genuscreen Version 4.0 Release Notes

2
NEUERUNGEN IN GENUSCREEN 4.0
Release Notes zu genuscreen
4.0
In diesen Release-Notes finden Sie Informationen zu genuscreen 4.0 . Lesen Sie diese bitte aufmerksam durch! Wir empfehlen Ihnen unbedingt, dieses Upgrade zu installieren, da wir mit dieser Release
nicht nur neue Features zur Verfügung stellen, sondern auch eine Reihe von Problemen behoben haben.
Achtung!
Vor einem Upgrade empfehlen wir dringend, ein Konfigurations-Backup des genuscreen-Systems durchzuführen.
Eine ausführliche Anleitung zur Vorgehensweise beim Upgrade finden Sie im Abschnitt 3 dieser Release
Notes.
1
Lieferumfang
Mit der neuen Version 4.0 von genuscreen erhalten Sie:
• Diese Release Notes
• Ein ISO-Image der Installations-CD.
Diese steht auch auf dem GeNUA Webserver im genuscreen Kundenbereich zum Download bereit:
https://www1.genua.de/customer/gs_support/release_download.html
2
2.1
Neuerungen in genuscreen 4.0
Neue Features
SNMPv3 SNMPv3 wird nun inklusive Verschlüsselung und Authentifizierung unterstützt (User-based
Security Model (USM)). Zur Authentifizierung muss im GUI ein SNMP Nutzer mit Password angelegt werden. Zu den unterstützten MIBs siehe das Kapitel “Praktische Anwendungsbeispiele” im
Handbuch. Beispiel zur Benutzung:
• MIB download
$ mkdir /mymibs && cd /mymibs
$ curl -kO https://gate1/GENUA-MIBS.zip && unzip GENUA-MIBS.zip
• snmpwalk Konfiguration
$ export MIBDIRS=$HOME/mymibs:/usr/local/share/snmp/mibs
$ export MIBS=GENUA-SNMPD-CONF
• alle über SNMP verfügbaren Daten anzeigen:
$ snmpwalk -v3 -l authPriv -u bauer -a sha -A test1234 -x aes -X test5678 -c public gate1
.1.3.6.1
R ELEASE -N OTES ZU GENUSCREEN 4.0
Seite 1 von 5
2
NEUERUNGEN IN GENUSCREEN 4.0
Verbesserte Filterregel-GUI Das GUI für das Anlegen von Filterregeln wurde überarbeitet. Die Kriterien, nach denen Pakete gefiltert werden, sind nun noch klarer von den Aktionen getrennt die dann
Anwendung finden. Es ist nun möglich NAT Regeln zusammen mit Filter Regeln zu erstellen.
Unterstützung für Quality of Service Wir unterstützen nun auch Quality of Service (QoS), um entsprechend priorisierten Verkehr auch bevorzugt behandeln zu können. Besonders wichtig ist dies
in der Praxis für Voice over IP (VoIP).
Filterung nach ToS Wert Regeln können nun sowohl nach dem Kriterium ToS Wert filtern als auch
diesen als Aktion verändern.
NAT 64/46 Die Möglichkeit der Adressübersetzung zwischen IPv4 und IPv6 (in beide Richtungen) ermöglicht
den Einsatz zwischen Netzen verschiedener IP Versionen, dies ist besonders hilfreich im Zuge der
Migration zu IPv6.
DHCP auf mehreren Interfaces (Server) Der DHCP Dienst kann nun auch auf mehreren Interfaces
DHCP Informationen zur Verfügung stellen.
NTP Server Als zusätzlichen Dienst bieten wir nun die Möglichkeit auch einen NTP Server auf der
Appliance zu betreiben und damit das LAN mit einer Netzwerkzeit zu versorgen. Unsere Implementation kann optional auch ohne selbst aktualisiert zu sein ihre Netzwerkzeit zur Verfügung
stellen.
Dynamisches DNS Mit den Anbietern dyn.com und no-ip.com kann die Appliance auch dynamische
DNS Einträge an PPPoE Interfaces aktuell halten und so eine externe Erreichbarkeit auch an
Anschlüssen ohne feste IP gewährleisten.
Sandboxing Die Dienste opensshd, isakmpd, sasyncd laufen nun in einer Sandbox. Dies erhöht die
Sicherheit entscheidend, da selbst ein kompromittierter Dienst nur minimale Zugriffsmöglichkeit
auf das Gesamtsystem hat.
isakmpd Der isakmpd nutzt nun optional elliptische Kurven für die Schlüsselaushandlung die dadurch
wesentlich beschleunigt wird.
2.2
Verbesserungen im Betriebssystem
• Verbesserte Performance (Durchsatz und Verlustrat für L2TP(/IPsec) in Netzwerken mit wechselnder Latenz (z.B. auf Handys)
• Verbessertes Handling von IPv6 Fragmenten
• Robusteres Verhalten von carp(4)
• Various carp(4) Verbesserungen bezüglich IPv6 und rdomain
• Verbesserte und konsistentere Unterstützung von ToS
Seite 2 von 5
R ELEASE -N OTES ZU GENUSCREEN 4.0
2
2.3
NEUERUNGEN IN GENUSCREEN 4.0
SNMP - unterstützte MIBs
Es werden folgende MIBs unterstützt:
• SNMPv2-SMI (RFC 3418) — Das MIB Modul für SNMP Entities
• SNMP-FRAMEWORK-MIB (RFC 3411)
• SNMP-USER-BASED-SM-MIB (RFC 3414) — Definition der Management Information für das
SNMP User-based Security Model
• IP-MIB (RFC 4293) — Das MIB Modul zur Verwaltung der IP und ICMP Implementationen (ohne
der Verwaltung von IP Routen
• IP-FORWARD-MIB (RFC 4292) — Das MIB Modul zur Verwaltung von CIDR multipath IP Routen
• BRIDGE-MIB (RFC 4188) — Das MIB Bridge Modul zur Verwaltung von Devices, welche IEEE
802.1D unterstuetzen.
• HOST-RESOURCES-MIB (RFC 2790) — MIB zur Verwaltung von Hostsystemen
• IF-MIB (RFC 2863) — Das MIB Modul zur Beschreibung von generischen Objekten für Netzwerk
Interface Sublayers
• UCD-SNMP-MIB — Private UCD SNMP MIB Erweiterungen
– load average
– disk I/O
• OPENBSD-BASE-MIB — Das MIB Basismodul für das OpenBSD Projekt
• OPENBSD-CARP-MIB — Das MIB Modul zur Informationssammlung über Common Address Redundancy Protocol (CARP) Interfaces
• OPENBSD-PF-MIB — Das MIB Modul zur Informationssammlung über das OpenBSD Packet Filter
• OPENBSD-MEM-MIB — Das MIB Modul zum Export von OpenBSD Memory Statistiken
• OPENBSD-SENSORS-MIB — Das MIB Modul zur Informationssammlung über das OpenBSD
Kernel Sensor Framework
• genua-MIB — Das MIB Basismodul für genua Produkte, z.B.:
– Lüfterstatus
– RAID Status
– OpenBSD file table (Anzahl der offenen Dateien)
– Auslastung von Swap
– Auslastung der Festplattenpartitionen (verwendeter und freier Platz)
– Anzahl der Packet Filter (pf) States
– Netzwerkschnittstellen (Status, Ierrors, Oerrors)
R ELEASE -N OTES ZU GENUSCREEN 4.0
Seite 3 von 5
3
INSTALLATION DES UPGRADES
– VPNs (Peer, Peer-IP, local subnetz, remote subnetz, Status)
– Ping Teststatistiken (Name und IP des Ziels, Status)
– Applianceinformationen (Produkt, Softwareversion, Release, Patchlevel, Hardwareversion, Serienummer, Lizenz)
3
Installation des Upgrades
Für den Upgrade von genuscreen wird als Ausgangspunkt ein Versionsstand von genuscreen 3.0 bei
beliebigem Patchstand empfohlen.
3.1
Software
Sie können die Datei für das Upgrade auf verschiedene Arten beziehen:
3.1.1
Datei von CD beziehen
Sie finden die Release Datei S40 000.cpt im obersten Verzeichnis auf der Release CD.
3.1.2
Datei von der GeNUA Webseite beziehen
Sie können das Image auch per Hand von dem HTTPS-Server von GeNUA abholen. Alle Dateien sind
nach dem Schema SNNN MMM.cpt benannt, NNN steht für den aktuellen Release Stand, MMM für die
Nummer des Patches zu diesem Release. Gehen Sie also folgendermassen vor, um von Release 3.0auf
Release 4.0 zu kommen:
1. Rufen Sie in einem Web Browser folgende URL auf:
https://www.genua.de/k/customer/gs_support/release_download.html
Alternativ gehen Sie auf http://www.genua.de und klicken dort auf Kundenservice -> Interner
Kundenbereich -> genuscreen Support.
2. Geben Sie in dem Formular Ihren Lizenzschlüssel, die alte Version und den alten Patchlevel ein.
Klicken Sie auf ”download“.
3. Laden Sie die Datei S40 000.cpt herunter.
3.2
Backup der Konfiguration
Wählen Sie im genuscreen GUI unter S YSTEM → WARTUNG die Aktion KONFIGURATION EXPORTIEREN.
Speichern Sie die Datei, die Ihnen zum Download angeboten wird.
3.3
Release einspielen
Wählen Sie im genuscreen GUI unter S YSTEM → WARTUNG die Aktion PATCH VON DATEI AUF S YSTEM
HOCHLADEN und geben Sie die Datei S40 000.cpt an. Das GUI führt Sie durch die restlichen Schritte.
Seite 4 von 5
R ELEASE -N OTES ZU GENUSCREEN 4.0
4
3.4
SO ERREICHEN SIE UNS
Checksummen prüfen
Zur Überprüfung der Prüfsummen der Softwarekomponenten finden Sie diese unter
https://www.genua.de/k/customer/gs_support/checksums/index.html.
4
So erreichen Sie uns
genua mbh
Domagkstraße 7, 85551 Kirchheim bei München
Tel. (089) 99 19 50-0, Fax. (089) 99 19 50-999
E-Mail: [email protected], WWW: http://www.genua.de/
 2012 genua mbH, Kirchheim, Alle Rechte vorbehalten. genua, genugate, genucenter, genuscreen,
genucrypt, genubox und genucard sind eingetragene Warenzeichen der genua mbH.
R ELEASE -N OTES ZU GENUSCREEN 4.0
Seite 5 von 5