Neustart erforderlich

Nach dem Update führt das System automatisch einen Neustart durch. Bitte starten Sie das System nicht von Hand neu.

Zahlreiche Softwarepakete

Neben dem Linux-Kernel und den Virenscannern von Avira und F-Secure wurden diverse System-Bibliotheken und Programme aktualisiert.

Schlüssel- und Zertifikatsmanagement

RSA-Schlüsselpaare für Serverdienste wie VPN, Reverse-Proxy, Mail-Server und Administrationsoberfläche wurden bisher in den jeweiligen Menüs dieser Dienste administriert. Ab sofort werden die Schlüsselpaare zentral im Menü "System > Zertifikatsverwaltung > Schlüsselbund" abgelegt. In den Menüs der Dienste wird ausgewählt, welcher der Schlüssel aus dem Schlüsselbund genutzt werden soll.
Auf Cluster-Systemen wird solange keine Synchronisierung der RSA-Schlüsselpaare mehr durchgeführt, bis beide Cluster-Knoten aktualisiert wurden.
Der spezielle Schlüssel "DUMMY" dient als Platzhalter. Er wird in der Grundkonfiguration verwendet, solange noch kein richtiges Schlüsselpaar zur Verfügung steht. Ferner kommt er zum Einsatz, wenn der private Schlüssel eines Schlüsselpaars fehlt, was z.B. nach einem Hardwaretausch der Fall ist, bevor die Backups der Schlüsselpaar eingespielt oder neue Schlüssel ausgestellt wurden. Beachten Sie bitte, dass private Schlüssel nach wie vor nicht Bestandteil des System-Backups sind sondern separat in kennwortgeschützten Dateien gesichert werden müssen.
Im Zuge der Umstellung wurde der Prozess zur Beantragung von Kaufzertifikaten überarbeitet. Unter anderem lassen sich Zertifikatsanfrage und Zertifikat jetzt alternativ per Copy-und-Paste übertragen und Zertifikate könne auch im DER-Format hochgeladen werden.

Zertifikate von Let's Encrypt

Ab sofort können Zertifikate automatisiert über das ACME-Protokoll aktualisiert werden, was die Nutzung von kostenlosen Let's Encrypt-Zertifikaten ermöglicht. Eine entsprechende Alternative steht im Menü "Schlüsselbund" beim Ausstellen neuer Zertifikate zur Verfügung. Die Authentifizierung erfolgt dabei über das Verfahren "http-01". Sie müssen dazu den Reverse-Proxy auf Port 80 aus dem Internet erreichbar machen, virtuelle Hosts für die gewünschten Domains anlegen und darin jeweils das vordefinierte Backend "ACME HTTP-Authorisierung" aktivieren. Eine kurze Anleitung finden Sie unter www.linogate.de/de/support/categories/administration/lets_encrypt.html.

Avira und Kaspersky Online-Abfrage

Um das Zeitfenster zwischen der Meldung eines neuen Virus an die Antivirenhersteller bis zum Download der neuen Signaturen besser zu überbrücken, bieten Avira und Kaspersky die Möglichkeit an, den Status verdächtiger Dateien online abzufragen. Dazu wird eine Prüfsumme über die Datei gebildet und an den Anbieter übermittelt.
In der Grundeinstellung ist diese Option aktiviert. Sie können sie im Menü "Module > Virenscanner" für jeden Scanner separat deaktivieren.

Avira Makro-Erkennung im Web-Proxy

In Kombination mit dem Avira Virenscanner lassen sich im Web-Proxy Content-Filter Office-Dokumente blockieren, wenn diese Makros oder Autostart-Makros enthalten.

LTE-Unterstützung

Die bisherigen USB-Sticks für die Internetanbindung über UMTS laufen aus. Es werden nun LTE-fähige Sticks angeboten.
Die Konfigurationsmaske für die Internetanbindung über Mobilfunk wurde um die Anzeige des Mobilfunkproviders und um eine Auswahlmöglichkeit für den Mobilfunkstandard erweitert.

Auswahl des IKEv2-Modus in IPsec-Verbindungen

In IPsec-Verbindungen vom Typ "Server" und "Client" kann nun der IKEv2-Modus vorgegeben werden.

Re-keying in IPsec-Verbindungen

In IPsec-Verbindungen vom Typ "Client" und in passiven "Server"-Verbindungen wurde kurz vor Ablauf eines Sitzungsschlüssels ggf. ein re-keying initiiert. Die Verbindungen sind jetzt komplett passiv.

E-Mail Dateianhangs-Quarantäne

Das erste Problem betrifft ausschließlich Installationen, bei denen problematische Anhänge aus E-Mails entfernt werden und zusätzlich der Administrator den Empfängern Zugriff auf den Quarantänebereich gestattet. Wurde bei einer E-Mail mehr als ein Anhang unter Quarantäne gestellt, konnten die Empfänger nur den ersten Anhang herunterladen.
In einzelnen Installationen, bei denen E-Mails mit problematischen Anhängen komplett zurückgehalten werden, wurden die Benachrichtigungs-Mails an die Empfänger und ggf. den Administrator nicht gesendet.

IP-Objekte vom Typ "Geolokation"

Bisher wurden nur max. 15 Ländercodes pro IP-Objekt unterstützt.

URL-Filter Datenbank

IDS/IPS-Signaturen für Systeme ohne Pflegevertrag

Kleinere Bugfixes und Verbesserungen

Neustart erforderlich

Nach dem Update führt das System automatisch einen Neustart durch. Bitte starten Sie das System nicht von Hand neu.

Aktualisierung des Linux-Kernels und der Systembibliothek glibc

Der Schutzmechanismus, mit dem die verschiedenen Speicherbereiche eines Programmes voneinander getrennt werden, lässt sich umgehen. Dies ermöglicht das Ausführen von eigenem Code oder das Ausweiten der Berechtigungen. Mit dem Update werden entsprechende Angriffe erschwert.

RAR-Entpacker

Mit Hilfe eines manipulierten RAR-Archives konnte ein Angreifer den im E-Mail-Virenscan eingesetzten RAR-Entpacker dazu bringen, im Rahmen der Berechtigungen eigenen Code auszuführen.

OpenVPN

Mit Hilfe von speziellen Datenpaketen konnte ein Angreifer den OpenVPN-Server zum Absturz bringen.

Reverse-Proxy-Option für Quarantänebereich des Dateianhangsfilters

Seit 7.0-2.0 kann der Administrator den Empfängern ermöglichen, unter bestimmten Voraussetzungen selbst auf gefilterte E-Mails oder Anhänge zugreifen zu können. Über einen neuen Schalter können diese Zugriffe nun auch im Reverse-Proxy freigegeben werden, falls von außen ein Zugriff auf die Quarantäne notwendig ist.

E-Mail Dateianhangsfilter

In der Administrationsoberfläche wurden Dateinamen mit ausländischen Zeichensätzen nicht korrekt angezeigt. In den Benachrichtigungsmails betraf dies neben dem Dateinamen auch den Betreff.
Um den Text der Benachrichtigungsmails zu vereinfachen, sind die Kopfzeilen der Original-Mail nicht mehr Bestandteil des Textes sondern werden als Anhang zugeordnet.

SPAM-Ordner E-Mail-Report

Im täglichen E-Mail-Report, der neue E-Mails im SPAM-Ordner auflistet, wurden Absendernamen und Betreff möglicherweise abgeschnitten. Bei Verwendung von ausländischen Zeichensätzen war die Anzeige nicht korrekt.
Ferner wurden E-Mails mit ungültiger Message-ID nicht automatisch nach der konfigurierten Zeitspanne gelöscht.

Monitoring für SSH-TCP-Forwarding

Auf einem neuen Reiter im Menü "Monitoring > Netzwerk > Status" werden jetzt Verbindungen mit dem SSH-TCP-Forwarder angezeigt.

Kleinere Bugfixes und Verbesserungen

Windows-Freigaben

Bei aktivierten Windows-Freigaben konnte ein Client eine Bibliothek hochladen und zur Ausführung bringen. Wenn der Dienst "Windows-Freigaben" nicht läuft, was der Grundeinstellung entspricht, ist das System nicht angreifbar.

NTLM-Authentifzierung und Mitgliedschaft in der Windows-Domäne

Bei NTLM basierter Proxy-Authentifizierung gab es mit der in Version 7.0-2.2 installierten neuen Samba-Version Probleme. Teils wurden nur viele Log-Meldungen erzeugt, auf anderen Sytemen musste hingegen der Dienst "Mitgliedschaft in Windows Domäne" regelmäßig neu gestartet werden.
Bitte erstellen Sie auf betroffenen Sytemen nach Abschluss des Updates im Menü "Module > Web-Proxy > Einstellungen" auf dem Reiter "NTLM-Anmeldung" das Domänen-Konto neu. Sollte bei "IP-Adresse des ActiveDirectory-Servers" anstatt einer IP der Name der Windows-Domäne konfiguriert sein, ändern Sie diesen bitte in die IP-Adresse eines Ihrer Domain-Controller ab.

Kleinere Bugfixes und Verbesserungen

Neustart erforderlich

Nach dem Update führt das System automatisch einen Neustart durch. Bitte starten Sie das System nicht von Hand neu.

IPsec-Server

Mit manipulierten Zertifikaten ließ sich der IPsec-Server zum Absturz bringen oder sogar Programmcode ausführen.

Intrusion-Prevention und F-Secure Antivirus

Seit 27.04.2017 wurden teilweise die Updates des F-Secure Virenscanners durch die Intrusion-Prevention blockiert. Systeme mit Pflegevertrag und automatischem Update der IDS/IPS-Signaturen haben am 28.04.2017 Signaturen erhalten, in denen das Problem behoben wurde. Für alle anderen Systeme werden die Signaturen mit diesem Update aktualisiert.

Aktualisierung des Linux-Kernels

Kleinere Bugfixes und Verbesserungen

Intrusion-Detection / -Prevention

Mit manipulierten, fragmentierten Paketen konnten das IDS/IPS dazu gebracht werden, falsche Pakete bei der Reassemblierung des Datenstroms zu benutzen.

IPsec CRL

Zertifikatssperrlisten wurden vom IPsec-Server nicht geladen.

Autostart des Dienstes "weitere Server"

Auf dem Cluster Master und nach dem Einspielen eines System-Backups wurde das automatische Starten nach Reboots für "weitere Server" nicht aktiviert.

Webmail über Reverse-Proxy

Das Versenden von E-Mails im Webmailer schlug fehl, wenn der Zugriff über den Reverse-Proxy erfolgte.

Firewall-Regeln mit vielen Adressen

In Version 7.0-2.2 kam es beim Laden von Firewall-Regeln mit sehr vielen IP-Adressen zu einem Fehler. Die Regeln wurden daraufhin in einem zeitaufwändigen Verfahren schrittweise geladen, was zu temporären Zugriffsproblemen führen konnte.

Kleinere Bugfixes und Verbesserungen

Web-Proxy

Ein Fehler bei der Verarbeitung bedingter Anfragen ermöglichte es internen Angreifern, Zugriff auf die Sitzungen anderer Nutzer und damit potentiell auf vertrauliche Daten zu erlangen.

Filterung von eingehenden E-Mails mit Absenderadresse aus der eigenen Domain

Das Update behebt mehrere Möglichkeiten, diese in 7.0-1.1 neu eingeführten Filter zu umgehen. So wurden z.B. bislang nur die E-Mail-Adresse, nicht jedoch der Text-Teil des From-Headers untersucht und nur der erste From-Header geprüft.
Der Sender-Header wird ab sofort ebenfalls geprüft.

Windows-Dienste

Im Samba-Server wurden diverse Sicherheitsprobleme behoben, die nach unserer Auffassung jedoch nicht relevant sein dürften. Vorsichtshalber stellen wir dennoch ein Update zur Verfügung.

Protokollierung auf Syslog-Server

Der Inhalt der meisten Log-Dateien kann jetzt in Kopie auf einen Syslog-Server gesendet werden.

Eingabe von IP-Bereichen

In der Administrations-Oberfläche lassen sich nun an vielen Stellen neben einzelner IPs und Netzwerken auch IP-Bereich wie z.B. "192.168.0.100-192.168.0.120" eingeben.

Cluster mit Fallback

Das Verhalten von Cluster-Master-Knoten, die zugleich über ein Fallback auf eine zweite Internet-Leitung verfügen, wurde überarbeitet. Wenn der Netzwerk-Link auf der primären Internet-Leitung verloren geht, erfolgt kein Wechsel auf den Backup-Knoten mehr. Stattdessen erfolgt ein Fallback auf die zweite Internet-Leitung.

Anzeige von Dateianhängen in der E-Mail Quarantäne

Vereinzelt wurden Anhänge nicht angezeigt, wenn deren Dateinamen auf bestimmte Weise kodiert waren.

Anzeige der Schnittstellen-Tabelle

Auf Hyper-V Systemen und manchen VDSL-Systemen wurde die Schnittstellen-Tabelle im Monitoring nicht angezeigt.

Kleinere Bugfixes und Verbesserungen

Abweisen von E-Mails mit unerwünschten Dateianhängen

Bei der Filterung von Dateianhängen steht nun eine zusätzliche Option zur Verfügung, bei der E-Mails mit unerwünschten Anhängen nicht unter Quarantäne gestellt, sondern gar nicht erst angenommen werden.
Diese Option ist nicht geeignet für Systeme, die eingehende E-Mails von einem POP- oder IMAP-Server abholen.

Import-Funktion für Konfigurationstabellen

Mit der neuen Import-Funktion aus 7.0-2.0 gab es noch ein paar Schwierigkeiten. Der Import funktioniert nun auch mit Chrome und der doppelte Import bei Verwendung des Internet-Explorers wurde behoben. Teilweise wurde die letzte Zeile des Imports fälschlicherweise als fehlerhaft beanstandet. Schließlich ist der Importvorgang jetzt toleranter bezüglich des Dateiformats, so dass sich die Import-Dateien nun mit den meisten Editoren bearbeiten lassen sollten.

DSL-Einwahl nach Neustart

An manchen DSL-Anschlüssen ging nach einem Neustart des Systems die DSL-Verbindung nicht online, wenn die DSL-Schnittstelle auch für IPsec-VPN genutzt wurde.

Backup auf NetAPP Windows-Freigabe

Das Backup schlug fehl, sofern in der NetAPP NTLMv2-Signed aktiviert ist.

Speicherleck im Reverse-Proxy

Kleinere Bugfixes und Verbesserungen

Sicher

DEFENDO bedient sich einer Reihe von bewährten Security-Modulen wie Firewall, VPN, Proxies, Virenscanner und Anti-Spam-System.
Diese schützen Sie vor Schad-Code, Spam, Hacker-Angriffen und weiteren unerwünschten oder schädlichen Dingen.

Flexibel

Keine IT-Umgebung ist wie die andere. Die DEFENDO Produktfamilie passt sich genau Ihren Bedürfnissen an.
Von der einfachen Internet-Anbindung für kleinere Unternehmen, über Lösungen für Filialen und den Außendienst, bis hin zu komplexen, mehrstufigen Firewall-Systemen.

Mehr gute Gründe

  • Es gibt keine Backdoors
  • über 20 Jahre Internet-Security-Erfahrung
  • Mehrfach ausgezeichnet
  • Support direkt durch unsere Entwickler
  • Fachhändler-Treue
  • Made in Germany