Release-Notes zu GeNUGate 7.1 Achtung! - GeNUA

INHALTSVERZEICHNISInhaltsverzeichnis1 Umfang der Release-Notes 32 Neuerungen in GeNUGate 7.1 32.1 Erweiterung der Hochverfügbarkeitsfunktionalität . . . . . . . . . . . . . . . . . . . . . . . 32.1.1 Adresstypen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32.1.2 Passive Systeme . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32.1.3 Einschränkungen und Weiterentwicklung des Konzepts . . . . . . . . . . . . . . . 42.1.4 Informationen für Bestandsinstallationen . . . . . . . . . . . . . . . . . . . . . . . . 42.1.5 Benutzbarkeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42.2 Neue Policy: SMTP2SMTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42.3 Aufteilung des Handbuchs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52.4 Anpassungen seit der Veröffentlichung von GeNUGate-Version 7.0 . . . . . . . . . . . . . 52.4.1 Systemstatus im Administratorwebinterface . . . . . . . . . . . . . . . . . . . . . . 52.4.2 Logging . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62.4.3 Sonstige Sicherheitsverbesserungen . . . . . . . . . . . . . . . . . . . . . . . . . . 63 Software-Updates und Verhaltensänderungen 73.1 Betriebssystem . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73.2 Webcache: Squid in Version 3.1.16 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73.3 SSH-Version 1 abgeschaltet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73.4 Statusänderung beim Blocken von E-Mails mit der SMTP-Policy . . . . . . . . . . . . . . 73.5 Sophos-Virenscanner: Manuelles Patternupdate nötig . . . . . . . . . . . . . . . . . . . . 74 Verwaltung via GeNUCenter 75 Überblick über die Versionen mit Updatesupport 86 Vor dem Upgrade 86.1 Systemvoraussetzungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86.2 Test-Upgrade im Multi-User-Mode . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87 Installation des Upgrades 97.1 Upgradepfad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97.2 Datensicherung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97.3 Minimaler freier Festplattenspeicher . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97.4 Durchführung des Upgrades . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108 Informationen im Web 149 So erreichen Sie uns 15Seite 2 von 15 RELEASE-NOTES GENUGATE 7.1

2 NEUERUNGEN IN GENUGATE 7.11 Umfang der Release-NotesDiese Release-Notes bieten einen Überblick über Änderungen und Erweiterungen im Funktionsumfangder GeNUGate beim Wechsel von Version 7.0 zu Version 7.1. Genauere Erläuterungen zur Konfigurationfinden Sie im GeNUGate-Handbuch.Eine elektronische Variante dieser Release-Notes, die Software selbst und die aktuellen Handbücherkönnen Sie auf unseren Kundenseiten unter www.genua.de im ”Internen Kundenbereich“ herunterladen.Gerne schicken wir Ihnen auch per Post eine CD zu; bitte senden Sie uns hierzu eine kurze E-Mailan auftrag@genua.de.2 Neuerungen in GeNUGate 7.12.1 Erweiterung der HochverfügbarkeitsfunktionalitätDie größte Änderung beim Wechsel von GeNUGate 7.0 zu 7.1 ist die Erweiterung des bisherigen Hochverfügbarkeitsbetriebsum die Möglichkeit zwei neue Adresstypen zu verwenden. Im Gegensatz zumbisher eingesetzten OSPF basiert die neue, zusätzliche Funktionalität auf CARP ( ”Common AddressRedundancy Protocol“, wie bei GeNUScreen und GeNUBox). Neben schnelleren Umschaltzeiten istes damit im Balancing-Modus einfacher möglich, Verbindungen automatisch auf alle Clusterknoten zuverteilen, was den maximalen Verbindungsdurchsatz steigert.Am bisher eingesetzten HA-Modus mit OSPF ändert sich nichts; die neue Funktionalität kommt nurzusätzlich hinzu und OSPF wird auch in kommenden Releases wie bisher unterstützt.Im Administrationshandbuch finden Sie im Kapitel 5.3.9 ”GeNUGate mit CARP und PF“ weitere Hintergrundinformationenund in Kapitel 2.11 ”Load-Balancing mit CARP-HA“ ein Anwendungsbeispiel.2.1.1 AdresstypenAls neue Adresstypen stehen ”Failover-“ und ”Balancing-Adressen“ zur Verfügung.Die Failover-Adressen verhalten sich wie die bisherigen OSPF-Übernahmeadressen, werden aber schnellerumgeschaltet. Jedes System eines Clusters erhält eine dedizierte Failover-Adresse und ist über dieseansprechbar. Fällt ein System aus, übernimmt ein anderer Clusterknoten innerhalb weniger Sekundendiese Adressen.Der zweite neue Adresstyp, die Balancing-Adresse, bringt ganz neue Funktionalität in die GeNUGate-Hochverfügbarkeit. Balancing-Adressen werden immer für den gesamten Cluster konfiguriert und sindgleichzeitig im gesamten HA-Verbund aktiv. Ob ein konkretes System Verbindungen auf eine Balancing-Adresse annimmt entscheidet der Kernel anhand der Absender- und Zieladressen der Pakete. Alle anderenSysteme verwerfen die Pakete. Damit ist eine einfache automatische Verteilung von Verbindungenüber den gesamten Cluster möglich. Der Performancegewinn richtet sich danach, wie gut die Verbindungenaufgrund der Adressen verteilt werden und welches Protokoll verwendet wird.2.1.2 Passive SystemeFür Balancing-Adressen können einzelne Systeme eines HA-Verbunds in den passiven Modus versetztwerden. Diese Systeme bearbeiten dann weiter bestehende Verbindungen, nehmen aber keine neuenRELEASE-NOTES GENUGATE 7.1 Seite 3 von 15

2 NEUERUNGEN IN GENUGATE 7.1an. Somit können Wartungsarbeiten langsam vorbereitet werden, da nur noch langlaufende Verbindungenunterbrochen werden müssen.Im Webinterface können Sie diesen Modus unter HA → ÜBERPRÜFUNGEN → BALANCING PASSIV aktivieren.2.1.3 Einschränkungen und Weiterentwicklung des KonzeptsMit der GeNUGate-Version 7.1 gibt es noch einige Einschränkungen im Betrieb der beiden neuen Adresstypen.Die wichtigsten Punkte sind:• OSPF muss weiter konfiguriert werden• die Zwischennetze der GeNUGates müssen auf Layer 2 verbunden sein• die IP-Adressbereiche der OSPF-Adressen und der neuen Adresstypen müssen getrennt seinEine detaillierte Auflistung der zu beachtenden Punkte finden Sie im Administrationshandbuch im Abschnitt2.11.1. Bereits für den kommenden Release 7.2 im April 2012 ist geplant, einen Teil dieserEinschränkungen aufzuheben und das Konzept zu erweitern.2.1.4 Informationen für BestandsinstallationenOb die neuen Adresstypen verwendet werden können, hängt bei bestehenden Installationen davon ab,inwieweit die Netzwerktopologie wie oben beschrieben angepasst werden kann. Ist dies nicht möglich,raten wir in diesem Release noch vom Einsatz der CARP-basierten Adresstypen ( Balancing-“ und”Failover-Adresse“) ab.”Falls Sie die neue Funktionalität testen möchten, eignet sich besonders gut eine PFL-DMZ, da dieNetzwerktopologie dafür nicht zwingend angepasst werden muss und die verwendeten Adressen durchdie DMZ isoliert sind.2.1.5 BenutzbarkeitIm Rahmen der HA-Erweiterungen wurden auch die ersten Schritte zur Verbesserung der Benutzbarkeitgegangen. So finden Sie die überarbeiteten Konfigurationsseiten jetzt direkt über den Punkt HA in derGeNUGate-Navigation.2.2 Neue Policy: SMTP2SMTPBisher stand zur sicheren Übertragung von E-Mails durch die GeNUGate nur die SMTP-Policy zurVerfügung. Diese Konfiguration hat den Nachteil, dass eingehende E-Mails immer auf der GeNUGatezwischengespeichert werden und zur endgültigen Auslieferung an die Ziele systemweit nur eine einzigePolicy konfiguriert werden konnte. Dafür agiert die GeNUGate in dieser Konfiguration als vollwertigerE-Mail-Server.Mit Version 7.1 gibt es zusätzlich die SMTP2SMTP-Policy, die die wichtigsten Teile der SMTP-Policyabbildet, aber keine E-Mails auf der Firewall abspeichert. Dies wird erreicht, indem bei eingehendenVerbindungen direkt der konfigurierte Zielserver kontaktiert wird. Dann werden alle eingehenden Kommandos,wie in klassischen Proxies, direkt zum Ziel gespiegelt. Ist die Option ”Virenscan“ aktiviert,Seite 4 von 15 RELEASE-NOTES GENUGATE 7.1

2 NEUERUNGEN IN GENUGATE 7.1werden eingehende Daten temporär auf der GeNUGate gespeichert, gescannt und ausgeliefert, bevordem Absender der erfolgreiche Empfang signalisiert wird.Mit den Optionen SSL-Bridging und Virenscan kann also wie bisher zentral am Perimeter eine Sicherheitsrichtliniedurchgesetzt werden, bevor E-Mails ins interne Netz passieren. Gleichzeitig ist die neuePolicy aber ressourcenschonender und hat eine deutlich gesteigerte Performance. Damit eignet sie sichzum Beispiel beim Schutz von dedizierten Anti-Spam-Appliances oder Signaturgateways in der ALG-DMZ und kann auch komplexere E-Mail-Infrastrukturen abbilden.Im Kapitel 1.4.11 ”SMTP2SMTP-Relay“ des Administrationshandbuchs finden Sie weitere Informationen.2.3 Aufteilung des HandbuchsDas bisherige GeNUGate-Handbuch wurde in drei Teile aufgeteilt:• Installationshandbuch• Administrationshandbuch• GUI-ReferenzIm Installationshandbuch sind alle Informationen gebündelt, die benötigt werden, um eine Grundinstallationder GeNUGate bis zum ersten Login vorzunehmen. Auf der CD befindet sich dieses Handbuch imPfad docs/install-de.pdf.Das Administrationshandbuch vermittelt Hintergrundwissen zu den verwendeten Konzepten und gehtauf die genaue Konfiguration einzelner Szenarien in Anwendungsbeispielen ein. Auf der CD befindetsich dieses Handbuch im Pfad docs/admin-de.pdf.Schliesslich beinhaltet die GUI-Referenz Erläuterungen zu allen Menüpunkten im Webinterface mitScreenshots. Auf der CD befindet sich dieses Handbuch im Pfad docs/guiref-de.pdf.2.4 Anpassungen seit der Veröffentlichung von GeNUGate-Version 7.0Die folgenden Änderungen sind bereits in Patches für die GeNUGate-Version 7.0 veröffentlicht wordenund damit auch im 7.1-Release enthalten. An dieser Stelle finden Sie eine Übersicht, da sie in denletzten Release-Notes nicht erwähnt wurden. Viele dieser Anpassungen gehen dabei auf die CC EAL4+-Zertifizierung des 7.0-Releases zurück.2.4.1 Systemstatus im AdministratorwebinterfaceDie Statusübersicht für den Administrator wurde stark erweitert, vor allem, um Beeinträchtigungen imHA-Betrieb sichtbarer zu machen.• HA-Status mit Remote-Überwachung: Die einzelnen HA-Systeme fragen jetzt gegenseitig ihrenStatus ab und bewerten damit den HA-Status des HA-Clusters. Probleme auf einzelnen Systemenkönnen so einfacher identifiziert werden.• NTP: Bei größeren Zeitabweichungen zwischen HA-Systemen wird der Konfigurations- und Dateiabgleichausgesetzt. Auch dieser Zustand wird jetzt auf den Start- und Statusseiten prominentangezeigt.RELEASE-NOTES GENUGATE 7.1 Seite 5 von 15

2 NEUERUNGEN IN GENUGATE 7.1• Bootinstallskripte: Einige Teile der GeNUGate-Konfiguration, zum Beispiel der Prozessmaster,können nur durch Bootinstallskripte angepasst werden. Damit klar wird, dass die angezeigte Konfigurationim Webinterface noch nicht aktiviert wurde, wird jetzt auf den einzelnen Seiten und inder Statusübersicht angezeigt, wenn ein Bootinstallskript aktiv ist.2.4.2 LoggingIm Bereich des Loggings gab es kleine Verbesserungen in der Usability und Betriebstransparenz.• Operating Key-Warnungen entfernt: Die Warnungen, dass kein “Operating Key” gefunden werdenkonnte, z.B. beim Booten, wurden entfernt.• SSL-Logging: Im Accounting wird jetzt für die passenden Policies mitgeloggt, ob SSL aufgebrochenwurde und ob die Verbindungen Richtung Client oder Server verschlüsselt waren. Ausserdemwird bei angenommenen SMTP-Verbindungen (SMTP-Policy) eine Meldung in die E-Mail-Headereingefügt, wenn eine SSL-gesicherte Verbindung ( ”STARTTLS“) verwendet wurde.• Logwatch verbessert: Wiederholte Alarme durch die Logwatch-Funktionalität werden jetzt sinnvollerzusammengefasst.2.4.3 Sonstige SicherheitsverbesserungenGanz generell wurden auch in verschiedenen Bereichen Sicherheitsverbesserungen durchgeführt.• ”localhost“ in /etc/hosts: Die Adresse von ”localhost“ wird direkt über die Datei /etc/hostsaufgelöst. Damit können DNS-Probleme diese Auflösung nicht mehr beeinflussen.• Behandlung zurückgezogener SSL-Zertifikate: Herausgeber, bzw. Eigentümer von SSL-Zertifikatenkönnen üeber Certificate Revocation Lists (CRL) kompromittierte Zertifikate zurückziehen. EineReihe der wichtigen CRLs werden jetzt mit der GeNUGate ausgeliefert und die eingetragenenZertifikate damit blockiert. Ausserdem werden im laufenden Betrieb Informationen über weitereCRL-URLs gesammelt, so dass diese bei Bedarf auch eingebunden werden können.• schwache kryptographische Algorithmen ersetzt: Die beiden Algorithmen MD5 und SHA1 wurdenvorsichtshalber in allen sicherheitskritischen Bereichen durch SHA256 und SHA512 ersetzt.• Robustheit der Proxyprozesse: Der bestehende GeNUGate-Code wird jetzt noch umfassendermit statischen Codeanalyse-Werkzeugen überprüft. Ausserdem wird der smtp-gwd in einem weitergesicherten Modus ausgeführt, um zu verhindern, dass eingehende E-Mails Auswirkungen aufden Betrieb haben können.• Fehler- und Bannermeldungen: Um zu verschleiern, dass eine GeNUGate-Firewall in Verbindungeninvolviert ist, wurden Referenzen auf ”GeNUGate“ und ”GeNUA“ aus Fehler- und Bannermeldungenentfernt.• IPv6-Kernelsicherheit: Durch Anpassungen am Kernel wurde die Sicherheit des IPv6-Betriebsgesteigert.Seite 6 von 15 RELEASE-NOTES GENUGATE 7.1

4 VERWALTUNG VIA GENUCENTER3 Software-Updates und Verhaltensänderungen3.1 Betriebssystem• Enthaltene Patches: In dieser Version sind alle Änderungen und Patches der Version 7.0 biseinschließlich Patch 6 enthalten.• Update auf OpenBSD Version 4.9: Das Betriebssystem OpenBSD wurde mit sämtlichen Komponentenauf die Version 4.9 aktualisiert.3.2 Webcache: Squid in Version 3.1.16Der Webcache Squid wurde auf die neueste Version aktualisiert.3.3 SSH-Version 1 abgeschaltetIm Rahmen des Zertifizierungsverfahrens von GeNUGate 7.0 wurde die SSH-Version 1 aus Sicherheitsgründenkomplett deaktiviert und es steht nur noch die aktuelle Version 2 zur Verfügung. Betroffen sinddavon:• Remote-Access• Adminlogin• PanicloginBitte aktualisieren Sie bei Bedarf Ihre verwendete Clientsoftware und Benutzern zugeordnete alte SSH-Schlüssel.3.4 Statusänderung beim Blocken von E-Mails mit der SMTP-PolicyAb Version 7.1 geben Regeln mit SMTP-Policy beim Blocken von E-Mails aufgrund eines RBL-Checksden permanenten Fehler ‘550’ zurück, statt wie bisher ‘421’. Damit verhalten sich die SMTP- undSMTP2SMTP-Policies gleich.3.5 Sophos-Virenscanner: Manuelles Patternupdate nötigWie bereits der Virenscanner von Avira, steht nach dem Update auch der von Sophos nur noch in dermoderneren Streaming-Version zur Verfügung. Deshalb muss bei Verwendung des Sophos-Virenscannersnach dem Update von 7.0 auf 7.1 eine manuelle Aktualisierung durchgeführt werden.Im Webinterface ist dies unter SYSTEM → VIRENSCANNER → AKTUALISIEREN möglich.4 Verwaltung via GeNUCenterGeNUGate 7.1 ist nicht für die Verwaltung mittels GeNUCenter vorgesehen. Die nächste Integrationder GeNUGate erfolgt erst in der GeNUCenter 3-Produktlinie ab Mai 2012 mit dem dann zur Verfügungstehenden GeNUGate-Release.RELEASE-NOTES GENUGATE 7.1 Seite 7 von 15

6 VOR DEM UPGRADEBitte verwenden Sie weiterhin die GeNUGate-Version 7.0wenn Sie GeNUGate mit GeNUCenter verwaltenmöchten. Sie profitieren dabei von der Zertifizierung und dem längeren Produktsupport bis Oktober2014.5 Überblick über die Versionen mit UpdatesupportNeben GeNUGate-Version 7.0 werden aktuell noch folgende GeNUGate-Versionen mit Korrekturen undSicherheitsupdates versorgt:• GeNUGate 6.3: Diese Version wird als CC EAL4+ zertifizierte GeNUGate-Version noch bis Ende2012 unterstützt.• GeNUGate 7.0: Im Dezember 2011 ist mit einer Zertifizierung nach CC EAL 4+ für die Version 7.0Z zu rechnen. Dieser Release wird bis Oktober 2014 mit Sicherheitsupdates und nötigen Korrekturenversorgt.Frühere Softwareversionen werden, wie auch in unseren allgemeinen Vertragsbedingungen für die Pflegevon Software beschrieben, seit dem Release von GeNUGate 7.0 nicht mehr unterstützt. Dies betrifftinsbesondere auch GeNUGate Version 6.2. Bitte upgraden Sie noch aktive ältere Systeme so bald wiemöglich.Bereits im April 2012 wird die nächste Version 7.2 veröffentlicht und danach ein halbjährlicher Rhythmuseingehalten. Deshalb wird GeNUGate 7.1 nur bis April 2013 mit Sicherheitsupdates gepflegt. Nach 7.0ist die nächste Zertifizierung mit GeNUGate 8.0 für Oktober 2013 geplant. Diese zertifizierte Versionenthält dann auch wieder einen längeren Produktsupport.6 Vor dem Upgrade6.1 Systemvoraussetzungen• Der Upgrade auf Version 7.1 wird von jedem Patchlevel der Version 7.0 unterstützt.• Zum Betrieb der Version 7.1 werden mindestens 512MB RAM im ALG und 128 MB RAM im PFLempfohlen.• Um den Upgrade erfolgreich durchführen zu können, muss ausreichend freier Festplattenspeicherauf dem ALG vorhanden sein. Die Prozedur zur Feststellung des Plattenspeichers wird in Kapitel7.3 beschrieben.6.2 Test-Upgrade im Multi-User-ModeUm in der aktuellen Konfiguration Inkonsistenzen, die zu Problemen beim Upgrade führen, rechtzeitigerkennen und beheben können, sollte unbedingt ein ”Test-Upgrade“ des Systems durchgeführt werden.Dazu muss wie folgt vorgegangen werden:• Legen Sie im normalen Multi-User-Mode die CD in das Laufwerk Ihres Systems ein• Führen Sie als Benutzer ’root’ das Kommando ’ggupgrade’ ausSeite 8 von 15 RELEASE-NOTES GENUGATE 7.1

7 INSTALLATION DES UPGRADESIm Rahmen dieses Test-Upgrades wird als Erstes die Registry des Systems konvertiert und in die Datei/etc/configfw/fw.cfg.pretty-G710 000 geschrieben ( ”human readable“). Die Registry deslaufenden Systems wird jedoch nicht modifiziert. Sollte es hierbei zu Problemen kommen, werden entsprechendeHinweise ausgegeben. Probleme mit weitreichenden Konsequenzen müssen außerdemexplizit bestätigt werden.Beachten Sie bitte, dass der Test-Upgrade nicht sicher feststellen kann, ob der Plattenplatz in älterenSystemen ausreicht. Die Prozedur zur Feststellung des Plattenspeichers wird in 7.3 beschrieben.Im Anschluss an die Probekonvertierung der Registry wird ein configfw-Lauf angestoßen. Dieserstellt sicher, dass die Erzeugung der Konfigurationsdateien aus der konvertierten Registry reibungslosfunktioniert. Anschliessend kann das System entweder unverändert weiterbetrieben werden, oder dereigentliche Upgrade (wie unter 7 beschrieben) durchgeführt werden.Sollten bei der Durchführung des Test-Upgrades Probleme auftreten, wenden Sie sich bitte an IhrenService-Partner. Zusätzliche Informationen zum Upgrade werden in den Dateien/var/gg/patches/G710 000.upgrade.log (Registry-Upgrade) und/var/gg/patches/G710 000.configfw.log abgelegt.7 Installation des Upgrades7.1 UpgradepfadGeNUGate-Systeme ab der Version 7.0 können auf die Version 7.1 aktualisiert werden.Ein bestimmtes Patchlevel der Version 7.0 ist hierbei nicht erforderlich.7.2 DatensicherungBei dem Upgrade auf GeNUGate 7.1 bleiben die Logdateien und E-Mails im Spool-Verzeichnis auf demSystem erhalten.Trotzdem sollten Sie vor dem Upgrade mittels# cfgbu -sein Backup Ihrer Konfiguration durchführen.Um ebenfalls E-Mails und Logdateien zu sichern muss ein Komplettbackup des Systems erstellt werden.Das Vorgehen hierzu ist im Handbuch, Kapitel 6.1 ”Datensicherung“, beschrieben.7.3 Minimaler freier FestplattenspeicherUm den Upgrade erfolgreich durchzuführen, muss auf den verschiedenen Partitionen der Festplattegenügend freier Speicher vorhanden sein. Insbesondere sollten die Partitionen / und /usr mehr alsdas Doppelte des bereits belegten Platzes als freien Speicherplatz zur Verfügung haben. Durch Eingabedes Kommandos df -h können Sie die Belegung der Festplatte prüfen.RELEASE-NOTES GENUGATE 7.1 Seite 9 von 15

7 INSTALLATION DES UPGRADESadmin@ggd132:˜# df -hFilesystem Size Used Avail Capacity Mounted on/dev/sd0a 126M 40.8M 78.9M 34% //dev/sd0f 1.5G 113M 1.3G 8% /cagemfs:6239 62.9M 2.0K 59.8M 0% /tmp/dev/sd0d 502M 238M 239M 50% /usr/dev/sd0e 251M 33.5M 205M 14% /varIn der Spalte ”Capacity“ wird der Füllgrad des jeweiligen Dateisystems angegeben.7.4 Durchführung des UpgradesBitte beachten Sie:Sie benötigen zur Durchführung des Upgrades physikalischen Zugang zur GeNUGate, da CD-ROM und USB-Stick eingelegt bzw. gewechselt werden müssen.Legen Sie die GeNUGate 7.1 CD-ROM in das Laufwerk, loggen Sie sich als Benutzer ”admin“ auf dasSystem ein und verwenden Sie das Kommando su um ”root“ zu werden.admin@ggd132:˜# su -Password:Sep 18 08:06:33 ggd132 su: admin to root on /dev/consoleroot@ggd132:˜#Starten Sie ggupgrade, um den Upgrade zu beginnen.root@ggd132:˜# /usr/local/gg/sbin/ggupgradeExecuting upgrade script from cdrom.Starting /cdrom/usr/local/gg/sbin/ggupgrade ...Vor dem Upgrade werden jetzt die Patches fuer das neue Releasegeholt. Daher wird Ihr GeNUGate nach dem Upgrade gleich mit demaktuellsten Patchlevel arbeiten.Before the upgrade the patches for the new release are fetched now.That way your GeNUGate will start working with the latest patchlevelright after upgrade.Get upgrade patch from cdrom ...Retrieving G710_000.tarExtracting G710_000.tarDie Patches fuer die neue Version koennen ueber das Internet vonGeNUA geholt werden.The patches for the new version can be fetched from GeNUA over theinternet.Patches von GeNUA (ja nein) [ja]?Patches from GeNUA (yes no) [yes]? jaSie können bereits vor dem Neustart des Systems nach veröffentlichten Patches suchen, wenn Sie hieryes oder ja eingeben.Unter Umständen kündigt das System jetzt an, dass einige Fragen zur Installation gestellt werden.Bestätigen Sie dies einfach mit [RETURN], das System wird die Fragen zur Installation überspringenund mit dem Upgrade weitermachen.Seite 10 von 15 RELEASE-NOTES GENUGATE 7.1

7 INSTALLATION DES UPGRADESNun wird ein Test-Upgrade der Registry und ein testweiser Lauf von configfw durchgeführt, um herauszufinden,ob beim Upgrade Probleme zu erwarten sind. Sollte es hierbei zu Problemen kommen,kontaktieren Sie bitte Ihren Service-Partner.Starten Sie nun das System neu.root@ggd132:˜# rebootSep 18 08:11:42 ggd132 reboot: rebooted by admin/etc/rc.shutdown in progress...2/2 addresses added./etc/rc.shutdown complete.syncing disks... donerebooting...Achten Sie darauf, dass das System von der eingelegten GeNUGate 7.1 CD-ROM bootet. Dies wirddurch den Text CDBOOT 3.15 im Bootprompt bestätigt.>> OpenBSD/i386 CDBOOT 3.15boot>booting cd0a:bsd.install: 5476020+1003244 [61+247792+227242]=0x6a1f18entry point at 0x200120[ using 475512 bytes of bsd ELF symbol table ]Copyright (c) 1982, 1986, 1989, 1991, 1993The Regents of the University of California.Copyright (c) 1995-2011 OpenBSD. All rights reserved.All rights reserved.http://www.OpenBSD.orgOpenBSD 4.9 (ALG.install) #0: Wed Nov 9 19:14:45 CET 2011bluhm@g711.genua.de:/build/gg.71/71.D009/ALG.installcpu0: Intel(R) Xeon(R) CPU X5570 @ 2.93GHz ("GenuineIntel" 686-class) 2.94 GHzcpu0: FPU,V86,DE,PSE,TSC,MSR,PAE,MCE,CX8,APIC,SEP,MTRR,PGE,MCA,CMOV,PAT,PSE36,CFLUSH,DS,ACPI,MMX,FXSR,SSE,SSE2,SS,HTT,TM,SBF,SSE3,MWAIT,DS-CPL,VMX,EST,TM2,SSSE3,CX16,xTPR,PDCM,DCA,SSE4.1,SSE4.2,POPCNT...Nachdem der Kernel geladen ist, werden Sie von der GeNUGate 7.1 Installation begrüsst und müssendie Installationssprache und Tastaturbelegung auswählen. Bei der Auswahl des Installationsmodus wählenSie upgrade.GeNUGate InstallationSprache auswaehlen.Sprache/Language (de en) [de] ? [RETURN]Belegung der an der GeNUGate angeschlossenen Tastatur auswaehlen.Tastaturbelegung (us de de.nodead ... cf.nodead lv nl nl.nodead) [de.nodead] ? [RETURN]kbd: keyboard mapping set to de.nodeadSystemerkennung.Installieren, Upgrade durchfuehren oder System vom Backup restaurieren.Modus (installation upgrade restaurieren) [installation] ? upgradeEs werden nun die Festplatten geprüft, in das System eingebunden und für den Upgrade vorbereitet.RELEASE-NOTES GENUGATE 7.1 Seite 11 von 15

7 INSTALLATION DES UPGRADESFestplatte mounten.Boot-Festplatte festlegen.Erkenne Festplatten im System.Boot-Festplatte erfolgreich festgelegt.Alle Partition unmounten.Fstab auslesen.Dateisysteme ueberpruefen./dev/rwd0a: file system is clean; not checking/dev/rwd0f: file system is clean; not checking/dev/rwd0d: file system is clean; not checking/dev/rwd0e: file system is clean; not checkingAlle Partition mounten.Flags entfernen.GeNUGate Lizenzen.Lizenz initialisieren.Die Lizenznummer und Hardware Seriennummer Ihrer GeNUGate wird abgefragt. Die Werte aus GeNUGate7.0 gelten weiterhin und Sie müssen nur [RETURN] drücken, um diese beizubehalten.Lizenz eingeben.Der einzugebende Wert hat das Format 1234-PROD-ABCD-EFGH-IJKL-MNOP.Lizenz [1234-PROD-ABCD-EFGH-IJKL-MNOP] ? [RETURN]Seriennummer eingeben.Der einzugebende Wert hat das Format XXXXX-XX-XXXX.Seriennummer [12345-CD-89AB] ? [RETURN]Es besteht nun die Möglichkeit, Patches vom USB-Stick, vom HA-Peer oder via Netzwerk zu beziehen.Patches vom USB-Stick holen.Patches vom USB-Medium holen (ja nein) [nein] ? [RETURN]Patches vom HA-Peer holen.Patches vom HA-Netzwerk holen (ja nein) [nein] ? [RETURN]Patches von GeNUA holen.Patches vom Netzwerk holen (ja nein) [nein] ? [RETURN]Das Upgrade wird nun begonnen, die neue Software wird auf das System kopiert und die Konfigurationdurchgeführt.Upgrade beginnen.Upgrade-Patch von Cdrom kopieren.Retrieving G710_000.tarDas System wird für den Upgrade vorbereitet.Using new ggpatch /var/gg/patches/ggpatch....Am Ende des Upgrade-Vorgangs werden Sie gefragt, ob Sie die Passwörter für den Administrator ”admin“und ”root“ neu setzen wollen. Um die bestehenden Passwörter zu übernehmen, wählen Sie neindurch Drücken von [RETURN].Administrator Passwoerter setzen.Passwoerter setzen (ja nein) [nein] ? [RETURN]Seite 12 von 15 RELEASE-NOTES GENUGATE 7.1

7 INSTALLATION DES UPGRADESDer Upgrade ist nun fertig. Drücken Sie [RETURN] um das System neu zu starten und entfernen Siedie CD-ROM aus dem Laufwerk.Druecken Sie zum Neustart und entfernen Sie nach der Meldung’rebooting...’ die CDROM aus dem Laufwerk.Jetzt neu starten (neustart) [neustart] ? [RETURN]Das System startet nun die neue Software. Nach dem Laden des Kernels werden Sie aufgefordert,das ”root“ Passwort einzugeben, da noch ein Bootinstall-Skript für die Aktualisierung des Paketfiltersausgeführt werden muss.Es wurde mindestens ein Bootinstall-Skript gefunden. Diese Skripten koennennur vom Systemverwalter ausgeführt werden. Daher wird jetzt nach demPasswort des Systemverwalters (root) gefragt. Wird das Passwort dreimalfalsch eingegeben, kann weiter gebootet werden, ohne dass die Bootskriptenausgefuehrt wurden. Geben Sie bitte jetzt das root Passwort ein!Sie haben 60 Sekunden sich zu authentisieren!Root Passwort eingebenPassword:Wählen Sie das Script aus der Liste durch die Auswahl von 1 und [RETURN]. Führen Sie es durchEingabe von j aus.Waehlen Sie eine Liste von Bootinstall-Skripten aus, indem Sie dieentsprechenden Nummern eingeben, oder alle durch Eingabe von ’*’================================================================1) /var/gg/boot/bootinst.2011.11.02-15.12.02.exeCreate PFL bootmediumAuswahl (1) []: 11) /var/gg/boot/bootinst.2011.11.02-15.12.02.exeCreate PFL bootmediumIst das ok? (j/n) [n]: jStecken Sie den PFL-USB-Stick in einen freien USB-Slot im ALG und schreiben das PFL-Medium.Starten Sie den PFL gemäss den Anweisungen neu.Wenn Sie sich nach Beendigung des Startvorgangs auf das ALG einloggen, werden Sie mit einer Meldungbegrüsst, in der die neue Versionsnummer steht.login: adminPassword:Last login: Mon Nov 02 15:05:02 on consoleWelcome to your GeNUGate Firewall System.This system is running GeNUGate Version 7.1 000 based on OpenBSD 4.9admin@ggd132:/var/home/admin$Verwenden Sie das Kommando su um ”root“ zu werden. Anschliessend führen Sie das Kommandoconfigfw aus. Dies ist nötig, da beim Upgrade selbst keinerlei Syntax-Checks für die erzeugten Konfigurationsdateienstattfinden, um ein reibungsloses Upgrade durchführen zu können:RELEASE-NOTES GENUGATE 7.1 Seite 13 von 15

8 INFORMATIONEN IM WEBroot@ggd132:˜# configfwzone file /cage/ALG_2_INTERN/etc/namedb/gg.de.db: new serial (2009081061)

9 SO ERREICHEN SIE UNS9 So erreichen Sie unsGeNUA Gesellschaft für Netzwerk– und Unix–Administration mbHDomagkstraße 7, 85551 Kirchheim bei MünchenTel. (089) 99 19 50-900, Fax. (089) 99 19 50-999E-Mail: info@genua.de, WWW: http://www.genua.de/© 2010 GeNUA mbH, Kirchheim, Alle Rechte vorbehalten. GeNUGate und GeNUA sind eingetrageneWarenzeichen der GeNUA mbH.RELEASE-NOTES GENUGATE 7.1 Seite 15 von 15