Ein Problem das so manch einen die letzten Monate beschäftigt hat, war der Umstand das UTMs von Securepoint mit dem Software-Stand v11.x nicht mehr ansprechbar waren, keine Verbindungen mehr zuließen und schlicht nicht mehr richtig funktionierten.

Oft half nur ein Aus- und erneutes Einschalten oder Netzstecker ziehen und wieder anstecken. Ein Neustart via Web-Interface oder ssh war nicht möglich, da im Fehlerfall an beiden Stellen eine Anmeldung verweigert wurde.

Laut Aussage des Supports und wie man es auch im entsprechenden Thread im Forum nachlesen kann, wird aktuell vermutet, das es am Clam AntiVirus bzw. dessen Pattern-Größe und der Art, wie Updates zusammengesetzt werden, zusammenhängt. Da seit der Software-Version v11 der Virenschutz von Commtouch mit an Board ist und dieser in der Regel eine bessere Trefferquote erreicht (und darüber hinaus weniger Ressourcen verbraucht) lautet die Empfehlung, den Clam AntiVirus zu deaktivieren.

Bevor man das tut, sollte geprüft werden, ob der Clam AntiVirus nicht noch im HTTP-Proxy verwendet wird. Zu diesem Zweck auf “Anwendungen – HTTP-Proxy” klicken und zur Registerkarte “VIRENSCANNER” wechseln. Dort im Feld “Virenscanner-Typ” prüfen, ob “Commtouch Scan Daemon” eingetragen ist.

Securepoint UTM - HTTP-Proxy und CommtouchNachdem sichergestellt ist, das der Clam AntiVirus nicht mehr verwendet wird, kann Dieser unter “Anwendungen – Anwendungsstatus” mit einem Klick auf “Stoppen” bei “ClamAV Virenscanner” beendet werden. Diese Einstellung speichert die UTM, so das auch nach einen Neustart der Dienst beendet bleibt.

Securepoint UTM - Clam AntiVirus - StoppenLaut Support soll der Clam AntiVirus mit Software-Version v11.4 von Haus aus deaktiviert werden.

Persönliche Bemerkung

Wie man im Forum lesen kann, betrifft es scheinbar vor allem die kleineren UTMs. In unserem Fall mehrfach Black Dwarfs, aber auch RC100. Das Problem ist allem voran der Speicherbedarf (sowohl RAM als auch SSD) des Clam AntiVirus beim Updaten. Läuft die SSD voll, kommt das System aus dem Tritt. Es macht dabei keinen Unterschied ob v10 oder v11 Hardware zum Einsatz kommt, einzig die Software-Version ab v11 ist davon betroffen.

Update 10.01.2014 – 09:58

Leider ist die Sache noch nicht ganz ausgestanden, wie man im Forum lesen kann. Auch bei uns hat es wieder einen Kunden, trotz deaktivierten ClamAV, erwischt (schon zum zweiten Mal). Es scheinen zwar hauptsächlich die Black Dwarfs betroffen zu sein, aber RC100 (wie bei uns) als auch RC300 hat es auch schon erwischt. Da das Problem sporadisch und scheinbar nicht (ohne weiteres) reproduzierbar auftritt, ist es wohl schwer zu fassen.

Ich spekuliere gerade (siehe Thread), ob es Sinn machen würde, die UTMs automatisch Neustarten zu lassen. Das funktioniert natürlich nur, sofern der Fehler/Freeze noch nicht aufgetreten ist.

Update 10.01.2014 – 15:35

Man könnte natürlich mit einer über’s Netzwerk schaltbaren Steckdose(nleiste) (z.B. Allnet ALL3075V2) die abgestürzte UTM “ausknipsen” und wieder starten. Ich meine damit jetzt nicht, die Steckdose über’s Internet zugänglich zu machen! Sondern, da oft wohl noch irgendein Fernzugang (bei manchen geht wohl noch SSL- oder IPsec-VPN, bei uns bislang immer TeamViewer) möglich ist, könnte man darüber den entsprechenden Befehl absetzen. Vom Ablauf her quasi so:

  • Per Fernzugang zum Kunden verbinden.
  • Skript starten.
  • Warten bis die UTM wieder läuft.

Das Skript enthält den Befehl zum Abschalten der entsprechenden Steckdose, wartet dann 30-60 Sekunden und schaltet die Steckdose wieder ein.

Da i.d.R. die UTMs so konfiguriert sind (ich glaub’ ab Werk), das sie den Last State vor dem Stromausfall verwenden, würden Diese wieder booten.

Recht aktuell im Thread findet sich nun auch die Meldung, das eine RC400 “abgeschmiert” ist. So langsam glaube ich nicht mehr an ein Speicherproblem, sondern spekuliere in Richtung Gerätetreiber, da, wie bereits erwähnt, bei virtualisierten UTMs bislang kein Problem dieser Art aufgetreten ist.

Update 10.01.2014 – 16:19

Es gibt mehrere Thread zu dem Thema, wenngleich beim oben verlinkten am meisten los ist:

Zugriff auf UTM

Access denied

Update 14.01.2014

Es gibt seit gestern einen neuen empfohlenen Workaround im Thread:

http://support.securepoint.de/viewtopic.php?f=27&t=2641&p=12240#p12240

Es werden zwei Protokolldateien “verdächtigt” für die Abstürze bzw. Freezes verantwortlich zu sein. Der Workaround ist schnell durchgeführt. Bleibt abzuwarten, ob das die Lösung ist.

Update 15.01.2014

Direkt zum workaround geht’s mit diesem Link:

http://support.securepoint.de/viewtopic.php?f=27&t=2641&start=25#p12247

Mit Version 11.4 soll das Problem endgültig behoben sein, dazu findet sich im Thread ein Beitrag von Eric Kaiser, Produktmanager bei Securepoint.

Info am Rande: Den ClamAV deaktiviert lassen (Setzt den überhaupt noch jemand seit v11 und Commtouch ein?)

Update 20.01.2014

Bislang wurden wohl keine Abstürze mehr gemeldet bzw. sind keine mehr vorgekommen. Ein etwas unschöner Nebeneffekt des workarounds kommt in Verbindung mit Server-Eye zum Vorschein. Der Sensor meldet die veralteten Signaturen des ClamAV.

Server-Eye und Securepoint - Veraltete ClamAV-SignaturenJa nachdem wie man seine Alarmierung konfiguriert hat, erhält man einige bis sehr viele Fehlalarme. Der Server-Eye Support wurde entsprechend informiert und wird beim nächsten Update die ClamAV-Prüfung (hinsichtlich der kommende Securepoint OS v11.4) herausnehmen. Zukunftig soll es eine Auswahlmöglichkeit geben, ob ClamAV geprüft wird oder nicht.

24.01.2014

Anscheinend ist die Show noch nicht vorbei. Gestern hat sich unsere UTM trotz aller workarounds aufgehängt, Server-Eye meldete zuletzt 182% CPU-Last. Im Forum/Thread haben sich ebenfalls wieder welche mit dem Problem gemeldet.

27.01.2014

Seit heute steht die neue Version 11.4 zur Verfügung. Mal sehen, ob die Probleme nun (endgültig) behoben sind.

21.02.2014

Seit gut einem Monat keine Abstürze mehr. So sieht es im übrigen aus, wenn beim Update, in diesem Fall auf v11.4.1.1, ein Virenscanner automatisch deaktiviert wird:

Securepoint UTM - Anzahl der Virenscanner reduziert