tab die Möglichkeit, eine von uns mitgelieferteProtokolldefinition auszuwählen:• BGP v4: Erlaubt Verbindungen des Routing-Protokolls BGP der Protokollversion 4.• IMAP v4: Erlaubt E-Mail-Zugriffe über IMAP Version 4.• LDAP: Erlaubt LDAP-Verbindungen.• MySQL: Erlaubt MySQL-Verbindungen mit der Protokollversion 10 (MySQL 3.21 und neuere Versionen).• POP3: Erlaubt POP3-Verbindungen.• PostgreSQL: Erlaubt PostgreSQL-Verbindungen (unverschlüsselt oder verschlüsselt).• PostgreSQL SSL: Erlaubt nur SSL-verschlüsselte PostgreSQL-Verbindungen. UnverschlüsselteVerbindungen sind nicht erlaubt.• PPTP: Erlaubt PPTP Kontrollverbindungen. Zusätzlich ist ein IP-Relay für die zugehörige GRE-Verbindung erforderlich.• RDP: Erlaubt Verbindungen, die ITU X.224 über T.123 benutzen, darunter fällt RDP (RemoteDesktop Protocol).• SMB: Erlaubt Verbindungen, die Microsoft SMB oder SMB2 über TCP (Port 445) nutzen. Diesbeinhaltet alle Windows-Versionen seit Windows XP.• SSH: Erlaubt SSH-Verbindungen mit den Protokollversionen 1 und 2.• SSH v2: Erlaubt nur SSH-Protokollversion 2. Hierzu müssen sowohl Client als auch Server nurauf Version 2 des SSH-Protokolls konfiguriert sein.• SSL: Erlaubt SSL bzw. TLS verschlüsselte Verbindungen. Aus Sicherheitsgründen werden nur dieProtokolle SSL 3.0 und TLS 1.0 bis 1.2 erlaubt.• VNC: Erlaubt Verbindungen, die das Remote Framebuffer Protokoll (RFB) benutzen, welcheszum Beispiel für VNC (Virtual Network Computing) benötigt wird. Im Moment werden die RFB-Versionen 3.3, 3.7 und 3.8 unterstützt.Seite 4 von 16 RELEASE-NOTES GENUGATE 7.3
2 NEUERUNGEN IN GENUGATE 7.3In zukünftigen Versionen möchten wir die mitgelieferten Definitionen noch erweitern. Gerne nehmen wirdazu Ihre Vorschläge an.Bei Bedarf können Sie ausserdem die mitgelieferten Definitionen an eigene Zwecke anpassen oderkomplett selbst definieren. Bitte beachten Sie, dass dieses ein Experten-Feature ist, welches detaillierteKenntnisse von regulären Ausdrücken (RegEx) und Protokollen voraussetzt.2.2 Neues DNS-KonzeptDie im genugate integrierte DNS-Unterstützung wurde komplett überarbeitet. Die neue Implementierungist jetzt in das regelbasierte GUI-Konzept mit Diensten und Policies integriert: Einzelne DNS-Server aufder genugate werden nun als Policies vom Typ dnsserver verwaltet und können entweder Rekursiv undForward, nur Autoritativ oder beides sein. Der Zugriff auf die einzelnen DNS-Server wird wie bei anderenDiensten jetzt ebenfalls über Dienste und ALG-Regeln konfiguriert.Zonen werden zentral unter VERBINDUNGEN → DNS → ZONEN verwaltet. Sie können entweder überdie einzelnen Policies oder über die Übersichtsseite unter VERBINDUNGEN → DNS → ÜBERSICHT deneinzelnen autoritativen Nameservern zugeordnet werden. Selbstverständlich werden neben regulärenZonen weiterhin Reverse- sowie Slave- und Master-Zonen unterstützt. Die Zonen-Konfiguration bieteteinen Standardsatz von Resource-Records an. Bei Bedarf kann die Zone im Expertenmodus um beliebigeweitere Records oder Spezialkonfigurationen erweitert werden. Dort erhalten Sie auch eine Übersichtüber den vom System automatisch generierten Teil der Zone.Für lokale Dienste wie Mail, Policies mit dynamischer Zielbestimmung, den Web-Proxy oder den Updatemechanismusfür Antiviren-Patterns und Patches wird unter VERBINDUNGEN → DNS → LOKALERRESOLVER eine Standard-DNS-Server-Policy konfiguriert. Bei Bedarf kann dieser Resolver für einzelnePolicies, die DNS-Auflösung verwenden, in den Policy-Optionen überschrieben werden.Auch die technische Basis der DNS-Unterstützung wurde überarbeitet. Der bisher verwendete NameserverBIND wurde durch die Kombination aus Unbound (Rekursive Auflösung und Forwarder) und NSD(Autoritativ) ersetzt.Selbstverständlich hat das neue DNS-Konzept eine komplette IPv6-Unterstützung. Auch die Nutzungvon DNSSEC ist möglich. Das neue Konzept dient hierbei als Basis für einen Ausbau dieser Funktionalitätin den nächsten Releases.2.2.1 Zweistufiger UpgradeprozessDa DNS ein kritischer Systemdienst ist, wurde der Upgrade-Prozess für dieses Release zweigeteilt.Zunächst führen Sie ein ganz normales Upgrade auf die neue Version der genugate durch. Anschliessendläuft weiterhin die alte BIND-basierte DNS-Konfiguration. Im Anschluss können Sie die beim Upgradegenerierte Konfiguration begutachten, ggf. anpassen und für jede einzelne Nameserver-Instanzaktivieren. Bei Bedarf können Sie auch wieder auf die alte Konfiguration zurückschalten.Beim Upgrade gehen Sie bitte wie folgt vor:RELEASE-NOTES GENUGATE 7.3 Seite 5 von 16
Seite 1 und 2: Release-Notes zu genugate 7.3In die
Seite 3: 2 NEUERUNGEN IN GENUGATE 7.31 Umfan
Seite 7 und 8: 2 NEUERUNGEN IN GENUGATE 7.3- Die R
Seite 9 und 10: 6 VOR DEM UPGRADE4 Verwaltung via g
Seite 12 und 13: 7 INSTALLATION DES UPGRADESSie kön
Seite 14 und 15: 7 INSTALLATION DES UPGRADESDer Upgr
Seite 16: 9 SO ERREICHEN SIE UNS9 So erreiche

Release-Notes zu genugate 7.3 - GeNUA

Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.

Template löschen?

Als Template speichern?