Release Note 5.2-1.0

SX-GATE Appliance System

Release Notes - SX-GATE System Software 5.2-1.0

März 2011

Einleitung

Dieses Dokument beschreibt neue Funktionen, Änderungen, behobene und bekannte Fehler der System-Software Release 5.2-1.0.

Technische Unterstützung

Um technische Unterstützung zu erhalten können Sie den SX-GATE Support via Telefon oder E-Mail erreichen. Wenn Sie den technischen Support kontaktieren, halten Sie bitte folgende Informationen bereit:

verwendete System-Software Version
Geräte-ID
SX-GATE Support IP-Adresse

Diese Informationen können Sie über den Menüpunkt "Home-->Systeminformation" in der SX-GATE Konfigurationsoberfläche auslesen.

So erreichen Sie den technischen Support:

SX-GATE Endkunden: +49-7032-95596-21

E-Mail: support@xnetsolutions.de
SX-GATE Fachhändler: +49-7032-95596-21

E-Mail: support@xnetsolutions.de

Installation

Zur Installation:

Erstellen Sie bitte zu Ihrer eigenen Sicherheit ein System-, Benutzer- und ggf. auch ein Mailbackup.
Downloaden Sie die Update-Software Version 5.2-1.0 von der SX-GATE Update-Webseite. Diese erreichen Sie unter http://update.sx-gate.de/.
Führen Sie über den Menüpunkt "Administration-->Update" ein interaktives Update durch. Wählen Sie dazu die Option "Das Update interaktiv durchführen." aus und folgen Sie den Anweisungen auf dem Bildschirm. Klicken Sie im folgenden auf "Weiter" um das Update automatisch installieren zu lassen. Über den Fortgang des Updates und ggf. einen Reboot des SX-GATE werden Sie im interaktiven Update Log informiert.
Sie haben zusätzlich die Möglichkeit einen mauellen Update durchzuführen. Wählen Sie dazu bitte im Menü die Option "Eine vorhandene Update-Datei manuell einspielen." Folgen Sie dann den Anweisungen auf dem Bildschirm.
Bitte beachten Sie die Voraussetzungen bevor Sie dieses Update Installieren.

- Arbeitsspeicher mindestens 1024 MB (1GB)

Sie können die aktuelle Speicherbestückung im Menüpunkt „Monitoring --> System-Info“ ermitteln. Für Fragen bzgl. der Softwareaktualisierung wenden Sie sich bitte an den technischen Support.

Neue Funktionen dieser Version

Kostenpflichtiges Update

Sie können das Update kostenfrei herunterladen, wenn ein Software-Pflegevertrag besteht oder das Gerät erst vor kurzem gekauft wurde. Der Download ist für die entsprechenden Geräte bereits freigeschaltet. Systeme auf die diese Voraussetzungen nicht zutreffen werden nach dem käuflichen Erwerb des Updates freigeschaltet. Die Zugangsdaten zum Download des Updates werden beim Interaktiven Update vom System selbständig übermittelt. Sollten Sie das Update von Hand herunterladen, so geben Sie bitte als Benutzername die Support-IP (z.B. 172.18.253.15) und als Kennwort die Geräte-ID (z.B. 473I-QN34-O@:5) des Systems ein.
Update - Aktualisierung der Linux-Kernels

Ab sofort sind auch mehr wie 3 GB Hauptspeicher nutzbar. Nach dem Update führt das System automatisch einen Neustart durch. Bitte starten Sie das System nicht von Hand neu.
Neu - Überarbeitetes Intrusion-Detection-/ Intrusion-Prevention-System (IDS/IPS)

Die neue Version des IDS/IPS ist als aktive Komponente innerhalb der Firewall angesiedelt. Kritische Datenpakete werden automatisch blockiert. Zusätzlich lässt sich das IDS als passive Komponente an den Monitor-Port eines Switches anbinden. Dafür ist eine dedizierte Netzwerkkarte erforderlich. Hier lassen sich je nach Einsatzzweck weitere Regelsätze aktivieren. Auffällige IP-Pakete werden protokolliert. Die protokollierten Ereignisse zu beiden Einsatzzwecken werden in Form einer graphischen Statistik aufbereitet. Systeme mit Software-Pflegevertrag erhalten mehrmals pro Woche aktuelle Signaturen für die Intrusion-Detection und -Prevention. Mit der Installation dieses Updates wird die Aktualisierung automatisch aktiviert, sofern ein Lizenzschlüssel mit Pflegevertrag-Option erkannt wird.
Neu - Zahlreiche Erweiterungen im Reverse-Proxy

Für den Zugriff auf Exchange-Server unterstützt der Reverse-Proxy neben Outlook-Web-Access und Active-Sync nun auch Outlook-Anywhere. Alle drei Möglichkeiten lassen sich separat aktivieren. Es lassen sich nun beliebig viele virtuelle Hosts anlegen. Jedem Servernamen lassen sich so unabhängig voneinander eigene Hintergrundserver zuordnen. Vordefiniert ist der Standard-Host "*". Neben der Möglichkeit unterschiedliche Hintergrundserver über virtuelle Hosts auszuwählen, können Anfragen auch nach URL-Pfad verschiedenen Hintergrundservern zugeordnet werden. Authentifizierung und Lastverteilung lassen sich nach Bedarf je Pfad zuschalten. Die Verbindung zwischen Reverse-Proxy und Hintergrundserver kann jetzt auch mit HTTPS verschlüsselt werden.
Neu - Erweiterungen im Web-Proxy URL-Filter

Alternativ zur integrierten, kostenfreien URL-Datenbank kann nun auch eine deutlich umfangreichere, allerdings kostenpflichtige Datenbank genutzt werden. Jährliche Lizenzen, für Bildungseinrichtungen zum ermäßigten Preis, sind über den Fachhandel erhältlich. Die kostenpflichtige Datenbank empiehlt sich insbesondere für Schulen, die üblicherweise höhere Ansprüche an eine URL-Datenbank stellen. Aber auch die kostenfreie URL-Datenbank wurde nochmals erweitert. Es stehen dort nun Datenbanken mit "unbedenklichen" Internet-Adressen zur Verfügung. Nutzen Sie diese Datenbanken wenn als Standardverhalten eingestellt ist, dass der Zugriff auf alle nicht explizit freigegebenen Adressen verweigert werden soll. Unabhängig von der genutzten URL-Datenbank lässt sich beim Zugriff auf die gängigsten Suchmaschinen der Jugendschutzfilter erzwingen. Zudem bietet der URL-Filter eine neue Option zur Erkennung von Proxy-Tunneln in verschlüsselten Verbindungen in Ergänzung zu den bereits bestehenden Möglichkeiten im Content-Filter des Web-Proxies.
Neu - Web-Proxy Digest-Authentifizierung

Die Digest-Authentifizierung bietet die gesicherte Übertragung des Kennworts vom Browser zum Web-Proxy zu Lasten der Speicherung von Passwort-Äquivalenten im Benutzer-Backup. Die neue Methode steht nur bei lokaler Authentifzierung zur Verfügung. Vor deren Aktivierung müssen alle Benutzer die Kennwörter ändern, damit ein entsprechendes Passwort-Äquivalent erzeugt werden kann. Selbiges gilt, falls Benutzerkennwörter automatisiert aus dem ActiveDirectory importiert werden. Hier muss zuvor eine neue Version der Passwort-DLL im Windows-Server installiert werden.
Neu - Aktualisierter IPSec-Server

Die neue Version beseitigt Probleme Windows 7 Clients, bei denen es nach ein bis zwei Stunden zu Verbindungsabbrüchen kam. Bei der Erstellung von IPSec-L2TP-Installationspaketen für Windows-Clients lässt sich nun freigeben, dass der Client die eigene Internetverbindung auch dann nutzen kann, wenn der VPN-Kanal aufgebaut wurde. Bisher wurde das Standardgateway des Clients zwingend auf die VPN-Verbindung umgeschaltet. IPSec-Installationspakete können jetzt auch für Geräte in Außenstellen erzeugt werden um auf einfache Weise eine VPN-Verbindung zwischen den Standorten zu konfigurieren.
Änderung - Verbesserte Zertifikats-Dialoge

Die verschiedenen Dialoge für den Umgang mit Zertifikaten wurden teilweise überarbeitet. Über Verkettung der einzelnen Dialoge werden typische Folgen von Arbeitsschritten abgebildet, so dass zukünftig notwendige Schritte nicht mehr so leicht vergessen werden können.
Änderung - Wegfall der Autostart-Option

Ob ein Dienst nach einem Neustart des Systems automatisch wieder gestartet wird oder nicht, wird durch explizites Starten bzw. Stoppen des Dienstes festgelegt. Bisher wurde dies über einen eigenen Schalter festgelegt.
Neu - Graphische Statistik der Firewall-Meldungen
Neu - Externe Archivierung der Administrations-Logs
Folgende Features konnten bereits in den 5.1er Versionen auf Systemen mit Software-Pflegevertrag genutzt werden. In Version 5.2 sind diese Funktionen nun auf allen Systemen verfügbar.
Neu - Neue Mail-Server Optionen zur SPAM-Abwehr

Bei der SMTP-Kommunikation muss sich das zustellende System mit seinem Rechnernamen anmelden. Ist diese Angabe unvollständig oder offensichtlich gefälscht, wird die Verbindung abgelehnt. Ein weiterer Test prüft, ob für das zustellende System ein Reverse-Eintrag im DNS zu finden ist. In erweiterter Form muss zudem ein dazu passender Forward-Eintrag existieren. Die bisherige Prüfung nach gültigen Absenderdomains wurde erweitert. Wenn gewünscht muss die Domain nicht nur existieren, es muss auch ein Mail-Server mit gültiger IP-Adresse angegeben sein.
Neu - PGP-/ S/MIME-Filter

Der Filter hilft bei der Umsetzung interner Richtlinien, nach denen an bestimmte Empfänger ausschließlich verschlüsselte Mails gesendet werden dürfen. Ausgehende Mails, die versehentlich nicht mit PGP, GPG oder S/MIME verschlüsselt wurden, werden vom Filter zurückgewiesen.
Neu - E-Mail Lesebestätigung unterdrücken

Eine neue Option im Mail-Server ermöglicht es, bei eingehenden E-Mails zentral die Anforderungen von Lesebestätigungen (Message Disposition Notifications, MDNs) zu unterdrücken.
Neu - Web-Proxy Content-Type Filter

Im Web-Proxy lassen sich nun Zugriffe anhand des Typs sperren (z.B. "video/*").
Neu - Internetzugang über UMTS

Mit Hilfe eines zertifizierten UMTS-USB-Sticks lassen sich Internetverbindungen über UMTS/GPRS herstellen. Die UMTS-Verbindung kann als regulärer Internetzugang genutzt werden, bietet sich aber auch als Fallback für eine ADSL-Leitung an.
Neu - Netwerkverbindungs-Monitoring

Eine neue Monitoring-Funktion zeigt alle Netzwerk-Verbindungen die in den letzten Sekunden aktiv waren mit der insgesamt seit bestehen der Verbindung übertragenen Datenmenge.
Neu - Anzeige der vom DHCP-Server vergebenen Adressen
Kleinere Bugfixes und Verbesserungen

Bereits umgesetzte Änderungen

keine

Hinweis

Die in dieser Release Note enthaltenen Informationen beruhen auf sorgfältiger Recherche. Dennoch lässt es sich nicht
ausschließen, dass eine Information im Einzelfall unzutreffend ist. Wir bitten daher um Ihr Verständnis, wenn wir keine
Gewähr für die Richtigkeit der Informationen übernehmen und jede Haftung ausschließen. Sollten Sie fest stellen, dass
eine Information unzutreffend ist, bitten wir um Rückmeldung.

Richten Sie diese bitte an: support@xnetsolutions.de

Erstellt am: 17.03.2011