Securepoint Security System Version 2007nx R3
Werbung
Neuerungen der Securepoint Firewall 2007nx R3 und des Securepoint Security Managers
Securepoint Security System
Version 2007nx R3
Changelog
Version 2007nx R3
Inhalt
1.
V 2007-R3 Build 5888 .................................................................................................... 4
1.1.
2.
3.
4.
[Sockets / Dateien]................................................................................................. 4
V 2007-R3 Build 5850 .................................................................................................... 4
2.1.
[Zwangstrennung] .................................................................................................. 4
2.2.
[dhcp]..................................................................................................................... 4
2.3.
[default Konfiguration] ............................................................................................ 4
2.4.
[Routen] ................................................................................................................. 4
V 2007-R3 Build 5825 .................................................................................................... 4
3.1.
[change ip - Fehlermeldung]................................................................................... 4
3.2.
[fragment OpenVPN].............................................................................................. 4
3.3.
[rule routing - Anzeigefehler] .................................................................................. 5
3.4.
[igmp Proxy] ........................................................................................................... 5
3.5.
[show /change bootparameter]............................................................................... 5
3.6.
[http Proxy]............................................................................................................. 5
3.7.
[sendmail] .............................................................................................................. 5
3.8.
[SPUVA]................................................................................................................. 5
3.9.
[config document]................................................................................................... 5
3.10.
[halt]....................................................................................................................... 5
3.11.
[Multipathrouting] ................................................................................................... 5
3.12.
[L2TP / PPTP] ........................................................................................................ 6
3.13.
[Virenscanner]........................................................................................................ 6
3.14.
[clamd] ................................................................................................................... 6
3.15.
[Neustart bei HDD Fehler]...................................................................................... 6
3.16.
[noacpi-fixes].......................................................................................................... 6
3.17.
[greylisting DB sichern] .......................................................................................... 6
3.18.
[High Availability].................................................................................................... 6
3.19.
[statisches NAT]..................................................................................................... 6
V 2007-R3 Build 5651 .................................................................................................... 7
4.1.
Update Funktion der Firewall ................................................................................. 7
4.2.
Update Funktion des Security Managers................................................................ 8
4.3.
Versionsbezeichnung der Firewall und des Security Managers.............................. 8
2
Changelog
5.
6.
7.
8.
9.
Version 2007nx R3
V 2007-R3 Build 5650 .................................................................................................... 9
5.1.
VLAN Unterstützung .............................................................................................. 9
5.2.
Regelbasiertes Routing beim Multipath Routing....................................................10
V 2007-R3 Beta2 Changes..........................................................................................11
6.1.
[Routing] ...............................................................................................................11
6.2.
[IPSec] ..................................................................................................................11
6.3.
[OS] ......................................................................................................................11
6.4.
[HTTP Proxy] ........................................................................................................11
6.5.
[SMTP Gateway]...................................................................................................11
6.6.
[Installations-Programm] .......................................................................................11
Änderungen im Securepoint Security Manager 2007nx R3 Beta2 .................................12
7.1.
Hinweis zur Funktion „Unterstützung mehrerer DSL-Verbindungen“ .....................12
7.2.
Hinweis zur Funktion „Begrenzung von Ccs und Tos auf dem SMTP-Gateway“ ...15
V 2007nx-R3 Beta1 Changes .......................................................................................16
8.1.
[x509]....................................................................................................................16
8.2.
[OpenVPN]............................................................................................................16
8.3.
[IPSec] ..................................................................................................................16
8.4.
[Hotstandby]..........................................................................................................16
8.5.
[dns]......................................................................................................................16
8.6.
[DSL].....................................................................................................................17
8.7.
[Spamfilter]............................................................................................................17
8.8.
[Greylist]................................................................................................................17
8.9.
[QoS] ....................................................................................................................17
8.10.
[Diverses]..............................................................................................................17
Änderungen im Securepoint Security Manager 2007nx R3 Beta1 .................................18
9.1.
Interface Einstellungen..........................................................................................18
9.2.
Dienste Status.......................................................................................................19
9.3.
Userverwaltung .....................................................................................................20
9.4.
OpenVPN Konfiguration........................................................................................21
9.4.1.
globale Einstellungen ....................................................................................21
9.4.2.
Benutzer Einstellungen .................................................................................21
9.4.3.
OpenVPN Zertifikat .......................................................................................22
9.5.
Ansicht IPSec Verbindungen.................................................................................24
9.5.1.
Übersicht der Verbindungen..........................................................................24
9.5.2.
Bearbeitung Phase 1 und Phase 2 ................................................................24
3
Changelog
Version 2007nx R3
1. V 2007-R3 Build 5888
1.1. [Sockets / Dateien]
Bugfix: nicht geschlossene Sockets/Dateien
2. V 2007-R3 Build 5850
2.1. [Zwangstrennung]
Bugfix: Rulerouting funktioniert wieder nach einer Zwangstrennung.
2.2. [dhcp]
In der dhcpd Konfiguration kann ein Wins-Server angegeben werden.
2.3. [default Konfiguration]
Bugfix: Fehler beim Erstellen der Default Konfiguration behoben.
2.4. [Routen]
Routen werden in die Rulerouting Tabellen übernommen.
3. V 2007-R3 Build 5825
3.1. [change ip - Fehlermeldung]
Wird beim CLI Befehl change ip eine falsche Angabe der zu ändernden IP gemacht,
wird eine Fehlermeldung ausgegeben.
3.2. [fragment OpenVPN]
Die fragment Direktive für die OpenVPN Konfiguration ist jetzt optional. Die default Einstellung sieht keine maximale Fragmentgröße vor.
4
Changelog
Version 2007nx R3
3.3. [rule routing - Anzeigefehler]
Bugfix: Rule routing kann jetzt auch im Verbindung mit Regelgruppen benutzt werden.
3.4. [igmp Proxy]
Es wurde der neue Dienst SERVICE_IGMP_PROXY implementiert. (Internet Group
Management Protocol)
3.5. [show /change bootparameter]
Neue Befehle: In der CLI kann man sich mit dem Befehl show bootparameters die aktuellen Boot-Parameter anzeigen lassen. Mit dem Befehl change bootparameter kann
man die Boot-Parameter ändern.
3.6. [http Proxy]
Der http-Proxy wird jeweils um 3 Uhr neu gestartet.
3.7. [sendmail]
Der Dienst sendmail wird jeweils um 3 Uhr neu gestartet.
Für authentifizierte Benutzer werden keine Realtime Blackhole List (RBL) Prüfungen
vorgenommen.
3.8. [SPUVA]
Bugfix: Problem spuva-segfault ist behoben.
3.9. [config document]
Neuer Befehl: config document gibt eine HTML Dokumentation der Konfiguration aus.
Es muss mit angegeben werden, für welche Konfiguration die Dokumentation angelegt
werden soll.
3.10. [halt]
Neuer Befehl: Stoppt die Firewall.
3.11. [Multipathrouting]
Bugfix: Fehler des Multipathrouting wurden beseitigt.
5
Changelog
Version 2007nx R3
3.12. [L2TP / PPTP]
Bugfix: Es werden durch das System keine default Routen mehr angelegt.
3.13. [Virenscanner]
Der Virenscanner arbeitet jetzt ressourcenschonender.
3.14. [clamd]
Der ClamAV Daemon (clamd) ist als eigenständiger Dienst integriert.
3.15. [Neustart bei HDD Fehler]
Werden beim Booten Festplattenfehler gefunden, wird das System neu gestartet.
3.16. [noacpi-fixes]
Für die Piranja und die RC100 wird beim Booten automatisch die Option noacpi-fixes
gesetzt.
3.17. [greylisting DB sichern]
Wird auf dem System ein reboot oder ein halt ausgeführt, wird die GreylistingDatenbank vorher auf der Festplatte gesichert.
3.18. [High Availability]
Bugfix: Auch beim Neustart der Spare ist der Master erreichbar.
3.19. [statisches NAT]
Das statische NAT akzeptiert jetzt auch die Zuweisung von IP- Adresse und Port
(IP:PORT).
6
Changelog
Version 2007nx R3
4. V 2007-R3 Build 5651
4.1. Update Funktion der Firewall
Die Update Funktion für die Firewall ist wieder über den Security Manager verfügbar.
Die Update Funktionalität hat sich grundlegend geändert. Es gibt nun zwei Update Trees.
Stable Tree
Der Security Manager benutzt nur den Stable Tree. Über die CLI entspricht das dem
Kommando "update firewall". Im Stable Tree befindet sich die offiziell unterstützte Version.
Current Tree
Auf den Current Tree befinden sich Änderungen, die noch in der Testphase sind bzw.
Features, die noch nicht offiziell freigegeben sind. Auf den Current Tree kommt man nur
über die CLI mit dem Befehl "update firewall current".
Es ist möglich jederzeit zwischen den Versionen zu wechseln, ohne die Firewall danach neu
zu installieren.
Unter dem Punkt verfügbare Updates sind immer die beiden Trees aufgelistet. Die Angabe
[up to date] zeigt an, welche Version benutzt wird und dass keine neuen Updates verfügbar
sind.
Abb. 1 Systemwartung zeigt unter Verfügbare Updates die beiden Trees an
7
Changelog
Version 2007nx R3
4.2. Update Funktion des Security Managers
Beim Start des Security Managers wird geprüft, ob eine neue Version verfügbar ist.
Diese Funktion ist standardmäßig aktiviert. Zur Deaktivierung dieser Funktion klicken Sie
unter dem Menüpunkt Extras auf den Eintrag Security Manager-Optionen. Im Dialog Security Manager-Optionen entfernen Sie den Hacken aus der Checkbox.
Bei der Installation einer neuen Version kann beim Installationsvorgang die Funktion deaktiviert werden.
Abb. 2 Meldung über eine neue Version
Abb. 3 Funktion im Manager aktivieren
4.3. Versionsbezeichnung der Firewall und des Security Managers
Die Bezeichnung der Version wird nicht mehr über den Patch Level angegeben (Bsp.:
2007nx R2 Patch 2).
Die Version wird über die Build Nummer angegeben (Bsp.: 2007nx R3 Build 5651).
Auch der Security Manager ist mit einer Build Nummer versehen, die die Version angibt
(Bsp.: Securepoint Manager 2007nx R3 Build 80).
8
Changelog
Version 2007nx R3
5. V 2007-R3 Build 5650
5.1. VLAN Unterstützung
Im Bereich Netzwerk/Interfaces ist es nun möglich VLAN Interfaces nach 802.1Q zu definieren.
Abb. 4 VLAN Interface hinzufügen
9
Changelog
Version 2007nx R3
5.2. Regelbasiertes Routing beim Multipath Routing
Falls die Firewall mit Multipath Routing konfiguriert ist, kann man nun über das Regelwerk
einzelne Host oder Netze mit bestimmten Diensten über ein definiertes Interface routen. Dazu wird in der Regel das entsprechende Ausgangsinterface oder IP-Adresse angegeben.
Bsp.: „Ping-Pakete“ von der Gruppe Rechner in das Internet werden über das Interface mit
der IP-Adresse 192.168.3.167 geleitet.
Abb. 5 Ping Pakete über ein bestimmtes Interface leiten
Dabei ist zu beachten, dass die Funktion mit QoS konkurriert und nicht im gleichen Zusammenhang verwendet werden kann.
10
Changelog
Version 2007nx R3
6. V 2007-R3 Beta2 Changes
6.1. [Routing]
−
Unterstützung mehrerer DSL Verbindungen (oder Routerverbindungen) gleichzeitig
(Loadbalancing, Failover).
−
Source Routing über DSL Verbindungen
6.2. [IPSec]
−
Route over Funktion mit Angabe von Interfaces anstatt IP Adressen.
6.3. [OS]
−
−
Filesystem Änderungen: Es wird nun bei Festplattensystemen eine weitere Partition
erstellt zum Auslagern der SPAM-Filterdatenbank und der Dateien, die mit dem Virenscanner geprüft werden.
Lokale Konsole hat geändertes Login Fenster.
6.4. [HTTP Proxy]
−
Bugfix im HTTP-Proxy der das folgende Problem behebt:
DansGuardian Antivirus Patch - Error during scanning
Error message: 'Unable to create temporary directory'
6.5. [SMTP Gateway]
−
Die Konfiguration der Zertifikate für SMTP Authentisierung ist nun über den Security
Manager möglich.
−
Neues Feature im SMTP Gateway. Die maximale Anzahl der TO und CC Felder innerhalb einer E-Mail sind begrenzbar.
6.6. [Installations-Programm]
−
Bei Neuinstallationen bleibt nun die vorher verwendete Datenbank(en) erhalten. Die
Maschine startet aber im Auslieferungszustand. Bei Update über das InstallationsProgramm bleibt auch die Start-Konfiguration erhalten.
11
Changelog
Version 2007nx R3
7. Änderungen im Securepoint Security Manager 2007nx R3 Beta2
7.1. Hinweis zur Funktion „Unterstützung mehrerer DSL-Verbindungen“
Diese Funktion kann eingesetzt werden, um den Datenverkehr gewichtet auf mehrere Leitungen zu verteilen. Dies ist auch grundsätzlich über Ethernetverbindungen möglich und konfigurierbar, hat aber den Nachteil das nur schwer erkannt werden kann, ob die Leitung noch
benutzbar ist oder nicht (im Prinzip nur, wenn der Link wegfällt).
Beim Ausfall einer DSL-Verbindung wird der gesamte Traffic über die noch zur Verfügung
stehende Leitung geroutet.
Abb. 6 Routing-Table bei zwei etablierten DSL-Verbindungen
Um das zu erreichen, müssen mindestens zwei Provider angelegt werden und der Wert „automatisches Setzen der default Route“ deaktiviert sein.
Abb. 7 zwei Provider
12
Changelog
Version 2007nx R3
Abb. 8 keine Default Route
In den Interface Einstellungen legen Sie nun zwei ppp-Verbindungen an.
Abb. 9 DSL-Verbindungen
In den Routing Einstellungen müssen nun zwei Default-Routen hinzugefügt werden, die wie folgt aussehen.
Danach sollten Sie über die Interface Einstellungen oder Routing Einstellungen das Netzwerk aktualisieren (Grüner Update Button).
Abb. 10 Default Routen neu setzen
13
Changelog
Version 2007nx R3
Nun müssen noch das Regelwerk und das Hide-NAT konfiguriert werden.
Für die zweite Internetverbindung erstellt man am besten ein weiteres Netzwerkobjekt und
kopiert es in die vorhandene Gruppe „Internet“.
Abb. 11 Netzwerkobjekt für die zweite Internetverbindung
Damit beide Verbindungen „genNATet“ werden müssen folgende Einstellungen im HideNAT-Table hinterlegt werden
Abb. 12 Hide-NAT Einstellung für Verbindung 1
Abb. 13 Hide-NAT Einstellung für Verbindung
14
Changelog
Version 2007nx R3
7.2. Hinweis zur Funktion „Begrenzung von Ccs und Tos auf dem SMTPGateway“
In diesem Fall wird die Anzahl der Tos (Empfänger) und Ccs (Kopie) bei ausgehenden EMails für die Domains securepoint.de und securepoint.cc auf 30 innerhalb einer E-Mail begrenzt
Abb. 14 Limitierung der Empfänger und Kopie-Empfänger einer E-Mail
15
Changelog
Version 2007nx R3
8. V 2007nx-R3 Beta1 Changes
8.1. [x509]
−
Bugfixes beim Ändern von Zertifikaten.
−
Bugfixes beim Revoken (CRL wird jetzt sortiert).
−
Beim Löschen der CA werden alle signierten Zertifikate aus der Datenbank entfernt.
8.2. [OpenVPN]
−
OpenVPN wird für den Aufbau von Roadwarrior Verbindungen unterstützt.
8.3. [IPSec]
−
Update auf Strongswan Version 2.8.8.
−
Verbesserte DynDNS Unterstützung wenn beide Seiten dynamisch sind.
−
Aktive DPD Unterstützung.
−
Statusabfrage der IPSec Verbindung über die CLI (show ipsec_status).
−
Übertragung von Log-Datenbank über IPSec-Verbindungen.
8.4. [Hotstandby]
−
Hotstandby Unterstützung (erfordert eine Spare Lizenz).
8.5. [dns]
Es können nun Zone auf dem DNS Server konfiguriert werden (nur CLI).
−
'add domain <name> ...'
// Neuer Zone-Eintrag
−
'add subdomain <domain> <subdomain> <ip>'
// Subdomäne (A-record)
−
'add mx <domain> <subdomain> <mailserver>'
// MX-record
−
'add ns <domain> <nameserver>'
// ns-record
−
'add ptr <domain> <ip(part)> <name>'
// PTR-record
−
'del domain <name>'
// Domäne löschen
−
'del subdomain <id>'
// subd/mx/ns/ptr löschen
−
'show domain'
// Domains auflisten
−
'show subdomain <domain>'
// Einträge von <domain>
16
Changelog
Version 2007nx R3
8.6. [DSL]
−
Unterstützung von PPTP für DSL (add interface_pptp)
−
Mehr DSL Diagnose, wird keine IP Adresse für das pppx (DSL) Interface gefunden,
wird eine Statusmeldung anstelle der IP ausgegeben. Die Status Meldung ist:
−
CONNECTING ( es wird versucht ein Verbindung aufzubauen)
−
NO CONNECTION (momentan ist kein Verbindungsaufbau möglich)
−
Es ist jetzt möglich LCP-ECHO auszuschalten, z.B. wenn die Gegenstelle es nicht unterstützt.
8.7. [Spamfilter]
−
Neues Ajax Interface unterstützt das Löschen eines gesamten Bereichs
(Ham/SPAM/Deleted).
−
Mails mit Virus werden jetzt automatisch in den Spamordner geschoben.
8.8. [Greylist]
−
SPF2 Unterstützung
8.9. [QoS]
−
Die Bandbreite wird jetzt in Kbit/s anstelle von Kbyte/s angegeben, alte Werte werden
automatisch konvertiert.
8.10. [Diverses]
−
Arp-Requests werden jetzt nur noch beantwortet, wenn die gefragte IP auch auf das
angefragte Interface gebunden ist.
−
Performance der Regel-Engine wurde verbessert.
−
User können sich nun am Mailrelay zwecks relaying authentisieren (Einstellbar über
die Userverwaltung).
17
Changelog
Version 2007nx R3
9. Änderungen im Securepoint Security Manager 2007nx R3 Beta1
9.1. Interface Einstellungen
Abb. 15 wählbare Interfaces
neue Interfaces
DSL-PPTP-Interface
Cluster-Interface
Tun-Interface
Für DSL-Verbindungen, die das PPTP Protokoll (anstatt
PPPOE)verwenden.
Wird benötigt, um Hotstandby zu benutzen (sie HowTo Hotstandby
Einrichtung).
Virtuelles Interface zur Verwaltung von OpenVPN-Verbindungen.
18
Changelog
Version 2007nx R3
9.2. Dienste Status
Dienste können im Protected-Modus (Spalte Cluster) laufen, dass heißt, sie werden speziell
überwacht. Fällt ein Dienst in diesem Modus aus und kann nicht neu gestartet werden, wird
in einer Hotstandby-Konfiguration auf eine Spare Maschine ausgewichen.
Läuft ein Dienst nicht im Protected-Modus wird bei Ausfall des Dienstes nicht auf das redundante System gewechselt.
Abb. 16 Registerkarte „Dienste Status“ im Dialog „Applikationen“
19
Changelog
Version 2007nx R3
9.3. Userverwaltung
Es wurden zwei neue Benutzerrechte eingeführt.
Abb. 17 Dialog Benutzer – Gruppenmitgliedschaft
neue Benutzerrechte
OpenVPN User
Einwahlrecht als OpenVPN Roadwarrior.
SMTP-Relay User
Darf über die Firewall E-Mails verschicken (SMTP) wenn er sich mit
entsprechendem Benutzernamen und Passwort authentisiert hat.
20
Changelog
Version 2007nx R3
9.4. OpenVPN Konfiguration
9.4.1. globale Einstellungen
Für den OpenVPN Zugang werden globale Werte eingestellt.
Abb. 18 Dialog OpenVPN
OpenVPN Einstellungen
OpenVPN Port
Port, der für die Verbindung benutzt wird (default: 1194).
OpenVPN Protokoll
Das zu verwendende Protokoll (default udp).
Server Zertifikat
Zu verwendendes Zertifikat des Servers.
9.4.2. Benutzer Einstellungen
In der Benutzer Verwaltung kann dem OpenVPN Nutzer eine IP-Adresse zugewiesen werden. Wird diese Zuweisung nicht vorgenommen, dann wird die Adresse dynamisch aus dem
Adresspool zugewiesen.
21
Abb. 19 Benutzerverwaltung - Registerkarte
VPN-Optionen
Beachten Sie: Der vierte Teil einer festen IP-Adresse muss folgende Bedingung erfüllen: ein
Vielfaches von 4 minus 2
x = (y * 4) – 2
{2, 6, 10, 14, … 246, 250, 254}
Bsp. 192.168.250.6
9.4.3. OpenVPN Zertifikat
Für OpenVPN Verbindungen müssen eigene Zertifikate erstellt werden.
Für den Server muss ein Zertifikat erstellt werden und für jeden Benutzer eins. Jedes Zertifikat muss durch eine CA signiert werden.
Wenn Sie noch keine Zertifikate benutzen, müssen Sie zuerst ein Stammzertifikat erstellen,
mit dem Sie die anderen Zertifikate signieren können.
Abb. 20 Dialog zum Erstellen von Zertifikaten
Changelog
Version 2007nx R3
23
Changelog
Version 2007nx R3
9.5. Ansicht IPSec Verbindungen
9.5.1. Übersicht der Verbindungen
Beim Öffnen des VPN Dialogs ist im Fenster eine neue Ansicht der eingerichteten VPN Verbindungen zu sehen. In dieser Ansicht können Verbindungen angelegt, bearbeitet, gelöscht,
gestartet oder gestoppt werden. Zusätzlich wird der Status jeder Verbindung angezeigt.
Zu herkömmlichen Ansicht gelangen Sie über den Button Ansicht.
Abb. 21 neue Ansicht der VPN-Verbindungen
9.5.2. Bearbeitung Phase 1 und Phase 2
In der neuen Ansicht können die Verbindungseigenschaften in zwei Phasen bearbeitet werden. (Über die herkömmliche Ansicht können Sie zur herkömmlichen Einrichtung gelangen.)
In der Phase 1 (Main Mode) wird die Authentifizierung vorgenommen.
24
Changelog
Version 2007nx R3
Abb. 22 Bearbeitung der IPSec Verbindung Phase 1
In der Phase 2 (Quick Mode) wird die IPSec Konfiguration vorgenommen.
Abb. 23 Bearbeitung der IPSec Verbindung Phase 2
25