JobsPresseNutzungsbedingungenDatenschutzImpressum

BETA Version

Dies ist eine Vorabversion des Updates 7.1-2.0. Nach dem Update meldet das System die Version 7.1-1.99, so dass die finale Version 7.1-2.0 noch installiert werden muss.
Stellen Sie vor dem Update bitte sicher, dass Sie über ein aktuelles Backup verfügen.

Neustart erforderlich

Nach dem Update führt das System automatisch einen Neustart durch. Bitte starten Sie das System nicht von Hand neu.
Aufgrund zahlreicher Aktualisierungen dauert der Update-Vorgang deutlich länger als üblich (nach dem Download mind. 10-15 Minuten). Bitte haben Sie Geduld.

Kaspersky Antivirus

Für die neue Version sind andere Signaturen erforderlich. Mit 337 MB ist das Update des Scanners daher ungewöhnlich umfangreich. Wir haben daher beschlossen, das Update bei Bedarf separat nachzuladen.
System, auf denen eine ältere Version des Kaspersky-Scanners installiert ist, laden zu Beginn der Update-Prozedur zunächst das 337 MB große Kaspersky-Update von unserer Webseite herunter.
Sie haben alternativ die Möglichkeit, selbst die neue Version des Kaspersky-Scanners von unserer Webseite herunterzuladen und vor dem Update manuell einzuspielen.

Diverse Software-Komponenten

Mit dem Update werden der Linux-Kernel, die Virenscanner-Engines, diverse System-Bibliotheken und Anwendungen aktualisiert. Auch die vordefinierten Listen der vertrauenswürdigen CAs, die URL-Filter-Datenbank und das SPAM-Filter-Regelwerk werden aktualisiert. Systeme ohne tägliche Aktualisierung der IDS-Regeln (Systeme ohne Pflegevertrag) erhalten mit diesem Update neue IDS-Regeln.

Aktualisierung der SSL/TLS-Parameter

Für verschlüsselte Verbindungen steht nun in fast allen Komponenten TLS-1.3 zur Verfügung. In vielen Komponenten lässt sich dabei das TLS-Niveau konfigurieren. Als Voreinstellung für Komponenten, die üblicherweise nur von einem geschlossenen Benutzerkreis angesprochen werden, ist "aktuell" gesetzt. Der Client muss dazu mindestens TLS-1.2 unterstützen. Algorithmen mit Cipher-Block-Chaining und SHA1 sind deaktiviert. Für ausgehende Verbindungen und für Komponenten, die potentiell auch von beliebigen Internet-Nutzern angesprochen werden, ist "kompatibel" voreingestellt. Dies erlaubt TLS-1.0 und SHA1. Weitere möglche Einstellungen sind "veraltet" (Cipher-Block-Chaining) und "maximal" (ausschließlich TLS-1.3).

Web-Proxy Funktionalität

Bisher hatten sich Proxy-Authentifzierung und transparentes Proxying gegenseitig ausgeschlossen. Nun lässt sich beides gleichzeitig nutzen. Prinzipbedingt findet bei transparenten Verbindungen keine Authentifizierung statt. Ferner ist transparentes Proxying für HTTPS nun auch ohne aktivierten Content-Filter möglich.
Der Content-Filter Port für transparentes HTTPS-Proxying wechselt von 8084 zu 8445. Bitte passen Sie etwaige manuell konfigurierte DNAT-Regeln an. Der Port 8445 darf nicht anderweitig belegt sein.
Clients können den Web-Proxy nun auch verschlüsselt ansprechen. In den meisten Browsern ist dies jedoch nicht direkt konfigurierbar. Die Proxy-Konfiguration muss dazu in der Regel über WPAD bzw. PAC-Datei erfolgen.
Die Liste der vertrauenswürdigen CA-Zertifikate, die beim Aufbrechen von SSL-Verbindungen im Content-Filter genutzt wird, lässt sich jetzt konfigurieren.

OpenVPN 2.4

Die neue Version bietet vor allem verbesserte kryptographische Sicherheit. Das bevorzugte Verschlüsselungsverfahren ist jetzt AES-GCM. Clients, auf denen ebenfalls OpenVPN 2.4 installiert ist, profitieren automatisch von der verbesserten Sicherheit, da der Server in der Regel das auf dem Client konfigurierte Verschlüsselungsverfahren überstimmen kann.
Beim Ausstellen eines neuen Client-Zertifikats lässt sich neben dem Installations-Paket für Windows-Clients nun auch eine ovpn-Konfigurationsdatei herunterladen. Der private Schlüssel ist dabei wahlweise mit oder ohne Kennwortschutz hinterlegt.

Konfiguration des IPsec-Servers

Die Konfigurationsoptionen "IKEv1 bevorzugen" und "IKEv2 bevorzugen" stehen nicht mehr zur Verfügung. Verbindungen können nur noch entweder für IKEv1 oder IKEv2 konfiguriert werden. Die Konfiguration wird entsprechend konvertiert, wenn eine der beiden entfallenen Optionen konfiguriert war.
In der Konfiguration der Verschlüsselungsparameter stehen für Phase 1 zusätzliche DH-Gruppen, bei IKEv2 zudem AES-GCM zur Verfügung.
Für L2TP-IPsec-Verbindunge war es möglich, Kennwörter im Klartext zu speichern, um eine Authentifzierung über Challenge-Response-Verfahren wie CHAP zu ermöglichen. Diese Möglichkeit wurde deaktiviert, kann aber im Bedarfsfalls durch den technischen Support wieder aktiviert werden. Sofern kein Bedarf mehr für diese Funktion besteht, wird die Funktionalität in einer kommenden Version vollständig entfernt.

Vordefinierte IP-Listen

Als IP-Objekt stehen unter dem Präfix "IP-LISTS/" nun Listen mit den IP-Adressen diverser Dienste oder Firmen zur Verfügung. Die Listen werden über die normalen Updates aktualisiert. Manuelle Änderungen sind zwar möglich, werden beim nächsten Update jedoch überschrieben. Die Daten in den Listen basieren auf öffentlich verfügbaren Informationen. Insbesondere für die Richtigkeit und Vollständigkeit wird keine Gewähr übernommen.

Eigene SNMP-MIB

Zur SNMP-basierten Überwachung des Systems steht nun zusätzlich zu den Standard-MIBs eine eigen MIB mit z.B. Versionsinformationen, Lizenzen und Dienste-Status zur Verfügung.

Mikrofonunterstützung für RDP Web-Client

Für RDP Web-Clients lässt sich nun je Benutzer auch der Audio-Input-Kanal (Mikrofonunterstützung) aktivieren. Mind. Version 1.1.0-2 der Web-Client-App ist dazu erforderlich.

Filterung von E-Mail-Anhängen im TNEF-Format (winmail.dat)

Optional lässt sich nun auch der Inhalt von winmail.dat-Anhängen auf unerwünschte Dateien untersuchen. Falls der Dateianhangs-Filter so eingestellt ist, dass unerwünschte Anhänge aus der Mail entfernt und in den Quarantäne-Bereich verschoben werden sollen, wird im Fall eines windmail.dat-Anhangs grundsätzlich die komplette Mail in Quarantäne gestellt.

Konfigurierbare Links auf E-Mail Quarantäne

Der Servername, der in Links auf E-Mails und Anhänge in Quarantäne genutzt wird, lässt sich nun anpassen.

Benutzerdefinierte SPAM-Filter Regeln

Um Fehlkonfigurationen zu vermeiden, wurde die Bedeutung der Suchmuster leicht verändert. Suchmuster, die mit einem Buchstaben oder einer Ziffer beginnen bzw. enden, treffen ab sofort nur noch zu, wenn der Suchbegriff am Anfang bzw. Ende eines Wortes steht. Bestehende Suchmuster werden automatisch konvertiert.

Zertifikatsverwaltung

Im Schlüsselbund ist es nun möglich, Zertifikate zu aktualisieren ohne das zugrundeliegende RSA-Schlüsselpaar zu erneuern (re-issue). Diese Funktion wird eher selten benötigt, z.B. wenn eine CA nach einem Sicherheitsvorfall Zertifikate neu signiert. Ferner lässt sich eine nicht mehr benötigte Zertifikatsanfrage nun löschen.

Dynamischer DNS via NAT-Router

Bisher ließ sich dynamischer DNS nur auf Schnittstellen konfigurieren, die selbst eine dynamische IP zugewiesen bekommen. Im Menü "DNS" lässt sich dynamischer DNS jetzt auch für Fälle konfigurieren, in denen ein vorgelagerter NAT-Router die dynamische IP erhält. Die im DNS zu hinterlegende externe IP wird in diesem Fall regelmäßig von einem konfigurierbaren externen Dienst abgefragt.

Konfiguration des DNS-Servers

Bei DNS-Regeln und bei benutzerdefinierten Einträgen in Domain- und Reverse-Lookup-Zonen ist nun ein Export und Import möglich. Bei den benutzerdefinierten Einträgen lässt sich zudem ein individueller TTL-Wert konfigurieren. Die Konfiguration von CAA-Records ist jetzt möglich. In Weiterleitungs-Zonen können IP-Objekte genutzt werden.

Konfiguration des DHCP-Servers

Der DHCP-Server kann nun auch ohne Angabe eine IP-Bereichs je Schnittstelle aktiviert werden. Dies ermöglicht den Betrieb mit ausschließlich statisch zugewiesenen IP-Adressen.

Kleinere Bugfixes und Verbesserungen

Neue IDS/IPS Version

Die neue Version bietet zusätzliche und leistungsfähigere Signaturen. Aktualisieren Sie bitte zeitnah, da die Signaturen für ältere Versionen nur noch teilweise aktualisiert werden können.

Kleinere Bugfixes und Verbesserungen

Neustart erforderlich

Nach dem Update führt das System automatisch einen Neustart durch. Bitte starten Sie das System nicht von Hand neu.

Aktualisierung des Linux-Kernels

Schriftglättung im Web-Client

Der Schalter für die Schriftglättung bei RDP-Verbindungen war bislang wirkungslos.

Passwort durchreichen im Web-Client

Werden für die Anmeldung am Web-Client und am Zielsystem die gleichen Kennwörter genutzt, kann die Verbindung nun so konfiguriert werden, dass das Kennwort durchgereicht wird und nicht ein zweites Mal eingegeben werden muss.

Erweiterungen des Web-Clients

Die Administrationsoberfläche unterstützt folgenden Neuerungen, für die jedoch mindestens Version 1.1.0 des Web-Clients installiert sein muss. Version 1.0.0 des Web-Clients ignoriert diese Einstellungen.
Anschalten des Zielsystems per Wake-on-LAN. Legen Sie dazu zunächst IP-Objekte vom Typ "Host" an, in denen die MAC-Adresse und die IPv4-Adresse der Zielsysteme konfiguriert werden. Wählen Sie diese Objekte anschließend in der Benutzerverwaltung als Zielsystem in den entsprechenden Web-Client-Verbindungen aus.
Anzeige der aktiven Verbindungen im Menü "Monitoring > Netzwerk > Status".
Option zur dynamischen Änderung der Bildschirmauflösung bei RDP. Das Zielsystem muss dazu RDP in Version 8.1 unterstützen (ab Windows 8, Windows Server 2012).
Zusätzliche Tastatur-Layouts für RDP, darunter Deutsch (Schweiz), Englisch (Großbritannien) und Türkisch.

Anzeige des Außenstellen-Menüs

Mit steigender Anzahl Einträge kam es zu Anzeigefehlern oder Timeouts.

Erweiterungen des Außenstellen-Menüs

In der Übersicht wird zusätzlich das Ablaufdatum des Zertifikats sowie die Verfügbarkeit von WLAN-Hardware angezeigt. Über ein Link-Symbol kann direkt die Administrations-Oberfläche der Außenstelle geöffnet werden. Weitere Details werden nicht mehr über Tooltip sondern mit Klick auf das Info-Icon angezeigt.

URL-Filter im Web-Proxy Content-Filter

Bei aktiviertem Content-Filter erfolgt eine zusätzliche Prüfung auf gesperrte Dateinamen, wenn zusammen mit der Datei ein von der URL abweichender Dateiname übermittelt wird.

Mehr Server-Prozesse für Groupware

Die maximale Anzahl gleichzeitiger Verbindungen wird basierend auf der Anzahl Mail-Konten berechnet. Um Engpässe zu vermeiden, stehen nun mehr Prozesse zur Verfügung.

Kleinere Bugfixes und Verbesserungen

PPP-Protokoll

Das Update behebt einen Puffer-Überlauf im PPP-Dienst der für ADSL- und für L2TP-Verbindungen genutzt wird. Die Sicherheitslücke ist kritisch, da sie bereits vor einer Authentifzierung ausgenutzt werden kann.

Deaktivierung des SMB1-Protokolls

Das automatisch Backup und die Archivierung von Logdateien auf eine Windows-Freigabe erfolgte bislang aufgrund eines Konfigurationsfehlers mit dem veralteten und unsicheren SMB1-Protokoll oder älter. Mit dem Update wird mindestens die SMB-Protokollversion 2.1.0 vorausgesetzt (mind. Windows 2008R2 bzw. Windows 7).
Bei der NTLM-Authentifzierung und den Netzwerk-Freigaben standen zwar alle aktuellen SMB-Protokollversionen zur Verfügung, SMB1 war aber ebenfalls noch möglich. Ein Angreifer konnte daher einen Protokoll-Downgrade auf das SMB1-Protokoll erzwingen. Auch hier wird nun mindestens SMB 2.1.0 vorausgesetzt.

Unterbrechungsfreie CA-Migration

In Version 7.1-1.4 war die unterbrechungsfreie VPN-Migration zu einem neuen eigenen CA-Zertifikat nicht möglich.

Schachtelung von CA-Bündeln

Insbesondere um die Erweiterung des Standard-CA-Bündels durch eigene CAs zu erleichtern, ist es nun möglich, CA-Bündel hierarchisch zu verknüpfen.

Neues Startseiten-Docklet mit Informationen zum Mail-Server

Kleinere Bugfixes und Verbesserungen

Avira Antivirus

Aufgrund einer falsch konfigurierten Update-Prozedur konnte sich der Scanner nach dem Signatur-Update vom 14.01.2020 gegen 16:00 Uhr nicht mehr mit den Servern für Online-Abfragen verbinden.

Markierung des Betreffs von Quarantäne-Mails

E-Mails mit potentiell gefährlichen Dateianhängen werden vom Dateianhangs-Filter entweder unter Quarantäne gestellt oder ohne die beanstandeten Anhänge zugestellt. Auf Wunsch kann der Betreff betroffener Mails nun mit einem beliebigen Text markiert werden.

Protokoll-Definition aus DNS SRV-Records

In den Definitionen können IP-Objekte angelegt werden, die DNS SRV-Records abfragen. Ein Bestandteil von SRV-Records ist die Information, auf welchem UDP- oder TCP-Port ein Dienst angeboten wird. Es besteht jetzt die Möglichkeit, von einer Protokoll-Definition aus auf ein IP-Objekt zu verweisen, um die Portinformationen als Protokoll nutzbar zu machen.

Domain-Signaturen im S/MIME-Gateway

Bei eingehenden Mails mit Domain-Signaturen wird ab sofort im Betreff der Zusatz "[SIGNIERT VON <*@domain>]" angezeigt.
Mail-Clients sollten eine Domain-Signatur aufgrund des nicht zur Absender-Adresse passenden Zertifikats als fehlerhaft anzeigen. Neben der Option, korrekte Signaturen grundsätzlich zu entfernen, haben wir daher die Option ergänzt, nur Domain-Signaturen zu entfernen.

Vereinzelte Durchsatzprobleme durch Intrusion-Prevention

Kleinere Bugfixes und Verbesserungen

IMAP Gruppen-Ordner

Bisher wurden Benutzergruppen vom Mail-Server grundsätzlich als Mail-Verteiler genutzt. Jedes Gruppenmitglied erhielt dabei eine Kopie der an die Gruppe addressierten Mails. Jetzt lässt sich in der Gruppenverwaltung je Gruppe auswählen, ob diese für den Mail-Server keine Bedeutung haben soll, als Mail-Verteiler fungiert oder ob ein gemeinsamer IMAP-Ordner für die Gruppenmitglieder zur Verfügung gestellt werden soll.

Fernverwaltung für VPN-Außenstellen mit "Orbiter"

Diese Funktion ist noch nicht vollständig umgesetzt und daher noch als experimentell zu betrachten. Für Feedback wären wir dankbar.
Im neuen Menüpunkt "System > Außenstellen" können Sie Ihre "Orbiter" erfassen. Sofern der Zugriff auf die Systeme möglich ist, wird ein Status u.a. mit der Versionsnummer angezeigt. Ferner wird die Möglichkeit angeboten, Updates an die Außenstellen zu verteilen. Dazu muss aktuell mind. Orbiter-Version 3.1.1 installiert sein.
Beachten Sie bitte, dass aktuell nur von dem System aus auf die Außenstelle zugegriffen werden kann, das das VPN-Installationspaket für die Außenstelle ausgestellt hat. Eine Möglichkeit, den Zugriff nachträglich zu authorisieren wird später nachgereicht.

Verbindungen von IPS ausnehmen

Basierend auf Protokoll, Quell- und Ziel-Adresse lassen sich nun Verbindungen von der Verarbeitung durch das Intrusion-Prevention-System ausnehmen.

Zustellung von Quarantäne-Mails an lokale Postfächer

Die Zustellung von Mails in der Quarantäne an lokale Postfächer funktionierte nicht. Die Zustellung an interne Mail-Server sowie der Zugriff auf Dateianhänge in der Quarantäne waren davon nicht betroffen.

Endlosschleife bei Anzeige IPsec-Log

In den meisten Zeilen des IPsec-Logs gibt es einen Link, der ein extra Fenster mit allen zur selben Verbindung gehörenden Zeilen öffnet. Durch dieses Fenster wurde eine Endlosschleife ausgelöst, die zu dauerhaft hoher Systemauslastung führte.

Kleinere Bugfixes und Verbesserungen

Lizenzierung der S/MIME-Gateway Erweiterung

Auf vielfachen Wunsch hin wurde die Lizenzierung des S/MIME-Gateways umgestellt. Die Lizenzierung erfolgt nicht mehr anhand der Anzahl Systembenutzer sondern anhand der Anzahl S/MIME-Schlüssel. S/MIME-Schlüssel, die als Domain-Zertifikat genutzt werden (siehe nächster Abschnitt), müssen nicht lizenziert werden.

Neue Funktionen im S/MIME-Gateway

Das S/MIME-Gateway unterstützt nun auch das nicht standardisierte Konzept der Domain-Zertifikate. Diese Funktion kann auf fast allen Systemen kostenfrei genutzt werden (Ausnahme: Lizenzen ohne Mail-Option wie z.B. Enterprise-VPN oder Enterprise-Proxy). Bei Domain-Zertifikaten wird für die S/MIME-Kommunikation mit definierten Partnern ein einziges S/MIME-Zertifikat für die ganze Domain anstatt eines Zertifikats je E-Mail-Adresse genutzt. Dabei können sogar Zertifikate einer internen CA zum Einsatz kommen. Das Verfahren setzt jedoch voraus, dass die Gegenstelle ein entsprechend konfigurierbares S/MIME-Produkt nutzt.
Das Anlegen von Benutzern entfällt ab sofort, wenn das S/MIME-Gateway in Kombination mit einem internen Mail-Server betrieben wird. Für interne Mail-Server die vertrauenswürdige Absender-Adressen garantieren, wird jetzt eine eigene Liste mit zugehörigen S/MIME-Schlüsseln gepflegt.
In der Benutzerverwaltung lassen sich jetzt mehrere S/MIME-Schlüssel je Benutzer hinterlegen. Zum Signieren ausgehender Mails wird automatisch der zur Absender-Adresse passende Schlüssel gewählt.
In vorherigen Version konnten mehrere Schlüssel je Benutzer hinterlegt werden, um eingehende Mails zu entschlüsseln, die mit alten Zertifikaten verschlüsselt wurden. Diese Funktionalität ist ab sofort in den Schlüsselbund integriert (siehe nächster Abschnitt).

Backup bei Erneuerung eines Schlüssels im Schlüsselbund

Wird im Schlüsselbund ein Schlüssel geändert, bleibt der vorherige Schlüssel nun als Backup auf dem System erhalten.
In Verbindung mit dem S/MIME-Gateway wird der Backup-Schlüssel genutzt, um beim Wechsel des S/MIME-Schlüssels eingehende Mails entschlüsseln zu können, die noch mit dem alten Schlüssel verschlüsselt wurden.

Löschen abgelaufener Adressen in DNS IP-Objekten

Die Standardeinstellung zum Löschen abgelaufener Einträge in DNS IP-Objekten wurde von "sofort" auf "nach 6 Stunden" geändert. So werden laufende Neustarts von Diensten vermieden, wenn sich DNS-Einträge bereits nach wenigen Minuten oder gar Sekunden ändern. Alle auf "sofort" konfigurierten DNS IP-Objekte werden durch das Update automatisch umgestellt.

Let's Encrypt-Zertifikate

Der Client zum Abruf von Let's Encrypt-Zertifikaten nutzt ab jetzt das Protokoll ACMEv2.

DHCP-Relay Server

In Ethernet- und VLAN-Schnittstellen kann das System nun auch als DHCP-Relay-Server fungieren. Anfragen von Clients werden dabei an einen DHCP-Server in einem anderen Netzwerk weitergeleitet.

Endlosschleife bei Anzeige IPsec-Log

In den meisten Zeilen des IPsec-Logs gibt es einen Link, der ein extra Fenster mit allen zur selben Verbindung gehörenden Zeilen öffnet. Durch dieses Fenster wurde eine Endlosschleife ausgelöst, die zu dauerhaft hoher Systemauslastung führte.

Kleinere Bugfixes und Verbesserungen

Aktualisierung POP3-/IMAP4-Server

Das Update behebt ein kritisches Sicherheitsproblem. Einem Angreifer war es damit ohne Authentifizierung möglich, geschützte Informationen auszulesen oder sogar eigenen Programmcode auszuführen.

Verbesserte Erkennung von Makros in E-Mail-Anhängen

Makros werden nun auch erkannt, wenn Office-Dokumente direkt (nicht als Anhang) versendet werden und wenn sie sich im Anhang einer angehängten Mail befinden.

Neue Kategorien beim kommerziellen URL-Filter

Beim kommerziellen URL-Filter wurden neue Kategorien hinzugefügt: Waffen, DNS-over-HTTPS, Filme und Serien mit fragwürdigem Rechtsstatus, Bildung, Restaurants und Kochrezepte, Gesundheit, Gesundheitswesen, Krankenversicherung, Haus oder Wohnung kaufen oder mieten und Börsen und Handelssysteme.

Anlegen neuer Zertifikate im Schlüsselbund vereinfacht

Zu jedem Zertifikat müssen die Zertifikate der Root-CA sowie etwaiger Zwischenzertifizierungsstellen hinterlegt werden. Bisher mussten diese jedesmal separat hochgeladen werden. Ab sofort werden die Zertifikate der bekannten Root-CAs automatisch ergänzt. Zertifikate von Zwischenzertifizierungsstellen müssen nur noch einmalig hochgeladen werden. Danach werden sie ebenfalls automatisch ergänzt. Dies vereinfacht insbesondere das Anlegen vieler gleichartiger Zertifikate, wie es für die S/MIME-Gateway-Funktion erforderlich ist.

Kleinere Bugfixes und Verbesserungen

Sicher

DEFENDO bedient sich einer Reihe von bewährten Security Modulen wie Firewall, VPN, Proxies, Virenscanner und Anti-Spam-System.
Diese schützen Sie vor Schad-Code, Spam, Hacker-Angriffen und weiteren unerwünschten oder schädlichen Dingen.

Flexibel

Keine IT-Umgebung ist wie die andere. Die DEFENDO Produktfamilie passt sich genau Ihren Bedürfnissen an.
Von der einfachen Internet-Anbindung für kleinere Unternehmen, über Lösungen für Filialen und den Außendienst, bis hin zu komplexen, mehrstufigen Firewall-Systemen.

Mehr gute Gründe

  • Es gibt keine Backdoors
  • über 20 Jahre Internet-Security-Erfahrung
  • Mehrfach ausgezeichnet
  • Support direkt durch unsere Entwickler
  • Fachhändler-Treue
  • Made in Germany