Neustart erforderlich

Nach dem Update führt das System automatisch einen Neustart durch. Bitte starten Sie das System nicht von Hand neu.
Aufgrund zahlreicher Aktualisierungen dauert der Update-Vorgang deutlich länger als üblich (nach dem Download mind. 10-15 Minuten). Bitte haben Sie Geduld.

Kaspersky Antivirus

Für die neue Version sind andere Signaturen erforderlich. Mit 381 MB ist das Update des Scanners daher ungewöhnlich umfangreich. Deshalb haben wir den neuen Scanner nicht wie sonst üblich in das Update integriert, sondern laden diesen bei Bedarf nach.
System, auf denen eine ältere Version des Kaspersky-Scanners installiert ist, laden zu Beginn der Update-Prozedur zunächst das 381 MB große Kaspersky-Update von unserer Webseite herunter.
Sie haben alternativ die Möglichkeit, selbst die neue Version des Kaspersky-Scanners von unserer Webseite herunterzuladen und vor dem Update manuell einzuspielen.

Diverse Software-Komponenten

Mit dem Update werden der Linux-Kernel, die Virenscanner-Engines, diverse System-Bibliotheken und Anwendungen aktualisiert. Auch die vordefinierten Listen der vertrauenswürdigen CAs, die URL-Filter-Datenbank und das SPAM-Filter-Regelwerk werden aktualisiert. Systeme ohne tägliche Aktualisierung der IDS-Regeln (Systeme ohne Pflegevertrag) erhalten mit diesem Update neue IDS-Regeln.

Bearbeiten von Listen in der Administrations-Oberfläche

Beim intensiven Bearbeiten einer Liste in der Administrations-Oberfläche wurde mit der Zeit der Web-Browser durch immensen Speicherbedarf überlastet.

Definitionen > Domainlisten

Der neue Menüpunkt unter "Definitionen" ermöglicht es, Listen von Server- und Domainnamen anzulegen, die dann an mehreren Stellen in der Web-Proxy-Konfiguration genutzt werden können. Für bestimmte Anwendungen, die von allgemeinem Interesse sein dürften, bieten wir vordefinierte Domainlisten an.

Erlaubte Ziel-Ports im Web-Proxy

Bei den Ports für unverschlüsselte (HTTP-)Verbindungen, lassen sich Ports nun auch nur für bestimmte Server freischalten. Wir empfehlen, die pauschale Freigabe des Portbereichs 1024-65535 zu entfernen.
Der Zugriff via Web-Proxy auf die Administrations-Oberfläche (Port 44344) ist nicht mehr automatisch erlaubt. In der Liste der erlaubten CONNECT-Ports (für HTTPS) sind nach dem Update Einträge für den Zugriff auf die Oberfläche hinterlegt. Sie können diese löschen, wenn sie nicht benötigt oder erwünscht sind.

Microsoft Update-Server

Die Server officecdn.microsoft.com officecdn.microsoft.com.edgesuite.net und mp.microsoft.com werden in der Konfiguration des Web-Proxy Content-Filters als vertrauenswürdige Server hinzugefügt, falls diese dort nicht bereits eingetragen sind.

Mail-Server Ports 587 und 465

In der Mail-Server-Konfiguration lassen sich nun die beiden Ports für den Mail-Versand 587 und 465 anlegen. Die beiden Ports stehen nun auch als vordefinierte Protokolle SMTP-SUB und SMTPS zur Verfügung.

Kleinere Bugfixes und Verbesserungen

TLS-Server-Dienste konnten zum Absturz gebracht werden

In der OpenSSL-Systembibliothek wurde ein Fehler behoben, über den ein Angreifer TLS-basierte Server-Dienste zum Absturz bringen konnte.

Kleinere Bugfixes und Verbesserungen

Reset-Schalter bei Hardware-Variante ECO-Server und Praxis-Wächter

Unsere Einsteiger-Hardware ECO-Server sowie die Standard-Hardware des Praxis-Wächters haben auf der Vorderseite ein winziges Loch. Dahinter verbirgt sich ein Reset-Schalter, der mit einer aufgebogenen Büroklammer o.ä. betätigt werden kann. Dieser Schalter ist ab sofort aktiv. Halten Sie den Schalter gedrückt, bis Sie einen Piepton hören. Nach Abschluss des Reset-Vorgangs ertönt ein doppelter Piepton.
Der Reset setzt die Systemkonfiguration auf den Auslieferungszustand zurück. Benutzer, Logdateien, installierte Apps usw. bleiben erhalten. Gedacht ist der Reset für Fälle, in denen man sich versehentlich durch Konfigurationsänderungen ausgesperrt hat. Der Reset hilft nicht bei vergessenem Passwort oder wenn die Installation z.B. durch Trennen der Stromversorgung während des Update-Vorgangs beschädigt wurde.

Nur Produkt "Praxis-Wächter": Diverse Anpassungen und Verbesserungen

Der TI-Assistent unterstützt jetzt Installationen bei denen die Netzwerkkarte "eth2" ausschließlich für VLANs verwendet werden soll. Die benötigten VLAN-Schnittstellen müssen im Vorfeld angelegt werden. Im "Verkabelungsplan" darf nirgends mehr die Schnittstelle "eth2" ausgewählt sein.
Bei Installationen, bei denen der Konnektor nicht am Geräte-Anschluss sondern an einer separaten (VLAN-)Schnittstelle angeschlossen ist, überschreibt der TI-Assistent ab sofort deren Grundkonfiguration.
Sind Verwaltungs-Netzwerk und Konnektor über eine Bridge verbunden, wird die Firewall-Regel für den Zugriff auf "TI_vpn/netze" nicht mehr nur in der Bridge- sondern auch in der Routing-Firewall konfiguriert. Um die neue Regel zu erhalten, muss der Firewall-Teil des TI-Assistenten erneut durchlaufen werden.
Bei Installationen mit Standard-Gateway via TI-Konnektor (SIS) sperrt eine zusätzliche Firewall-Regel den Zugriff für den Praxis-Wächter auf "TI_vpn/netze". Auch für diese Regel muss der Firewall-Teil des TI-Assistenten erneut durchlaufen werden.
Weiterhin werden bei erneutem Durchlauf das IP-Objekt "TI_vpn/netze" in die Ausnahmen für transparentes Proxying der Schnittstelle eth0 sowie in die Proxy-Autoconf-Datei hinzugefügt. Auch "INTRANET" wird in der Proxy-Autoconf-Datei ergänzt.

Routing in der Bridge

Diese neue Option ist hilfreich, wenn ein Netzwerkgerät und dessen Standard-Gateway über Bridge miteinander verbunden sind und erforderliche statische Routen nicht auf dem Netzwerkgerät konfiguriert werden sollen. Pakete zu Ziel-Adressen die auf anderen Schnittstellen, in VPNs oder statischen Routen konfiguriert wurden, werden dann vom Bridging ausgenommen und geroutet.

Assistent "Internet-Zugang" überarbeitet

Konfigurationsmöglichkeit für Zuweisung von NTP-Zeitservern im DHCP-Server

Kleinere Bugfixes und Verbesserungen

Bandbreitenbegrenzung im Web-Proxy

Die Bandbreite lässt sich anhand der Client-IPs und/oder des angesprochenen Servernamens begrenzen. Bei lokaler Benutzeranmeldung ist auch eine Begrenzung je Benutzergruppe möglich.

Ausnahmeliste für transparentes Proxying

In der Firewall-Konfiguration von LAN- und RAS-Schnittstellen gibt es nun eine Ausnahmeliste für Ziel-Adressen, zu denen kein transparentes Proxying durchgeführt werden soll.

Verbesserte Kommunikationssicherheit im Cluster

Wenn sich der Backup-Knoten mit dem Master verbindet, wird nun auch der Schlüssel des Masters geprüft.

Verbessertes Bandbreitenmanagement

Bei breitbandingen Internetanbindungen erzielen die Prioritätsklassen "niedrig" und "normal" nun einen höheren und gleichmäßigeren Durchsatz.

Nur Produkt "Praxis-Wächter": Diverse Anpassungen und Verbesserungen

Die Firewall-Regel für den Zugriff auf die Administrationsoberfläche des Konnektors lässt sich nun auch im Assistenten "Telematikinfrastruktur" aktivieren und deaktivieren.
Das Protokoll "TI_sicct" für die Kommunikation zwischen Kartenleser und Konnektor wird aufgeteilt in "TI_sicct_udp" (nur UDP) und "TI_sicct" (TCP und UDP). Der Assistent "Telematikinfrastruktur" legt zukünftig eine zusätzliche Firewall-Regel für "TI_sicct_udp" von den Kartenlesern zum Konnektor an. Sind Kartenleser und Konnektor mittels Bridge verbunden, wird eine weitere Regel für "TI_sicct_udp" vom Konnektor zur Broadcast-Adresse ergänzt. Probleme beim Pairing sollten damit behoben sein. Ferner soll die Wiederherstellung der Verbindung nach Neustarts von Konnektor oder Kartenleser dadurch beschleunigt werden. Um die neuen Regeln zu erhalten, muss der Firewall-Teil des Assistenten erneut durchlaufen werden.
Ebenfalls erst nach erneutem Durchlauf des Assistenten wird in der Firewall der ping vom Praxis-Wächter auf Systeme im Verwaltungs- und Gerätenetzwerk freigegeben.
Bei Systemen mit TI-Anbindung über Arvato wird eine IP-Adresse im IP-Objekt "arvato/dns" ergänzt.
Der Versicherungsdienstleister ACTINEO wird als IP-Objekt angelegt. Es kann bei Bedarf dem IP-Objekt "TI_vpn/netze" hinzugefügt werden, um via Telematikinfrastruktur-VPN auf dessen Server zuzugreifen.
Verbesserte Unterstützung im Assistenten für Konfigurationen mit Internet-Zugang über SIS bei parallelem Konnektor und bei seriellem Konnektor, der nicht an der Internet-Schnittstelle des Praxis-Wächters angeschlossen ist.

Aktualisierung diverser Software-Komponenten

Kleinere Bugfixes und Verbesserungen

Konfigurationsoptionen für Web-Client 1.2.0

Die Zwischenablage für RDP- und VNC-Verbindungen kann nun deaktiviert oder auf eine Richtung beschränkt werden. Bei RDP-Verbindungen kann der Dateitransfer nun ebenfalls auf eine Richtung beschränkt werden. Ferner können die zusätzlichen Tastaturlayouts für RDP-Verbindungen konfiguriert werden.

Umleitung statt Fehlermeldung für unbekannte Pfade im Reverse-Proxy

Zugriffe auf URL-Pfade für die kein Hintergrund-Server konfiguriert wurde, sind bisher mit einer Fehlermeldung abgewiesen worden. Alternativ kann nun eine Umleitung auf eine beliebige URL mit oder ohne Beibehaltung des URL-Pfads konfiguriert werden. Als spezieller Anwendungsfall lassen sich in einem unverschlüsselten HTTP-Port alle Anfragen auf die entsprechende verschlüsselte HTTPS-Seite umleiten.

Tabellen in der Administrationsoberfläche

Bisher konnte über das Einstellungs-Menü in der rechten, oberen Ecke festgelegt werden, ob sortierbare Tabellen mit mehr als 20 Einträgen mit einer Seitenschaltung oder in einer gruppierten Ansicht dargestellt werden sollen. Dies lässt sich nun individuell je Tabelle einstellen. Die Voreinstellung für Tabellen zur Auswahl von Unterobjekten ist die gruppierte Ansicht. Für Wertetabellen ist die Seitenschaltung voreingestellt.

Modell "Praxis-Wächter": Nachtrag der T-Systems DNS-Server

Für das Produkt "Praxis-Wächter" mit TI-Anbindung über T-Systems haben wir nun die benötigten DNS-IPs erhalten. Das Update ersetzt im IP-Objekt "t-systems/dns" den bisherigen Verweis auf das IP-Objekt "t-systems/de" (deutsche IP-Adressen) durch die DNS-IPs.

Archivierungsmöglichkeit für IDS/IPS-Logs

Fehlfunktion des DHCP-Relays in bestimmten Netzwerkkonstellationen

Kleinere Bugfixes und Verbesserungen

Fehlende Berechtigungen seit 7.1-2.0

Nach der Aktualisierung der SELinux-Berechtigungen in 7.1-2.0 schlugen einzelne Operationen aufgrund fehlender Zugriffsrechte fehl. Betroffen waren das Ausschalten des Geräts über den Schalter am Gehäuse, die Archivierung von Logdateien auf Windows-Netzwerkfreigaben, die neue OpenVPN-Funktion Anmeldung mit Einmal-Passwörtern und das Generieren eines neuen OpenVPN-Schlüssels für tls-crypt.

Konfigurationsänderungen im SPAM-Filter

Änderungen an der SPAM-Filter-Konfiguration wurden in 7.1-2.0 erst nach manuellem Neustart wirksam.

Setzen der Systemzeit

Das Einstellen der Systemzeit über Administrationsoberfläche sowie zeitgesteuert täglich bzw. wöchentlich funktionierte in Version 7.1-2.0 nicht mehr. Die kontinuierliche Zeitsynchronisation mittels NTP-Dienst war nicht betroffen.

Kleinere Bugfixes und Verbesserungen

Sicher

DEFENDO bedient sich einer Reihe von bewährten Security-Modulen wie Firewall, VPN, Proxies, Virenscanner und Anti-Spam-System.
Diese schützen Sie vor Schad-Code, Spam, Hacker-Angriffen und weiteren unerwünschten oder schädlichen Dingen.

Flexibel

Keine IT-Umgebung ist wie die andere. Die DEFENDO Produktfamilie passt sich genau Ihren Bedürfnissen an.
Von der einfachen Internet-Anbindung für kleinere Unternehmen, über Lösungen für Filialen und den Außendienst, bis hin zu komplexen, mehrstufigen Firewall-Systemen.

Mehr gute Gründe

  • Es gibt keine Backdoors
  • über 20 Jahre Internet-Security-Erfahrung
  • Mehrfach ausgezeichnet
  • Support direkt durch unsere Entwickler
  • Fachhändler-Treue
  • Made in Germany