JobsPresseNutzungsbedingungenDatenschutzImpressum

Kostenpflichtiges Update

Sie können das Update kostenfrei herunterladen, wenn ein Software-Pflegevertrag besteht oder das Gerät erst vor kurzem gekauft wurde. Der Download ist für die entsprechenden Geräte bereits freigeschaltet. Systeme, auf die diese Voraussetzungen nicht zutreffen, werden nach dem käuflichen Erwerb des Updates freigeschaltet.
Die Zugangsdaten zum Download des Updates werden beim Interaktiven Update vom System selbständig übermittelt. Sollten Sie das Update von Hand herunterladen, so geben Sie bitte als Benutzername die Support-IP (z.B. 172.18.253.15) und als Kennwort die Geräte-ID (z.B. 473I-QN34-O@:5) des Systems ein.

Migration auf 64-Bit Basissystem

Das Basissystem wird aktualisiert und weitgehend auf 64 Bit umgestellt. Dazu ist ein dreimaliger Neustart des Systems erforderlich, die vom Update selbständig durchgeführt werden. Nach dem Beginn der eigentlichen Update-Prozedur ist das System und damit auch das Internet für mehrere Minuten nicht erreichbar. Auf älterer und entsprechend langsamer Hardware kann dieser Zustand u.U. 10-15 Minuten andauern. Bitte haben Sie Geduld und starten Sie das System keinesfalls selbst neu, da das System bei Unterbrechung des Updatevorgangs unbenutzbar werden kann!
Aufgrund des gestiegenen Speicherbedarfs empfehlen wir das Update nur für Systeme mit mind. 2 GB Hauptspeicher.
Stellen Sie vor dem Einspielen des Updates sicher, dass Sie über ein aktuelles Backup des Systems verfügen.

Cluster-Dienst

Der Cluster-Dienst wird aktualisiert um eine verbesserte IPv6-Unterstützung zu erhalten. Zudem wird die Kommunikation zwischen den Cluster-Knoten von Multicast auf Unicast und von einem variablen auf einen festen Port umgestellt.
Nach dem Update des Master-Knotens findet keine Synchronisation der Firewall-Verbindungstabelle mehr statt, bis auch der Backup-Knoten aktualisiert ist. In diesem Zustand ist damit zu rechnen, dass im Falle eines Failovers nahezu alle offenen Verbindungen abbrechen.
Auf Clustern mit geteiltem Internet-Zugang wird die Internet-Schnittstelle im Backup-Status deaktiviert

ISDN-Unterstützung

Die Unterstützung für ISDN möchten wir mit Version 7.0 gerne einstellen. Das Update wird daher abgebrochen, wenn eine ISDN-Karte im System gefunden wird und der zugehörige Treiber konfiguriert ist. Setzen Sie sich bitte mit dem technischen Support in Verbindung, falls Sie ISDN noch dringend benötigen. Wird ISDN nicht mehr benötigt, erfahren Sie über den technischen Support, wie Sie die Treiberkonfiguration löschen können. Alternativ können Sie auch die ISDN-Karte ausbauen.

FTP-Server

Der FTP-Server wird durch eine andere Software ersetzt. Mit der neuen Software ist es leider nicht mehr möglich, den anonymen Zugriff auf bestimmte Netze zu beschränken.
Sofern der anonyme Zugriff nur für lokale IP-Subnetze erlaubt war, wird dieser mit dem Update gesperrt.

Der per E-Mail versendete Wählleitungs- und Firewall-Report wird nicht mehr angeboten

IPv6-Unterstützung

Mit dem Update erhält das System weitgehende Unterstützung für IPv6. IPv6 ist zunächst deaktiviert und muss unter "Module > Netzwerk > Einstellungen" aktiviert werden. Danach lässt es sich je nach Bedarf in den einzelnen Schnittstellen zuschalten. Eine kurze Anleitung finden Sie unter www.linogate.de/de/support/categories/howto/ipv6-networking.html.
Sollten Ihnen bei den IPv6-Netzwerkfunktion Möglichkeiten fehlen, bitten wir um Rückmeldung. Eine Unterstützung von IPv6-in-IPv4-Tunneln (IPv6 über reine IPv4-Anbindungen) ist derzeit nicht geplant.
Bei den Server-Diensten ist für den SIP-Proxy keine IPv6-Unterstützung geplant. Aktuelle fehlt noch die IPv6-Unterstützung für folgende Komponenten: POP3-/SMTP-Proxy, FTP-Proxy und dynamischer DNS. Bei folgenden Komponenten gibt es noch Einschränkungen: IPsec-L2TP-Verbindungen können zwar über IPv6 mit dem Server kommunizieren, als Nutzdaten kann jedoch nur IPv4 übertragen werden (IPv4-in-IPv6). IPsec-Xauth-Verbindungen können für IPv6 nur ohne ModeCfg genutzt werden. Im Web-Proxy URL-Filter ist es noch nicht möglich, Regeln für bestimmte IPv6-Client-IPs zu konfigurieren.

IP-Gruppen / IP-Objekte

Der Menüpunkt "IP-Gruppen" wurde in "IP-Objekte" umbenannt. Neben den bekannten Typen "Gruppe" und "DNS-Eintrag" lassen sich nun auch IP-Objekte folgenden Typs anlegen:
Der Typ "Geolokation" kann nur in Firewall-Regeln genutzt werden. Hier können Sie Länderkennungen wie "DE", "AT" oder "CH" eintragen, um Verbindungen basierend auf dem Herkunfts- oder Zielland freizugeben. Die Zuordnung von IP-Adressen auf Länder erfolgt dabei mit Hilfe einer im System hinterlegten Datenbank.
Die Objekt-Typen "IPv6-Präfix" und "IPv6-Adresse" sind vor allem dann nützlich, wenn dynamisch vom Provider zugewiesene IPv6-Präfixe an interne Netze weiterverteilt werden müssen. In beiden Objekt-Arten kann eine Teil-Adresse und ein Bezug auf ein weiteres IP-Objekt vom Typ "IPv6-Präfix" konfiguriert werden, die zusammengerechnet die tatsächliche Adresse ergeben.
Der ebenfalls neue Objekt-Typ "IPv4-Adresse" hat keine tiefergehende Bedeutung. Er kann in komplexen Konfigurationen zur besseren Strukturierung und Lesbarkeit beitragen.

Neue dynamische Firewall

Die dynamische Firewall beobachtet die Kommunikation und kann bei auffälligem Verhalten die zugehörige Quell-IP automatisch sperren. Bei der Neuimplementierung dieses Moduls wurde vor allem auf eine einfache Konfigurierbarkeit und die Vermeidung von Fehlalarmen Wert gelegt. Ein Dienst muss für die dynamische Firewall nun nicht mehr gestartet werden. Analysiert wird der komplette Datenverkehr über alle Schnittstellen. Die Reputation der einzelnen IP-Adressen kann im Monitoring-Menü ausgelesen werden. Bislang gibt es lediglich zwei Konfigurationsoptionen: In der Firewall-Konfiguration der Schnittstellen lässt sich die automatische Sperrung auffälliger IPs aktivieren, was in erster Linie in den Internet-Schnittstellen empfohlen wird, sofern eingehende Verbindungen erlaubt sind. Zudem kann in den globalen Einstellungen der Firewall eine Liste von IPs hinterlegt werden, die nie gesperrt werden, sollte es zu Fehlerkennungen kommen.

Erweiterte Möglichkeiten bei der Firewall-Konfiguration

Firewall-Regeln können nun mit einem Ablaufzeitpunkt versehen werden, ab dem keine neuen Verbindungen mehr von dieser Regel akzeptiert werden. Gedacht ist dies vor allem für temporäre Regeln. Bisher wurde von Administratoren oft vergessen, diese wieder zu löschen.
Ab sofort ist es auch möglich, Firewall-Regeln zu konfiguieren, die Verbindungen verbieten. Der Verbindungswunsch kann entweder ohne Rückmeldung verworfen oder mit einer ICMP-Antwort abgelehnt werden.
Bislang wurde SNAT als Teil von Weiterleitungs-Regeln konfiguriert. Ab sofort steht dafür eine eigene Konfigurationstabelle zur Verfügung.

Firewall-Regeln in ipsec-Schnittstellen

Aus technischen Gründen war es bisher nicht möglich, Weiterleitungsregeln für ipsec-Schnittstellen auf bestimmte Quell-Zonen einzuschränken. Dieses Problem konnte nun beseitigt werden.

Mehrere Zeiträume für URL-Filter-Regeln

Bisher konnte für den URL-Filter nur ein Zeitraum "Arbeitszeiten" definiert werden. Nun sind beliebig viele Zeiträume möglich, die individuell in den URL-Filter-Regeln verwendet werden können. Die Zeiträume werden im Menü "Definitionen > Zeiträume" festgelegt.

Vertrauenswürdige Server im Web-Proxy Content-Filter

Ein Eintrag in die Liste der vertrauenswürdigen Server hat bisher alle Komponenten des Content-Filters für diesen Server deaktiviert. Ab sofort lassen sich auch nur Teilkomponenten deaktivieren.

Web-Proxy Cache

Das Standardverhalten für das Caching im Web-Proxy wurde verändert. Der Festplatten-Cache ist nun deaktiviert (zuvor 200MB). Dafür werden nun 128MB Hauptspeicher für das Caching verwendet (zuvor 8MB). Steht ein Parameter noch auf dem alten Vorgabewert, wird dieser durch das Update automatisch umgestellt. Ist ein benutzerdefinierter Wert eingestellt, bleibt dieser erhalten.

Reverse-Proxy Exchange-Backend für MAPI-over-HTTP

Aktuelle Exchange- und Outlook-Versionen kommunizieren ggf. nicht mehr über RPC- sondern mit MAPI-over-HTTP. In der Reverse-Proxy-Konfiguration wurde ein entsprechender Schalter hinzugefügt.

Umbenennen von Einträgen

Tabellen in der Administrations-Oberfläche, in denen die Einträge der ersten Spalte als Link ausgeführt sind, verweisen auf komplexe Elemente. Dazu gehören z.B. Benutzer und die Definitionen von Protokollen oder IP-Objekten. Diese Einträge können nun weitestgehend umbenannt werden. Klicken Sie dazu auf das Stift-Symbol am rechten Rand der jeweiligen Tabellenzeile.
Bis einschließlich Version 6.0-4.8 entsprach das Stift-Symbol dem Link in der ersten Spalte und ermöglichte das Bearbeiten der Einstellungen des jeweiligen Elements.

Anzeige von Tabellen

Die max. Anzahl von Zeilen in Tabellen wurde verdoppelt.
Beim Überschreiten der max. Zeilenzahl wurden die Einträge bisher auf mehrere Seiten aufgeteilt. Als Alternative zur Seitenschaltung lassen sich Tabellen, in denen die Reihenfolge der Einträge keine Rolle spielt, jetzt auch gruppiert anzeigen. Die Gruppierung bezieht sich dabei immer auf die Spalte, nach der aktuell sortiert wird. Abhängig vom Datentyp der Spalte wird z.B. nach Anfangsbuchstabe, Ordner-Name oder identischen Einträgen gruppiert. Die Gruppierung lässt sich über das Werkzeugsymbol in der rechten, oberen Ecke aktivieren.

Zusatzinformationen zu IP-Adressen

Bei der Anzeige von Log-Dateien und im Netzwerk-Monitoring sind IP-Adressen vielfach als Link ausgeführt. Auf Klick werden das Herkunftsland sowie der über Reverse-Lookup ermittelte DNS-Name angezeigt.

Zusatzinformationen in Log und Monitoring

Im Maillog ist zu jeder E-Mail eine ganze Reihe von Einträgen zu finden, die oft nicht unmittelbar hintereinander stehen. Neben der ID jeder Mail befindet sich nun ein Link, über den alle zu dieser Mail gehörenden Zeilen in einem separaten Fenster angezeigt werden.
In der Log-Anzeige der Intrusion-Detection (IDS) lässt sich über einen Link der zugehörige Paket-Dump abrufen.
Im IPsec-Log können über einen Link ebenfalls zusammengehörige Zeilen abgerufen werden.
Durch Klick auf das Info-Symbol im IPsec-Reiter des Netzwerk-Monitorings werden Detailinformationen zur jeweiligen IPsec-Verbindung angezeigt.

Anzeige der Log-Dateien

In einigen Log-Dateien werden bestimmte Zeilen nun farblich hinterlegt, um das Log übersichtlicher und inhaltlich leichter zugänglich zu machen.

LDAP-Zugang testen

Für den Active-Directory Benutzerimport und die Mail-Adressverifikation via LDAP stehen nun Testfunktionen zur Verfügung.

Geschwindigkeit und Duplex-Betrieb der Netzwerkkarten konfigurierbar

Kleinere Bugfixes und Verbesserungen

Folgende Features konnten bereits in den 6.0er Versionen auf Systemen mit Software-Pflegevertrag genutzt werden. In 7.0 sind diese Funktionen nun auf allen Systemen verfügbar. Dazu gehören:

Reverse-Proxy Option für Strict-Transport-Security

In den HTTPS-Ports des Reverse-Proxies lässt sich nun HTTP Strict-Transport-Security aktivieren. Diese Option weist den Browser an, für eine bestimmte Zeitdauer ausschließlich per HTTPS auf den Server zuzugreifen und dem Benutzer keine Möglichkeit zu geben, Zertifikatsfehler zu ignorieren. Damit sollen Man-in-the-Middle Attacken erschwert werden.

Remotedesktop-Gateway über Reverse-Proxy

Neue Optionen erlauben den Zugriff auf Remotedesktop-Gateway-Server und mit Remotedesktop Web-Access.

Erweiterte Funktionen beim Aufbrechen von SSL-Verbindungen im Web-Proxy

Ist das Aufbrechen von SSL-Verbindungen aktiviert, können jetzt HTTPS-Verbindungen zu Port 443 auch transparent an den Proxy umgeleitet werden. Im Proxy darf jedoch keine Authentifizierung konfiguriert sein.
Das Verhalten bei abgelaufenen Zertifikaten und bei Zertifikaten die auf einen abweichenden Server-Namen ausgestellt wurden lässt sich nun konfigurieren. Wurde die Entscheidung, ob dieser Verbindung zu trauen ist, bisher dem Anwender überlassen, kann die Verbindung nun auch grundsätzlich abgewiesen werden.
Wie der Proxy auf fehlgeschlagene OCSP-Anfragen reagieren soll, lässt sich ebenfalls einstellen.
Sofern der URL-Filter aktiviert ist greifen bei aufgebrochenen SSL-Verbindungen nun auch pfadbasierte Sperren wie z.B. gesperrte Dateinamenserweiterungen oder der Jugendschutzfilter bei Suchmaschinen.

Passwortgeschützte Dateien im Web-Proxy Content-Filter

Eine neue Option erlaubt es, passwortgeschützte Dateien ungeprüft auszuliefern anstatt diese Dateien im Quarantäne-Bereich abzulegen.

Abfrage des Web-Proxy URL-Filters

Im "Monitoring"-Menü lässt sich über eine Abfragemaske das Verhalten des URL-Filters testen.

Sender-Policy-Framework (SPF) Filter

Für Systeme, die eingehende E-Mails direkt per MX-Eintrag im DNS erhalten, steht ein neuer Filter zur Verfügung. Über einen DNS-Eintrag kann der Inhaber einer Domain festlegen, dass E-Mails mit entsprechender Absender-Adresse ausschließlich über bestimmte Systeme gesendet werden dürfen. Mit dem SPF-Filter werden diese Einträge ausgewertet und E-Mails abgewiesen, die nicht dieser Vorgabe entsprechen. SPF richtet sich also gegen E-Mails mit gefälschten Absender-Adressen und leistet damit indirekt auch einen Beitrag zur Abwehr bestimmer SPAM- und Schädlings-Mails.
SPF kann Probleme mit weitergeleiteten Mails verursachen. Ferner müssen häufig einzelne Adressen manuell von der Filterung ausgenommen werden (z.B. Backup-MX). Beachten Sie bitte unbedingt die Informationen in der Online-Hilfe.

Erweiterte Möglichkeiten im E-Mail Anhangsfilter

Unter dem Eindruck der aktuellen Virenwelle haben uns viele Anregungen zur Erweiterung des Dateianhangsfilters erreicht. Folgende Änderungen habe wir in dieser Version umgesetzt:
Die altbekannte Liste der zu sperrenden Dateinamenserweiterungen heißt nun "Gefährliche Datei-Anhänge". Entsprechende Dateien werden grundsätzlich aus der E-Mail entfernt und in das Quarantäne-Verzeichnis gestellt. Die von uns empfohlene Vorbelegung dieser Liste finden Sie in der Online-Hilfe.
Es folgt eine neue Liste mit "vertrauenswürdigen Absendern". Sie können einzelne E-Mail Addressen oder auch ganze Domains eingeben. Diese dürfen beliebige Anhänge senden, mit Ausnahme der "Gefährlichen Datei-Anhänge".
Abhängig von der nun ebenfalls konfigurierbaren Standardeinstellung des Filters - alle übrigen Anhänge entweder weiterleiten oder ausfiltern - wird eine weitere Liste mit Dateinamenserweiterungen angeboten. Werden alle übrigen Anhänge unter Quarantäne gestellt, ist dies eine Liste mit für alle freigegebenen Dateinamenserweiterungen. Tragen Sie also hier eher unbedenkliche Dateien wie z.B. Bilder oder PDF ein. Sind hingegen alle übrigen Dateianhänge erlaubt, steht Ihnen eine weitere Liste mit zu filternden Dateierweiterungen zur Verfügung. Im Unterschied zu den "Gefährlichen Datei-Anhängen" dürfen entsprechende Anhänge passieren, wenn sie von "vertrauenswürdigen Absendern" kommen. Hier könnte man in Anbetracht der aktuellen Situation beispielsweise normale Office-Dokumente wie doc, docx, xls, usw. eintragen.
Noch ein kurzer Hinweis: Sie können mehrere Dateinamenserweiterungen auf einmal hinzufügen, wenn Sie diese mit Leerzeichen getrennt eingeben (z.B. "doc docx xls").

Verifikation der Empfängeradressen am internen Mail-Server

Der für die Verifikation mit SMTP genutzte Port des internen Mail-Servers ist nun konfigurierbar. Alternativ ist die Verifikation nun auch mittels LDAP-Abfrage eines Active-Directories möglich. Nutzen Sie eine dieser beiden Möglichkeiten, falls als interner Mail-Server Exchange 2013 zum Einsatz kommt.
Eine weitere neue Option ermöglicht es, Mails ohne Verifikation anzunehmen, falls der interne Mail-Server vorübergehend nicht verfügbar ist. Die Mails werden dann in der lokalen Warteschlange zwischengespeichert.

Maskieren von E-Mail Absender-Adressen

Individuelles Mail-Relay je Absender-Domain

In Einzelfällen kann es notwendig sein, ausgehende Mails je nach Absender-Domain über unterschiedliche Relay-Server zu versenden.

Maildomain Routing an externen Mail-Server

Ein ausgehendes Mail-Routing steht ausschließlich internen Clients oder authentifizierten Benutzern zur Verfügung. Auf Wunsch kann dieses Mailrouting auch für Subdomains gelten. Praktisches Anwendungsbeispiel ist der Versand über ein De-Mail-Gateway.

OpenVPN Zugriff nur für ausgewählte Zertifikate

Bisher konnte konnte sich jeder OpenVPN-Client mit einem Zertifikat der konfigurierten VPN-CA eine Verbindung zu allen OpenVPN-Server Schnittstellen aufbauen. Eine neue Option ermöglicht es nun, dies je OpenVPN-Server Schnittstelle auf einzelne Zertifikate einzuschränken.

Vereinfachtes Überschreiben von DNS-Einträgen

In bestimmten Situationen kann es notwendig werden, Informationen aus dem Internet-DNS für lokale Clients mit anderen Informationen zu überschreiben. Solche Einträge können nun direkt konfiguriert werden, ohne eine entsprechende Domain-Zone anlegen zu müssen. Dabei können auch Aliase (CNAME) genutzt werden.

DNSSec Validierung

Im DNS-Forwarder kann die Validierung aller erhaltenen DNS-Antworten mittels DNSSec aktiviert werden.

Konfigurierbares Update-Intervall für DNS IP-Gruppen

Bisher wurden die IP-Adressen von DNS IP-Gruppen täglich aktualisiert. Nun ist dies auch stündlich oder sogar minütlich möglich, was auch die Nutzung mit dynamischen DNS-Adressen erlaubt.

Diensteüberwachung

Dabei werden die wichtigsten Dienste überwacht und bei Ausfall automatisch neu gestartet. Bei wiederholtem Ausfall wird auf Cluster-Systemen ein Failover ausgelöst.

Erweiterung der Netzwerk-Werkzeuge

Das Werkzeug "Traceroute" wurde ergänzt. Bei "Ping" besteht nun die Möglichkeit, die Paketgröße festzulegen. Ferner erlaubt es die Auswahl der Schnittstelle, VPN-Tunnel mit unterschiedlichen Quell-IPs zu testen.

Sicher

DEFENDO bedient sich einer Reihe von bewährten Security-Modulen wie Firewall, VPN, Proxies, Virenscanner und Anti-Spam-System.
Diese schützen Sie vor Schad-Code, Spam, Hacker-Angriffen und weiteren unerwünschten oder schädlichen Dingen.

Flexibel

Keine IT-Umgebung ist wie die andere. Die DEFENDO Produktfamilie passt sich genau Ihren Bedürfnissen an.
Von der einfachen Internet-Anbindung für kleinere Unternehmen, über Lösungen für Filialen und den Außendienst, bis hin zu komplexen, mehrstufigen Firewall-Systemen.

Mehr gute Gründe

  • Es gibt keine Backdoors
  • über 20 Jahre Internet-Security-Erfahrung
  • Mehrfach ausgezeichnet
  • Support direkt durch unsere Entwickler
  • Fachhändler-Treue
  • Made in Germany