Dies ist eine Beta-Version. Probleme bei einzelnen Installationen oder mit manchen Komponenten können nicht ausgeschlossen werden.

Um das Update einspielen zu können, muss mindestens Version 7.1-4.4 installiert sein.
Bei der Versionsreihe 7.2-0.* handelt es sich um einen Beta-Versionszweig, der erst mit Veröffentlichung der Version 7.2-1.0 abgeschlossen sein wird. Wir möchten Sie einladen, sich an dieser Beta-Phase zu beteiligen und hoffen auf Feedback insbesondere zu den neuen Funktionen. Wir danken für die rege Teilnahme.
Stellen Sie vor dem Einspielen des Updates sicher, dass Sie über ein aktuelles Backup des Systems verfügen.

Kostenpflichtiges Update

Sie können das Update kostenfrei herunterladen, wenn ein Software-Pflegevertrag besteht oder das Gerät erst vor kurzem gekauft wurde. Der Download ist für die entsprechenden Geräte bereits freigeschaltet. Systeme, auf die diese Voraussetzungen nicht zutreffen, werden nach Abschluss eines Pflegevertrags freigeschaltet.
Die Zugangsdaten zum Download des Updates werden beim interaktiven Update vom System selbständig übermittelt. Sollten Sie das Update von Hand herunterladen, so geben Sie bitte als Benutzername die Support-IP (z.B. 172.18.253.15) und als Kennwort die Geräte-ID (z.B. 473I-QN34-O@:5) des Systems ein.

Protokollmodule in der Firewall (ALGs)

Manche Protokolle bestehen aus mehreren voneinander abhängigen Verbindungen. Für häufig benutzte gibt es in der Firewall Module, die sich um das Zuordnen und Freischalten abhängiger Verbindungen kümmern. Manchmal werden diese Module auch Application-Level-Gateways (ALGs) genannt.
Aus Sicherheitsgründen wird empfohlen, diese Module nicht grundsätzlich zu aktivieren. Besser ist es, nur die tatsächlich benötigten Module anzuschalten und - sofern möglich - die Nutzung auf einzelne Clients oder Server zu beschränken.
Das Update prüft, ob die Module für FTP, SIP, H.323, PPTP und IRC benötigt werden. Das ist der Fall, wenn entweder eine aktive Verbindung mit dem jeweiligen Modul oder eine Firewall-Regel mit den entsprechenden Ports gefunden wird. Bei FTP und SIP wird zusätzlich geprüft, ob die entsprechenden Proxy-Dienste aktiviert sind. Das entsprechende Modul wird dann für die Kommunikation mit beliebigen IP-Addressen aktiviert. In den Firewall-Einstellungen lässt sich die Konfiguration dann weiter anpassen.
Bei Neugeräten sind in der Grundkonfiguration zukünftig alle Module deaktiviert.

Wireguard-VPN

Mit Wireguard hält eine weitere VPN-Variante zur Anbindung von Clients und VPN-Routern einzug.

Verschlüsselung von Backups

Optional können die vom System erzeugten Backups nun verschlüsselt werden. Aber Vorsicht: Sollte das Kennwort zu den Backups verloren gehen, ist das Backup nutzlos!

Zeitsynchronisation

Die Zeitsynchronisation findet nun ausschließlich über NTP statt. Die Routinen wurden überarbeitet, um insbesondere beim Neustart des Systems sicherzustellen, dass die Systemzeit korrekt ist.

Kleinere Bugfixes und Verbesserungen

Folgende Features konnten bereits in den 7.1er Versionen auf Systemen mit Software-Pflegevertrag genutzt werden. In 7.2 sind diese Funktionen nun auf allen Systemen verfügbar. Dazu gehören:

Zwei-Faktor-Authentifzierung für OpenVPN

Je OpenVPN-Server-Schnittstelle kann jetzt die Benutzerauthentifzierung mit zeitbasierten Einmal-Passwörtern (TOTP) aktiviert werden. Eine Anmeldung an dieser Schnittstelle ist dann nur noch für Mitglieder der Benutzergruppe "system-ras" möglich, für die Einmal-Passwörter aktiviert sind.

OpenVPN-Parameter "tls-crypt"

Je OpenVPN-Server-Schnittstelle kann der Kontrollkanal der Verbindungen mit einem zusätzlichen symmetrischen Schlüssel abgesichert werden. OpenVPN-Datenströme sind damit nur noch schwer als solche zu identifizieren. Unter anderem wird auch der TLS-Handshake beim Verbindungsaufbau verschlüsselt, bei dem mit TLS-Version 1.2 oder älter Zertifikate im Klartext übertragen werden.

Wake-on-LAN bei Verbindungsaufbau von OpenVPN-Clients

Bisher wurde das automatische Anschalten eines PCs per Wake-on-LAN nur im Web-Client und beim Verbindungsaufbau von IPsec-L2TP-Clients unterstützt. Ab sofort ist dies auch bei OpenVPN-Clients möglich. Voraussetzung ist, dass in der Konfiguration der OpenVPN-Server-Schnittstelle die Benutzerauthentifzierung mit Einmalpasswörtern aktiviert ist. Wie für IPsec-L2TP-Clients muss die MAC-Adresse des zu weckenden PCs in den RAS-Einstellungen der Benutzerverwaltung beim jeweiligen Benutzer hinterlegt werden.

Sperrung von URLs und Headern im Reverse-Proxy

Im Reverse-Proxy wurde die Möglichkeit geschaffen, Anfragen mit bestimmten URLs oder Headern port-übergreifend zu sperren. So lässt sich ggf. verhindern, dass akute Sicherheitslücken in Webanwendungen der Hintergrundserver ausgenutzt werden können, solange noch kein Bugfix verfügbar oder installiert ist.

Bandbreitenbegrenzung im Web-Proxy

Die Bandbreite lässt sich anhand der Client-IPs und/oder des angesprochenen Servernamens begrenzen. Bei lokaler Benutzeranmeldung ist auch eine Begrenzung je Benutzergruppe möglich.

Verifikation von Mail-Server-Zertifikaten über DANE

Wenn ein Mail-Server eine E-Mail an einen anderen Mail-Server weiterleitet, ist es nicht praktikabel, das Zertifikat des Ziel-Servers grundsätzlich zu verifizieren. Viele Mail-Server sind nämlich nicht mit gültigen Zertifikaten ausgestattet. DANE ermöglicht es dem Betreiber eines Mail-Servers, im DNS die Information zu hinterlegen, dass und wie das Zertifikat seines Mail-Server verifiziert werden kann. Die Unterstützung von DANE in der Variante DANE-EE kann nun im Mail-Server aktiviert werden.

Markierung des Betreffs von Quarantäne-Mails

E-Mails mit potentiell gefährlichen Dateianhängen werden vom Dateianhangs-Filter entweder unter Quarantäne gestellt oder ohne die beanstandeten Anhänge zugestellt. Auf Wunsch kann der Betreff betroffener Mails nun mit einem beliebigen Text markiert werden.

IMAP Gruppen-Ordner

Bisher wurden Benutzergruppen vom Mail-Server grundsätzlich als Mail-Verteiler genutzt. Jedes Gruppenmitglied erhielt dabei eine Kopie der an die Gruppe addressierten Mails. Jetzt lässt sich in der Gruppenverwaltung je Gruppe auswählen, ob diese für den Mail-Server keine Bedeutung haben soll, als Mail-Verteiler fungiert oder ob ein gemeinsamer IMAP-Ordner für die Gruppenmitglieder zur Verfügung gestellt werden soll.

Verwaltungszugriff

Dem Fachhändler oder, bei einem Verbund mehrerer Systeme, einem zentralen System kann Zugriff für Verwaltungsaufgaben gewährt werden. In der ersten Ausbaustufe ist neben dem Abruf einiger grundlegenden Informationen der Aufbau von Fernwartungsverbindungen, das Starten von Updates und der Zugriff auf die Administrations-Oberfläche möglich.
Das zugehörige Menü auf dem zentralen System wurde von "Außenstellen" in "Verwaltungsserver" umbenannt.

Sicher

DEFENDO bedient sich einer Reihe von bewährten Security-Modulen wie Firewall, VPN, Proxies, Virenscanner und Anti-Spam-System.
Diese schützen Sie vor Schad-Code, Spam, Hacker-Angriffen und weiteren unerwünschten oder schädlichen Dingen.

Flexibel

Keine IT-Umgebung ist wie die andere. Die DEFENDO Produktfamilie passt sich genau Ihren Bedürfnissen an.
Von der einfachen Internet-Anbindung für kleinere Unternehmen, über Lösungen für Filialen und den Außendienst, bis hin zu komplexen, mehrstufigen Firewall-Systemen.

Mehr gute Gründe

  • Es gibt keine Backdoors
  • über 20 Jahre Internet-Security-Erfahrung
  • Mehrfach ausgezeichnet
  • Support direkt durch unsere Entwickler
  • Fachhändler-Treue
  • Made in Germany