Neustart erforderlich

Nach dem Update führt das System automatisch einen Neustart durch. Bitte starten Sie das System nicht von Hand neu.

Ende der Beta-Phase

Mit diesem Update endet die Beta-Phase des Updates 7.2. Nach Installation des Updates meldet das System Versionsstand 7.2-1.0. Wir danken allen Beta-Testern für die Teilnahme an der Beta-Phase und das wertvolle Feedback.

Änderungen aus 7.1-4.9

Das Update enthält alle Aktualisierungen aus Version 7.1-4.9. Diese sind in der nachfolgenden Aufstellung ebenfalls aufgeführt.

Glibc-Bibliothek

In der zentralen Systembibliothek glibc ist eine Sicherheitslücke bekannt geworden, über die sich ein lokaler Benutzer Vollzugriff auf das System verschaffen kann.

Überarbeitung des Menüs "Monitoring"

Bei den Untermenüs "Log-Dateien > Einstellungen" und "Netzwerk > SNMP" handelte es sich um Konfigurationsmenüs. Konsequenterweise wurden die Menüs daher in das Hauptmenü "Module" verschoben. Die neuen Untermenüs haben die Titel "SNMP-Server" und "Logging".
Die zweite Menüebene des Menüs "Monitoring > Netzwerk" wurde vollständig aufgelöst. Die neuen Menüpunkte "Werkzeuge", "Netzwerk", "VPN", "Firewall" und "DHCP" finden Sie nun direkt unter "Monitoring".
Der Bereich "Monitoring" in den thematisch gegliederten Menüs am oberen Rand der Administrationsoberfläche wurde entsprechend angepasst und um direkte Links auf zugehörige Log-Dateien erweitert. Im VPN-Menü wurde Wireguard ergänzt.

Eigene Log-Dateien für OpenVPN und Wireguard

Bisher haben die beiden VPN-Dienste in das Log "sonstige Meldungen" protokolliert.

OpenVPN-Installationspaket für Windows mit SBL/PLAP

Eine zusätzliche Variante des OpenVPN-Installationspakets für Windows sorgt dafür, dass unter Windows Start-Before-Login (SBL) mittels Pre-Logon-Authentication-Provider (PLAP) genutzt werden kann. Auf dem Anmeldebildschirm von Windows erscheint ein zusätzliches Icon, über das sich der VPN-Tunnel schon vor der Benutzeranmeldung aufbauen lässt. Über den VPN-Tunnel kann dann eine Windows-Benutzeranmeldung direkt an der Windows-Domäne erfolgen.
Unter Windows muss dazu OpenVPN-GUI ab Version 2.6 installiert sein. Die Absicherung des VPN-Tunnels mit Einmalpasswörtern ist möglich.

Startseiten-Docklet für IPsec

Der Status von IPsec-Verbindungen lässt sich nun auch auf der Startseite verfolgen.

IPsec IPComp-Komprimierung

Bei aktivierter Komprimierung war seit Version 7.2-0.3 kein Verbindungsaufbau möglich.

Aktualisierung diverser Systemkomponenten

Aktualisiert werden der Linux-Kernel und Avira Antivirus. Auch die vordefinierten Listen der vertrauenswürdigen CAs, die kostenlose URL-Filter-Datenbank und das Regelwerk des SPAM-Filters werden aktualisiert. Systeme ohne tägliche Aktualisierung der IDS-Regeln (Systeme ohne Pflegevertrag) erhalten mit diesem Update neue IDS-Regeln.

Optimierungen im Layout der Administrationsoberfläche

Kleinere Bugfixes und Verbesserungen

Neustart erforderlich

Nach dem Update führt das System automatisch einen Neustart durch. Bitte starten Sie das System nicht von Hand neu.

Änderungen aus 7.1-4.8

Das Update enthält alle Aktualisierungen aus Version 7.1-4.8. Diese sind in der nachfolgenden Aufstellung ebenfalls aufgeführt.

Aktualisierung des Linux-Kernels mit Intel-CPU Microcodes

Die Sicherheitslücke "Downfall" erlaubt es einem bösartigen Programm Daten anderer Prozesse oder des Betriebssystems auszulesen. Das Update installiert einen neuen Linux-Kernel mit einem aktualisierten Intel-CPU-Befehlssatz.
Betroffen sind 19"-Geräte (Rack-Server) die wir ab Oktober 2020 ausgeliefert haben. Standgeräte (Thin-Server) und die kleinen Eco-Server sind nicht betroffen.
Auf virtuellen Systemen prüfen Sie bitte ob es für den Host ein entsprechendes Sicherheitsupdate gibt.

Verschlüsselung von PKCS#12-Dateien

Der private Schlüssel in PKCS#12-Dateien wurde bislang mit dem veralteten TripleDES-Verfahren verschlüsselt, da die Bordwerkzeuge anderer Betriebssysteme ausschließlich dieses Format lesen können. Ab sofort bieten wir alternativ auch die Verschlüsselung mit AES-256 an.
IPsec-Installationspakete für Windows nutzen weiterhin TripleDES, da diese von Windows ausgelesen werden müssen. OpenVPN-Installationspakete für Windows (*.exe) hingegen werden zukünftig ausschließlich mit AES-256 verschlüsselt, da OpenVPN für Windows eine eigene Kryptographiebibliothek enthält, die dieses Format unterstützt.
Wir empfehlen, vom CA-Zertifikat ein AES-verschlüsseltes Backup zu erstellen und das alte Backup zu vernichten. OpenVPN-Konfigurationen auf Windows-Clients, bei denen es neben der *.ovpn-Datei auch eine *.p12-Datei gibt, sollten ebenfalls aktualisiert werden. Vernichten Sie in diesem Fall die alte *.p12-Datei.

Virenscan von Postfächern

Wenn das System als Mail-Server mit Postfächern genutzt wird, können diese ab sofort täglich auf Viren geprüft werden. Mails mit Viren, die zum Zeitpunkt des Eintreffens der Mail noch nicht vom Virenscanner erkannt wurden, werden dann im Nachhinein aussortiert. Eine E-Mail-Benachrichtigung wird in diesem Fall an den jeweiligen Benutzer und an den "admin" gesendet.
Um das System nicht zu stark zu belasten, ist der Virenscan auf neuere Mails beschränkt. Das Alter in Tagen, bis zu dem die Mails regelmäßig überprüft werden, muss konfiguriert werden.

Syslog- und TFTP-Server

Zur Unterstützung von aktiven Netzwerkkomponenten, die ausschließlich über flüchtigen Speicher verfügen, sind jetzt Syslog- und TFTP-Server verfügbar.

Portnummer für Backups mit Secure-Copy

Backups mit SSH/SCP können nun an beliebige Ports übermittelt werden.

Wiederherstellen von verschlüsselten Backups

Beim Einspielen von verschlüsselten Backups wurden Elemente aus Untermenüs von "Definitionen" mit einem "*" im Namen oft nicht wiederhergestellt.

OpenVPN-Installationspakete für Windows (*.exe)

OpenVPN 2.6 unter Windows konnte die PKCS#12-Dateien der OpenVPN-Installationspakete nicht mehr öffnen, da die darin enthaltenen öffentlichen Zertifikate mit einem nicht mehr unterstützen Algorithmus verschlüsselt waren.

Let's Encrypt Staging-Server

Der Download von Let's Encrypt Test-Zertifikaten schlug fehl.

Reverse-Proxy Autodiscover

Der Reverse-Proxy unterstützt jetzt auch Autodiscover V2.

Aktualisierung diverser Systemkomponenten

Aktualisiert werden u.a. die Laufzeitumgebung für Apps sowie IPsec-, Web-, DNS-, SNMP- und SSH-Server.

Kleinere Bugfixes und Verbesserungen

IPsec

Der IPsec-Dienst wird aktualisiert und nutzt ab sofort eine in den Linux-Kernel integrierte Schnittstelle anstelle eines eigenen Moduls.
Mit der alten IPsec-Version war es bedingt möglich, dass sich mehrere IPsec-L2TP-Clients gleichzeitig über den selben (!) NAT-Router mit dem selben VPN-Server verbinden. Dies ist in der neuen Version im allgmeinen nicht mehr möglich.
Ferner wurde die IKEv2-Interoperabilität mit anderen Produkten verbessert.

Export von Definitionen

Objekte aus den Menüs unterhalb von "Definitionen" lassen sich jetzt exportieren und auf anderen Systemen über das Backup-Menü einspielen. Das Zielsystem darf dabei jedoch keine ältere Softwareversion haben als das Quellsystem.

Einspielen eines verschlüsselten Systembackups

Seit Version 7.2-0.0 sind verschlüsselte Backups verfügbar. Beim Einspielen eines verschlüsselten Systembackups wurden die IP-Gruppe "*" und das Protokoll "*" möglicherweise nicht vollständig wiederhergestellt.

Deaktivieren eines Protokollmoduls (ALG) in der Firewall

Seit Version 7.2-0.0 lässt sich konfigurieren, welche Protokollmodule (ALGs) in der Firewall aktiv sein sollen. Die Option zum Deaktivieren einer Regel war dabei ohne Funktion. Eine Regel ließ sich bisher also nur durch Löschen deaktivieren. Beachten Sie bitte, dass nach dem Update deaktivierte Regeln tatsächlich deaktiviert werden.

Avira Antivirus

Kleinere Bugfixes und Verbesserungen

Neustart erforderlich

Nach dem Update führt das System automatisch einen Neustart durch. Bitte starten Sie das System nicht von Hand neu.

Aktualisierung des Linux-Kernels

Im Linux-Kernel ist eine Sicherheitslücke bekannt geworden, die es einem auf Systemebene angemeldeten Benutzer ermöglicht, volle Zugriffsrechte zu erlangen. Über das Netzwerk ist eine Anmeldung auf Systemebene in der Regel nur dann möglich, wenn der SSH-Dienst aktiviert wurde. Wurde dieser zudem aus dem Internet erreichbar gemacht, sollte das Update umgehend installiert werden.

Sonderzeichen in Passwörtern

Beim Setzen oder Ändern von Passwörtern über die Administrationsoberfläche werden enthaltene Sonderzeichen wie z.B. Umlaute zukünftig in UTF-8-Kodierung weiterverarbeitet. Alle aktuellen Browser und die Mehrheit sonstiger Clients arbeitet ebenfalls mit UTF-8. Einzelne Clients und Protokolle können aber nach wie vor nicht damit umgehen, so dass die Nutzung solcher Sonderzeichen nicht empfohlen wird.

S/MIME-Gateway: automatisches Löschen abgelaufener Zertifikate

Das S/MIME-Gateway sammelt auf Wunsch selbständig Zertifikate von Kommunikationspartnern, um Mails an diese Kommunikationspartner zukünftig automatisch zu verschlüsseln. Abgelaufene Zertifikate von Kommunikationspartnern können jetzt nach einer konfigurierbaren Zeitdauer automatisch gelöscht werden.

S/MIME-Gateway: Ausnahmeliste für das automatische Signieren

Es kann vorkommen, dass bestimmte Empfänger keine signierten Mails annehmen. Zu diesem Zweck lassen sich jetzt einzelne Empfängeraddressen oder ganze Empfängerdomains in eine Liste eintragen. Mails zu diesen Empfängern werden nicht automatisch signiert.

Änderungen aus 7.1-4.7

Das Update enthält alle Aktualisierungen aus Version 7.1-4.7. Die IP-Listen zu Instagram und Soundcloud werden gelöscht bzw. geleert. Beim transparenten Proxying gab es Störungen, wenn Dienste laufend die IPs ändern.

JavaScript-Bibliothek der Administrations-Oberfläche

Kleinere Bugfixes und Verbesserungen

Neustart auf manchen Systemen erforderlich

Auf Systemen, die von Version 7.1-4.4 aus auf Versionsreihe 7.2 gewechselt sind, wird nach dem Update automatisch ein Neustart durchgeführt. Bitte starten Sie das System nicht von Hand neu.

Änderungen aus 7.1-4.5 und 7.1-4.6

Das Update enthält alle Aktualisierungen aus den Versionen 7.1-4.5 und 7.1-4.6. Behoben wurden weniger kritische Sicherheitslücken im Linux-Kernel, dem Avira Virenscanner und in System-Bibliotheken. Behoben wurde ferner ein Problem mit der DNSSEC-Validierung, wenn der DNS-Server zu einem Zeitpunkt gestartet wurde, an dem kein Zugriff auf das Internet bestand. Aktualisiert wurden Web-Proxy, Intrusion-Prevention, WLAN-Dienst sowie einzelne systemnahe Werkzeuge. Auf Systemen mit Kaspersky-Virenscanner wird ein neuer Produktschlüssel installiert.

Anwendungserkennung in der Firewall

In der Firewall lässt sich jetzt eine Anwendungserkennung zuschalten. Sie analysiert die über eine Netzwerkverbindung übertragenen Daten und versucht daraus auf die zugehörige Anwendung zu schließen.
Nutzen lässt sich die Anwendungserkennung im Bandbreitenmanagement und in Firewall-Regeln (ausgenommen SNAT-Regeln). Den Einsatz in Firewall-Regeln empfehlen wir nur eingeschränkt, da eine Regel mit aktivierter Anwendungserkennung für die Analyse zunächst alle potentiell in Frage kommende Verbindungen passieren lassen muss. Die Firewall wird dadurch "löchrig", was ein gerne verschwiegener Nachteil der bei Next-Generation-Firewalls beworbenen Anwendungserkennung ist. Für HTTP und HTTPS ist bei eingehenden Verbindungen der Reverse-Proxy, bei ausgehenden Verbindungen der Web-Proxy zu bevorzugen.
Um die Anwendungserkennung zu nutzen, müssen Sie diese zunächst in den Firewall-Einstellungen aktivieren. Die erkannten Anwendungen werden dann im Netzwerk-Monitoring bei den Verbindungen angezeigt. Für die Nutzung im Bandbreitenmanagement und in Firewall-Regeln lässt sich im Definitionen-Menü bei den einzelnen Protokollen die zugehörige Anwendung festlegen. Bei vordefinierten Protokollen ist die Anwendungserkennung deaktiviert.

Verbesserte Wireguard-Integration

Bei Konfiguration mehrerer Wireguard-Schnittstellen funktionierte aufgrund fehlender Routing-Einträge nur die letzte Schnittstelle.
Auf Cluster-Systemen wurden Wireguard-Schlüssel nicht synchronisiert.
In der Administrations-Oberfläche gab es folgende Änderungen: Es wurden die Texte der Eingabeelemente verbessert. Bei der Konfiguration einer Verbindung zu einer Gegenstelle mit dynamischer IP wurde fälschlicherweise zur Eingabe einer IP-Adresse aufgefordert. Im Monitoring-Bereich fehlte Wireguard im Routing.

TLS-Parameter der Administrationsoberfläche

Die Administrationsoberfläche kann ab sofort nicht mehr mit veralteten Browsern aufgerufen werden. Die Unterstützung von TLS1.0, TLS1.1, 3DES und SHA1 wurde deaktiviert.

Der telnet-Dienst wurde entfernt

Kleinere Bugfixes und Verbesserungen

Sicher

DEFENDO bedient sich einer Reihe von bewährten Security-Modulen wie Firewall, VPN, Proxies, Virenscanner und Anti-Spam-System.
Diese schützen Sie vor Schad-Code, Spam, Hacker-Angriffen und weiteren unerwünschten oder schädlichen Dingen.

Flexibel

Keine IT-Umgebung ist wie die andere. Die DEFENDO Produktfamilie passt sich genau Ihren Bedürfnissen an.
Von der einfachen Internet-Anbindung für kleinere Unternehmen, über Lösungen für Filialen und den Außendienst, bis hin zu komplexen, mehrstufigen Firewall-Systemen.

Mehr gute Gründe

  • Es gibt keine Backdoors
  • über 20 Jahre Internet-Security-Erfahrung
  • Mehrfach ausgezeichnet
  • Support direkt durch unsere Entwickler
  • Fachhändler-Treue
  • Made in Germany