Beachten Sie bitte die Hinweise zu Logdateien, Statistiken und zur E-Mail Quarantäne

Neustart erforderlich

Nach dem Update führt das System automatisch einen Neustart durch. Bitte starten Sie das System nicht von Hand neu.

Logdateien und Statistiken

Die Aufbewahrungsdauer von Logdateien und die Inhalte der Statistiken wurden unter dem Aspekt des Datenschutzes überarbeitet.
Logdateien werden künftig nur noch maximal 7 Tage aufbewahrt. Dazu werden die Logs nun nicht mehr wöchentlich sondern täglich archiviert. Beim Einspielen des Updates werden ferner alle Log-Dateien der vergangenen Wochen gelöscht und nur das gerade aktive Log der aktuellen Woche aufbewahrt. Sofern die externe Achivierung von Logdateien konfiguriert ist oder individuelle Rotationszyklen konfiguriert wurden, wird während des Updates eine entsprechende Warnung bzgl. Datenschutz oder notwendiger Anpassungen angezeigt.
Die Firewall-Statistiken enthalten IP-Adressen zukünftig nur noch in anonymisierter Form (192.168.x.x). In den Statistiken zu Proxies, Web- und Mail-Server sind keine Auswertungen nach Client-IP, Benutzername oder E-Mail-Adresse mehr enthalten. Nach dem Einspielen des Updates bleibt bei allen Statistiken nur die Übersichtsseite über die letzten 12 Monate erhalten. Die Seiten mit den Monats-Statistiken werden gelöscht. Mitternacht wird dann die Monats-Statistik für den aktuellen Monat neu generiert.

Speicherdauer E-Mail Quarantäne

Die vorgegebene Speicherdauer von E-Mails im Quarantäne-Verzeichnis wurde auf 7 Tage reduziert, kann aber nun über die Administrations-Oberfläche geändert werden. Bitte prüfen Sie, welche Speicherdauer hier im Sinne des Datenschutzes vertretbar ist.

Aktualisierung des Linux-Kernels

Der neue Kernel verbessert den Schutz gegen den "Spectre"-Angriff und behebt kleinere Lücken mit denen das System zum Absturz gebracht werden kann.

RC4 bei SMTP-Verbindungen

Bei verschlüsselten SMTP-Verbindungen war noch die unsichere RC4-Verschlüsselung zugelassen.

Bridging

Ethernet-, VLAN- und WLAN-Schnittstellen können in einer Bridge zusammengeschaltet werden. Für Verbindungen innerhalb der Bridge und für Verbindungen aus der Bridge heraus erfolgt dabei die Firewall-Konfiguration individuell je Port. Somit ist auch der Betrieb als transparente Firewall zwischen zwei Netzwerk-Segmenten möglich (z.B. zwischen LAN und Router). Für Verbindungen in eine Bridge hinein ist die Firewall-Konfiguration lediglich je Bridge, nicht aber je Port möglich.

Radius-Client für WLAN-Verbindungen

Bei Hardware mit WLAN-Option lässt sich nun WPA2-EAP Authentifizierung konfigurieren.

IPsec XAuth- und L2TP-Clients über selben NAT-Router

Parallele IPsec-Verbindungen mit XAuth- und L2TP-Clients waren nicht möglich, wenn sich die Clients hinter dem selben NAT-Router befinden.

URL-Filter

Die URL-Filter Software und die kostenfreie URL-Datenbank wurden aktualisiert.

IDS/IPS-Signaturen für Systeme ohne Pflegevertrag

Virenscanner-Engines von Avira, F-Secure und Kaspersky

Kleinere Bugfixes und Verbesserungen

Bündelung von Netzwerkkarten

Netzwerkkarten lassen sich nun Bündeln um eine redundante Verbindung mit Switches herzustellen oder den Durchsatz zu erhöhen.

URL-Filter Meldung beim Aufbrechen von SSL-Verbindungen

Beim Aufbrechen von SSL-Verbindungen im Web-Proxy wurde eine neue Option hinzugefügt, die die Darstellung von Sperr-Meldungen des URL-Filters betrifft. Ist eine Domain komplett gesperrt, hat der Proxy bisher schon den Verbindungsaufbau abgewiesen. Im Browser wurde daher nur eine allgemeine Fehlermeldung angezeigt, wonach der Proxy die Verbindung verweigert. Mit der neuen Option kann alternativ dazu der Verbindungsaufbau zunächst erlaubt werden, so dass dann die konkrete Sperr-Meldung des URL-Filters im Browser angezeigt wird.

Kleinere Bugfixes und Verbesserungen

Neustart erforderlich

Nach dem Update führt das System automatisch einen Neustart durch. Bitte starten Sie das System nicht von Hand neu.

Aktualisierung des Linux-Kernels

Gegen die spekulative Ausfühung von Befehlen in modernen Prozessoren wurde ein Angriff bekannt, über den Speicherbereiche ausgelesen werden können, auf die ein Prozess eigentlich keinen Zugriff hat, sofern ein Angreifer eigenen Schadcode zur Ausführung bringen kann (der sog. Angriff "Spectre"). Der aktualisierte Kernel versucht beide Varianten dieses Angriffs mit Hilfe von Speicherbarrieren und der sog. Retpoline-Technik zu erschweren.

IP-Objekt vom Type "Host"

Das neue IP-Objekt steht für jeweils eine IPv4-, IPv6- und MAC-Adresse. Alle drei Werte sind dabei optional. In den meisten Fällen werden lediglich die IP-Adressen verwendet. Bei Einstellungen, die auch die MAC-Adresse verwenden, ist dies in der Dokumentation angegeben.

Firewall-Regeln auf Basis von MAC-Adressen

Um eine Firewall-Regel für eine MAC-Adresse zu spezifizieren, können Sie als Quelle ein IP-Objekt vom Typ "Host" auswählen. Ist in dem Objekt ausschließlich eine MAC-Adresse hinterlegt, gilt die Firewall-Regel für alle Pakete, die von dieser MAC empfangen wurden. Wurde zusätzlich mindestens eine der IPs im Objekt eingetragen, muss sowohl die MAC-Adresse als auch die IP übereinstimmen. Um eine Firewall-Regel für mehrere "Hosts" zu konfigurieren, können die "Host"-Objekte in Gruppen-Objekten zusammengefasst werden.

Benutzerspezifische Meldung nach Anmeldung an Administrations-Oberfläche

In der Benutzerverwaltung kann bei Benutzern mit Zugriff auf die Administrations-Oberfläche (Gruppe "system-admin") eine Meldung hinterlegt werden, die jedesmal angezeigt wird, nachdem sich der Benutzer angemeldet hat.

Diverse Softwarekomponenten

Kleinere Bugfixes und Verbesserungen

Neustart erforderlich

Nach dem Update führt das System automatisch einen Neustart durch. Bitte starten Sie das System nicht von Hand neu.

Aktualisierung des Linux-Kernels

In Intel-Prozessoren wurde eine Sicherheitslücke bekannt, die es ermöglicht, geschützte Speicherbereich auszulesen, sofern ein Angreifer eigenen Schadcode zur Ausführung bringen kann (der sog. Angriff "Meltdown"). Der aktualisierte Kernel verhindert diesen Angriff mit Hilfe der Technik Kernel-Page-Table-Isolation (KPTI).
Ferner wurde im Linux-Kernel eine Sicherheitslücke beseitigt, die es lokalen Benutzern erlaubt, erweiterte Zugriffsrechte zu erlangen.

Web-Proxy URL-Filter

Regeln die bedingungslosen Vollzugriff erlaubten funktionierten seit 7.0-3.1 nicht mehr.

UMTS-/LTE-USB-Sticks

Seit 7.0-3.1 wurden die Mobilfunk-USB-Sticks nach Stromverlust nicht mehr in den Modem-Modus umgeschaltet.

Kommentarfeld für Anmeldung an Administrations-Oberfläche

Auf der Anmeldemaske der Administrations-Oberfläche kann ein Kommentar angegeben werden, der im Log aufgezeichnet wird. Hier lässt sich z.B. der Grund der Anmeldung, eine Ticket-Nummer oder der Name des Bearbeiters angeben.

Kleinere Bugfixes und Verbesserungen

DOS-Prüfung bei "Traceroute und ICMP-Ping beantwortet Firewall"

In Version 7.0-3.1 wurde bei aktivierter Firewall-Option "Traceroute und ICMP-Ping beantwortet Firewall" eine DOS-Prüfung mit niedrigem Grenzwert durchgeführt. Betroffen waren weitergeleitete Verbindungen mit Ausnahme von TCP. Insbesondere VoIP-Verbindungen wurden dadurch gestört.

Abstürze des IPsec-Servers

Der IPsec-Server aus 7.0-3.1 konnte zum Absturz gebracht werden, wenn eine Gegenstelle eine Verschlüsselung ohne Integritätssicherung vorschlug. Normalerweise werden diese Algorithmen ignoriert.

Zugriff auf google.de beim Aufbrechen von SSL-Verbindungen

Nach der kürzlich erfolgten Erneuerung der Zertifikate von google.de war kein Zugriff mehr möglich, da der OCSP-Status des Intermediate-CA-Zertifikats vom Proxy nicht akzeptiert wurde.

Kleinere Bugfixes und Verbesserungen

Neustart erforderlich

Nach dem Update führt das System automatisch einen Neustart durch. Bitte starten Sie das System nicht von Hand neu.

Laden neuer IDS/IPS-Signaturen und -Konfiguration

Nach dem Rotieren von Logdateien konnte es vorkommen, dass die Intrusion-Prevention und die Intrusion-Detection Signale zum Laden neuer Signaturen oder geänderter Konfguration ignoriert.

Lesezugriff auf Administrationsoberfläche

Der "admin" kann jetzt Benutzern der Gruppe "system-admin" Leseberechtigung auf die wichtigsten Konfigurationsmenüs erteilen. So lässt sich beispielsweise ein Auditor-Zugang realisieren. Bisher konnte der "admin" anderen Benutzern nur den Vollzugriff auf einzelne Menüs erlauben.

URL-Filter Benutzergruppen aus Active-Directory

Der URL-Filter kann Benutzergruppen nun direkt aus dem Active-Directory auslesen. Voraussetzung ist ein Computer-Konto in der Windows-Domäne, wie es auch für die NTLM-Authentifizierung des Proxies erforderlich ist.

Zusätzliche Kategorien beim kostenpflichtigen URL-Filter

Neu sind folgende Kategorien: Malware, dynamische Adressen, "Datensammeln von Microsoft", Religion und Suchmaschinen.

IPv6-Unterstützung in URL-Filter Regeln

Mit der neuen Version des URL-Filters können IPv6-Adressen nun auch als Client-IP in den Regeln konfiguriert werden. Bisher wurden IPv6-Adressen nur in Ziel-URLs unterstützt.

Installation von automatisch verlängerten Zertifikaten über ACME

Über ACME verwaltete Zertifikate z.B. von Let's Encrypt werden zwar automatisch verlängert, in 7.0-3.0 schlägt dann jedoch die Installation in den Server-Diensten fehl. Die Installation wird nachgeholt, wenn die komplette Systemkonfiguration neu geschrieben wird. Dies ist regelmäßig nach Updates der Fall, auf einem Cluster-Master sogar nach jeder Synchronisierung der Konfiguration.

Update des IPsec Server

Die neue Version behebt Speicherlöcher sowie einen Absturz beim eingehenden Verbindungsaufbau mit bestimmten Verschlüsselungsparametern.
Bestehen zwischen zwei IPsec-Servern mehrere Tunnel und mindestens einer davon befindet sich hinter einem NAT-Router, konnte es nach Verbindungsabbrüchen wie z.B. einer täglichen DSL-Neueinwahl vorkommen, dass nicht mehr alle Tunnel neu aufgebaut werden. Auch dieses Problem ist nun behoben.

Verbesserter IPsec-Durchsatz

Der Durchsatz von breitbandingen IPsec-Verbindungen konnte durch Änderungen am L2TP-Server und in der Intrusion-Prevention gesteigert werden.

Berechtigungsprobleme in 7.0-3.0

Aufgrund geänderter Berechtigungen kam es in 7.0-3.0 zu Problemen bei folgenden Funktionen: Web-Server-Verzeichnisse und -Statistik, FTP-Zugriff auf E-Mail-Quarantäne und Archivierung von Logdateien.

Auswahllisten in der Administrations-Oberfläche

Bei der Auswahl von z.B. Protokollen oder IP-Objekten können die Auswahllisten sehr lang werden. Bei mehr als 20 Einträgen werden Sie jetzt durch eine Filterfunktion und durch Gruppierung der Einträge unterstützt.

Diverse Softwarekomponenten

Unter anderem werden der Linux-Kernel, der DNS-Server, Samba und die OpenSSL Kryptobibliothek aktualisiert.

Aktualisierung der statischen SPAM-Filter Regeln

Kleinere Bugfixes und Verbesserungen

Sicher

DEFENDO bedient sich einer Reihe von bewährten Security-Modulen wie Firewall, VPN, Proxies, Virenscanner und Anti-Spam-System.
Diese schützen Sie vor Schad-Code, Spam, Hacker-Angriffen und weiteren unerwünschten oder schädlichen Dingen.

Flexibel

Keine IT-Umgebung ist wie die andere. Die DEFENDO Produktfamilie passt sich genau Ihren Bedürfnissen an.
Von der einfachen Internet-Anbindung für kleinere Unternehmen, über Lösungen für Filialen und den Außendienst, bis hin zu komplexen, mehrstufigen Firewall-Systemen.

Mehr gute Gründe

  • Es gibt keine Backdoors
  • über 20 Jahre Internet-Security-Erfahrung
  • Mehrfach ausgezeichnet
  • Support direkt durch unsere Entwickler
  • Fachhändler-Treue
  • Made in Germany