Art der Änderung

security Sicherheitskritisch
bugfix Bugfix
new Neue Funktion
changed Änderung
update Update

Betroffene Systeme

all alle Systeme
component falls Komponente genutzt
maintenance Systeme mit Pflegevertrag
individual einzelne Installationen

News

Update 5.2-2-0

Enthaltene Versionen

5.2-2-0

NeuKomponente nicht auf allen Systemen enthalten, aktiviert, genutzt bzw. sinnvoll Erweiterte Reverse-Proxy Konfiguration

Bei verschlüsselten Ports (HTTPS) lässt sich Authentifizierung über Client-Zertifikate aktivieren. Fordert die Web-Anwendung oder der Reverse-Proxy zusätzlich eine Benutzeranmeldung, ist der Zugriff somit durch eine 2-Faktor-Authentifizierung geschützt. Diese neue Möglichkeit erübrigt den Einsatz eines VPNs, sofern alle genutzten Anwendung über eine Web-Schnittstelle verfügen.
In diesem Zusammenhang wird beim Ausstellen von Zertifikaten speziell für den Zugriff von iPhones auf Exchange Server ein Konfigurationspaket angeboten, das neben dem Client-Zertifikat auch gleich die passenden Einstellungen beinhaltet.
Für Installationen mit mehreren Internet-IPs ist die Möglichkeit interessant, beliebig viele Reverse-Proxy Ports anzulegen. Per DNAT-Regel in der Firewall-Konfiguration lassen sich einzelne Ports mit bestimmten Adressen assoziieren. Dies ist insbesondere dann notwendig, wenn sowohl HTTPS-Ports mit als auch ohne Authentifizierung über Client-Zertifikat benötigt werden.
Zur einfacheren Konfiguration des Zugriffs auf Exchange-Server stehen zusätzliche Schalter zur Verfügung, mit denen sich Autodiscover, Offline-Adressbuch und die Exchange-Web-Services veröffentlichen lassen.

NeuKomponente nicht auf allen Systemen enthalten, aktiviert, genutzt bzw. sinnvoll Fallback für Ethernet-Schnittstellen

Der automatische Wechsel auf eine alternative Internet-Anbindung ist nun auch bei Ethernet- oder VLAN-Schnittstellen möglich. Die Verfügbarkeit der Anbindung wird in diesem Fall per ping an eine zu definierende Liste von Adressen geprüft.

NeuKomponente nicht auf allen Systemen enthalten, aktiviert, genutzt bzw. sinnvoll Verbessertes Bandbreiten-Management

Das Bandbreiten-Management lässt sich nun in jeder Ethernet-, VLAN-, ADSL- oder ISDN-Schnittstelle individuell konfigurieren. Richtungspfeile in der Konfigurationsoberfläche erübrigen die Definition neuer Protokolle um inverse Port-Signaturen zu erhalten. Neue Algorithmen versprechen zudem eine gleichmäßigere und fairere Ausnutzung der Internet-Anbindung.
Auch eingehend ist jetzt Bandbreiten-Management möglich. Eigentlich müsste dies der Provider übernehmen, was in der Regel mit deutlichen Aufpreis verbunden ist. Mit Einschränkungen lässt sich der Effekt jedoch auch durch eine Kombination verschiedener Verfahren lokal erzielen. Insbesondere muss auf 20% der verfügbaren Bandbreite verzichtet werden. Der Anteil an TCP-Verbindungen muss ausreichend hoch sein.

ÄnderungKomponente nicht auf allen Systemen enthalten, aktiviert, genutzt bzw. sinnvoll Dynamischer DNS pro Schnittstelle

Um Systeme mit mehreren Internet-Anbindungen besser zu unterstützen, lässt sich nun in jeder Ethernet-DHCP-, ADSL oder ISDN-PPP-Schnittstelle individuell dynamischer DNS konfigurieren.

UpdateAlle Systeme Diverse Software-Pakete

Aktualisiert wurden die Krypto-Bibliothek OpenSSL, die URL-Filter-Software, das Perl Digest-Modul, der IPSec- und der DNS-Server.

BugfixNur auf einzelnen Systemen bzw. unter sehr speziellen Randbedingungen Feste Krypto-Parameter für IPSec-Verbindungen

Wurde die Auswahl der Krypto-Parameter in IPSec-Verbindungen auf bestimmte Werte eingeschränkt, wurden diese nur beim Initiieren der Verbindung berücksichtigt. Beim Initiieren der Verbindung durch die Gegenstelle, wurden alle unterstützten Algorithmen akzeptiert.

NeuIn dieser Versionsreihe nur auf Systemen mit Software Pflegevertrag verfügbar Benutzerdefinierte DHCP-Optionen im DHCP-Server

UpdateKomponente nicht auf allen Systemen enthalten, aktiviert, genutzt bzw. sinnvoll Integrierte URL-Filter Datenbank

Kleinere Bugfixes und Verbesserungen

5.2-1-5

BugfixAlle Systeme Aktualisierung des Linux-Kernels

Das Update behebt ein Problem in der dynamischen Firewall, das zum Einfrieren des Systems führen kann und einen Fehler in der Hardware-Erkennung großer IDE-Festplatten.
Nach dem Update führt das System automatisch einen Neustart durch. Bitte starten Sie das System nicht von Hand neu.

BugfixKomponente nicht auf allen Systemen enthalten, aktiviert, genutzt bzw. sinnvoll IPSec-Server

Gegen den IPSec-Server ist ein Denial-of-Service Angriff bekannt geworden. Das Update behebt das Problem.
In bestimmten Konstellationen wurden Clients und Servern mit dynamischer IP beim Verbindungsaufbau die falsche Konfiguration zugeordnet und dann aufgrund nicht zusammenpassender Parameter abgewiesen.

NeuIn dieser Versionsreihe nur auf Systemen mit Software Pflegevertrag verfügbar SNMPv3 Server

Diverse Status-Informationen lassen sich nun per SNMP abfragen. Die Konfiguration erfolgt im Menü "Monitoring -> Netzwerk".

NeuIn dieser Versionsreihe nur auf Systemen mit Software Pflegevertrag verfügbar Erweiterte Konfigurationsmöglichkeiten für den Einsatz als OpenVPN Client

In OpenVPN Client-Schnittstellen lässt sich nun verbindungsspezifisches Schlüsselmaterial hinterlegen. Bisher wurden stets die Zertifikate und der Schlüssel verwendet, die auch für OpenVPN Server- und IPSec-Verbindungen genutzt werden.
Beim Import von verbindungsspezifischem Schlüsselmaterial werden neben dem PKCS#12-Format auch Installationspakete für Windows-Clients und OpenVPN-Konfigurationsdateien mit eingebetteten Schlüsseln unterstützt. Die Einstellungen der OpenVPN Client-Schnittstelle lassen sich dabei gleich an die im Installationspaket bzw. der Konfigurationsdatei gefundenen Werte anpassen, was die Konfiguration von OpenVPN Client-Verbindungen deutlich erleichtert.
Um die Kompatibilität mit OpenVPN-Servern Dritter zu erhöhen, wurden Eingabefelder für die OpenVPN-Parameter "tls-auth", "keydir" und "comp-lzo" hinzugefügt.

UpdateKomponente nicht auf allen Systemen enthalten, aktiviert, genutzt bzw. sinnvoll F-Secure und Kaspersky Anti-Virus

Die Virenscanner von F-Secure und Kaspersky werden im Zuge des Updates aktualisiert.

BugfixKomponente nicht auf allen Systemen enthalten, aktiviert, genutzt bzw. sinnvoll DynDNS und Policy-Based-Routing bei Internet-Zugang über DHCP

Bei Internet-Verbindungen über DHCP (Kabelmodem) war es bisher nicht möglich, die zugewiesene IP-Adresse bei einem DynDNS-Anbieter zu aktualisieren. Ebenfalls problematisch war die Konfiguration von Routen, die an der erforderlichen Angabe eines Gateways scheiterte. Hier lässt sich nun der spezielle Wert "0.0.0.0" eintragen.

NeuKomponente nicht auf allen Systemen enthalten, aktiviert, genutzt bzw. sinnvoll VLAN-ID für VDSL

Bisher war die VLAN-ID für VDSL-Verbindungen fest auf den Wert 7 eingestellt. Um auch Provider zu unterstützen, die mit anderen VLAN-IDs arbeiten, ist diese nun frei einstellbar.

BugfixKomponente nicht auf allen Systemen enthalten, aktiviert, genutzt bzw. sinnvoll Anlegen von VLAN-Schnittstellen

Seit Version 5.2-1.3 wurden neu angelegte VLAN-Schnittstellen im System nicht aktiviert.

Kleinere Bugfixes und Verbesserungen

5.2-1-4

BugfixAlle Systeme Aktualisierung des Linux-Kernels

Der neue Kernel 2.6.32.42 aus Version 5.2-1.3 führte auf einzelnen Systemen zu Abstürzen, deren Ursache bislang nicht geklärt werden konnte. Es wird nun wieder die ältere Version 2.6.32.28 installiert, erweitert um neue Funktionen und relevante Bugfixes aus den neueren Kerneln.
Nach dem Update führt das System automatisch einen Neustart durch. Bitte starten Sie das System nicht von Hand neu.

BugfixAlle Systeme Denial-of-Service gegen Web- und Administrations-Server

Mit Hilfe spezieller Anfragen war es möglich, den kompletten Speicher zu belegen.

BugfixKomponente nicht auf allen Systemen enthalten, aktiviert, genutzt bzw. sinnvoll Generierung der IDS-Statistik

Aufgrund eines Fehlers in Update 5.2-1.3 wurde die IDS-Statistik nicht mehr generiert.

Kleinere Bugfixes und Verbesserungen

5.2-1-3

BugfixAlle Systeme Aktualisierung des Linux-Kernels

Die neue Version enthält einige kleinere Bugfixes und Neuerungen für zukünftige Erweiterungen.
Nach dem Update führt das System automatisch einen Neustart durch. Bitte starten Sie das System nicht von Hand neu.

BugfixAlle Systeme Neue Version des DNS-Servers

Gegen die alte Version war ein möglicher Denial-of-Service Angriff bekannt geworden.

ÄnderungAlle Systeme Verzicht auf Domain-Suffix suche

Wenn Systemdienste einen DNS-Namen nicht auflösen konnten, wurde bislang der lokale Domain-Name angehängt und eine erneute DNS-Auflösung versucht. Bei lokalen Domains mit Wildcard-DNS-Eintrag führt dies nun vermehrt zu Problemen, seit die ersten produktiven reinen IPv6-Server im Internet erreichbar sind.

UpdateKomponente nicht auf allen Systemen enthalten, aktiviert, genutzt bzw. sinnvoll Aktualisierung der IDS-/IPS-Signaturen

Systeme, die nicht im Rahmen des Pflegevertrags täglich neue Signaturen erhalten, erhalten mit diesem Update neue Signaturen für die Intrusion-Detection und -Prevention.

NeuKomponente nicht auf allen Systemen enthalten, aktiviert, genutzt bzw. sinnvoll Weitere Optionen für den kostenpflichtigen URL-Filter

Für "Soziale Netzwerke" ist nun eine eigene Kategorie verfügbar. Die dort enthaltenen Adressen waren bisher in anderen Kategorien einsortiert.
Ein neuer Schalter ermöglicht es, Adressen die nicht in der Datenbank enthalten sind an den Hersteller zu übermitteln. Die Adressen werden nach Prüfung in zukünftige Versionen der Datenbank einsortiert.

NeuIn dieser Versionsreihe nur auf Systemen mit Software Pflegevertrag verfügbar Konfigurierbare Proxy-Auto-Conf Datei

Die bislang fest vorgegebene PAC-Datei lässt sich nun um beliebige Domains bzw. Adressen erweitern, auf die Browser direkt bzw. über Proxy zugreifen sollen.

NeuKomponente nicht auf allen Systemen enthalten, aktiviert, genutzt bzw. sinnvoll Zugewiesener DNS für L2TP-Clients

Da Clients häufig der zentrale Windows-Server als DNS zugewiesen werdens soll, wird diese Einstellung nun schon im Assistenten abgefragt. In der L2TP-Schnittstelle lässt sich nun zudem ein sekundärer DNS konfigurieren.

BugfixNur auf einzelnen Systemen bzw. unter sehr speziellen Randbedingungen IPSec-L2TP Verbindungen von Windows XP Clients mit gleicher NAT-IP

Ein Windows XP IPSec-L2TP Client hinter einem NAT-Router meldet seine interne IP-Adresse beim Verbindungsaufbau nicht. In Versionsreihe 5.1 war es daher möglich, gleichzeitig VPN-Verbindungen zu mehreren Windows XP Clients mit der selben internen IP-Adresse aufzubauen. Dies war in Versionsreihe 5.2 nicht mehr möglich, da nun die interne IP aus anderen Werten hergeleitet wird. Um bestehende Installationen wie bisher weiter betreiben zu können, erlaubt nun ein Kompatibilitätsschalter, das alte Verhalten wieder herzustellen.

BugfixKomponente nicht auf allen Systemen enthalten, aktiviert, genutzt bzw. sinnvoll Kleinere Bugfixes im POP3-/SMTP-Proxy

UpdateKomponente nicht auf allen Systemen enthalten, aktiviert, genutzt bzw. sinnvoll Neue Version des OpenVPN-Servers und -Clients

UpdateKomponente nicht auf allen Systemen enthalten, aktiviert, genutzt bzw. sinnvoll Neue Version des DHCP-Servers und -Clients

UpdateAlle Systeme Optimierte Speichernutzung bei Generierung der Firewall-Statistik

Kleinere Bugfixes und Verbesserungen

5.2-1-2

bugfixKomponente nicht auf allen Systemen enthalten, aktiviert, genutzt bzw. sinnvoll IPSec-Verbindungen mit iPhone

Seit der vorherigen Version 5.2-1.1 schlugen IPSec-Verbindungen mit iPhone fehl, sofern die Verbindung über einen NAT-Router lief.

BugfixNur auf einzelnen Systemen bzw. unter sehr speziellen Randbedingungen Uploads über Web-Proxy

Datei-Uploads via Proxy zu einzelnen Web-Server sind wegen Timeout abgebrochen.

Kleinere Bugfixes und Verbesserungen

5.2-1-1

BugfixKomponente nicht auf allen Systemen enthalten, aktiviert, genutzt bzw. sinnvoll HTTPS-Verbindungen über Web-Proxy

In den Versionen 5.1-4.0 und 5.2-1.0 wurden bei aktiviertem Virenscan Downloads über HTTPS extrem verlangsamt.

BugfixKomponente nicht auf allen Systemen enthalten, aktiviert, genutzt bzw. sinnvoll IDS/IPS mit Kabelmodem

Bei Internet-Zugängen über DHCP (Kabelmodem) wurde die dynamische IP-Adresse nicht als interne IP-Adresse behandelt. Legitime ausgehende Verbindungen wurden daher unter Umständen als verdächtige eingehende Verbindung durch die Intrusion-Detection/-Prevention blockiert.

BugfixNur auf einzelnen Systemen bzw. unter sehr speziellen Randbedingungen Automatische IDS-Updates

Bei Geräten mit dem Zeichen "=" in der Hardware-ID wurde das automatische Signatur-Update der Intrusion-Detection fälschlicherweise verweigert.

BugfixNur auf einzelnen Systemen bzw. unter sehr speziellen Randbedingungen Passthrough für IPSec-Verbindungen

In den Versionen 5.1-4.0 und 5.2-1.0 wurden geroutete IPSec-Nat-Traversal Pakete nicht mehr maskiert (NAT), wenn die Freigabe in der Firewall-Konfiguration auf der Maske für Quelle "LAN" konfiguriert war. Die IPSec-Clients im LAN konnten in diesem Fall keine VPN-Verbindung mehr in das Internet aufbauen.

BugfixKomponente nicht auf allen Systemen enthalten, aktiviert, genutzt bzw. sinnvoll Graphische Statistik zum Bandbreiten-Management

Seit Version 5.2-0.1 bzw. 5.2-1.0 wurden die Statistiken nicht mehr fortgeschrieben.

Kleinere Bugfixes und Verbesserungen

< Zurück   Weiter >