McAfee Web Gateway 7.6.2 Notas de la versión

Anuncio
Notas de la versión
Revisión A
McAfee Web Gateway 7.6.2
Contenido
Acerca de esta versión
Nuevas funciones y mejoras
Problemas resueltos
Instrucciones de instalación
Problemas conocidos
Búsqueda de documentación de productos
Acerca de esta versión
Este documento contiene información importante relativa a la versión actual. Le recomendamos
encarecidamente que lea todo el documento.
®
McAfee Web Gateway (Web Gateway) 7.6.2 se suministra como una versión controlada. Es una
versión principal que incluye nuevas funciones y mejoras, además de solucionar problemas presentes
en versiones anteriores.
Si ha implementado una configuración de vinculación, que se encontraba disponible como
función no compatible antes del lanzamiento de Web Gateway 7.5.2, elimine todos los
parámetros definidos en esta configuración antes de ampliar a esta nueva versión. De lo
contrario, corre el riesgo de que el appliance se vuelva inestable.
Tras la ampliación, puede volver a implementar la vinculación de interfaces de red, tal como
se describe en el capítulo Configuración del sistema de la Guía del producto McAfee Web
Gateway.
1
Nuevas funciones y mejoras
Esta versión del producto incluye las siguientes funciones y mejoras nuevas.
Regulación de ancho de banda mediante clases
Ahora, se puede llevar a cabo la regulación de ancho de banda en Web Gateway mediante clases, que
abarcan intervalos específicos de velocidad de transferencia de datos.
La regulación de ancho de banda por medio de clases puede configurarse en cualquier dirección que
tome el flujo de tráfico web. Además, se puede aplicar al tráfico que no utilice las funciones de proxy
de Web Gateway.
Para obtener más información, consulte el capítulo Funciones auxiliares de la Guía del producto McAfee
Web Gateway.
Mayor uso de la mensajería DXL
Se proporcionan nuevas funciones que permiten un mayor uso de los mensajes de DXL para el
intercambio de información entre Web Gateway y otros componentes en un entorno de seguridad web.
•
Se ha agregado a la biblioteca un conjunto de reglas para la integración del servidor TIE. En varias
reglas de este conjunto se utilizan mensajes de DXL para incluir información recibida de un
servidor TIE en el proceso de filtrado antimalware en Web Gateway.
El servidor TIE, a su vez, recibe notificaciones de resultados importantes que el motor de Gateway
Anti-Malware encuentra en Web Gateway.
•
Si desea configurar el intercambio de mensajes de DXL entre Web Gateway y un servidor TIE, tiene
ahora a su disposición en la interfaz del usuario una opción para reincorporar McAfee ePolicy
Orchestrator.
Para obtener más información, consulte el capítulo Filtrado web de la Guía del producto McAfee Web
Gateway.
Configuración antimalware más sencilla
La versión de 2015 del motor antimalware GAM requiere menos ajustes para su configuración, lo que
facilita la administración.
Para obtener más información acerca del número reducido de ajustes, consulte este artículo del Centro
de conocimiento: KB87181.
Protección de certificados y contraseñas mejorada
Ahora, los certificados y las contraseñas se almacenan cifrados en Web Gateway en lugar de en texto
sin formato, lo que mejora la seguridad de cualquier tipo de credencial o clave que se utilice en el
producto.
Nuevos conectores de nube para el inicio de sesión único
Se han agregado nuevos conectores de nube a SSO Catalog. A partir de la versión número 143 de
Cloud Connector as a Service (CCaaS), el catálogo incluye 1056 conectores. Puede agregar conectores
a listas que controlen el acceso a aplicaciones en la nube y asociar usuarios finales a dichas listas en
las reglas.
Para obtener más información, consulte el capítulo Inicio de sesión único en la nube de la Guía del
producto McAfee Web Gateway y la nota técnica llamada SSO Catalog de McAfee Web Gateway.
2
Funciones adicionales para transferir datos de archivos de registro
Se han implementado nuevas funciones para transferir los datos de archivos de registro recopilados en
Web Gateway.
•
Ahora, los archivos de registro pueden cargarse en un servidor de archivo mediante SFTP, FTPS y
SCP.
•
Los datos de archivos de registro de auditoría ahora se transfieren a la plataforma de registro
central de SIEM por medio de una función interna que utiliza el estándar syslog.
Cambios en el conjunto de reglas de registro
En la extranet, se encuentra disponible un registro de cambios (Content & Cloud Security Portal) para
dejar constancia de las modificaciones realizadas en los conjuntos de reglas. Los cambios en los
conjuntos de reglas se mencionarán también en las notas de la versión.
Conjuntos de reglas nuevos y modificados
Los siguientes conjuntos de reglas se han agregado o modificado en el sistema de conjuntos de reglas
predeterminado o la biblioteca de conjuntos de reglas en Web Gateway.
•
Gateway Anti-Malware with TIE (conjunto de reglas de biblioteca): Nuevo
Este conjunto cuenta con varias reglas, además de las del conjunto de reglas predeterminado
Gateway Anti-Malware.
Estas reglas integran el filtrado antimalware tal y como se lleva a cabo mediante las funciones de
filtrado de Web Gateway con información recuperada de un servidor TIE.
Para obtener más información, consulte el registro de cambios en el conjunto de reglas de McAfee
Web Gateway.
•
SSL Scanner (conjunto de reglas predeterminado): Modificado
Se ha insertado un nuevo conjunto de reglas incrustado en este conjunto de reglas con dos reglas
que se incluían anteriormente en otro conjunto de reglas incrustado.
Se trasladaron las reglas debido a que una de ellas provocaba la omisión inadecuada de un
conjunto de reglas incrustado posterior mientras permanecía en su antigua posición.
Fue en las siguientes versiones de producto donde se producía dicha omisión:
•
7.5.2.6, 7.5.2.7 o 7.6.1 (si estas versiones se acababan de instalar)
•
Cualquier ampliación desde 7.5.2.6, 7.5.2.7 o 7.6.1 (si estas versiones se acababan
de instalar)
Para obtener más información, consulte el registro de cambios en el conjunto de reglas de McAfee
Web Gateway.
Problemas resueltos
Los siguientes problemas se han resuelto en esta versión del producto.
Los números de referencia de Bugzilla se indican entre paréntesis.
3
Comunicación de red
•
Web Gateway no podía iniciar sesión en el proxy FTP de salto siguiente debido a que las
credenciales se enviaban incompletas. (1102387)
•
Web Gateway no cerraba las conexiones con los clientes de FTP con el estado CLOSE_WAIT.
(1108572)
•
No se podía actualizar un appliance Web Gateway debido a un problema del servidor de
actualización con los datos de lectura enviados por el appliance. (1116755)
•
Cuando un appliance Web Gateway funcionaba con numerosas conexiones de cliente en túnel por
medio de HTTPS, la velocidad descendía porque se activaba un gran número de eventos para
controlar dichas conexiones. (1118371)
•
Cuando Web Gateway se ejecutaba como servidor ICAP, las diéresis incluidas en los archivos
descargados se sustituían por otros caracteres. Esto se debía al cambio en el encabezado
Content-Disposition durante el procesamiento en Web Gateway. (1126890)
•
Los puertos de bloqueo de la interfaz eth0 no funcionaban cuando se configuraba la protección de
red debido a un error en la parte de iptables del archivo de configuración del sistema. (1129925)
•
Cuando se configuraba Web Gateway para ejecutarse en el modo de enrutador transparente, se
producía un error en el proceso principal. (1130282)
•
Se producía un error en la búsqueda DNS inversa condicional en el caso de las direcciones IP con
una subred con /12 debido a un código defectuoso que no leía correctamente la máscara de red.
(1130571)
•
Cuando se ejecutaba Web Gateway como proxy transparente mediante WCCP, uno de los
enrutadores configurados no podía llevar a cabo la autenticación con una clave MD5. (1131870)
•
Las solicitudes de clientes que se habían enviado mediante conexiones persistentes de HTTPS no
obtenían respuestas en varios appliances Web Gateway. Esto se debía a un problema al obtener
certificados del servidor web pertinente, que cerraba la conexión antes de que la llamada de
verificación del certificado se procesara por completo. (1133332)
•
Las búsquedas DNS directas e inversas de una página de progreso en la misma conexión y al
mismo tiempo provocaban un error en el proceso principal con la señal de término 11. (1135466)
•
Cuando se ejecutaba Web Gateway como proxy, no se podían cargar páginas web que se habían
comprimido mediante gzip debido a una configuración incorrecta del encabezado Content-Encoding.
(1137876)
Filtrado de contenido web
4
•
Al vaciar la memoria caché para almacenar listas externas, se producía un fallo debido a que en el
proceso de vaciado se utilizaba una asignación de configuración defectuosa. (1110753)
•
Web Gateway ignoraba el tipo de codificación de contenido que se había recibido con un archivo
solicitado desde un servidor web y comunicaba un tipo diferente al cliente que realizaba la
solicitud. (1123566)
•
Se rechazaba la solicitud de acceso a un mapa de Google que Web Gateway había redirigido al
servidor de mapas debido a los parámetros de SafeSearch agregados al procesar la solicitud en
Web Gateway. (1125189)
•
El proceso principal y el proceso antimalware sufrían errores en Web Gateway, ya que se iniciaba la
indicación del progreso una vez terminado el análisis del objeto web solicitado. (1125664)
•
El acceso a direcciones URL concretas provocaba errores en el proceso principal de Web Gateway
debido a que la configuración del análisis de SSL contenía un parámetro de cifrado que no se había
especificado correctamente. (1129537)
Vulnerabilidades
•
La vulnerabilidad CVE-2015-5600 no afectaba a Web Gateway, lo que ofrecía al usuario un número
ilimitado de reintentos a la hora de introducir la contraseña. Sin embargo, se ha implementado en
Web Gateway la corrección ofrecida por Red Hat. (1112008)
•
La vulnerabilidad CVE-2016-0728 afectaba a Web Gateway, que, sin embargo, solo el
administrador local podía utilizar. Tras implementar una corrección, Web Gateway ha dejado de
verse afectado. (1117589)
•
La vulnerabilidad CVE-2015-8704 afectaba a Web Gateway, lo que permitía a los usuarios
autenticados iniciar un ataque de denegación de servicio. Tras implementar una corrección, Web
Gateway ha dejado de verse afectado. (1117615)
•
La vulnerabilidad CVE-2016-0701 no afectaba a Web Gateway, ya que la biblioteca OpenSSL
pertinente no utiliza el tipo de parámetro vulnerable. Sin embargo, se ha implementado la
corrección que elimina la vulnerabilidad en Web Gateway. (1119566)
•
La vulnerabilidad CVE-2015-7541 afectaba a Web Gateway debido al uso que hace de la resolución
de glibc. Tras implementar una corrección, Web Gateway ha dejado de verse afectado. (1121719)
•
La vulnerabilidad CVE-2015-5345 afectaba a Web Gateway, lo que permitía la divulgación del
directorio Apache Tomcat, que, sin embargo, no constituía una auténtica amenaza de seguridad.
Tras implementar una corrección, Web Gateway ha dejado de verse afectado. (1124109)
•
La vulnerabilidad CVE-2016-0787 afectaba a Web Gateway, lo que exponía la biblioteca libssh2.
Tras implementar una corrección, Web Gateway ha dejado de verse afectado. (1124118)
•
Las vulnerabilidades de la CVE-2016-2105 a la CVE-2016-2109 y la CVE-2016-2176 afectaban a
Web Gateway, lo que mostraba varias debilidades con relación a la memoria, el cifrado y otras
funciones de OpenSSL. Tras implementar las correcciones apropiadas, Web Gateway ha dejado de
verse afectado. (1134653)
Varios
•
Al cerrar la sesión en la interfaz de usuario, el proceso de desconexión duraba más tiempo de lo
habitual. Al iniciar sesión de nuevo mientras este proceso estaba en curso, aparecía un mensaje de
error de puntero nulo. (1118477)
•
Se producía un error al descargar una lista mantenida por el cliente en Web Gateway cuando el
servidor de listas solo aceptaba TLS 1.2 como protocolo de descarga. (1119194)
•
Cuando se había reiniciado un appliance Web Gateway, el resumen del sistema del panel solo
mostraba los datos posteriores al reinicio. Esto se debía a un error al inicializar los contadores del
sistema pertinentes. (1119428)
•
El módulo de seguridad de hardware (HSM) dejaba de funcionar en un appliance Web Gateway
debido a un problema de asignación que impedía la comunicación correcta con el módulo.
(1119513)
•
La creación de una copia de seguridad para Web Gateway con una solución de copia de seguridad
de VMware evitaba la accesibilidad a la interfaz del usuario, lo que requería reiniciar para obtener
acceso. (1119919)
•
La sincronización programada de directivas con SaaS Web Protection sufría errores varia veces en
Web Gateway y, por ello, debía llevarse a cabo de forma manual. (1120953)
•
Se producía un error en un proceso secundario del proceso principal de Web Gateway con la señal
de término 11 debido a que se activaba un evento antes de que el subproceso relacionado
terminara; el problema venía motivado por daños o sobrescritura en la memoria. (1124561)
5
•
Cuando se configuraba un intervalo de tiempo en la propiedad DateTime.Time, al usuario le aparecía
por error un mensaje de bloqueo durante un minuto a cada hora en punto. (1129697)
•
Cuando se realizaban cambios en una lista suscrita mantenida por el cliente en un nodo en
administración centralizada, se producían fallos en la sincronización y no se actualizaba la lista en
otro nodo. (1133848)
Instrucciones de instalación
Los requisitos de instalación de Web Gateway 7.6.2 en un appliance dependen de la versión que utilice
actualmente.
•
De 7.3.x a 7.6.x: Puede ampliar a la nueva versión tras activar un repositorio. Consulte
Ampliación desde 7.3.x o posterior.
•
De 7.0.x a 7.2.x: Puede ampliar a la nueva versión, pero antes debe crear una copia de seguridad
de la configuración. Consulte Ampliación desde 7.2.x o 7.x anterior.
Utilice las opciones que se proporcionan en Solución de problemas | Hacer copia de seguridad/Restaurar de la
interfaz de usuario para crear la copia de seguridad.
El proceso de ampliación incluye una ampliación importante del sistema operativo. Se requieren
varios pasos y más tiempo de lo normal.
Si el proceso de ampliación falla o se interrumpe, podrá restablecer la imagen del appliance con
una imagen de la nueva versión e instalar la copia de seguridad de la configuración.
De forma alternativa, puede continuar como sigue al ampliar desde una versión 7.2.x o 7.x
anterior:
•
1
Cree una copia de seguridad de configuración.
2
Restablezca la imagen del appliance usando una imagen de la nueva versión e instale la copia
de seguridad de configuración.
6.8.x o 6.9.x: Debe restablecer la imagen del appliance con una imagen de la nueva versión.
Descargue una imagen de la nueva versión de la página de descargas del portal de McAfee Content &
Cloud Security, que encontrará en https://contentsecurity.mcafee.com/software_mwg7_download.
Si desea obtener más información sobre el restablecimiento de imágenes, consulte la Guía de
instalación de McAfee Web Gateway.
Ampliación desde 7.3.x o posterior
Puede ampliar la versión 7.3.x o posterior a la nueva tras activar un repositorio.
Puede realizar la ampliación en la interfaz de usuario o en una consola del sistema.
Activar el repositorio
Active el repositorio de la nueva versión desde la consola del sistema local o trabaje de forma remota
mediante SSH.
Procedimiento
1
Inicie sesión en el appliance que desea ampliar.
2
Ejecute el siguiente comando:
mwg-switch-repo 7.6.2
6
Ahora puede ampliar a la nueva versión en la interfaz de usuario o en una consola del sistema.
Ampliar en la interfaz de usuario
Puede utilizar las opciones de la interfaz de usuario para realizar la ampliación.
Procedimiento
1
Seleccione Configuración | Dispositivos.
2
En el árbol de appliances, seleccione el appliance que desea ampliar.
La barra de herramientas del appliance aparece en la parte superior derecha de la ficha.
3
Haga clic en Actualizar software del appliance.
Se realizará la ampliación a la nueva versión. Cuando se realiza la ampliación, también se cierra su
sesión en la interfaz de usuario.
4
Si aparece un mensaje que le informa de que la ampliación ha finalizado, haga lo siguiente:
a
Inicie sesión en la interfaz de usuario.
b
Seleccione Configuración | Appliances y seleccione su appliance.
c
En la barra de herramientas del appliance, haga clic en Reiniciar.
Una vez finalizado el reinicio, podrá volver a iniciar sesión en la interfaz de usuario y empezar a
utilizar la nueva versión.
Ampliar desde una consola del sistema
Puede realizar la ampliación mediante la consola del sistema local o de forma remota mediante SSH.
Procedimiento
1
Inicie sesión en el appliance que desea ampliar.
2
Ejecute los siguientes comandos:
yum upgrade yum yumconf\*
yum upgrade
Con ello, se realiza la ampliación a la nueva versión.
3
Si aparece un mensaje que le informa de que la ampliación ha finalizado, ejecute el siguiente
comando:
reboot
Una vez finalizado el reinicio, se le solicitará iniciar sesión. Ahora, puede iniciar sesión en la interfaz
de usuario y empezar a usar la nueva versión.
Ampliar desde 7.2.x o 7.x anterior
Al ejecutar una versión 7.2.x o cualquier otra versión 7.x anterior, cree una copia de seguridad de la
configuración para ampliar a la nueva versión. A continuación, utilice una consola del sistema local
para ampliar a la nueva versión, o bien trabaje de manera remota con SSH.
Puede usar la consola del sistema local o trabajar de forma remota mediante SSH.
7
Procedimiento
1
Haga una copia de seguridad de la configuración.
Utilice las opciones que se proporcionan en Solución de problemas | Hacer copia de seguridad/Restaurar de la
interfaz de usuario para crear la copia de seguridad.
2
En la consola del sistema local o con SSH, inicie sesión en el appliance cuya versión desea ampliar.
3
Ejecute los siguientes comandos:
yum upgrade yum yumconf\*
mwg-dist-upgrade 7.6.2
La ampliación a la nueva versión se realiza en dos fases. Después de cada fase, el appliance se
reinicia de forma automática.
4
Siga uno de estos procesos para finalizar la instalación:
•
Si utiliza una consola del sistema local ocurrirá lo siguiente:
Una vez finalizado el segundo reinicio, se le solicitará iniciar sesión. En ese momento, podrá
iniciar sesión en la interfaz de usuario y comenzar a utilizar la nueva versión.
•
Si utiliza SSH ocurrirá lo siguiente:
Cuando el appliance se reinicie tras la primera fase de ampliación, se cerrará la sesión y se
iniciará la segunda fase de ampliación.
Una vez finalizada esta fase, incluido el reinicio automático, podrá iniciar sesión en la interfaz de
usuario y comenzar a utilizar la nueva versión.
El siguiente comando le permite ver los mensajes sobre el progreso de la ampliación:
tail -F /opt/mwg/log/update/mlos2.upgrade.log
Cuando vea que la ampliación ha finalizado, pulse Ctrl+C para detener el proceso. Tras esto,
puede iniciar sesión en la interfaz de usuario y empezar a usar la nueva versión.
Problemas conocidos
Para consultar los problemas conocidos de esta versión del producto, consulte este artículo del Centro
de conocimiento: KB85705.
Búsqueda de documentación de productos
En el portal ServicePortal puede encontrar información sobre los productos publicados, por ejemplo
documentación de los productos, artículos técnicos, etc.
Procedimiento
8
1
Vaya al portal ServicePortal en https://support.mcafee.com y haga clic en la ficha Centro de conocimiento.
2
En el panel Base de conocimiento, bajo Origen de contenido, haga clic en Documentación de productos.
3
Seleccione un producto y una versión, y haga clic en Buscar para ver una lista de documentos.
Documentación del producto
Todos los productos de McAfee disponen de una completa documentación. Entre los documentos de
Web Gateway se incluyen los siguientes:
•
Guía del producto de McAfee Web Gateway: Describe las funciones y funcionalidades de Web
Gateway y ofrece información general del producto, así como instrucciones detalladas de
configuración y mantenimiento.
•
McAfee Web Gateway Installation Guide — Describes how to set up Web Gateway, as well as
several devices that can be run with the product
•
Guía de inicio rápido de McAfee Web Gateway: Describe pasos de alto nivel para configurar una
versión de Web Gateway suministrada como software de appliance preinstalado en una plataforma
de hardware.
Este documento se entrega en formato impreso junto con el software preinstalado y el hardware.
La versión actual de Web Gateway no se proporciona como software preinstalado, por lo que no hay
una guía de inicio rápido de McAfee Web Gateway para esta versión.
•
SSO Catalog de McAfee Web Gateway: Ofrece una lista de aplicaciones y servicios en la nube que
son compatibles con Web Gateway con conectores o plantillas de conectores preconfigurados.
© 2016 Intel Corporation
Intel y el logotipo de Intel son marcas comerciales o marcas comerciales registradas de Intel Corporation. McAfee y el logotipo de
McAfee son marcas comerciales o marcas comerciales registradas de McAfee, Inc. Los demás nombres y marcas pueden ser
reclamados como propiedad de otros.
0A02
Descargar