Release Notes CSG 7.1.0

Collax Security Gateway
28.02.2019

Hinweise zur Installation

Update installieren

Zur Installation dieses Updates führen Sie bitte die folgenden Schritte durch:

Vorgehen

  1. Nehmen Sie zuerst mit dem Collax Backup System eine Sicherung aller Systemdaten vor bevor Sie die nächsten Schritte des Software-Upgrades durchführen. Prüfen Sie, ob das Backup korrekt durchgeführt werden konnte. Die erforderlichen Informationen erhalten Sie bei korrekter Konfiguration per E-Mail.
  2. Gehen Sie auf System → Systembetrieb → Software → System-Update und klicken auf Paketliste holen. Der erfolgreiche Vorgang der Aktualisierung der Paketliste wird mit Done! markiert.
  3. Klicken Sie auf Pakete holen. Diese Funktion lädt dann die eben angezeigten Update-Pakete herunter.
  4. Klicken Sie nun auf Installieren. Diese Funktion installiert das neue Update. Das Ende des Vorgangs wird mit einem Done! angezeigt.
  5. Mit diesem Update wird ein neuer Kernel installiert. Nach der Installation des System-Updates erfolgt ein automatischer Neustart des Servers. Ein entsprechender Hinweis wird beim Abschluss des Update-Vorgangs ausgegeben.

Neu in dieser Version

E-Mail: Empfängeradresse auf Ziel-Server prüfen

Ab dieser Version können E-Mails abgewiesen werden, wenn der annehmende Mail-Server eine Empfänger-Adresse nicht kennt. Wenn die Option “Empfängeradresse auf Ziel-Server prüfen” gesetzt ist, wird überprüft, ob der Mail-Server, an den weitergeleitet wird, die Mail-Adressen aller Empfänger kennt. Ist eine Adresse unbekannt, wird die E-Mail abgelehnt. Nur wenn alle Empfänger bekannt sind, wird die E-Mail angenommen und weitergeleitet. Zur Überprüfung wird eine SMTP-Verbindung aufgebaut und die Empfänger anhand des RCPT-TO-Kommandos abgefragt. Alle Überprüfungen werden in einem Cache gespeichert. Ein Cache-Eintrag für einen bekannten Empfänger ist 31 Tage gültig, für einen unbekannten 3 Tage.

Web Proxy: Squid 4.4 und bessere Systemressourcennutzung

Mit diesem Update wird der bisherige Webproxy Squid 3.5 durch Squid 4 ersetzt. Dabei kommt die Version 4.4 zum Einsatz. Um Systemressourcen künftig besser zu nutzen wurden neue Optionen hinzugefügt. Über die “Anzahl der Arbeiter-Prozesse” lassen sich mehr Prozesse parallel (Multi-Threading) nutzen. Zudem kann die “Größe des RAM-Caches”, die Squid zum Zwischenspeichern von Webseiten verwendet, angepasst werden. Der Dialog dafür befindet sich unter Netzwerk -> Webproxy -> Optionen.

Web Proxy: Neue Web Proxy Blacklisten

Ab dieser Version werden die aktuell installierten Web Proxy Blacklisten von urlblacklist.com ersetzt, da diese nicht mehr weiter gewartet und zur Verfügung gestellt werden. Die neuen Listen werden von der Universität Toulouse zur Verfügung gestellt und regelmäßig aktualisiert. Bitte beachten Sie, dass hierbei auch die Kategorien und Einträge angepasst wurden. Daher ist es zwingend nötig, dass sie ihre Proxy-Regeln checken müssen. Benutzen sie dazu die Regel-Analyse. Sollten Einträge nicht korrekt sein oder fehlen, so können sie über ein Web-Formular gemeldet werden. Den Link dazu finden Sie hier . Für eine umfassende Lösung, die im Besonderen auch deutschsprachige Angebote berücksichtigt, steht weiterhin der Schutz der Collax Surf Protection powered by Cobion zur Verfügung.

Collax SSL-VPN: SSL-VPN wird auf HTML5 umgestellt

Die neue Version des Moduls SSL-VPN ersetzt das bisherige SSL-VPN komplett. Damit wird die Basistechnologie der RDP-Anwendungen erneuert und die Java-basierende Technik komplett ersetzt. Die neue Technik funktioniert als absolut clientloses Remote Desktop Gateway und erlaubt den Fernzugriff über die Benutzerseite auf einen Desktop oder eine Konsole im lokalen Netz. Das bedeutet, dass neben einem Browser keine weiteren Komponenten installiert werden müssen. Die grafische Benutzeroberfläche oder die Konsole wird im Browser dargestellt und bedient. Unterstützt werden Standardprotokolle wie VNC, RDP, SSH und Telnet. Zusatzfunktionen wie Upload und Download von Dateien, Zoom oder Connection-Sharing sind ebenso möglich.

VPN: StrongSwan IPSec

Strongswan, die Software für den Aufbau von VPNs per IPsec, wird auf die Version 5.7.1 geupdatet. Die Crypto-Linux-Module werden jetzt besser geladen, so dass automatisch die beste Hardwareunterstützung benutzt wird. Desweiteren ist es jetzt möglich den Verschlüsselungsalgorithmus twofish für IKEv1 Verbindungen zu benutzen.

Authentifizierung: memberOf Attribut

Das OpenLDAP-Paket enthält eine modifizierte Version des nis.schema, die es erlaubt, mit dem memberOf Attribut nach der Gruppenzugehörigkeit von posixAccounts zu suchen.

System-Management: Zusätzliche Netzwerkdienste

Mit diesem Update wird die Liste aller bekannten Dienste erweitert. Dabei handelt es sich jeweils um die Zuordnung von einem IP-Protokoll und zugehörigen Quell- und Zielports, die unter dem Namen des Dienstes im System an anderer Stelle ausgewählt werden können.

Hardware: Erweiterung der Storage-Controller Hardwareunterstützung

Mit diesem Update werden SmartRAID Storage-Controller des Herstellers Microsemi Adaptec unterstützt. Hierzu zählen die SmartRAID 315x RAID Adapter. Den aktuellen Stand und die Freigabe entnehmen Sie bitte der Hardware-Kompatibilitätliste. Achten Sie auch darauf, die zum jetzigen Stand aktuelle Firmware 1.60B0 einzusetzen, da es ansonsten zu Performance Problemen und Instabilitäten kommen kann.

Collax Information & Security Intelligence: Aufbewahrungszeiten jetzt anwenden

Neu eingerichtete Aufbewahrungszeiten werden erst angewendet, wenn der zeitgesteuerte Prozess zum ersten Mal ausgeführt wird. Über die Aktion “Aufbewahrungszeiten jetzt anwenden” können alle Indizes, die älter als die Aufbewahrungszeiten sind, sofort geschlossen und gelöscht werden.

In dieser Version behobene Probleme

Security: Wichtige sicherheitsrelevante Systempakete

Im Quellcode wichtiger Systempakete wurden Sicherheitslücken entdeckt. Diese werden mit diesem Software-Update geschlossen. Anbei ein Auszug der bekanntesten Pakete und CVE Nummern.

  • apt
  • SQLite 3.26.0
  • strongSwan 5.7.1

CVE-2019-3462 / SQLite Release 3.26.0 / CVE-2018-16151 / CVE-2018-17540

Verschiedenes: Netzwerk/Self-Monitoring

Für die Selbst-Überwachung des Systems ist die Nagios-Überwachung auf dem System installiert. Das Verhalten der Nagios-Benachrichtigung war fehlerhaft und erzeugte falsche Warnmeldungen, wenn der Server die Option “Nicht antworten” für “Verhalten bei ICMP-Echo-Request (Ping)” konfiguriert hatte. Mit diesem Update findet eine sinnvolle Erkennung statt und es werden keine verunsichernden Warnmeldungen mehr verschickt.

Collax Information & Security Intelligence: Bericht als PDF Zeitraum falsch

Es stehen eine Reihe von vorgefertigten Berichten zur Verfügung. Wenn man einen Bericht im Browser anzeigen lässt, wird der eingestellte Zeitraum genommen. Wenn man jedoch den Bericht als PDF downloaded, wird der Zeitraum immer auf 7 Tage zurück eingestellt. Dies wird mit diesem Update behoben.

Hinweise

E-Mail: Collax Virus Protection powered by Kaspersky vor Version 7

Mit der Version 7 der Collax C-Server wurde die Anti-Virus-Engine und das Format der Pattern aktualisiert. Dies geschah, um auf neue Bedrohungen mit dem bestmöglichen Schutz reagieren zu können. Seit dem 01.01.2018 wurde die Aktualisierung der Patterns für Collax Version 5 und älter von Kaspersky eingestellt. Alle Installationen mit dem Modul Collax Virus Protection sollten daher auf den aktuellen Stand gebracht werden.

E-Mail: Collax Avira AntiVir vor Version 7.0.24

Mit der Version 7.0.24 der Collax C-Server wurde die Anti-Virus-Engine und das Format der Pattern aktualisiert. Dies geschah, um auf neue Bedrohungen mit dem bestmöglichen Schutz reagieren zu können. Patterns für die Versionen vor 7.0.24 werden noch bis zum 31.12.2018 bereit gestellt. Ab dem 01.01.2019 stellt Avira die Aktualisierung der Patterns für Collax Version 7.0.22 und älter ein. Alle Installationen mit dem Modul Collax Avira AntiVir sollten daher auf den aktuellen Stand gebracht werden.

Collax Information & Security Intelligence: Geändertes Mapping der Indizes

Beim Update von Elastic Stack auf 6.4.0 wurde das Mapping der Indizes verändert. Dies verhindert, dass Filebeat die Daten vor und nach dem Update in denselben Index schreiben kann. Das heißt, nachdem das Update durchgeführt wurde, werden die danach angefallenen Daten nicht mehr in den Index aufgenommen. Ab 0:00 Uhr wird von Elastic Stack ein neuer Index angelegt und alle Daten ab diesem Zeitpunkt werden wieder in den Index geschrieben. Die Daten zwischen dem Ende des Updates und Mitternacht gehen somit verloren. Wenn es besser ist auf die Daten vor dem Update zu verzichten, also von 0:00 Uhr bis zum Ende des Updates, kann nach dem Update der Index für den aktuellen Tag über die Aministrationsoberfläche gelöscht werden. Dann gehen alle Daten nach 0:00 Uhr und dem Löschen des Indizes verloren. Kann auf keine Daten verzichtet werden, können die gelöschten Daten nach dem Update über die Upload-Funktion für Log-Dateien auf der Aministrationsoberfläche hochgeladen werden und ggf. doppelte Einträge dedupliziert werden.

Collax Information & Security Intelligence: Schemaänderung

Eine Schemaänderung in Release 7.1.0 macht es notwendig, dass der Elastic Stack und die Beats zum selben Zeitpunkt aktualisiert werden. Führen Sie hierzu das Update des Servers mit dem Elastic Stack und der Server mit den Filebeats unmittelbar nacheinander durch.