Neustart erforderlich

Nach dem Update führt das System automatisch einen Neustart durch. Bitte starten Sie das System nicht von Hand neu.
Aufgrund zahlreicher Aktualisierungen dauert der Update-Vorgang deutlich länger als üblich (nach dem Download mind. 10-15 Minuten). Bitte haben Sie Geduld.

Laufzeitumgebung für Apps

Mit dem Update wechseln wir die Laufzeitumgebung für Apps von "Docker" auf das leichtgewichtigere "Podman". Letzterer kommt insbesondere ohne einen eigenen Dienst aus.
Systeme, auf denen Apps installiert sind, müssen diese zuvor auf die aktuellste Version bringen. Das Update bricht sonst mit einer Fehlermeldung ab. Anschließend werden die Apps automatisch in Podman importiert, sofern es der verfügbare Speicherplatz zulässt. Reicht der Speicherplatz nicht aus, wird das Update mit einer passenden Handlungsempfehlung abgebrochen.

F-Secure Virenscanner als App

Die neue Version des F-Secure Scanners wird als App installiert. Dieses Update aktualisiert den alten Scanner noch nicht automatisch auf die neue App. Ein automatisches Upgrade wir erst in einer späteren Version stattfinden. Installieren Sie bitte nach dem Update (und nach dem Neustart) die F-Secure App im Menü "System > Apps", um die alte durch die neue Version zu ersetzen.
Mit der neuen Version bietet nun auch F-Secure eine Cloud-Option zur Unterstützung des Scan-Prozesses an. Diese Option ist standardmäßig aktiviert, kann aber in der Administrationsoberfläche deaktiviert werden. Mit der Cloud-Option sollen neue Schädlinge schneller erkannt werden, noch bevor neue Signaturdateien den Weg bis zum lokalen Scanner gefunden haben. Ferner werden Links in E-Mails geprüft. Verweisen diese auf einen Webserver, der von F-Secure eine schlechte Reputation erhalten hat, wird die Mail wie eine Virusmail behandelt (auch wenn in der Mail strenggenommen kein Virus enthalten ist).

Zugriff auf Groupware

Auf Systemen mit installierter Groupware hat der Reverse-Proxy seit Version 7.1-3.4 Zugriff stets an die Groupware weitergeleitet, selbst wenn in der Konfiguration des Reverse-Proxies die Groupware-Option nicht aktiviert war.

IP-Objekte und Domainlisten

Nachdem die Microsoft Cloud Deutschland Ende 2021 geschlossen wurde, entfallen das IP-Objekt und die Domainliste MICROSOFT_365_DE. Verwenden Sie stattdessen bitte MICROSOFT_365. Weiterhin sind die IP-LISTS AMAZON_VIDEO, BITTORRENT, HOTSPOT_SHIELD, MINING, PS_VUE, WECHAT, WHATSAPP und WHATSAPP_FILES nicht mehr verfügbar.
Soweit sie nicht verwendet werden, werden diese Listen durch das Update gelöscht. Listen, die noch in Verwendung sind, werden geleert und mit einem entsprechenden Kommentar versehen. Ferner wird eine entsprechende E-Mail an den "admin" gesendet.
Die IP-LIST MS_ONE_DRIVE wurde in SHAREPOINT umbenannt. TEAMS kann als Synonym für SKYPE verwendet werden. Neu sind die IP-LISTS EXCHANGE und INSTAGRAM.
Unter GEO wurden vordefinierte Geolokations-Objekte für Deutschland (DE), deutschsprachige Länder (DACH) und die Europäische Union (EU) angelegt.

Globale Sperrliste für Firewall

In den globalen Einstellungen der Firewall lässt sich jetzt eine schnittstellenunabhängige Sperrliste für IP-Adressen konfigurieren. Zu IP-Adressen in dieser Liste dürfen weder ein- noch ausgehende Verbindungen aufgebaut werden. Die Verwendung von beliebigen IP-Objekten, inklusive Geolokation, ist möglich.

Installationspakete für Verwaltungsserver

Dank der neuen Installationspakete lassen sich jetzt weitere Systeme im Handumdrehen an den Verwaltungsserver anbinden. Das Installationspaket wird vom Administrator des Verwaltungsservers erstellt und ist mit einem Kennwort geschützt. Auf dem Zielsystem muss nur noch das Installationspaket hochgeladen und das zugehörige Kennwort eingegeben werden.
Um das Installationspaket nutzten zu können, muss auch auf den zu verwaltenden Systemen mindestens Version 7.1-4.0 installiert sein. Es wird ausschließlich der Tunnel-Modus unterstützt, bei dem das verwaltete System die Verbindung zum Verwaltungsserver initiiert.

Transparentes Proxying in DMZ-Schnittstellen

Die Schalter zur einfachen Konfiguration von transparentem Proxying sind nun auch in DMZ-Schnittstellen verfügbar. Bisher standen die Schalter nur in LAN- und RAS-Schnttstellen zur Verfügung. In DMZ-Schnittstellen musste das transparente Proxying mit Hilfe von Firewall-Regeln eingerichtet werden.
Bereits in Version 7.1-3.7 wurden die Einstellmöglichkeiten bei den Schaltern für transparentes Web-Proxying erweitert. Ist in der Konfiguration des Web-Proxies erlaubt, den Content-Filter zu umgehen, lässt sich jetzt wählen ob der transparente Zugriff mit oder ohne Content-Filter erfolgen soll. Bisher konnte der Zugriff ohne Content-Filter nur mit Hilfe von Firewall-Regeln eingerichtet werden.
Hilfreich ist der transparente Zugriff ohne Content-Filter, wenn der Content-Filter verschlüsselte (HTTPS-)Verbindungen aufbricht, an manchen Schnittstellen aber Geräte angeschlossen sind, auf denen das Proxy-CA-Zertifikat nicht installiert werden kann (z.B. Mitarbeiter-WLAN mit privaten Endgeräten). Sollen diese Geräte dennoch den Proxy nutzen, würden Sie bei diesen Schnittstellen das transparente HTTPS-Proxying ohne Content-Filter einstellen. Vergessen Sie jedoch nicht, ggf. den Zugriff des Proxies auf vertrauenswürdige Netze wie das LAN einzuschränken.

IP-Objekt für Azure Servicebus WCF-Relay

Nach Angabe des Servicebus-Namespaces ermittelt dieses IP-Objekt über DNS die IP-Adressen der zugehörigen Relay-Server.

Groupware Filter-Regeln für Postfächer mit Sonderzeichen

Groupware Filter-Regeln, die E-Mails automatisch in Postfächer mit Sonderzeichen im Namen sortieren sollten, haben stattdessen in einen neuen Ordner mit kodiertem Sonderzeichen sortiert.
Bestehende Filter-Regeln werden durch das Update nicht verändert. Sie können die Regeln nun aber bearbeiten und auf den korrekten Ordnernamen mit Sonderzeichen umstellen.

Diverse Software-Komponenten

Mit dem Update werden der Linux-Kernel, der Avira-Virenscanner, diverse System-Bibliotheken und Anwendungen aktualisiert. Auch die vordefinierten Listen der vertrauenswürdigen CAs und die kostenlose URL-Filter-Datenbank werden aktualisiert. Systeme ohne tägliche Aktualisierung der IDS-Regeln (Systeme ohne Pflegevertrag) erhalten mit diesem Update neue IDS-Regeln.

Kleinere Bugfixes und Verbesserungen

Neustart erforderlich

Nach dem Update führt das System automatisch einen Neustart durch. Bitte starten Sie das System nicht von Hand neu.

Sicherheitslücken in diversen Komponenten

Das Update behebt weniger kritische Sicherheitslücken im Linux-Kernel, beim Komprimieren mit der zlib-Bibliothek, in der XML-Parser-Bibliothek expat und im Avira Virenscanner.

Kleinere Bugfixes und Verbesserungen

Denial-of-Service über OpenSSL Crypto-Bibliothek

Das Update beseitigt einen Fehler in der OpenSSL System-Bibliothek, der in Anwendungen zu einer Endlos-Schleife führen konnte.

Cache poisoning im DNS-Forwarder

Das Problem betrifft ausschließlich Konfigurationen, bei denen Provider-Nameserver konfiguriert sind, zugleich aber auch die Namensauflösung über die Internet-Root-Nameserver erlaubt ist. Bei einer Namensauflösung über die Root-Server wurden potentiell manipulierte Nameserver-Informationen aus dem Cache verwendet, die über die Provider-Nameserver bezogen wurden.

IPsec-Fallback für Verbindungen zu AWS

Ein Virtual-Private-Gateway (VPG) in der AWS-Cloud kann zur Erhöhung der Verfügbarkeit unter zwei IP-Adressen angesprochen werden. Ein neuer IPsec-Verbindungstyp ermöglicht es nun, beide VPG-IPs zu konfigurieren und bei Störung der Verbindung zu einer der IPs automatisch die Verbindung zur anderen IP aufzubauen.

Verbesserte Import-Funktion

Beim Import von Daten in eine zweispaltige Tabelle, bei der die zweite Spalte lediglich für Kommentare vorgesehen ist, müssen die zu importierenden Daten nun nicht mehr im zweispaltigen Format (mit Tabulator) vorliegen. Es lassen sich auch einfache Listen mit einem Wert pro Zeile importieren. So lassen sich jetzt beispielsweise von extern bezogene IP-Listen einfach in ein IP-Objekt importieren.

Syntax-Fehler in exportierter OpenVPN-Konfiguration

Bei aktivierten Einmalpasswörtern für OpenVPN-Verbindungen enthielten das für die Clients exportierte Installationspaket bzw. die exportierten OpenVPN-Konfigurationsdateien einen Syntax-Fehler.

Avira Antivirus

Kleinere Bugfixes und Verbesserungen

Konfiguration des Kaspersky Antivirus Signatur-Updates

Die Konfiguration für das Signatur-Update des Kaspersky-Scanners muss bis 31.01.2022 angepasst werden. Ohne die Anpassung wird das Signatur-Update nach diesem Datum fehlschlagen.

Wake-on-LAN bei Verbindungsaufbau von OpenVPN-Clients

Bisher wurde das automatische Anschalten eines PCs per Wake-on-LAN nur im Web-Client und beim Verbindungsaufbau von IPsec-L2TP-Clients unterstützt. Ab sofort ist dies auch bei OpenVPN-Clients möglich. Voraussetzung ist, dass in der Konfiguration der OpenVPN-Server-Schnittstelle die Benutzerauthentifzierung mit Einmalpasswörtern aktiviert ist. Wie für IPsec-L2TP-Clients muss die MAC-Adresse des zu weckenden PCs in den RAS-Einstellungen der Benutzerverwaltung beim jeweiligen Benutzer hinterlegt werden.

Kleinere Bugfixes und Verbesserungen

Überlauf in NSS Kryptographie-Bibliothek

Die Bibliothek wird von IPsec, OpenVPN, der Intrusion-Prevention und der Administrations-Oberfläche genutzt. Die Sicherheitslücke erlaubt einem nicht authentifizierten Angreifer potentiell die Ausführung von Code.

Transparenter HTTPS-Proxy über Content-Filter

Bei deaktivierter SSL-Prüfung wurde bei transparenten HTTPS-Verbindungen fälschlicherweise die IP und nicht der Servername als Ziel der Verbindung genutzt. Sofern die Proxy-Konfiguration HTTPS-Zugriffe auf IP-Adressen verbietet, wurden die Verbindungen abgewiesen. Andernfalls kam es bei aufgebrochenen HTTPS-Verbindungen zu Problemen mit einzelnen Servern, die beim SSL-Verbindungsaufbau auf die Angabe des Servernamens angewiesen sind.

Aktualisierung des Avira Virenscanners

Kleinere Bugfixes und Verbesserungen

Neustart erforderlich

Nach dem Update führt das System automatisch einen Neustart durch. Bitte starten Sie das System nicht von Hand neu.

Aktualisierung des Linux-Kernels

Löschen aller Mails aus der Warteschlange

Beim Löschen aller Mails aus der Mail-Server Warteschlange wurden fälschlicherweise auch alle Mails aus dem Quarantäne-Bereich gelöscht.

Änderungen im Produkt "Praxis-Wächter"

Für diverse neue Bestandsnetze werden IP-Objekt angelegt. Um diese für VPN-Verbindungen via Konnektor zu nutzen, fügen Sie die benötigten Objekte bitte manuell der IP-Gruppe "TI_vpn/netze" hinzu.
In der Firewall-Konfiguration wird für das PVS der LDAP-Zugriff auf den Konnektor freigegeben, wie er für die elektronische Arbeitsunfähigkeitsbescheinigung (eAU) erforderlich ist.
Auf älteren Systemen werden fehlende Einstellungen ergänzt, die erst in späteren Versionen des Telematikinfrastruktur-Assistenten ergänzt wurden. Eventuell vorgenommene Änderungen werden im Log der Administrations-Oberfläche protokolliert.

Alternativer ADSL-PPPoE-Treiber

Für ADSL-Verbindungen mit PPP-over-Ethernet kann jetzt ein alternativer Treiber ausgewählt werden, der Bandbreiten jenseits von 200 MBit/s unterstützt.

WPA3-Unterstützung für Geräte mit WLAN

Aktualisierung diverser Software-Komponenten

Neustart erforderlich

Nach dem Update führt das System automatisch einen Neustart durch. Bitte starten Sie das System nicht von Hand neu.

Aktualisierung des Linux-Kernels

Neue Installationspakete für IPsec-L2TP unter Windows

Die bisher genutzten Installationspakete basierten auf Microsofts CMAK-Profilen, bei denen nach wie vor SHA1 zum Einsatz kommt. Wir haben uns daher entschieden, nun eine eigene, auf Powershell basierende Lösung anzubieten. Neben der Nutzung von SHA2 bietet die neue Lösung folgende Vorteile:
  • Konfiguration zusätzlicher Routen bei Split-Tunneling
  • Gleichzeitige Installation mehrerer Verbindung zu unterschiedlichen Zielsystemen möglich
Anders als bei CMAK lassen sich die Einstellungen der VPN-Verbindung auf dem Windows-Client nachträglich anpassen.
Die bisherigen, CMAK-basierten Profile, werden parallel nach wie vor angeboten, es wird jedoch empfohlen, nach und nach auf die neue Alternative umzustellen.
Bei beiden Varianten des Installationspakets lässt sich nun der Windows Registry-Schlüssel über das Installationspaket setzen, der benötigt wird, wenn sich der VPN-Server hinter einem NAT-Router befindet.

SSH-Server Schlüssel

Die vom Secure-Shell-Server genutzten RSA- und ed25519-Schlüssel sind nun im Schlüsselbund hinterlegt. So kann nun ein Backup des Schlüssels erstellt oder zurückgesichert werden bzw. jederzeit ein neuer Schlüssel genriert werden.

Verwaltungszugriff

Dem Fachhändler oder, bei einem Verbund mehrerer Systeme, einem zentralen System kann Zugriff für Verwaltungsaufgaben gewährt werden. In der ersten Ausbaustufe ist neben dem Abruf einiger grundlegenden Informationen der Aufbau von Fernwartungsverbindungen, das Starten von Updates und der Zugriff auf die Administrations-Oberfläche möglich.
Das zugehörige Menü auf dem zentralen System wurde von "Außenstellen" in "Verwaltungsserver" umbenannt.

Unvollständige ping-Antwortpakete

Das in Version 7.1-3.0 aktualisierte Werkzeug ping ignorierte unvollständige Antwortpakete. Systeme, die das pingbasierte Leitungsfallback konfiguriert haben und die neben den Google-Nameservern keine oder nur eine weitere Adresse per ping auf Verfügbarkeit prüfen, wechselten daraufhin in den Fallback-Modus, da die Google-Nameserver große ping-Pakete nur unvollständig beantworten.

Graphische Firewall-Statistik

Seit Version 7.1-3.0 wurde die Statistik nicht mehr aktualisiert.

Probleme bei DNS-Auflösung

Auf Systemen, die zur Namensauflösung die DNS-Root-Nameserver nutzen, kam es insbesondere nach einem Neustart des Systems bei der Auflösung bestimmter Adressen zu Fehlern.

Erlaubte IPs im SNMP-Server

Welche IP-Adressen Zugriff auf den SNMP-Server erhalten, lässt sich jetzt über die Administrations-Oberfläche einstellen.

Statische Kennwörter im Web-Client

Das Kennwort des Zielsystems lässt sich jetzt in der Konfiguration einer Web-Client-Verbindung eintragen, so dass sich der Benutzer nur am Web-Client selbst anmelden muss. Generell emfehlen wir dieses Vorgehen nicht, es kann aber nützlich sein, um beispielsweise externen Dienstleistern vorrübergehend priviligierten Zugriff auf ein internes System zu ermöglichen, ohne das Passwort dieses Systems ändern oder weitergeben zu müssen.

Änderungen im Produkt "Praxis-Wächter"

Das IP-Objekt mit dem Netzwerk, das zum Ausstellen digitaler Impfnachweise via Konnektor-VPN benötigt wird, wird angelegt.
Ferner lassen sich jetzt ipsec-Schnittstellen als Konnektor-Schnittstelle auswählen.

Tägliche Aufgaben

Seit Version 7.1-3-0 wurden die täglichen Aufgaben, wie das Erstellen der Statistiken oder das Rotieren der Logfiles, usw., nicht mehr ausgeführt.

WLAN Sicherheitslücke FragAttacks

Auf Geräten mit WLAN-Unterstützung sichert das Update den WLAN-Protokollstack gegen FragAttacks.

Zertifikatsabruf über ACME

Der Abruf von Zertifikaten über das ACME-Protokoll (Let's Encrypt) schlug in 7.1-3.0 fehl. Die neue Version der Komponente, die zur Kommunikation mit dem ACME-Server genutzt wird, konnte dessen Zertifikat nicht verifizieren.

VPN-Installationspakete für Windows

Mit Version 7.1-3.0 erstellte IPsec-L2TP- und OpenVPN-Installationspakete (*.exe) ließen sich nicht installieren.

Mailversand aus Groupware-App in Version 4.x

In Version 7.1-3.0 schlug der Versand von Mails aus der Groupware-App heraus fehl, wenn diese in Version 4.x installiert war.

SPAM-Filter-Regeln mit beliebigen Zeichen

Benutzerdefinierte SPAM-Filter-Regeln unterstützten bisher nur Suchmuster mit ASCII-Zeichen. Jetzt sind beliebige Zeichen möglich.

Verifikation von Mail-Server-Zertifikaten über DANE

Wenn ein Mail-Server eine E-Mail an einen anderen Mail-Server weiterleitet, ist es nicht praktikabel, das Zertifikat des Ziel-Servers grundsätzlich zu verifizieren. Viele Mail-Server sind nämlich nicht mit gültigen Zertifikaten ausgestattet. DANE ermöglicht es dem Betreiber eines Mail-Servers, im DNS die Information zu hinterlegen, dass und wie das Zertifikat seines Mail-Server verifiziert werden kann. Die Unterstützung von DANE in der Variante DANE-EE kann nun im Mail-Server aktiviert werden.

Anfertigen von Netzwerk-Dumps

Im Menü "Monitoring > Netzwerk > Werkzeuge" gibt es jetzt die Möglichkeit, einen Paketdump zu erstellen. Der Dump lässt sich als pcap-Datei herunterladen oder als Text anzeigen.

Kleinere Bugfixes und Verbesserungen

Sicher

DEFENDO bedient sich einer Reihe von bewährten Security-Modulen wie Firewall, VPN, Proxies, Virenscanner und Anti-Spam-System.
Diese schützen Sie vor Schad-Code, Spam, Hacker-Angriffen und weiteren unerwünschten oder schädlichen Dingen.

Flexibel

Keine IT-Umgebung ist wie die andere. Die DEFENDO Produktfamilie passt sich genau Ihren Bedürfnissen an.
Von der einfachen Internet-Anbindung für kleinere Unternehmen, über Lösungen für Filialen und den Außendienst, bis hin zu komplexen, mehrstufigen Firewall-Systemen.

Mehr gute Gründe

  • Es gibt keine Backdoors
  • über 20 Jahre Internet-Security-Erfahrung
  • Mehrfach ausgezeichnet
  • Support direkt durch unsere Entwickler
  • Fachhändler-Treue
  • Made in Germany