Kostenpflichtiges Update

Sie können das Update kostenfrei herunterladen, wenn ein Software-Pflegevertrag besteht oder das Gerät erst vor kurzem gekauft wurde. Der Download ist für die entsprechenden Geräte bereits freigeschaltet. Systeme, auf die diese Voraussetzungen nicht zutreffen, werden nach Abschluss eines Pflegevertrags freigeschaltet.
Die Zugangsdaten zum Download des Updates werden beim interaktiven Update vom System selbständig übermittelt. Sollten Sie das Update von Hand herunterladen, so geben Sie bitte als Benutzername die Support-IP (z.B. 172.18.253.15) und als Kennwort die Geräte-ID (z.B. 473I-QN34-O@:5) des Systems ein.

Wichtiger Hinweis:

Beachten Sie bitte unbedingt die Informationen zu Inkompatibilitäten der neuen Version des IPsec-Servers.

IPsec

Der IPsec-Dienst wird aktualisiert und nutzt ab sofort eine in den Linux-Kernel integrierte Schnittstelle anstelle eines eigenen Moduls.
Mit der alten IPsec-Version war es bedingt möglich, dass sich mehrere IPsec-L2TP-Clients gleichzeitig über den selben (!) NAT-Router mit dem selben VPN-Server verbinden. Dies ist in der neuen Version im Allgmeinen nicht mehr möglich. Sollten Sie auf dieses Szenario angewiesen sein, empfehlen wir den Wechsel auf IKEv2-Verbindungen oder auf OpenVPN. Das Update wird abgebrochen, sollten zu Beginn des Vorgangs mehrere IPsec-L2TP-Clients über den selben NAT-Router verbunden sein.
Ein neuer IPsec-Verbindungtyp "Windows IKEv2" soll die Migration auf IKEv2-Verbindungen erleichtern. Mittelfristig steht zu erwarten, dass die Betriebssysteme die Unterstützung von IPsec-L2TP einstellen. Leider steht bei IKEv2 jedoch noch keine kombinierte Authentifizierung aus Computerzertifikat und Benutzerlogin zur Verfügung. Für Mehrfaktor-Authentifzierung empfehlen wir den Wechsel auf OpenVPN.
Die IKEv2-Interoperabilität mit anderen Produkten wurde verbessert.
Der Status von IPsec-Verbindungen lässt sich nun auch in Form eines Docklets auf der Startseite verfolgen.

OpenVPN-Installationspaket für Windows mit SBL/PLAP

Eine zusätzliche Variante des OpenVPN-Installationspakets für Windows sorgt dafür, dass unter Windows Start-Before-Login (SBL) mittels Pre-Logon-Authentication-Provider (PLAP) genutzt werden kann. Auf dem Anmeldebildschirm von Windows erscheint ein zusätzliches Icon, über das sich der VPN-Tunnel schon vor der Benutzeranmeldung aufbauen lässt. Über den VPN-Tunnel kann dann eine Windows-Benutzeranmeldung direkt an der Windows-Domäne erfolgen.
Unter Windows muss dazu OpenVPN-GUI ab Version 2.6 installiert sein. Die Absicherung des VPN-Tunnels mit Einmalpasswörtern ist möglich.

Wireguard-VPN

Mit Wireguard hält eine weitere VPN-Variante zur Anbindung von Clients und VPN-Routern Einzug. Die Authentifizierung erfolgt dabei ausschließlich über ein Public-Key-Verfahren. Eine zusätzliche Benutzerauthentifzierung oder Einmal-Passwörter sind in Wireguard nicht verfügbar.
Wir empfehlen, IPsec-Verbindungen mit Fritz!Boxen auf Wireguard umzustellen, da diese IPsec nach wie vor nur mit Preshared-Key authentifizieren können. Seitens der Fritz!Box steigt dadurch zudem der Durchsatz.

Anwendungserkennung in der Firewall

In der Firewall lässt sich jetzt eine Anwendungserkennung zuschalten. Sie analysiert die über eine Netzwerkverbindung übertragenen Daten und versucht daraus auf die zugehörige Anwendung zu schließen.
Nutzen lässt sich die Anwendungserkennung im Bandbreitenmanagement und in Firewall-Regeln (ausgenommen SNAT-Regeln). Den Einsatz in Firewall-Regeln empfehlen wir nur eingeschränkt, da eine Regel mit aktivierter Anwendungserkennung für die Analyse zunächst alle potentiell in Frage kommende Verbindungen passieren lassen muss. Die Firewall wird dadurch "löchrig", was ein gerne verschwiegener Nachteil der bei Next-Generation-Firewalls beworbenen Anwendungserkennung ist. Für HTTP und HTTPS ist bei eingehenden Verbindungen der Reverse-Proxy, bei ausgehenden Verbindungen der Web-Proxy zu bevorzugen.
Um die Anwendungserkennung zu nutzen, müssen Sie diese zunächst in den Firewall-Einstellungen aktivieren. Die erkannten Anwendungen werden dann im Firewall-Monitoring bei den Verbindungen angezeigt. Für die Nutzung im Bandbreitenmanagement und in Firewall-Regeln lässt sich im Definitionen-Menü bei den einzelnen Protokollen die zugehörige Anwendung festlegen. Bei vordefinierten Protokollen ist die Anwendungserkennung deaktiviert.

Protokollmodule in der Firewall (ALGs)

Manche Protokolle bestehen aus mehreren voneinander abhängigen Verbindungen. Für häufig benutzte gibt es in der Firewall Module, die sich um das Zuordnen und Freischalten abhängiger Verbindungen kümmern. Manchmal werden diese Module auch Application-Level-Gateways (ALGs) genannt.
Aus Sicherheitsgründen wird empfohlen, diese Module nicht grundsätzlich zu aktivieren. Besser ist es, nur die tatsächlich benötigten Module anzuschalten und - sofern möglich - die Nutzung auf einzelne Clients oder Server zu beschränken.
Das Update prüft, ob die Module für FTP, SIP, H.323, PPTP und IRC benötigt werden. Das ist der Fall, wenn entweder eine aktive Verbindung mit dem jeweiligen Modul oder eine Firewall-Regel mit den entsprechenden Ports gefunden wird. Bei FTP und SIP wird zusätzlich geprüft, ob die entsprechenden Proxy-Dienste aktiviert sind. Das entsprechende Modul wird dann für die Kommunikation mit beliebigen IP-Addressen aktiviert. In den Firewall-Einstellungen lässt sich die Konfiguration dann weiter anpassen.
Bei Neugeräten sind in der Grundkonfiguration zukünftig alle Module deaktiviert.

TLS-Parameter der Administrationsoberfläche

Die Administrationsoberfläche kann ab sofort nicht mehr mit veralteten Browsern aufgerufen werden. Die Unterstützung von TLS1.0, TLS1.1, 3DES und SHA1 wurde deaktiviert.

Export von Definitionen

Objekte aus den Menüs unterhalb von "Definitionen" lassen sich jetzt exportieren und auf anderen Systemen über das Backup-Menü einspielen. Das Zielsystem darf dabei jedoch keine ältere Softwareversion haben als das Quellsystem.

Überarbeitung des Menüs "Monitoring"

Bei den Untermenüs "Log-Dateien > Einstellungen" und "Netzwerk > SNMP" handelte es sich um Konfigurationsmenüs. Konsequenterweise wurden die Menüs daher in das Hauptmenü "Module" verschoben. Die neuen Untermenüs haben dort die Titel "SNMP-Server" und "Logging".
Die zweite Menüebene des Menüs "Monitoring > Netzwerk" wurde vollständig aufgelöst. Die neuen Menüpunkte "Werkzeuge", "Netzwerk", "VPN", "Firewall" und "DHCP" finden Sie nun direkt unter "Monitoring".
Der Bereich "Monitoring" in den thematisch gegliederten Menüs am oberen Rand der Administrationsoberfläche wurde entsprechend angepasst und um direkte Links auf zugehörige Log-Dateien erweitert. Im VPN-Menü wurde Wireguard ergänzt.

Optimierungen im Layout der Administrationsoberfläche

Virenscan von Postfächern

Wenn das System als Mail-Server mit Postfächern genutzt wird, können diese ab sofort täglich auf Viren geprüft werden. Mails mit Viren, die zum Zeitpunkt des Eintreffens der Mail noch nicht vom Virenscanner erkannt wurden, werden dann im Nachhinein aussortiert. Eine E-Mail-Benachrichtigung wird in diesem Fall an den jeweiligen Benutzer und an den "admin" gesendet.
Um das System nicht zu stark zu belasten, ist der Virenscan auf neuere Mails beschränkt. Das Alter in Tagen, bis zu dem die Mails regelmäßig überprüft werden, muss konfiguriert werden.

S/MIME-Gateway: automatisches Löschen abgelaufener Zertifikate

Das S/MIME-Gateway sammelt auf Wunsch selbständig Zertifikate von Kommunikationspartnern, um Mails an diese Kommunikationspartner zukünftig automatisch zu verschlüsseln. Abgelaufene Zertifikate von Kommunikationspartnern können jetzt nach einer konfigurierbaren Zeitdauer automatisch gelöscht werden.

S/MIME-Gateway: Ausnahmeliste für das automatische Signieren

Es kann vorkommen, dass bestimmte Empfänger keine signierten Mails annehmen. Zu diesem Zweck lassen sich jetzt einzelne Empfängeraddressen oder ganze Empfängerdomains in eine Liste eintragen. Mails zu diesen Empfängern werden nicht automatisch signiert.

Sonderzeichen in Passwörtern

Beim Setzen oder Ändern von Passwörtern über die Administrationsoberfläche werden enthaltene Sonderzeichen wie z.B. Umlaute zukünftig in UTF-8-Kodierung weiterverarbeitet. Alle aktuellen Browser und die Mehrheit sonstiger Clients arbeitet ebenfalls mit UTF-8. Einzelne Clients und Protokolle können aber nach wie vor nicht damit umgehen, so dass die Nutzung solcher Sonderzeichen nicht empfohlen wird.

Verschlüsselung von Backups

Optional können die vom System erzeugten Backups nun verschlüsselt werden. Aber Vorsicht: Sollte das Kennwort zu den Backups verloren gehen, ist das Backup nutzlos!

Portnummer für Backups mit Secure-Copy

Backups mit SSH/SCP können jetzt an beliebige Ports übermittelt werden.

Zeitsynchronisation

Die Zeitsynchronisation findet nun ausschließlich über NTP statt. Die Routinen wurden überarbeitet, um insbesondere beim Neustart des Systems sicherzustellen, dass die Systemzeit korrekt ist.

Syslog- und TFTP-Server

Zur Unterstützung von aktiven Netzwerkkomponenten, die ausschließlich über flüchtigen Speicher verfügen, sind jetzt Syslog- und TFTP-Server verfügbar.

Der telnet-Dienst wurde entfernt

Kleinere Bugfixes und Verbesserungen

Folgende Features konnten bereits in den 7.1er Versionen auf Systemen mit Software-Pflegevertrag genutzt werden. In 7.2 sind diese Funktionen nun auf allen Systemen verfügbar. Dazu gehören:

Zwei-Faktor-Authentifzierung für OpenVPN

Je OpenVPN-Server-Schnittstelle kann jetzt die Benutzerauthentifzierung mit zeitbasierten Einmal-Passwörtern (TOTP) aktiviert werden. Eine Anmeldung an dieser Schnittstelle ist dann nur noch für Mitglieder der Benutzergruppe "system-ras" möglich, für die Einmal-Passwörter aktiviert sind.

OpenVPN-Parameter "tls-crypt"

Je OpenVPN-Server-Schnittstelle kann der Kontrollkanal der Verbindungen mit einem zusätzlichen symmetrischen Schlüssel abgesichert werden. OpenVPN-Datenströme sind damit nur noch schwer als solche zu identifizieren. Unter anderem wird auch der TLS-Handshake beim Verbindungsaufbau verschlüsselt, bei dem mit TLS-Version 1.2 oder älter Zertifikate im Klartext übertragen werden.

Wake-on-LAN bei Verbindungsaufbau von OpenVPN-Clients

Bisher wurde das automatische Anschalten eines PCs per Wake-on-LAN nur im Web-Client und beim Verbindungsaufbau von IPsec-L2TP-Clients unterstützt. Ab sofort ist dies auch bei OpenVPN-Clients möglich. Voraussetzung ist, dass in der Konfiguration der OpenVPN-Server-Schnittstelle die Benutzerauthentifzierung mit Einmalpasswörtern aktiviert ist. Wie für IPsec-L2TP-Clients muss die MAC-Adresse des zu weckenden PCs in den RAS-Einstellungen der Benutzerverwaltung beim jeweiligen Benutzer hinterlegt werden.

Sperrung von URLs und Headern im Reverse-Proxy

Im Reverse-Proxy wurde die Möglichkeit geschaffen, Anfragen mit bestimmten URLs oder Headern port-übergreifend zu sperren. So lässt sich ggf. verhindern, dass akute Sicherheitslücken in Webanwendungen der Hintergrundserver ausgenutzt werden können, solange noch kein Bugfix verfügbar oder installiert ist.

Bandbreitenbegrenzung im Web-Proxy

Die Bandbreite lässt sich anhand der Client-IPs und/oder des angesprochenen Servernamens begrenzen. Bei lokaler Benutzeranmeldung ist auch eine Begrenzung je Benutzergruppe möglich.

Verifikation von Mail-Server-Zertifikaten über DANE

Wenn ein Mail-Server eine E-Mail an einen anderen Mail-Server weiterleitet, ist es nicht praktikabel, das Zertifikat des Ziel-Servers grundsätzlich zu verifizieren. Viele Mail-Server sind nämlich nicht mit gültigen Zertifikaten ausgestattet. DANE ermöglicht es dem Betreiber eines Mail-Servers, im DNS die Information zu hinterlegen, dass und wie das Zertifikat seines Mail-Server verifiziert werden kann. Die Unterstützung von DANE in der Variante DANE-EE kann nun im Mail-Server aktiviert werden.

Markierung des Betreffs von Quarantäne-Mails

E-Mails mit potentiell gefährlichen Dateianhängen werden vom Dateianhangs-Filter entweder unter Quarantäne gestellt oder ohne die beanstandeten Anhänge zugestellt. Auf Wunsch kann der Betreff betroffener Mails nun mit einem beliebigen Text markiert werden.

IMAP Gruppen-Ordner

Bisher wurden Benutzergruppen vom Mail-Server grundsätzlich als Mail-Verteiler genutzt. Jedes Gruppenmitglied erhielt dabei eine Kopie der an die Gruppe addressierten Mails. Jetzt lässt sich in der Gruppenverwaltung je Gruppe auswählen, ob diese für den Mail-Server keine Bedeutung haben soll, als Mail-Verteiler fungiert oder ob ein gemeinsamer IMAP-Ordner für die Gruppenmitglieder zur Verfügung gestellt werden soll.

Verwaltungszugriff

Dem Fachhändler oder, bei einem Verbund mehrerer Systeme, einem zentralen System kann Zugriff für Verwaltungsaufgaben gewährt werden. In der ersten Ausbaustufe ist neben dem Abruf einiger grundlegenden Informationen der Aufbau von Fernwartungsverbindungen, das Starten von Updates und der Zugriff auf die Administrations-Oberfläche möglich.
Das zugehörige Menü auf dem zentralen System wurde von "Außenstellen" in "Verwaltungsserver" umbenannt.

Sicher

DEFENDO bedient sich einer Reihe von bewährten Security-Modulen wie Firewall, VPN, Proxies, Virenscanner und Anti-Spam-System.
Diese schützen Sie vor Schad-Code, Spam, Hacker-Angriffen und weiteren unerwünschten oder schädlichen Dingen.

Flexibel

Keine IT-Umgebung ist wie die andere. Die DEFENDO Produktfamilie passt sich genau Ihren Bedürfnissen an.
Von der einfachen Internet-Anbindung für kleinere Unternehmen, über Lösungen für Filialen und den Außendienst, bis hin zu komplexen, mehrstufigen Firewall-Systemen.

Mehr gute Gründe

  • Es gibt keine Backdoors
  • über 20 Jahre Internet-Security-Erfahrung
  • Mehrfach ausgezeichnet
  • Support direkt durch unsere Entwickler
  • Fachhändler-Treue
  • Made in Germany