Release Notes zu GeNUScreen 2.1 Achtung! - GeNUA

Release Notes zu GeNUScreen2.1In diesen Release Notes finden Sie Informationen zu GeNUScreen 2.1. Lesen Sie diesebitte aufmerksam durch! Wir empfehlen Ihnen, dieses Upgrade zu installieren, da wir mitdieser Release nicht nur neue Features zur Verfügung stellen, sondern auch eine Reihevon Problemen behoben haben.Achtung!Vor einem Upgrade empfehlen wir dringend, ein Konfigurations Backup des GeNUScreendurchzuführen.Eine ausführliche Anleitung zur Vorgehensweise beim Upgrade finden Sie im Abschnitt 10dieser Release Notes.Inhaltsverzeichnis1 Sicherheitsrelevante Änderungen 31.1 Ausfall Logging behoben . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31.2 SSH und Web-GUI Zugriff ausschliesslich per ACL möglich . . . . . . . . . 31.3 TLS Session-Renegotiation deaktiviert (CVE-2009-3555) . . . . . . . . . . 32 System 32.1 Interfaceerkennung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32.2 OpenBSD-Kernel Security-Fix in getsockopt() . . . . . . . . . . . . . . . . . 32.3 Verbessertes Handling von XMM-Exceptions . . . . . . . . . . . . . . . . . 32.4 Systemlast auf 100C Hardware . . . . . . . . . . . . . . . . . . . . . . . . . 42.5 Hardwaresensor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42.6 NAT Filter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42.7 SSH Launch Daemon verbessert . . . . . . . . . . . . . . . . . . . . . . . . 42.8 Automatische File System Checks . . . . . . . . . . . . . . . . . . . . . . . 42.9 Carp-Interface-Status per SNMP . . . . . . . . . . . . . . . . . . . . . . . . 43 E-Mail 43.1 Keine VPN-Warnungen auf Standby-Systemen verschicken . . . . . . . . . 44 Logging 54.1 Interface Errors Statistik . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55 VPN 55.1 IPsec Performance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55.2 Datenaustausch per IPsec über NAT . . . . . . . . . . . . . . . . . . . . . . 55.3 Keine Tunnel nach VPN-Rekonfiguration . . . . . . . . . . . . . . . . . . . . 55.4 Stabilität von VPN-Verbindungen . . . . . . . . . . . . . . . . . . . . . . . . 5

Seite 2GeNUScreen 2.1 – Release Notes5.5 Path-MTU-Discovery für PPPoE-Interfaces . . . . . . . . . . . . . . . . . . 55.6 Filtern bei transparenten IPsec-Bridges . . . . . . . . . . . . . . . . . . . . 56 HA 66.1 ARP-Antworten auf Carp-Interfaces korrigiert . . . . . . . . . . . . . . . . . 66.2 HA-Betrieb mit ’Nur verschlüsselten Traffic erlauben’ . . . . . . . . . . . . . 67 Neuerungen 67.1 Die Maschine per GUI anhalten . . . . . . . . . . . . . . . . . . . . . . . . . 67.2 Umstellung GUI-Login . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67.3 Unterstützung von IE6 und IE7 . . . . . . . . . . . . . . . . . . . . . . . . . 68 Korrekturen 68.1 Filterchecks auf ICMP Pakete korrigiert . . . . . . . . . . . . . . . . . . . . 68.2 Stateless Filtering . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68.3 Statusanzeige der Lüfterüberwachung . . . . . . . . . . . . . . . . . . . . . 79 Handbuch 710 Installation des Upgrades 710.1 Software . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 710.1.1 Patch beziehen von CD . . . . . . . . . . . . . . . . . . . . . . . . . 710.1.2 Patch beziehen per GUI . . . . . . . . . . . . . . . . . . . . . . . . . 710.1.3 Patch beziehen von der GeNUA Webseite . . . . . . . . . . . . . . . 710.2 Backup der Konfiguration . . . . . . . . . . . . . . . . . . . . . . . . . . . . 810.3 Patch einspielen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 810.4 Checksummen prüfen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 811 So erreichen Sie uns 8

GeNUScreen 2.1 – Release Notes Seite 31 Sicherheitsrelevante Änderungen1.1 Ausfall Logging behobenBeim Upgrade von 1.1 nach 2.0 wurde die Datenbank für System Logs auf den Appliancesnicht um ein notwendiges Feld erweitert. Dadurch fiel das Schreiben von SystemLogs auf die Platte aus. Das Problem trat nur bei Appliances auf, die Logdaten auf Platteschreiben und wurde in dieser Version behoben.1.2 SSH und Web-GUI Zugriff ausschliesslich per ACL möglichBisher was es möglich, über Filter-Regeln oder VPN-Verbindungen implizit den Zugriff aufden SSH-Dienst und auf das Web-GUI zu bekommen, auch wenn die für diese beidenDienste eingestellten ACLs dies nicht erlaubten. Ab Version 2.1 ist der Zugriff auf denSSH-Dienst und das Web-GUI ausschliesslich über die eingestellten ACLs möglich.1.3 TLS Session-Renegotiation deaktiviert (CVE-2009-3555)Eine Schwachstelle im TLS/SSL Protokoll ermöglicht es einem Man-in-the-Middle-AngreiferDaten an den Anfang einer SSL-Verbindung einzuschleusen (blind prefix injection, CVE-2009-3555). Diese Schwachstelle kann von einem Angreifer benutzt werden um eigeneAnfragen an das Web-GUI zu senden.Daher wurde in Version 2.1 die TLS Session-Renegotiation komplett deaktiviert.2 System2.1 InterfaceerkennungIn Version 2.0 wurden einige Intel-Glasfaser-Interfaces nicht korrekt vom System erkannt.Dies wurde behoben.2.2 OpenBSD-Kernel Security-Fix in getsockopt()Es wurde eine Schwachstelle in der IPsec-Implementierungen gefunden, die zu einer Dereferenzierungdes NULL-Pointers im Rahmen der Funktion getsockopt() führen konnte.Dies konnte zu einem lokalen Denial-of-Service-Angriff führen, da es Angreifern möglichwar, einen Kernel Panic auszulösen.Diese Schwachstelle wurde behoben.2.3 Verbessertes Handling von XMM-ExceptionsXMM-Exceptions sind vom System nicht korrekt behandelt worden. Dies konnte zu einemlokalen Denial-of-Service-Angriff führen, da es Angreifern möglich war, einen Kernel

Seite 4GeNUScreen 2.1 – Release NotesPanic und somit einen Systemabsturz auszulösen.Diese Schwachstelle wurde behoben.2.4 Systemlast auf 100C HardwareDer vr(4) Treiber wurde überarbeitet. Dies verringert die Systemlast auf 100C Hardwareund verhindert Abstürze.2.5 HardwaresensorAuf den Hardwaretypen 300 und 500 traten aufgrund eines defekten Hardwaresensorshäufige ’Aussetzer’ auf. Dies wurde behoben.2.6 NAT FilterWenn Network Address Translation Filter für IPv4 benutzt wurden, konnten eingehendeIPv6 ICMP-Pakete zu einer Kernel Panic führen. Das Problem ist behoben.2.7 SSH Launch Daemon verbessertGelegentliche Startprobleme des SSH Launch Daemons beim Systemstart wurden behoben.2.8 Automatische File System ChecksDie optionalen Logging-, Spool- und Temp-Partitionen werden jetzt automatisch beimSystemstart auf Fehler geprüft. Dadurch wird das Vollaufen der /var Partition verhindert.2.9 Carp-Interface-Status per SNMPDer Zustand von Carp-Interfaces wird jetzt per SNMP exportiert.3 E-Mail3.1 Keine VPN-Warnungen auf Standby-Systemen verschickenStandby-Systeme haben auch im Slave-Modus Warnungen über ausgefallene VPN-Tunnelverschickt. Dies ist nicht nötig und wurde behoben.

GeNUScreen 2.1 – Release Notes Seite 54 Logging4.1 Interface Errors StatistikDie Statistiken zu Interface Errors war nicht korrekt, wodurch zu häufige und falscheWarnungen versandt wurden. Der Zähler im SNMP Status Bericht wies inkorrekte Werteauf. Dies wurde in Version 2.1 korrigiert.5 VPN5.1 IPsec PerformanceDer maximal mögliche Durchsatz von IPSec-Verbindungen wurde deutlich erhöht. Insbesondereauf den Hardwaretypen mit mehr als einem Prozessorkern (400 und höher) istdie Performance stark verbessert worden.5.2 Datenaustausch per IPsec über NATDer Datenaustausch mit IPsec-Partnern, die über NAT-Gateways angebunden sind wurdenstabil ermöglicht.5.3 Keine Tunnel nach VPN-RekonfigurationNach dem Rekonfigurieren von VPN-Verbindungen konnte es bei hoher Last dazu kommen,dass nur ein Teil der Konfiguration aktiv war und Tunnel ausfielen. Das Problem istbehoben.5.4 Stabilität von VPN-VerbindungenDie Stabilität von VPN-Verbindungen auf SMP-Systemen wurde verbessert.5.5 Path-MTU-Discovery für PPPoE-InterfacesBei IPsec-Verbindungen über PPPoE-Interfaces wurde eine zu grosse MTU an Systemeim LAN weitergegeben, so dass grosse Pakete (mit DF-bit) nicht über die VPN-Tunnelverschickt werden konnten. Das Problem ist behoben.5.6 Filtern bei transparenten IPsec-BridgesBei transparenten IPsec-Bridges wurden Pakete nicht den tatsächlichen Interfaces zugeordnetund daher blockiert. Dies wurde behoben.

Seite 6GeNUScreen 2.1 – Release Notes6 HA6.1 ARP-Antworten auf Carp-Interfaces korrigiertARP-Anfragen an eine Adresse auf einem Carp-Interface wurden zusätzlich zur virtuellenMAC-Adresse noch mit der MAC-Adresse des physikalischen Interfaces beantwortet.Dies führte zu längeren Übernahmezeiten.6.2 HA-Betrieb mit ’Nur verschlüsselten Traffic erlauben’Die Interface-Option ’Nur verschlüsselten Traffic erlauben’ blockiert jetzt nicht mehr diefür den HA-Betrieb notwendigen CARP-Pakete.7 Neuerungen7.1 Die Maschine per GUI anhaltenNeben dem Reboot gibt es jetzt auch die Möglichkeit die Maschine über das GUI anzuhalten.7.2 Umstellung GUI-LoginDas Einloggen am GUI erfolgt nun über einen gesonderten Bildschirm und ein explizitesAusloggen ist möglich. Zudem werden inaktive GUI-Sitzungen nach 15 Minuten beendet.7.3 Unterstützung von IE6 und IE7Die Browser Internet Explorer Version 6 und 7 können jetzt Dateien über das Web-GUIdownloaden.8 Korrekturen8.1 Filterchecks auf ICMP Pakete korrigiertICMP Antwortpakete werden jetzt wieder erlaubt. Dadurch funktioniert wieder unter anderemdas Kommando$ traceroutedurch GeNUScreen/GeNUCrypt Filter hindurch.8.2 Stateless FilteringFilter-Regeln, die als ’stateless’ konfiguriert waren, haben trotzdem Filter-States erzeugt.Das Problem ist behoben.

GeNUScreen 2.1 – Release Notes Seite 78.3 Statusanzeige der LüfterüberwachungBei der Überwachung der im System verbauten Lüfter konnte es bisher zu Fehlalarmenkommen.9 HandbuchDas Handbuch zum Release finden Sie auf der CD. Sie können es ausserdem von derGeNUA Webseite herunterladen: https://www.genua.de/k/customer/gs_support/handbuch/index.html10 Installation des UpgradesVoraussetzung für den Upgrade auf GeNUScreen 2.1 ist die Version Release 2.0, Patch 6.10.1 SoftwareSie können die Patches für das Upgrade auf verschiedene Arten beziehen:10.1.1 Patch beziehen von CDSie finden die Patch Datei S210 000.cpt im obersten Verzeichnis auf der Release CD.10.1.2 Patch beziehen per GUIWählen Sie im GUI unter SYSTEM → WARTUNG die Aktion PATCHES VON GENUA HOLEN.Laden Sie die Datei S210 000.cpt herunter.10.1.3 Patch beziehen von der GeNUA WebseiteSie können den Patch auch per Hand von dem HTTPS-Server von GeNUA abholen. AllePatches sind nach dem Schema SNNN MMM.cpt benannt, NNN steht für den aktuellenRelease Stand, MMM für die Nummer des Patches zu diesem Release. Gehen Sie alsofolgendermassen vor, um von Release 2.0, Patch 6 auf Release 2.1 zu kommen:1. Rufen Sie in einem Web Browser folgende URL auf:https://www.genua.de/k/customer/gs_support/patches.htmlAlternativ gehen Sie auf http://www.genua.de und klicken dort auf Kundenservice-> Interner Kundenbereich -> GeNUScreen Support.

Seite 8GeNUScreen 2.1 – Release Notes2. Geben Sie in dem Formular Ihren Lizenzschlüssel, die alte Version und den altenPatchlevel ein. Klicken Sie auf ”Submit Query“.3. Laden Sie die Datei S210 000.cpt herunter.10.2 Backup der KonfigurationWählen Sie im GeNUScreen GUI unter SYSTEM → WARTUNG die Aktion KONFIGURATIONEXPORTIEREN. Speichern Sie die Datei, die Ihnen zum Download angeboten wird.10.3 Patch einspielenWählen Sie im GeNUScreen GUI unter SYSTEM → WARTUNG die Aktion PATCH VONDATEI AUF SYSTEM HOCHLADEN und geben Sie die Datei S210 000.cpt an. Das GUIführt Sie durch die restlichen Schritte.10.4 Checksummen prüfenZur Überprüfung der Prüfsummen der Softwarekomponenten finden Sie diese unterhttps://www.genua.de/k/customer/gs_support/checksums/index.html.11 So erreichen Sie unsGeNUA Gesellschaft für Netzwerk– und Unix–Administration mbHDomagkstraße 7, 85551 Kirchheim bei MünchenTel. (089) 99 19 50-0, Fax. (089) 99 19 50-999E-Mail: info@genua.deWWW: http://www.genua.de/© 2010 GeNUA mbH, Kirchheim, Alle Rechte vorbehalten. GeNUGate, GeNUScreen,GeNUCenter, GeNUCard und GeNUA sind eingetragene Warenzeichen der GeNUAmbH.