Release-Notes zu genugate 7.3 - GeNUA

Weitere Magazine

Empfehlungen

Info

2 NEUERUNGEN IN GENUGATE 7.3Es wird empfohlen zunächst einen Trockenupgrade durchzuführen und eventuell aufgetretene Warnungenzu bearbeiten. Dazu legen Sie die genugate CD in das CD-ROM-Laufwerk und führen auf derKommandozeile den Befehl ggupgrade aus (siehe auch Kapitel 6.2).Führen Sie anschließend den eigentlichen Upgrade wie in Kapitel 7.4 beschrieben durch.Nach dem Neustart der genugate ist weiterhin Ihre alte DNS-Konfiguration aktiv. Zusätzlich wurden unterVERBINDUNGEN mehrere neue Policies, Dienste und Regeln für die neue DNS-Konfiguration angelegt.Diese den Adressen des ALGs entsprechenden Regeln werden aber nicht automatisch aktiviert. Diedazugehörigen Konfigurationen der DNS-Server Unbound und NSD finden Sie unter/cage/unbound/etc/unbound-POLICYNAME.conf bzw./cage/nsd/etc/nsd-POLICYNAME.conf.Dort finden Sie auch die jeweilige Loopback-Adresse, die Sie zum Testen der Policies verwendenkönnen (z.B. dig @127.128.0.9 my.host.name). Dieses ist möglich, da die entsprechend konfiguriertenUnbound- und NSD- Prozesse bereits laufen, auch wenn die zugehörigen Regeln noch nichtaktiv sind. Wenn alle Tests positiv verlaufen sind, können Sie erst die Unbound- und anschließenddie NSD-Regel aktivieren. Dadurch wird automatisch die alte DNS Konfiguration deaktiviert, aber nichtgelöscht. Sollte es im Betrieb zu Problemen kommen, können Sie daher die neuen DNS Regeln jederzeitwieder deaktivieren und damit problemlos auf die alte Konfiguration zurückschwenken.2.2.2 Anmerkungen zum UpgradeBitte beachten Sie die folgenden Hinweise, wenn Sie ein Upgrade durchführen:• Gültige Resource-Records, die vom Upgrader nicht verarbeitet werden können, werden in der GUIunter VERBINDUNGEN → DNS → ZONEN → EXPERTE dargestellt. Sie bleiben auch mit dem neuenDNS-Konzept gültig und werden weiterhin verwendet.• Im Fall, dass Ihre genugate bisher Anfragen rekursiv oder als Forwarder aufgelöst hat, und zusätzlichnoch einzelne Zonen an andere Server weitergeleitet wurden oder lokal konfigurierte Zonenaufgelöst wurden, ist folgendes zu beachten:In dieser Kombination ist der Zonentransfer mit nur einer kombinierten Autoritativ, Rekursiv undForward Policy nicht möglich. Daher werden während des Upgrades je eine Rekursiv und Forwardund eine Autoritativ Policy mit den dazugehörigen Regeln angelegt.Dabei bedürfen folgende Fälle besonderer Aufmerksamkeit:– Clients im lokalen Netz lösen Namen rekursiv über die genugate auf. Zusätzlich machenRechner in einem anderen IP-Bereich des lokalen Netzes Zonentransfers von dergenugate: Die Rechner, die die Zonentransfers durchführen, müssen als Slaves im Master-Tab der jeweiligen Zone eingetragen werden. Zusätzlich müssen Ihre IP-Adressen in die entsprechendeSource-ACL (eingehende Quell-ACL) der dazugehörigen Regel aufgenommenwerden.– Die IP-Bereiche im o.g. Fall unterscheiden sich nicht: Die autoritative Regel, die für Zonentransfers(NSD) verwendet wird, sowie die Regel für die rekursiven Abfragen (Unbound)auf der genugate bekommen unterschiedliche IP-Adressen. Die Clients müssen, je nach ihrerFunktion, entweder auf die eine oder die andere Adresse konfiguriert werden.Seite 6 von 16 RELEASE-NOTES GENUGATE 7.3
2 NEUERUNGEN IN GENUGATE 7.3– Die Rechner im internen Netz machen entweder nur rekursive Anfragen oder nur Zonentransfers:Die jeweils nicht benötigte Regel kann gelöscht werden.• Im alten DNS-GUI konnte ausgewählt werden, wer rekursive Anfragen stellen (any, lokal oderlokale Netze) darf. Wenn diese Option auf any gesetzt ist, wird vom Upgrader eine Policy angelegt,die rekursive Anfragen auflöst. In den anderen Fällen geschieht dieses nicht. Bitte passen sie indiesem Fall selbst die entsprechende Policy an.• Die BIND-Option allow-query, welche eine ACL enthält, die festlegt, von welchen Hosts DNS-Anfragen beantwortet werden, wird vom Upgrader nicht berücksichtigt. Per Default werden Anfragenvon überall beantwortet. Ist dies nicht gewünscht, müssen entsprechende Quell-ACLs inden ALG-Regeln konfiguriert werden. Auch die ACLs allow-recursion, allow-transfer und blackholewerden vom Upgrader nicht berücksichtigt.• Für Zonen vom Typ Master, die für Zone-Transfers genutzt werden, müssen nach dem Upgrade imZonen-GUI Slaves konfiguriert werden, die berechtigt sind, diese Zone zu beziehen.• Momentan wird Classless Reverse Zone Delegation (RFC 2317) vom GUI nicht unterstützt. Fallses benötigt wird, muss es mit Hilfe von Local Files manuell konfiguriert werden. Der Upgrader gibthierzu eine Warnung aus, wenn er entsprechende Reverse Zonen findet.2.3 Erweiterung der SSH-PolicyDie in genugate 7.2 eingeführte SSH-Policy wurde um folgende Features erweitert:• Authentisierung: Zusätzlich zur Authentisierung am Zielsystem ist nun auch eine vorgeschaltetePasswortauthentisierung an der genugate möglich. Neben lokalen Benutzern werden LDAP, RA-DIUS und eine Passwortdatei als Authentisierungsmethoden unterstützt.• Zusätzliche Assoziationstypen: Die Assoziationstypen mit dynamischer Zielbestimmung aus derAnfrage werden nun ebenfalls unterstützt. Bitte beachten Sie, dass es in diesem Fall nicht möglichist, den Host-Key des Zielsystems zur Generierung des Host-Keys, der dem Client präsentiertwird, verwenden zu können, da zum Zeitpunkt des Schlüsselaustauschs das Zielsystem nochnicht bekannt ist. Die genugate verwendet daher stets denselben Host-Key, eine automatisierteErkennung von Man-in-the-Middle-Angriffen zwischen genugate und Zielsystem ist daher nichtmehr möglich.• Group-Source-Destination-ACL: Bei Verwendung der Authentisierung ist es möglich, über dieGroup-Source-Destination-ACL unterschiedliche Quell- und Ziel-ACLs in Abhängigkeit von derGruppenzugehörigkeit des Benutzers zu definieren.2.4 Erweiterung der WWW-PolicyEbenso wie die SSH-Policy unterstützt nun auch die WWW-Policy die Group-Source-Destination-ACL.Bitte beachten Sie, dass diese ACL IP-Adressen- und nicht URL-basiert ist.RELEASE-NOTES GENUGATE 7.3 Seite 7 von 16
Seite 1 und 2: Release-Notes zu genugate 7.3In die
Seite 3 und 4: 2 NEUERUNGEN IN GENUGATE 7.31 Umfan
Seite 5: 2 NEUERUNGEN IN GENUGATE 7.3In zuk
Seite 9 und 10: 6 VOR DEM UPGRADE4 Verwaltung via g
Seite 12 und 13: 7 INSTALLATION DES UPGRADESSie kön
Seite 14 und 15: 7 INSTALLATION DES UPGRADESDer Upgr
Seite 16: 9 SO ERREICHEN SIE UNS9 So erreiche

Release-Notes zu genugate 7.3 - GeNUA

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?