Update 7.0-3.0 - Linogate GmbH

7.0-3-0
7.0-2-6
7.0-2-5
7.0-2-4
7.0-2-3
7.0-2-2
7.0-2-1

Neustart erforderlich

Nach dem Update führt das System automatisch einen Neustart durch. Bitte starten Sie das System nicht von Hand neu.

Zahlreiche Softwarepakete

Neben dem Linux-Kernel und den Virenscannern von Avira und F-Secure wurden diverse System-Bibliotheken und Programme aktualisiert.

Schlüssel- und Zertifikatsmanagement

RSA-Schlüsselpaare für Serverdienste wie VPN, Reverse-Proxy, Mail-Server und Administrationsoberfläche wurden bisher in den jeweiligen Menüs dieser Dienste administriert. Ab sofort werden die Schlüsselpaare zentral im Menü "System > Zertifikatsverwaltung > Schlüsselbund" abgelegt. In den Menüs der Dienste wird ausgewählt, welcher der Schlüssel aus dem Schlüsselbund genutzt werden soll.

Auf Cluster-Systemen wird solange keine Synchronisierung der RSA-Schlüsselpaare mehr durchgeführt, bis beide Cluster-Knoten aktualisiert wurden.

Der spezielle Schlüssel "DUMMY" dient als Platzhalter. Er wird in der Grundkonfiguration verwendet, solange noch kein richtiges Schlüsselpaar zur Verfügung steht. Ferner kommt er zum Einsatz, wenn der private Schlüssel eines Schlüsselpaars fehlt, was z.B. nach einem Hardwaretausch der Fall ist, bevor die Backups der Schlüsselpaar eingespielt oder neue Schlüssel ausgestellt wurden. Beachten Sie bitte, dass private Schlüssel nach wie vor nicht Bestandteil des System-Backups sind sondern separat in kennwortgeschützten Dateien gesichert werden müssen.

Im Zuge der Umstellung wurde der Prozess zur Beantragung von Kaufzertifikaten überarbeitet. Unter anderem lassen sich Zertifikatsanfrage und Zertifikat jetzt alternativ per Copy-und-Paste übertragen und Zertifikate könne auch im DER-Format hochgeladen werden.

Zertifikate von Let's Encrypt

Ab sofort können Zertifikate automatisiert über das ACME-Protokoll aktualisiert werden, was die Nutzung von kostenlosen Let's Encrypt-Zertifikaten ermöglicht. Eine entsprechende Alternative steht im Menü "Schlüsselbund" beim Ausstellen neuer Zertifikate zur Verfügung. Die Authentifizierung erfolgt dabei über das Verfahren "http-01". Sie müssen dazu den Reverse-Proxy auf Port 80 aus dem Internet erreichbar machen, virtuelle Hosts für die gewünschten Domains anlegen und darin jeweils das vordefinierte Backend "ACME HTTP-Authorisierung" aktivieren. Eine kurze Anleitung finden Sie unter www.linogate.de/de/support/categories/administration/lets_encrypt.html.

Avira und Kaspersky Online-Abfrage

Um das Zeitfenster zwischen der Meldung eines neuen Virus an die Antivirenhersteller bis zum Download der neuen Signaturen besser zu überbrücken, bieten Avira und Kaspersky die Möglichkeit an, den Status verdächtiger Dateien online abzufragen. Dazu wird eine Prüfsumme über die Datei gebildet und an den Anbieter übermittelt.

In der Grundeinstellung ist diese Option aktiviert. Sie können sie im Menü "Module > Virenscanner" für jeden Scanner separat deaktivieren.

Avira Makro-Erkennung im Web-Proxy

In Kombination mit dem Avira Virenscanner lassen sich im Web-Proxy Content-Filter Office-Dokumente blockieren, wenn diese Makros oder Autostart-Makros enthalten.

LTE-Unterstützung

Die bisherigen USB-Sticks für die Internetanbindung über UMTS laufen aus. Es werden nun LTE-fähige Sticks angeboten.

Die Konfigurationsmaske für die Internetanbindung über Mobilfunk wurde um die Anzeige des Mobilfunkproviders und um eine Auswahlmöglichkeit für den Mobilfunkstandard erweitert.

Auswahl des IKEv2-Modus in IPsec-Verbindungen

In IPsec-Verbindungen vom Typ "Server" und "Client" kann nun der IKEv2-Modus vorgegeben werden.

Re-keying in IPsec-Verbindungen

In IPsec-Verbindungen vom Typ "Client" und in passiven "Server"-Verbindungen wurde kurz vor Ablauf eines Sitzungsschlüssels ggf. ein re-keying initiiert. Die Verbindungen sind jetzt komplett passiv.

E-Mail Dateianhangs-Quarantäne

Das erste Problem betrifft ausschließlich Installationen, bei denen problematische Anhänge aus E-Mails entfernt werden und zusätzlich der Administrator den Empfängern Zugriff auf den Quarantänebereich gestattet. Wurde bei einer E-Mail mehr als ein Anhang unter Quarantäne gestellt, konnten die Empfänger nur den ersten Anhang herunterladen.

In einzelnen Installationen, bei denen E-Mails mit problematischen Anhängen komplett zurückgehalten werden, wurden die Benachrichtigungs-Mails an die Empfänger und ggf. den Administrator nicht gesendet.

IP-Objekte vom Typ "Geolokation"

Bisher wurden nur max. 15 Ländercodes pro IP-Objekt unterstützt.

URL-Filter Datenbank

IDS/IPS-Signaturen für Systeme ohne Pflegevertrag

Kleinere Bugfixes und Verbesserungen

Neustart erforderlich

Nach dem Update führt das System automatisch einen Neustart durch. Bitte starten Sie das System nicht von Hand neu.

Zahlreiche Softwarepakete

Neben dem Linux-Kernel und den Virenscannern von Avira und F-Secure wurden diverse System-Bibliotheken und Programme aktualisiert.

Schlüssel- und Zertifikatsmanagement

Auf Cluster-Systemen wird solange keine Synchronisierung der RSA-Schlüsselpaare mehr durchgeführt, bis beide Cluster-Knoten aktualisiert wurden.

Zertifikate von Let's Encrypt

Avira und Kaspersky Online-Abfrage

In der Grundeinstellung ist diese Option aktiviert. Sie können sie im Menü "Module > Virenscanner" für jeden Scanner separat deaktivieren.

Avira Makro-Erkennung im Web-Proxy

In Kombination mit dem Avira Virenscanner lassen sich im Web-Proxy Content-Filter Office-Dokumente blockieren, wenn diese Makros oder Autostart-Makros enthalten.

LTE-Unterstützung

Die bisherigen USB-Sticks für die Internetanbindung über UMTS laufen aus. Es werden nun LTE-fähige Sticks angeboten.

Die Konfigurationsmaske für die Internetanbindung über Mobilfunk wurde um die Anzeige des Mobilfunkproviders und um eine Auswahlmöglichkeit für den Mobilfunkstandard erweitert.

Auswahl des IKEv2-Modus in IPsec-Verbindungen

In IPsec-Verbindungen vom Typ "Server" und "Client" kann nun der IKEv2-Modus vorgegeben werden.

Re-keying in IPsec-Verbindungen

In IPsec-Verbindungen vom Typ "Client" und in passiven "Server"-Verbindungen wurde kurz vor Ablauf eines Sitzungsschlüssels ggf. ein re-keying initiiert. Die Verbindungen sind jetzt komplett passiv.

E-Mail Dateianhangs-Quarantäne

IP-Objekte vom Typ "Geolokation"

Bisher wurden nur max. 15 Ländercodes pro IP-Objekt unterstützt.

URL-Filter Datenbank

IDS/IPS-Signaturen für Systeme ohne Pflegevertrag

Kleinere Bugfixes und Verbesserungen

Neustart erforderlich

Nach dem Update führt das System automatisch einen Neustart durch. Bitte starten Sie das System nicht von Hand neu.

Aktualisierung des Linux-Kernels und der Systembibliothek glibc

Der Schutzmechanismus, mit dem die verschiedenen Speicherbereiche eines Programmes voneinander getrennt werden, lässt sich umgehen. Dies ermöglicht das Ausführen von eigenem Code oder das Ausweiten der Berechtigungen. Mit dem Update werden entsprechende Angriffe erschwert.

RAR-Entpacker

Mit Hilfe eines manipulierten RAR-Archives konnte ein Angreifer den im E-Mail-Virenscan eingesetzten RAR-Entpacker dazu bringen, im Rahmen der Berechtigungen eigenen Code auszuführen.

OpenVPN

Mit Hilfe von speziellen Datenpaketen konnte ein Angreifer den OpenVPN-Server zum Absturz bringen.

Reverse-Proxy-Option für Quarantänebereich des Dateianhangsfilters

Seit 7.0-2.0 kann der Administrator den Empfängern ermöglichen, unter bestimmten Voraussetzungen selbst auf gefilterte E-Mails oder Anhänge zugreifen zu können. Über einen neuen Schalter können diese Zugriffe nun auch im Reverse-Proxy freigegeben werden, falls von außen ein Zugriff auf die Quarantäne notwendig ist.

E-Mail Dateianhangsfilter

In der Administrationsoberfläche wurden Dateinamen mit ausländischen Zeichensätzen nicht korrekt angezeigt. In den Benachrichtigungsmails betraf dies neben dem Dateinamen auch den Betreff.

Um den Text der Benachrichtigungsmails zu vereinfachen, sind die Kopfzeilen der Original-Mail nicht mehr Bestandteil des Textes sondern werden als Anhang zugeordnet.

SPAM-Ordner E-Mail-Report

Im täglichen E-Mail-Report, der neue E-Mails im SPAM-Ordner auflistet, wurden Absendernamen und Betreff möglicherweise abgeschnitten. Bei Verwendung von ausländischen Zeichensätzen war die Anzeige nicht korrekt.

Ferner wurden E-Mails mit ungültiger Message-ID nicht automatisch nach der konfigurierten Zeitspanne gelöscht.

Monitoring für SSH-TCP-Forwarding

Auf einem neuen Reiter im Menü "Monitoring > Netzwerk > Status" werden jetzt Verbindungen mit dem SSH-TCP-Forwarder angezeigt.

Kleinere Bugfixes und Verbesserungen

Web-Proxy

Ein Fehler bei der Verarbeitung bedingter Anfragen ermöglichte es internen Angreifern, Zugriff auf die Sitzungen anderer Nutzer und damit potentiell auf vertrauliche Daten zu erlangen.

Filterung von eingehenden E-Mails mit Absenderadresse aus der eigenen Domain

Das Update behebt mehrere Möglichkeiten, diese in 7.0-1.1 neu eingeführten Filter zu umgehen. So wurden z.B. bislang nur die E-Mail-Adresse, nicht jedoch der Text-Teil des From-Headers untersucht und nur der erste From-Header geprüft.

Der Sender-Header wird ab sofort ebenfalls geprüft.

Windows-Dienste

Im Samba-Server wurden diverse Sicherheitsprobleme behoben, die nach unserer Auffassung jedoch nicht relevant sein dürften. Vorsichtshalber stellen wir dennoch ein Update zur Verfügung.

Protokollierung auf Syslog-Server

Der Inhalt der meisten Log-Dateien kann jetzt in Kopie auf einen Syslog-Server gesendet werden.

Eingabe von IP-Bereichen

In der Administrations-Oberfläche lassen sich nun an vielen Stellen neben einzelner IPs und Netzwerken auch IP-Bereich wie z.B. "192.168.0.100-192.168.0.120" eingeben.

Cluster mit Fallback

Das Verhalten von Cluster-Master-Knoten, die zugleich über ein Fallback auf eine zweite Internet-Leitung verfügen, wurde überarbeitet. Wenn der Netzwerk-Link auf der primären Internet-Leitung verloren geht, erfolgt kein Wechsel auf den Backup-Knoten mehr. Stattdessen erfolgt ein Fallback auf die zweite Internet-Leitung.

Anzeige von Dateianhängen in der E-Mail Quarantäne

Vereinzelt wurden Anhänge nicht angezeigt, wenn deren Dateinamen auf bestimmte Weise kodiert waren.

Anzeige der Schnittstellen-Tabelle

Auf Hyper-V Systemen und manchen VDSL-Systemen wurde die Schnittstellen-Tabelle im Monitoring nicht angezeigt.

Kleinere Bugfixes und Verbesserungen

Abweisen von E-Mails mit unerwünschten Dateianhängen

Bei der Filterung von Dateianhängen steht nun eine zusätzliche Option zur Verfügung, bei der E-Mails mit unerwünschten Anhängen nicht unter Quarantäne gestellt, sondern gar nicht erst angenommen werden.

Diese Option ist nicht geeignet für Systeme, die eingehende E-Mails von einem POP- oder IMAP-Server abholen.

Import-Funktion für Konfigurationstabellen

Mit der neuen Import-Funktion aus 7.0-2.0 gab es noch ein paar Schwierigkeiten. Der Import funktioniert nun auch mit Chrome und der doppelte Import bei Verwendung des Internet-Explorers wurde behoben. Teilweise wurde die letzte Zeile des Imports fälschlicherweise als fehlerhaft beanstandet. Schließlich ist der Importvorgang jetzt toleranter bezüglich des Dateiformats, so dass sich die Import-Dateien nun mit den meisten Editoren bearbeiten lassen sollten.

DSL-Einwahl nach Neustart

An manchen DSL-Anschlüssen ging nach einem Neustart des Systems die DSL-Verbindung nicht online, wenn die DSL-Schnittstelle auch für IPsec-VPN genutzt wurde.

Backup auf NetAPP Windows-Freigabe

Das Backup schlug fehl, sofern in der NetAPP NTLMv2-Signed aktiviert ist.

Neustart erforderlich

Zahlreiche Softwarepakete

Schlüssel- und Zertifikatsmanagement

Zertifikate von Let's Encrypt

Avira und Kaspersky Online-Abfrage

Avira Makro-Erkennung im Web-Proxy

LTE-Unterstützung

Auswahl des IKEv2-Modus in IPsec-Verbindungen

Re-keying in IPsec-Verbindungen

E-Mail Dateianhangs-Quarantäne

IP-Objekte vom Typ "Geolokation"

URL-Filter Datenbank

IDS/IPS-Signaturen für Systeme ohne Pflegevertrag

Kleinere Bugfixes und Verbesserungen

Neustart erforderlich

Zahlreiche Softwarepakete

Schlüssel- und Zertifikatsmanagement

Zertifikate von Let's Encrypt

Avira und Kaspersky Online-Abfrage

Avira Makro-Erkennung im Web-Proxy

LTE-Unterstützung

Auswahl des IKEv2-Modus in IPsec-Verbindungen

Re-keying in IPsec-Verbindungen

E-Mail Dateianhangs-Quarantäne

IP-Objekte vom Typ "Geolokation"

URL-Filter Datenbank

IDS/IPS-Signaturen für Systeme ohne Pflegevertrag

Kleinere Bugfixes und Verbesserungen

Neustart erforderlich

Aktualisierung des Linux-Kernels und der Systembibliothek glibc

RAR-Entpacker

OpenVPN

Reverse-Proxy-Option für Quarantänebereich des Dateianhangsfilters

E-Mail Dateianhangsfilter

SPAM-Ordner E-Mail-Report

Monitoring für SSH-TCP-Forwarding

Kleinere Bugfixes und Verbesserungen

Windows-Freigaben

NTLM-Authentifzierung und Mitgliedschaft in der Windows-Domäne

Kleinere Bugfixes und Verbesserungen

Neustart erforderlich

IPsec-Server

Intrusion-Prevention und F-Secure Antivirus

Aktualisierung des Linux-Kernels

Kleinere Bugfixes und Verbesserungen

Intrusion-Detection / -Prevention

IPsec CRL

Autostart des Dienstes "weitere Server"

Webmail über Reverse-Proxy

Firewall-Regeln mit vielen Adressen

Kleinere Bugfixes und Verbesserungen

Web-Proxy

Filterung von eingehenden E-Mails mit Absenderadresse aus der eigenen Domain

Windows-Dienste

Protokollierung auf Syslog-Server

Eingabe von IP-Bereichen

Cluster mit Fallback

Anzeige von Dateianhängen in der E-Mail Quarantäne

Anzeige der Schnittstellen-Tabelle

Kleinere Bugfixes und Verbesserungen

Abweisen von E-Mails mit unerwünschten Dateianhängen

Import-Funktion für Konfigurationstabellen

DSL-Einwahl nach Neustart

Backup auf NetAPP Windows-Freigabe

Speicherleck im Reverse-Proxy

Kleinere Bugfixes und Verbesserungen

Downloads 7.0-3-0

Legende

Sicher

Flexibel

Mehr gute Gründe