Transparenter Web-Proxy

Seit Version 7.1-5.1 bzw. 7.2-1.1 kam es bei transparentem Proxying zu Verbindungsproblemen mit Servern, die im DNS laufend ihre IP-Adresse ändern.

IP-Objekt-Typ "DNS-Mitschnitt"

DNS-Antworten mit mehrere IPs der selben Adressfamilie wurden ignoriert.

S/MIME-Gateway: Übernahme von Zertifikaten aus signierten Mails zur Verschlüsselung

Einzelne Organisationen nutzen unterschiedliche S/MIME-Zertifikate zum Signieren und zur Verschlüsselung. Das S/MIME-Gateway hat aus der Signatur eingehender Mails bislang stets das zum Signieren benutzte Zertifikat für die spätere Verschlüsselung von ausgehenden Mails übernommen, auch wenn dieses gar nicht für die Verschlüsselung vorgesehen war. Mit diesem Zertifikat verschlüsselte Mails konnten dann in der Regel vom Empfänger nicht gelesen werden. Der Verwendungszweck wird jetzt überprüft und das korrekte Zertifikat für die Verschlüsselung ausgewählt.

Einstellungen zum Backup auf Cluster-Systemen

Die Einstellungen zum automatischen Erstellen von Backups wurden auf dem Cluster-Master bisher mit den Einstellungen des Backup-Knotens überschrieben.

Konfiguration des Mail-Servers wird nicht aktualisiert

Seit Version 7.2-1.5 wurde die Mail-Server Konfiguration nicht mehr aktualisiert, sofern ein von der Absender-Domain abhängiges Provider-Relay konfiguriert ist.

Monitoring-Werkzeug ARP-Scan

Mit dem neuen Werkzeug können Sie das unmittelbar an eth-, vlan- oder wlan-Schnittstellen angeschlossene Netzwerksegment nach IPv4-Systemen durchsuchen. Angezeigt werden Ihnen neben der IP- und MAC-Adresse auch der aus der MAC-Adresse abgeleitete Hersteller des Netzwerkadapters.

Geänderte MAC-Adressen bei WLAN-Schnittstellen

Aus technischen Gründen ändern sich die MAC-Adressen von WLAN-Schnittstellen. Die Änderung findet nach dem nächsten Reboot statt. Möglicherweise verbinden sich Clients danach erst mit Verzögerung mit dem geänderten WLAN.

Optimierung der Hauptspeichernutzung im URL-Filter

Es werden nur noch die Datenbank-Kategorien in den Speicher geladen, die im Regelwerk genutzt werden. Wird der kommerzielle URL-Filter verwendet und die Option zur Analyse unbekannter URLs ist aktiviert, müssen nach wie vor alle Kategorien geladen werden.

Domain sls.microsoft.com zur Domainliste WINDOWS hinzugefügt

Kleinere Bugfixes und Verbesserungen

Neustart erforderlich

Nach dem Update führt das System automatisch einen Neustart durch. Bitte starten Sie das System nicht von Hand neu.

Web-Proxy Content-Filter

Insbesondere bei langsamer Internetanbindung (z.B. über VPN) kam es trotz des Bugfixes aus Version 7.2-1.6 immer noch zu Problemen beim transparenten HTTPS-Proxying mit auf Chromium basierenden Browsern wie Chrome oder Edge.
Das Update behebt ferner sporadische Verbindungsprobleme bei aktivierter SSL-Prüfung von CONNECT-Verbindungen.

Backup privater Schlüssel

Sofern das Systembackup als passwortverschlüsselte Datei erstellt wird, enthält es ab sofort auch private Schlüssel aus dem Schlüsselbund. Der private CA-Schlüssel ist nach wie vor nicht Bestandteil des Backups.
Falls Sie das Systembackup auf das verschlüsselte Format umstellen wollen, sollten Sie bedenken, dass das Backup nutzlos ist, wenn das Passwort zur Entschlüsselung nicht mehr bekannt ist.
Im Backup-Menü wurde ferner die Möglichkeit geschaffen, manuell ein passwortverschlüsseltes Backup der privaten Schlüssel zu erstellen.

Verschlüsselte Übertragung von Backups und Logdateien

Das bisher zu diesem Zweck genutzte Secure-Copy-Protokoll (SCP) gilt als veraltet. Ab sofort steht alternativ das SFTP-Protokoll zur Verfügung, das ebenfalls auf Secure-Shell basiert.
Sowohl für SCP als auch für SFTP kann nun neben dem RSA- auch der ED25519-Schlüssel des Systems zur Authentizierung genutzt werden.

Neuer IP-Objekt-Typ "DNS-Mitschnitt"

Gelegentlich geben Softwareanbieter leider nur ganze Domains anstatt einzelner Servernamen an, die für das funktionieren der Software in der Firewall freigeschaltet werden sollen (z.B. *.example.com). Wenn die Software auch über den Web-Proxy kommunizieren kann, ist eine solche Freigabe kein Problem. Aber es wurde schwierig, wenn der Zugriff tatsächlich in der Firewall freigegeben werden musste. Der neue IP-Objekt-Typ versucht es zu lösen, in dem er IP-Adressen sammelt, die er in DNS-Antworten zur jeweiligen Domain findet.
Der neue IP-Objekt-Typ ist ausschließlich in Firewall-Regeln nutzbar und üblicherweise nur als Ziel bei Weiterleitungs-Regeln in das Internet sinnvoll. Voraussetzung ist, das der Client DNS-Anfragen direkt oder indirekt über den DNS-Server der Firewall auflöst. Eine kurze Verzögerung bis zur Freigabe einer Verbindung in der Firewall ist systembedingt.

Diverse Systemkomponenten

Aktualisiert werden der Linux-Kernel, Avira Antivirus, Web-Proxy, Web-Server und SSH-Server, sowie diverse System-Bibliotheken und Werkzeuge.

Kleinere Bugfixes und Verbesserungen

Neustart erforderlich

Nach dem Update führt das System automatisch einen Neustart durch. Bitte starten Sie das System nicht von Hand neu.

Transparentes HTTPS-Proxying mit Chromium-Browsern

Mit dem Update auf Chromium 124 ist es auf Chromium basierenden Browsern wie Chrome oder Edge nicht mehr möglich gewesen, mittels transprentem HTTPS-Proxying auf Internet-Seiten zuzugreifen.

Beschädigte Header im S/MIME-Gateway

In Version 7.2-1.5 wurde beim Ändern langer Betreff-Zeilen und des Content-Types ein Steuerzeichen eingefügt, das manchen Systemen dazu geführt hat, dass der Betreff abgeschnitten oder die verschlüsselte Mail nicht gelesen werden konnte.

Automatische Zertifikatsverwaltung

Kunden mit Bedarf an vielen Kauf-Zertifikaten (z.B. bei Nutzung des S/MIME-Gateways) können Zertifikate nun über die Managed-PKI-Schnittstelle (MPKI) einer CA automatisiert beantragen und verlängern. Die Funktion ist noch als experimentell anzusehen und unterstützt aktuell nur die CA SwissSign. Gerne fügen wir weitere CAs hinzu. Dazu benötigen wir die Schnittstellenbeschreibung und einen Testzugang.

Neue Kategorien im kommerziellen URL-Filter

Hinzugefügt wurden die Kategorien Alkohol, weiche Drogen, geparkte Domains und KI-Chats.

Sicherheitslücken in diversen Komponenten

Das Update behebt weniger kritische Sicherheitslücken im Linux-Kernel, IPsec-Server, Web-Proxy, DNS, Java und in System-Bibliotheken.

Avira Antivirus

Kleinere Bugfixes und Verbesserungen

DMARC-Verifikation von eingehenden Mails

Neben SPF können per SMTP aus dem Internet empfangene Mails nun auch über DMARC verifiziert werden. DMARC kombiniert SPF mit DKIM. Die Prüfung ist erfolgreich, wenn entweder SPF oder DKIM erfolgreich geprüft werden konnten und zusätzlich der im Mailprogramm angezeigte Absender (From-Header) zur SPF- bzw. DKIM-Domain passt. Wie bei SPF entscheidet der Inhaber einer Domain, ob Empfänger von Mails aus seiner Domain überhaupt eine DMARC-Verifikation durchführen können und was im Fehlerfall zu tun ist: die Mail abweisen, als potentiellen SPAM behandeln oder einfach passieren lassen.

Optionen zur Abholung und zum Versand von Mails

Zur Unterstützung von Arztpraxen, die die Schutzfunktionen des Mail-Servers gegen Schadsoftware auch für die Kommunikation mit KIM (Kommunikation im Medizinwesen) nutzen wollen, wurden diverse Konfigurationsoptionen ergänzt. Damit sollte eine Verbindung mit allen Varianten und Konfigurationen von KIM-Clientmodulen möglich sein. Im POP-Client lässt sich nun ein Client-Zertifikat hinterlegen und der Server-Port (hier: Port des KIM-Clientmodul) frei konfigurieren. Für den Versand von Mails ist ebenfalls der Server-Port (KIM-Clientmodul) frei konfigurierbar. Zudem wird nun auch für ausgehende Verbindungen SMTPS unterstützt und beim Routing einer externen Domain (hier: kim.telematik) lassen sich Zugangsdaten hinterlegen.

Automatisches Mailbackup je Benutzer

Das Backup der lokalen Postfächer konnte bisher nur als eine große Datei erstellt werden. Um bei der Erstellung des Backups weniger Speicherplatz zu benötigen, ist jetzt auch eine Datei pro Benutzerkonto möglich.

Verbindungsabbrüche bei Windows-IKEv2 IPsec-Verbindungen

Beim Re-Keying, das typischerweise nach einer Stunde stattfindet, kam es zu Verbindungsabbrüchen.

Download von URL-Filter-Listen im UTF-8-Format

Listen im UTF-8-Format wurden bisher nicht importiert.

Kleinere Bugfixes und Verbesserungen

Neustart erforderlich

Nach dem Update führt das System automatisch einen Neustart durch. Bitte starten Sie das System nicht von Hand neu.

DKIM-Signaturen für E-Mails

Ausgehende Mails können jetzt mit DKIM signiert werden. Legen Sie dazu im Schlüsselbund einen neuen Eintrag vom Typ "RSA-Schlüssel (SSH, DKIM)" an und generieren Sie das Schlüsselpaar. Publizieren Sie dann den öffentlichen Schlüssel im DNS der zu signierenden Domain. Sobald Sie in der Domain-Konfiguration des Mail-Servers den DKIM-Schlüssel festlegen einer Domain festlegen, werden die ausgehenden Mails signiert. Haben Sie im DNS der Domain auch SPF konfiguriert? Dann können Sie nun auch einen DMARC-Eintrag im DNS hinterlegen.

Assistent für die Anbindung von Wireguard-Clients

Bisher gab es einen gemeinsamen Assistenten für die Anbindung von Routern und Clients. Aufgrund häufiger Fehlkonfiguration haben wir einen speziell auf die Anbindung von Clients abgestimmten Assistenten ergänzt.

Sicherheitslücken in diversen Komponenten

Das Update behebt weniger kritische Sicherheitslücken im Linux-Kernel, dem SSH-Server und in System-Bibliotheken.

Cluster-Dienst

Kleinere Bugfixes und Verbesserungen

Diverse Bugfixes für IPsec ab Version 7.2

Bei IPsec-Verbindungen über eine ADSL-Schnittstelle fehlte in bestimmten Konfigurationen nach dem Neuaufbau der ADSL-Verbindung eine Route. Die IPsec-Verbindung war in diesem Fall zwar aufgebaut, es konnten jedoch keine Daten übertragen werden.
Transparentes Proxying in ipsec-Schnittstellen funktionierte nur, wenn es mit Hilfe von DNAT-Regeln konfiguriert wurde. Die Häkchen für transparentes Proxying zeigten keine Wirkung.
IKEv2-Verbindungen zu Gegenstellen hinter einem NAT-Router wurden durch die Dead-Peer-Detection nicht neu gestartet, wenn sich die IP-Adresse des NAT-Routers ändert.

Absturz des Web-Proxies

Das Update behebt einen Fehler, über den ein bösartiger Web-Server den Proxy zum Absturz bringen könnte.

Neue OpenVPN-Version

OpenVPN wird mit diesem Update aktualisiert. Bitte beachten Sie, dass in der neuen Version die Netzmaske für das Transfernetz ausreichend groß gewählt werden muss. Die Netzmasken 255.255.255.252 und 255.255.255.248 sind nicht mehr zulässig. Die Voreinstellung 255.255.255.0 ist mehr als ausreichend.

OpenVPN Benutzeranmeldung mit Passwort

Bisher wurden ausschließlich Einmal-Passwörter zur Benutzeranmeldung am OpenVPN-Server unterstützt. Ab sofort ist es auch möglich, sich nur mit dem Benutzerpasswort oder mit Benutzerpasswort und Einmal-Passwort anzumelden.

Individuelle Zugangsdaten für Mailversand über Provider-Relay

Je Absender-Adresse (Envelope-From) lassen sich jetzt individuelle SMTP-Zugangsdaten für den Versand ausgehender Mails konfigurieren.

Unterstützung für indirekte Netze im DHCP-Server

Der DHCP-Server für IPv4 kann nun auch für Netzwerke eingesetzt werden, die über ein DHCP-Relay kommunizieren müssen.

Netzwerk 239.255.255.0/24 auf Bridge-Schnittstellen

Für Multicast-Pakete zu IPs aus dem Netz 239.255.255.0/24 muss keine Route mehr konfiguriert werden.

Diverse Systemkomponenten

Aktualisiert werden u.a. der Web-Server und das Archivierungswerkzeug tar. Dadurch behobene Sicherheitslücken befinden sich in nicht genutzten Teilkomponenten.

Kleinere Bugfixes und Verbesserungen

IPsec-L2TP und IPsec mit IPComp Komprimierung

Bei IPsec-L2TP-Verbindungen kam es bei manchen Installationen zu sporadischen Routing-Fehlern. Bei IPsec mit aktivierter Komprimierungsoption wurden einzelne Pakete fälschlicherweise von der Firewall verworfen.

Nutzung des Windows Zertifikatsspeichers mit OpenVPN

Neue Varianten der Windows-Installationspakete für OpenVPN können das Schlüsselpaar im Zertifikatsspeicher von Windows ablegen. Für normale Verbindungen wird der Zertifikatsspeicher des Benutzers verwendet. Bei Paketen für PLAP/SBL (Start-before-Login) muss der Schlüssel im Zertifikatsspeicher des Computers abgelegt werden.

Automatischer Download von URL-Listen

Bisher konnten URL-Filter-Listen nur manuell gepflegt oder manuell importiert werden. Jetzt lassen sich auch URL-Filter-Listen anlegen, die regelmäßig URL-Listen von einem Web-Server herunterladen. Die Listen dürfen dabei ganze Domains, URLs, IP-Adressen und Suchmuster wie z.B. "example.*" enthalten.

Kleinere Bugfixes und Verbesserungen

Sicherheitslücken in Web-Proxy

Im Web-Proxy wurden diverse Sicherheitslücken behoben. Besonders kritisch ist die Möglichkeit für einen Angreifer eigenen Code zur Ausführung bringen, sofern Benutzeranmeldung mit Digest-Authentifizierung aktiviert ist. Über eine weitere kritische Lücke war es möglich, Anfragen oder Antworten mittels widersprüchlicher Angaben durch den Proxy zu schmuggeln.

IPsec Verbindungen zu Clients

In Version 7.2-1.0 wurden Verbindungen vom Typ "Windows IKEv2" wegen eines Fehlers in der Konfiguration nicht geladen. Gleiches galt für Verbindungen vom Typ "Client", wenn IKEv2 als Protokoll ausgewählt und keine virtuelle IP konfiguriert war.
Beim Erstellen von Installationspaketen für Windows IPsec-L2TP (Powershell) wurden fälschlicherweise Installationspakete für Windows IKEv2 ausgeliefert.

Wireguard DNS-Suffix

Beim Erstellen von Wireguard-Konfigurationen für Gegenstellen lässt sich jetzt ein DNS-Suffix angeben.

Kleinere Bugfixes und Verbesserungen

Sicher

DEFENDO bedient sich einer Reihe von bewährten Security-Modulen wie Firewall, VPN, Proxies, Virenscanner und Anti-Spam-System.
Diese schützen Sie vor Schad-Code, Spam, Hacker-Angriffen und weiteren unerwünschten oder schädlichen Dingen.

Flexibel

Keine IT-Umgebung ist wie die andere. Die DEFENDO Produktfamilie passt sich genau Ihren Bedürfnissen an.
Von der einfachen Internet-Anbindung für kleinere Unternehmen, über Lösungen für Filialen und den Außendienst, bis hin zu komplexen, mehrstufigen Firewall-Systemen.

Mehr gute Gründe

  • Es gibt keine Backdoors
  • über 20 Jahre Internet-Security-Erfahrung
  • Mehrfach ausgezeichnet
  • Support direkt durch unsere Entwickler
  • Fachhändler-Treue
  • Made in Germany