packetalarm UTM Release Notes (deutsch)

Transkript

1 packetalarm UTM Release Notes (deutsch) Allgemeine Hinweise Bitte erstellen Sie vor der Installation der neuen Software eine Sicherung der Konfiguration (Maintenance > Configuration > Manual Backup) und notieren Sie sich, welche Softwareversion auf dem UTM System installiert ist. Sollten während des Updates Komplikationen auftreten (z.b. Stromausfall, versehentliches Abschalten), muss ein Factory Reset durchgeführt werden. Installieren Sie nach dem Factory Reset die zuletzt verwendete Softwareversion und spielen Sie den zuvor erstellten Backup ein (Maintenance > Configuration > Restore). Danach wiederholen Sie das Einspielen des Softwareupdates. Beim Update des Master Systems in einem High Availability Verbund ist darauf zu achten, dass das System zuvor offline gesetzt wird (Local Services > High Availability > Actions). Weiterhin muss mittels der IP Adresse des HA Interfaces (Services > High Availability > Settings > Master UTM IP Address) auf das System zugegriffen werden, um das Update zu starten. Beim Update von Systemen mit einem Softwarestand älter als kann es während des Updates zur Anzeige eines Browser Popups mit dem Inhalt RPC xxx.yyy() invalid response from server kommen. In diesem Fall zeigt der Fortschrittsbalken das Ende des Update Vorgangs nicht an, sondern läuft endlos weiter. Bitte nutzen Sie bei entsprechenden Systemen die serielle Konsole zur Kontrolle des Update Vorgangs. Der Update ist dann abgeschlossen, wenn an der Konsole das Login Prompt mit der neuen Software Version angezeigt wird. Änderungen vorbehalten. Keine Gewähr für technische Ungenauigkeiten und/oder Angaben. 1

2 Release Release Datum: Diese Version der Systemsoftware unterstützt folgende Plattformen: UTM1100 UTM1500 UTM2100 UTM2500 Hinweise zum Release Auf allen Plattformen (UTM1100/1500/2100/2500) wird zur Installation des Updates die Softwareversion oder neuer vorausgesetzt. Bitte melden Sie sich nach der Installation vom Web User Interface ab (Button Logout) oder schließen Sie den Web Browser komplett. Weiterhin ist es erforderlich den Browser Cache zu leeren. Neue Funktionen und Änderungen Neue kryptografische Optionen für IPSec IKE Es wird jetzt auch der Verschlüsselungsalgorithmus Blowfish in den Schlüssellängen 128, 192 und 256 Bit unterstützt. Für AES stehen nun auch die Schlüssellängen 192 und 256 Bit zur Verfügung. Darüber hinaus kann für die Authentifizierung jetzt auch SHA2 mit den Schlüssellängen 256, 384 und 512 Bit verwendet werden. 2

3 Farbliche Kennzeichnung von Regeln in Übersichtslisten Um einzelne Regeln in einer Übersichtsliste schneller finden zu können, ermöglicht packetalarm UTM jetzt eine farbige Kennzeichnung der Einträge. Eine detaillierte Beschreibung ist im aktualisierten Benutzerhandbuch zu finden. Löschen mehrerer E Mails aus SMTP Mailqueue (UTM1500/2100/2500) Es können nun unter Maintenance > > SMTP Mailqueue auch mehrere E Mails gleichzeitig mit Hilfe eines Filters über Absender oder Empfängeradresse gelöscht werden. Als Auswahlkriterien können hierfür auch Platzhalter verwendet werden. Näheres hierzu kann dem aktualisierten Benutzerhandbuch entnommen werden. Blocken bekannter kompromittierter Hosts Verbindungen mit als kompromittiert bekannten Gegenstellen können nun von der packetalarm UTM unterbunden werden. Die Liste dieser Systeme wird automatisch im Rahmen des Regel Updates aktualisiert. Details hierzu finden sich ebenfalls im aktualisierten Benutzerhandbuch. HTTP Proxy Beschleunigte Auslieferung Durch setzen der Option Enable Preloading unter Local Services > Proxy Server > HTTP > Advanced kann eine beschleunigte Auslieferung der Daten an den Client aktiviert werden. Dabei werden 90% der zu übertragenden Datei sofort an den Client übertragen; die Übertragung der restlichen 10% erfolgt dann erst nach der Überprüfung auf Viren. Im Falle eines in der Datei enthaltenen Virus wird die Übertragung an dieser Stelle abgebrochen. Bei Verwendung dieser Option besteht zu Gunsten einer verbesserten Interaktivität ein Restrisiko, daß Schadcode tatsächlich an den Client ausgeliefert wird. Für höchste Sicherheitsanforderungen sollte daher auf diese Option verzichtet werden. 3

4 HTTP Proxy Verbesserte Interaktivität Die auf Viren zu untersuchenden Inhalte werden nun in Abhängigkeit ihrer Größe und ihres Typs auf unterschiedliche Warteschlangen verteilt und priorisiert. Dies ermöglicht dem Browser einen schnelleren Aufbau der darzustellenden Seiten. Hierzu wird empfohlen, den Schwellwert für große Dateien ( Large File Threshold ) unter Local Services > Anti Virus > Advanced bei bestehenden Konfigurationen auf einen entsprechend kleinen Wert (z.b. 0.3) zu setzen. L2TP Unterstützung für ios und MacOS X Es werden jetzt auch L2TP Clients unterstützt, welche beim Verbindungsaufbau keinen Hostnamen übertragen. Dies ist insbesondere bei Systemen der Firma Apple der Fall. Schnelleres Laden des Firewall Regelwerks Der Mechanismus für die Aktivierung von Firewall Regeln wurde überarbeitet und so die Ladezeit für komplexe Regelwerke deutlich verkürzt. Behobene Fehler HTTP Content Check (ARS Call ID 25627) Die Aktualisierung der Kategorien schlug seit Version fehl. Der Fehler wurde behoben. Konfiguration virtueller Interfaces (Bug ID 15035) Änderungen an den sekundären IP Adressen einer Schnittstelle hatten keine Auswirkung auf den Konfigurationsstatus des Systems und konnten daher nicht über die Schaltfläche Activate Config aktiviert werden. Dieser Fehler wurde beseitigt. 4

5 Dynamic DNS Bei der Einträgen vom Typ DynDNS.com wurden Benutzernamen und Kennwörter mit Sonderzeichen fehlerhaft an den Dienst übertragen. Das Problem wurde behoben. High Availability Beim Zustandswechsel eines Systems von inaktiv zu aktiv konnte die entsprechende Log Meldung nicht an ein externes Ziel gesendet werden. Der Fehler wurde beseitigt. IPSec und DHCP (Bug ID 15074) Bei Verwendung von DHCP auf virtuellen Interfaces vom Typ External wurden bei einer Verlängerung der Lease Gültigkeit ( DHCP Renewal ) bestehende IPSec Verbindungen getrennt. Dieser Fehler wurde behoben. Anzeige langer Übersichtslisten (Bug ID 14631) Übersichtslisten mit sehr vielen Einträgen konnten nicht angezeigt werden. Das Problem wurde beseitigt. 5

6 Release Release Datum: Diese Version der Systemsoftware unterstützt folgende Plattformen: UTM1100 UTM1500 UTM2100 UTM2500 Hinweise zum Release Auf allen Plattformen (UTM1100/1500/2100/2500) wird zur Installation des Updates die Softwareversion oder neuer vorausgesetzt. Bitte melden Sie sich nach der Installation vom Web User Interface ab (Button Logout) oder schließen Sie den Web Browser komplett. Weiterhin ist es erforderlich den Browser Cache zu leeren. Neue Funktionen und Änderungen na Behobene Fehler Datenbank Sperren Eine falsche Behandlung von Datenbank Sperren konnte zu unterschiedlichen Fehlerszenarien führen. Dieses Problem wurde behoben. 6

7 Release Release Datum: Diese Version der Systemsoftware unterstützt folgende Plattformen: UTM1100 UTM1500 UTM2100 UTM2500 Hinweise zum Release Auf allen Plattformen (UTM1100/1500/2100/2500) wird zur Installation des Updates die Softwareversion oder neuer vorausgesetzt. Bitte melden Sie sich nach der Installation vom Web User Interface ab (Button Logout) oder schließen Sie den Web Browser komplett. Weiterhin ist es erforderlich den Browser Cache zu leeren. Neue Funktionen und Änderungen Verbesserte Statusanzeige für IPSec Verbindungen Die Statusanzeige für IPSec Verbindungen unter Monitoring / VPN Connections wurde verbessert. Neben dem Namen wird nun auch die interne ID der Verbindung genannt. Der aktuelle Status wird jetzt farblich hervorgehoben und bei Site To Site Verbindungen die Zeit seit der letzten Statusänderung angezeigt. Ebenso werden die Statusänderungen solcher Verbindungen nun explizit mit einem Eintrag im Log der UTM vermerkt. 7

8 Überwachung von IPSec Verbindungen via SNMP Der aktuelle Status von IPSec Verbindungen kann nun über SNMP abgerufen werden. Die Tabelle utmipsecconntable enthält die entsprechenden Informationen; als Index wird die interne ID der Verbindung (s.o.) herangezogen. Eine aktualisierte MIB kann über ec.com/ bezogen werden. Warnung bei Mehrfachanmeldungen Besteht zum Zeitpunkt der Anmeldung an der Administrationsoberfläche bereits eine weitere Sitzung, so wird nun mittels eines Pop Up Fensters darauf hingewiesen. Neuer Network Item Typ 'IP Range' Es können jetzt neue Network Items vom Typ 'IP Range' erstellt werden, welche einen beliebigen zusammenhängenden Adressbereich abbilden können. Diese lassen sich dann für Firewall Policies vom Typ 'Filter', 'HTTP Proxy', 'POP3 Proxy' sowie 'SMTP Proxy' verwenden. SSH Zugang Die UTM bietet nun die Möglichkeit, über das Netzwerk unter Verwendung des SSH Protokolls auf die Kommandozeilen Schnittstelle (CLI) zuzugreifen. Behobene Fehler Factory Reset Nach Installation der Version führte ein durchgeführter Factory Reset dazu, dass eine UTM mit einem Auslieferungsstand ab Version nicht mehr gestartet werden konnte. Dieses Problem wurde behoben. 8

9 Transparenter HTTP Proxy HTTPS Verbindungen über den transparenten HTTP Proxy konnten bei aktivierten Caching des DNS Dienstes nicht immer ordnungsgemäß hergestellt werden. Dieser Fehler wurde behoben. Configuration Restore Sicherungen der Konfiguration, welche mit einer Version vor erstellt wurden, konnten mit Versionen ab nicht wiederhergestellt werden. Der Fehler wurde beseitigt. Transparenter SMTP Proxy Bei der Konfiguration der SMTP Ports für ausgehende Mails konnten ungültige Ports angegeben werden. Dieses Problem wurde behoben. 9

10 Release Release Datum: Diese Version der Systemsoftware unterstützt folgende Plattformen: UTM1100 UTM1500 UTM2100 UTM2500 Hinweise zum Release Auf allen Plattformen (UTM1100/1500/2100/2500) wird zur Installation des Updates die Softwareversion oder neuer vorausgesetzt. Bitte melden Sie sich nach der Installation vom Web User Interface ab (Button Logout) oder schließen Sie den Web Browser komplett. Weiterhin ist es erforderlich den Browser Cache zu leeren. Neue Funktionen und Änderungen na Behobene Fehler Factory Reset Nach Installation der Version führte ein durchgeführter Factory Reset dazu, dass eine UTM mit einem Auslieferungsstand vor Version nicht mehr gestartet werden konnte. Dieses Problem wurde behoben. 10

11 Fehlerhafte Konvertierung der Konfiguration Eine fehlerhafte Konvertierung von Policy Routing Einträgen im Update auf Version führte zum Abbruch des Updates. Dies hatte zur Folge, dass die UTM anschließend nicht mehr ansprechbar war. Der Fehler wurde beseitigt. 11

12 Release Release Datum: Diese Version der Systemsoftware unterstützt folgende Plattformen: UTM1100 UTM1500 UTM2100 UTM2500 Hinweise zum Release Auf allen Plattformen (UTM1100/1500/2100/2500) wird zur Installation des Updates die Softwareversion oder neuer vorausgesetzt. Bitte melden Sie sich nach der Installation vom Web User Interface ab (Button Logout) oder schließen Sie den Web Browser komplett. Weiterhin ist es erforderlich den Browser Cache zu leeren. Neue Funktionen und Änderungen Neue Version des packetalarm UTM SSL VPN Clients In der Administrations WebGUI und im User Portal steht nun die Version des Clients zum Download zur Verfügung. Bereits installierte Clients können auch über die eingebaute Update Funktion aktualisiert werden. Weitere Informationen zu den Änderungen des Clients sind in den Release Notes unter _vpn_client_release_note_1_15_04_de.pdf zu finden. Unterstützung mehrerer externer Interfaces Es kann nun mehreren virtuellen Interfaces die Rolle external 12

13 zugeordnet werden. Größere Anzahl von PPPoE/PPPoA Interfaces Die UTM bietet nun die Möglichkeit, bis zu zehn virtuelle Interfaces vom Typ PPPoE oder PPPoA anzulegen. Nutzung von PPPoE/PPPoA über VLAN (VDSL) Bei der Konfiguration von virtuellen Interfaces vom Typ PPPoE bzw. PPPoA kann nun auch eine ggf. zu verwendende VLAN ID festgelegt werden, z.b. zur Nutzung von VDSL. Lastverteilung und Ausfallsicherheit Durch eine Erweiterung des Policy based Routing um Ziele des Typs Balancing & Fallback kann der Datenverkehr (vorerst mit Ausnahme von IPsec Verbindungen) nun auf mehrere Routingziele verteilt werden. Dabei können auch Routingziele definiert werden, welche bei Ausfall die Weiterleitung der Daten übernehmen und/oder bei erreichen einer vorgegebenen Last zugeschaltet werden. Hierzu wurde auch die Dynamic DNS Unterstützung entsprechend erweitert. Eine umfassende Beschreibung hierzu befindet sich im aktualisierten Benutzerhandbuch. Zeitgesteuerter Neustart der UTM Unter Local Services > Scheduling können nun Zeitpunkte definiert werden, zu denen sich die UTM selbstständig neu startet. Brute Force Schutz Um den Zugang zur Administrationsoberfläche der UTM zusätzlich zu schützen, verfügt die Anmeldeprozedur nun über einen Mechanismus, der bei einer Häufung fehlerhafter Anmeldeversuche mit einer Zugangssperre reagiert. Details hierzu entnehmen Sie bitte dem aktualisierten Benutzerhandbuch. 13

14 Komplettsicherung auf USB Speichermedium Es kann nun entweder jederzeit manuell oder, automatisch vor Aktualisierung der Software, eine Komplettsicherung (System Snapshot) der UTM, welche neben der Konfiguration auch die System Software umfasst, auf einem angeschlossenen USB Speichermedium erstellt werden. Mit Hilfe einer derart erstellten Sicherung kann der Stand eines Systems schnell wiederhergestellt werden. Behobene Fehler Neue Version von Clam AV Bei der bisher verwendeten Version von Clam AV konnte es durch einen Fehler im Signatur Parser zur irrtümlichen Erkennung von Viren kommen ('false positives'). Der Fehler ist durch die aktualisierte Version behoben. ISDN Login (UTM1500/2100/2500) (ARS Call ID 23630) Nach einer Konfigurationsänderung an den ISDN Parametern schlug ein nachfolgend ausgelöster Activate Config fehl und die Änderungen konnten erst durch einen Neustart der UTM aktiviert werden. Dieser Fehler wurde behoben. SMTP Proxy Transparenter Modus (UTM1500/2100/2500) (ARS Call ID 23891) Wurde in der transparenten Betriebsart für das transparente outgoing routing der Parameter Maximum Message Size auf einen Wert größer 50 Mbyte gesetzt, konnte der SMTP Proxy nicht mehr gestartet werden. Das Problem wurde behoben. Zusätzlich wurde zur Vereinheitlichung das bestehende Auswahlfeld durch ein Eingabefeld ersetzt. 14

15 Hoher Speicherbedarf des HTTP Proxy bei Verwendung der Authentifizierung (ARS Call ID 24279) Bei Nutzung des HTTP Proxy in Verbindung mit Authentifizierung konnte die Speicherauslastung der UTM im Verlauf der Zeit extrem ansteigen. Der Fehler wurde behoben. 15

16 Release Release Datum: Diese Version der Systemsoftware unterstützt folgende Plattformen: UTM1100 UTM1500 UTM2100 UTM2500 Hinweise zum Release Auf allen Plattformen (UTM1100/1500/2100/2500) wird zur Installation des Updates die Softwareversion oder neuer vorausgesetzt. Bitte melden Sie sich nach der Installation vom Web User Interface ab (Button Logout) oder schließen Sie den Web Browser komplett. Weiterhin ist es erforderlich den Browser Cache zu leeren. Neue Funktionen und Änderungen na Behobene Fehler HTTP Proxy Der Zugriff auf bestimmte URLs führte bei aktiviertem Content Filter dazu, daß der HTTP Proxy keine Anfragen mehr weiterleiten konnte. Dieses Problem wurde behoben. SSL VPN Die von der UTM zum Download bereitgestellte Version der Dokumentation für die SSL VPN Client Software war veraltet. Die 16

17 Dokumentation wurde aktualisiert. FTP Proxy (Bug ID 13431) Die Nutzung des FTP Proxy in der transparenten Betriebsart über einen IPSec Tunnel führte bei Verwendung des passiven Modus zum Neustart der UTM. Der Fehler wurde behoben. 17

18 Release Release Datum: Diese Version der Systemsoftware unterstützt folgende Plattformen: UTM1100 UTM1500 UTM2100 UTM2500 Hinweise zum Release Auf allen Plattformen (UTM1100/1500/2100/2500) wird zur Installation des Updates die Softwareversion oder neuer vorausgesetzt. Bitte melden Sie sich nach der Installation vom Web User Interface ab (Button Logout) oder schließen Sie den Web Browser komplett. Weiterhin ist es erforderlich den Browser Cache zu leeren. Neue Funktionen und Änderungen Neue Version des packetalarm UTM SSL VPN Clients In der Administrations WebGUI und im User Portal steht nun die Version des Clients zum Download zur Verfügung. Bereits installierte Clients können auch über die eingebaute Update Funktion aktualisiert werden. Weitere Informationen zu den Änderungen des Clients sind in den Release Notes unter pn_client release_notes 1_15_03_de.pdf zu finden. 18

19 Behobene Fehler HTTP Proxy Eine großen Anzahl aufeinander folgender fehlgeschlagener Verbindungen konnte dazu führen, daß der HTTP Proxy keine Anfragen mehr weiterleiten konnte. Dieses Problem wurde behoben. SSL VPN Benutzer mit Umlauten im Benutzernamen oder Kennwort konnten sich nicht anmelden. Dieses Problem wurde behoben. Für diese Funktion ist zusätzlich die Verwendung der neuen Version des packetalarm UTM SSL VPN Client nötig. High Availability Komplexe Konfigurationen konnten bei HA Installationen dazu führen, daß die Synchronisation der Konfigurationsdaten fehlschlug. Das Problem wurde behoben. IPSec mit dynamischen IP Adressen Bei Gegenstellen mit dynamischen DNS Einträgen konnte im Falle einer Adressänderung die Verbindung nicht wiederhergestellt werden. Das Problem wurde behoben. IPSec mit PPPoE/PPPoA Ebenso konnte ein schneller Ab und Wiederaufbau einer PPPoE/PPPoA Verbindung dazu führen, daß über bestehende IPSec Verbindungen keine Daten mehr ausgetauscht werden konnten. Das Problem wurde behoben. 19

20 IPSec IKE SA Lifetime (Bug ID 12766) Die Überprüfung des Eingabefeldes IKE SA Lifetime akzeptierte einen fehlerhaften Eingabewert, bei dessen Verwendung keine Verbindung hergestellt werden konnte. Die Eingabeprüfung wurde korrigiert. PPPoE / PPPoA Durch eine in Version vorgenommene Änderung schlug die Authentifizierung bei Nutzung von CHAP immer fehl. Der Fehler wurde korrigiert. AAA Server LDAP Benutzer mit Umlauten im Benutzernamen oder Kennwort konnten nicht richtig authentifiziert werden. Ebenso wurden etwaige, im Feld LDAP Attribute vorhandene Leerzeichen akzeptiert, was ggf. zum Fehlschlagen einer Authentifizierung führen konnte. Diese Probleme wurden behoben. Sicherheitsupdate In den folgenden verwendeten Opensource Komponenten sind Sicherheitsprobleme bekannt geworden: ClamAV Um einen möglichen Einfluss auf die Funkwerk UTM zu vermeiden, wurden die Komponenten erneuert oder korrigiert. 20

21 Release Release Datum: Diese Version der Systemsoftware unterstützt folgende Plattformen: UTM1100 UTM1500 UTM2100 UTM2500 Hinweise zum Release Auf allen Plattformen (UTM1100/1500/2100/2500) wird zur Installation des Updates die Softwareversion oder neuer vorausgesetzt. Bitte melden Sie sich nach der Installation vom Web User Interface ab (Button Logout) oder schließen Sie den Web Browser komplett. Weiterhin ist es erforderlich den Browser Cache zu leeren. Neue Funktionen und Änderungen SMTP Proxy Transparenter Modus (UTM1500/2100/2500) Der SMTP Proxy wurde um einen transparenten Modus erweitert. Im transparenten Modus kann der Proxy nach wie vor als Relaying Proxy verwendet werden. Zusätzlich besteht die Möglichkeit, SMTP Verbindungen ausgehend von internen Systemen, die über die UTM geroutet werden, transparent auf Viren zu prüfen. Dies wird entsprechend der UTM1100 mittels Policies gesteuert. Die Policies bieten zusätzlich die Möglichkeit, die Verbindungen an den Relaying Proxy der UTM umzuleiten. Hierdurch lässt sich zum Beispiel ein Smarthost für alle Clients erzwingen oder die BATV Funktionalität der UTM nutzen. 21

22 Certificate Revocation Lists (CRL) Automatischer Download Neben der Möglichkeit CRLs manuell zu importieren besteht nun die Möglichkeit eines automatischen Imports. Beim Importieren einer externen CA wird nun zusätzlich geprüft, ob ein CDP (CRL Distribution Point) im CA Zertifikat definiert ist. Ist dies der Fall, wird automatisch eine entsprechende CRL Konfiguration erstellt. Der automatische Import findet nächtlich statt. Geänderte CRLs werden automatisch in der UTM aktiviert. Der automatische Import kann via HTTP oder HTTPS stattfinden. Behobene Fehler POP3 Policies (Bug ID 12580) POP3 Policies blieben bei ausgeschaltetem POP3 Proxy aktiviert. Dies führte dazu, dass durch die Policies erfasste Verbindungen blockiert wurden. Dieses Problem wurde behoben. 22

23 Release Release Datum: Diese Version der Systemsoftware unterstützt folgende Plattformen: UTM1100 UTM1500 UTM2100 UTM2500 Hinweise zum Release Auf allen Plattformen (UTM1100/1500/2100/2500) wird zur Installation des Updates die Softwareversion oder neuer vorausgesetzt. Bitte melden Sie sich nach der Installation vom Web User Interface ab (Button Logout) oder schließen Sie den Web Browser komplett. Weiterhin ist es erforderlich den Browser Cache zu leeren. Neue Funktionen und Änderungen na Behobene Fehler Falsche Spam Bewertung von s Durch eine fehlerhafte Regel in der Spam Erkennung erhielten s, welche nach 2009 datiert waren, eine zu hohe Spam Bewertung. Dieses Problem wurde behoben. 23

24 Release Release Datum: Diese Version der Systemsoftware unterstützt folgende Plattformen: UTM1100 UTM1500 UTM2100 UTM2500 Hinweise zum Release Auf allen Plattformen (UTM1100/1500/2100/2500) wird zur Installation des Updates die Softwareversion oder neuer vorausgesetzt. Bitte melden Sie sich nach der Installation vom Web User Interface ab (Button Logout) oder schließen Sie den Web Browser komplett. Weiterhin ist es erforderlich den Browser Cache zu leeren. Neue Funktionen und Änderungen ISDN Login (UTM1500/2100/2500) Mittels des optionalen Produkts UTM ISDN MODULE (Bestellnummer ) kann via ISDN auf die CLI und die Web GUI der UTM zugegriffen werden. Hierdurch besteht die Möglichkeit die Erstkonfiguration aus der Ferne vorzunehmen. Weiterhin kann die Funktion zur Fernwartung genutzt werden, wenn kein Zugriff auf die UTM über die WAN Anbindung möglich ist. DHCP Proxy Die UTM bietet nun einen DHCP Proxy. Wird die UTM zur Anbindung einer Filiale/Außenstelle genutzt, kann durch den Proxy die Vergabe 24

25 von IP Adressen mittels DHCP von einem zentralen DHCP Server vorgenommen werden. Auf der UTM kann entweder der DHCP Proxy oder der DHCP Server genutzt werden. Die parallele Nutzung beider Komponenten ist nicht möglich. Proxy Unterstützung durch DHCP Server Der DHCP Server der UTM unterstützt nun Anfragen von einem DHCP Proxy. Somit kann die UTM die Vergabe von IP Adressen an einem entfernten Standort durchführen. Proxy ARP Die virtuellen Schnittstellen vom Typ Base und VLAN unterstützen nun die Proxy ARP Funktionalität. Hierdurch kann z.b. ein freier Bereich des lokalen LANs als IP Pool für SSLVPN genutzt werden. Quell IP Adresse in Ping Werkzeug definierbar Unter Maintenance > Diagnostic > Ping kann eine Quell IP Adresse zum Versenden der Ping Pakete angegeben werden. Diese IP Adresse muss mit einer der Interface Adressen übereinstimmen, die auf der UTM konfiguriert wurden. Hosts Tabelle für SSLVPN Clients Auf der UTM kann nun eine Hosts Tabelle konfiguriert werden, die in der SSLVPN Konfiguration an die Clients übergeben wird. Dies kann optional oder zusätzlich zu der Angabe von DNS Servern verwendet werden. Wenn ein Client eine SSLVPN Verbindung aufgebaut hat, wir die Hosts Tabelle an die lokale Tabelle des Clients angehängt. Beim Beenden der Verbindung werden die Einträge wieder entfernt. NAT Umgehung für IPSec Tunnel deaktivierbar Bislang wurde die NAT Funktionalität für den Datenverkehr zwischen zwei mittels IPSec verbundenen Netzen automatisch deaktiviert. Hierdurch werden möglich Probleme im Zusammenhang mit 25

26 Masquerading umgangen. Teilweise ist dieser Automatismus jedoch nicht erwünscht und kann nun pro Tunnel Konfiguration deaktiviert werden. NAT Bypass Policies Bei der Definition von NAT Policies steht nun der neue Typ Bypass zur Verfügung. Durch Bypass Policies wird die NAT Verarbeitung für Verbindungen, mit den in der Policy definierten Eigenschaften (IP Adresse, Service), umgangen. Behobene Fehler Transparente Proxies über IPSec Clients, die mittels IPSec an die UTM angebunden sind, konnten nicht auf die transparenten Proxy Server (HTTP, FTP, POP3) zugreifen. Dieses Problem wurde behoben. PPPoE Abbruch nach IPSec Konfigurationsänderungen (Bug ID 12053, 12053) Beim Aktivieren einer IPSec Konfigurationsänderung wurde eine bestehenden PPPoE Verbindung abgebrochen. Da die PPP Verbindung nicht ordnungsgemäß beendet wurde, kam es abhängig von der PPP Gegenstelle zu Problemen beim erneuten Verbindungsaufbau (Mehrfachanmeldung). Diese Problem wurde behoben. Abbruch von IPSec Verbindungen nach IPSec Konfigurationsänderungen (Bug ID 12053) Beim Aktivieren von IPSec Konfigurationsänderungen wurden alle bestehenden Tunnel abgebaut und erneut verbunden. Dieses Problem wurde beseitigt. Es ist zu beachten, dass bei Änderungen an globalen 26

27 IPSec Einstellungen (z.b. Debugging, NAT Support) weiterhin alle Tunnel erneut verbunden werden müssen. Das Ändern von Tunnel Konfigurationen, Anlegen von neuen Tunneln oder das Löschen von Tunneln hat nur einen Einfluss auf die jeweilige Verbindung. Export Internal Log via HTTPS und Internet Explorer (Bug ID 12365) Die in der Version eingeführte Funktionalität arbeitete nicht mit dem Internet Explorer zusammen, wenn der Zugriff auf die UTM mittels HTTPS erfolgte. Dieses Problem wurde beseitigt. SMTP Proxy verarbeitet keine s (Bug ID 12186, UTM1500/2100/2500) Unter bestimmten Bedingungen kam es zum Absturz der in v eingeführten BATV Komponente. Danach konnten keine weiteren s durch den SMTP Proxy bearbeitet werden. Durch einen Neustart des Subsystems oder einen Reboot konnte das Problem zeitweise beseitigt werden. Dieser Fehler wurde beseitigt. 27

28 Release Release Datum: Diese Version der Systemsoftware unterstützt folgende Plattformen: UTM1100 UTM1500 UTM2100 UTM2500 Hinweise zum Release Auf UTM1500, 2100 und 2500 wird zur Installation des Updates die Softwareversion oder neuer vorausgesetzt. Bitte melden Sie sich nach der Installation vom Web User Interface ab (Button Logout) oder schließen Sie den Web Browser komplett. Weiterhin ist es erforderlich den Browser Cache zu leeren. Durch die Größe des Updates benötigt die Installation im Flash Speicher der UTM1100 ca. 20 Minuten. Bitte schalten Sie das Gerät in dieser Zeit nicht aus. Neue Funktionen und Änderungen Historie installierter Software Updates Unter Maintenance > Diagnostic > System Logs kann mittels des Eintrags Update History die Historie der eingespielten Software Updates (inkl. Hotfixes) angezeigt werden. Updates, die vor Version eingespielt wurden, werden nicht angezeigt. CSV Export der internen Log Datenbank Die interne Log Datenbank (Monitoring > Internal Log) kann nun im CSV Format exportiert werden. Dabei wird der eingestellte Filter 28

29 angewandt, um den Umfang der exportierten Meldungen zu reduzieren. Update Status Informationen Beim manuellen und automatischen Einspielen von Software Updates werden die ausgeführten Schritte angezeigt. Dies gibt dem Benutzer darüber Aufschluss, ob ein Update Paket noch heruntergeladen oder bereits installiert wird. Weiterhin sind alle Betriebssystem Kommandos und deren Ausgabe sichtbar, die zur Installation des Updates ausgeführt werden. Anzeige von Release Notes Beim automatischen Einspielen von Softwareupdates werden zuerst die Release Notes heruntergeladen und angezeigt. Danach kann der Update Vorgang abgebrochen oder fortgesetzt werden. Erst beim Fortsetzen des Updates wird das Update Paket vom Server geladen und installiert. DHCP Server Adressbereiche Neben der Auswahl von Network Items zur Definition der DHCP Adressbereiche ist nun eine manuelle Eingabe möglich. Somit lassen sich Adressbereiche ohne Berücksichtigung von IP Subnetzen definieren (z.b ). Es muss jedoch berücksichtigt werden, dass sich der Adressbereich im gleichen Subnetz befinden muss, wie das entsprechende Netzwerk Interface der UTM. TCPDump im PCAP Format Unter Maintenance > Diagnostic > TCPDump kann nun das Format gewählt werden, in dem die Netzwerk Pakete aufgezeichnet werden. Zur Auswahl stehen Text und PCAP. Bei der Auswahl von Text (entspricht der bisherigen Funktion) werden die Paket Informationen in der Web GUI angezeigt. Bei der Auswahl von PCAP erfolgt keine Anzeige, die Daten können jedoch im PCAP Format heruntergeladen werden. 29

30 Speicherung von Konfigurations Backups auf USB Massenspeicher Die UTM unterstützt nun den Anschluss eines USB Massenspeichers zur automatischen Speicherung von Konfigurations Backups. Es werden alle gängigen USB Massenspeicher (USB Stick, USB Festplatte) mit Partitionstabelle und FAT32 Dateisystem unterstützt. Befinden sich mehrere verwendbare Partitionen auf dem Massenspeicher, wird die erste von der UTM benutzt. Automatische Abmeldung in Admin Web GUI und Benutzerportal In der Admin Web GUI und im Benutzerportal findet nun eine automatische Abmeldung statt. Die Sitzung wird nach einer einstellbaren Zeit automatisch beendet. Die Zeit kann für die Admin Web GUI und das Benutzerportal getrennt konfiguriert werden. BATV Unterstützung im SMTP Proxy (UTM1500/2100/2500) Der SMTP Proxy unterstützt nun Bounce Address Tag Validation (siehe Durch BATV können Bounce Messages (Benachrichtigungen, die ein Mail Server versendet) abgewiesen werden, die sich nicht auf eine E Mail beziehen, die zuvor über die UTM versendet wurde. Greylisting Unterstützung im SMTP Proxy (UTM1500/2100/2500) Der SMTP Proxy unterstützt nun Greylisting als weitere Maßnahme zur Abwehr von Spam (siehe 30

31 Behobene Fehler Pflichtfeld CRL Path in CA Beim Anlegen einer CA (Entities > Certificates > Authorities) ist das Feld CRL Path nun kein Pflichtfeld mehr. SSLVPN Anzeige Verbundener Clients Unter Monitoring > VPN Connections > SSL VPN wurden Clients angezeigt, die nicht mehr verbunden waren. HTTP Proxy Hängende Prozesse Netzwerk oder Server Probleme konnten beim Aufbau der Verbindung von der UTM zum Web Server dazu führen, dass der Proxy Prozess blockiert wurde. Hierdurch stand er für keine neuen Client Anfragen zur Verfügung. Ein wiederholtes auftreten solcher Probleme konnte dazu führen, dass alle Proxy Prozesse blockiert waren und somit keine weiteren Client Anfragen bearbeitet wurden. 31

32 Release Release Datum: Diese Version der Systemsoftware unterstützt folgende Plattformen: UTM1100 UTM1500 UTM2100 UTM2500 Hinweise zum Release Auf UTM1500, 2100 und 2500 wird zur Installation des Updates die Softwareversion oder neuer vorausgesetzt. Bitte beachten Sie den oben stehenden Hinweis zum Update von Systemen mit einem Softwarestand älter Bitte melden Sie sich nach der Installation vom Web User Interface ab (Button Logout) oder schließen Sie den Web Browser komplett. Weiterhin ist es erforderlich den Browser Cache zu leeren. Neue Funktionen und Änderungen na Behobene Fehler HTTP Proxy Anzahl gleichzeitiger Verbindungen Der Proxy Server besitzt ein Limit für die Anzahl gleichzeitiger Verbindungen. Ein Verbindungsabbruch konnte dazu führen, dass der Verbindungszähler nicht herabgesetzt wurde und somit keine Server Instanz für neue Verbindungen zur Verfügung stand. 32

33 HTTP Proxy Virus Scanner Durch einen Fehler im Update wurde die Ausnahme Liste für die Viren Prüfung (Safe URL List) wirkungslos. Somit wurden auch Dateien auf Viren geprüft, die durch die Liste hätten ausgeschlossen werden sollen. HTTP Proxy Fortschrittsbalken (UTM1500/2100/2500) Bei fehlendem Filename Tag im Content Disposition Header wurde die Datei unter dem Namen pa pgbar.cgi zum Herunterladen angeboten. Bei fehlendem Tag wird nun der Dateiname aus dem letzten Teil der URL gebildet. POP3 Proxy Zerstörte Dateianhänge (UTM 1100) Abhängig von der Übertragungsgeschwindigkeit und der Größe einer wurden Zeichen in der eingefügt. Dies hatte zur Folge, dass Dateianhänge nicht mehr geöffnet werden konnten. SMTP Proxy / Anti Spam (UTM1500/2100/2500) Statt des individuell konfigurierten Spam Tags wurde immer das Default Tag (***SPAM***) verwendet. SMTP Proxy (UTM1500/2100/2500) Durch einen Fehler in der Scheduler Konfiguration wurde keine Warnung beim Überschreiten der konfigurierten maximalen Länge der Mail Warteschlange generiert. 33

34 Virenscanner (UTM 1100) Zur Reduzierung der Speicherbelegung wird beim Umschalten zwischen den Virenscannern (ClamAV und KasperskyAV) die Virendatenbank des zuvor genutzten Scanners gelöscht und das Herunterladen der Virendatenbank des neuen Scanners gestartet. Konfigurations Version Beim Update auf die Version wurde eine interne Versionsnummer falsch gesetzt. Dies konnte folgende Probleme zur Folge haben: Synchronisation der Konfiguration im HA Betrieb konnte nicht erfolgen. Konfigurationsbackup konnte nicht eingespielt werden Die Probleme traten nur auf, wenn zuvor ein Config Reset durchgeführt wurde. IPSec Wurden mehrere IPSec Verbindungen mit unterschiedlichen lokalen Zertifikaten konfiguriert, konnte das IPSec Subsystem nicht mehr gestartet werden. L2TP über IPSec Windows Vista Clients konnten mit NAT Traversal keine Verbindung aufbauen. Bitte beachten Sie, dass zur Nutzung von NAT Traversal unter Vista eine Registry Änderung erforderlich ist ( ). Weiterhin muss UTM seitig der Algorithmus SHA1 statt MD5 in der verwendeten IPSec Policy konfiguriert werden. Sicherheitsupdate In den folgenden verwendeten Opensource Komponenten sind 34

35 Sicherheitsprobleme bekannte geworden: IPSec Um einen möglichen Einfluss auf die Funkwerk UTM zu vermeiden, wurden die Komponenten erneuert oder korrigiert. Release Release Datum: Diese Version der Systemsoftware unterstützt folgende Plattformen: UTM1100 UTM1500 UTM2100 UTM2500 Hinweise zum Release Auf UTM1500, 2100 und 2500 wird zur Installation des Updates die Softwareversion oder neuer vorausgesetzt. Bitte melden Sie sich nach der Installation vom Web User Interface ab (Button Logout) oder schließen Sie den Web Browser komplett. Weiterhin ist es erforderlich den Browser Cache zu leeren. Neue Funktionen und Änderungen Neue Version des packetalarm UTM SSL VPN Clients In der Administrations WebGUI und im User Portal steht nun die Version 1.14 des Clients zum Download zur Verfügung. Bereits installierte Clients können auch über die eingebaute Update Funktion aktualisiert werden. Weitere Informationen zu den Änderungen des Clients sind in den Release Notes unter 35

36 pn_client release_notes 1_14_00_de.pdf zu finden. Behobene Fehler HTTP Proxy (transparenter Modus) Bedingt durch die Arbeitsweise von transparenten HTTP Proxies konnte ein Browser Plugin oder ein manipulierter Browser unberechtigt auf Webseiten zugreifen (siehe Problem mit Datenbanksperren Ein Fehler bei der Behandlung von Sperren auf der Konfigurationsdatenbank wurde behoben. Einstellungen im User Portal Bei deaktiviertem POP3 Proxy kam es zu einem Fehler bei der Konfiguration der Einstellungen im User Portal. Anzahl der IP Adressen Wurden mehr als 18 Interface IP Adressen (Virtual Interfaces) konfiguriert, konnte die Status Seite nicht mehr angezeigt werden. SSL VPN Bei langsamen Internet Anbindungen (z.b. GPRS) konnte es zu Zeitüberschreitungen im SSLVPN Protokoll kommen. Die Grenzwerte wurden entsprechend angepasst, so dass nun die Nutzung von SSLVPN über langsame Verbindungen zuverlässig möglich ist. Sicherheitsupdates In den folgenden verwendeten Opensource Komponenten sind Sicherheitsprobleme bekannte geworden: IPSec 36

37 ClamAV Bzip2 Um einen möglichen Einfluss auf die Funkwerk UTM zu vermeiden, wurden die Komponenten erneuert oder korrigiert. Release Release Datum: Diese Version der Systemsoftware unterstützt folgende Plattformen: UTM1100 UTM1500 UTM2100 UTM2500 Hinweise zum Release Auf UTM1500, 2100 und 2500 wird zur Installation des Updates die Softwareversion oder neuer vorausgesetzt. Bitte melden Sie sich nach der Installation vom Web User Interface ab (Button Logout) oder schließen Sie den Web Browser komplett. Weiterhin ist es erforderlich den Browser Cache zu leeren. Neue Funktionen und Änderungen Neue Version des packetalarm UTM SSL VPN Clients In der Administrations WebGUI und im User Portal steht nun die Version 1.12 des Clients zum Download zur Verfügung. Bereits installierte Clients können auch über die eingebaute Update Funktion aktualisiert werden. Weitere Informationen zu den Änderungen des Clients sind in den Release Notes unter 37

38 pn_client_release_note_1_12_de.pdf zu finden. HTTP Proxy Transparenter Modus Der HTTP Proxy kann nun im transparenten Modus betrieben werden. In diesem Modus muss im HTTP Client die packetalarm UTM nicht als Proxy konfiguriert werden. TCP Verbindungen, die über die UTM laufen und den konfigurierten TCP Ports entsprechen, werden von der UTM automatisch zum HTTP Proxy umgeleitet. Im transparenten Modus steht keine Proxy Authentifizierung zur Verfügung. Der Proxy kann entweder im Standard Modus (bisherige Funktion) oder im transparenten Modus betrieben werden. HTTP Proxy Fortschrittsbalken für Downloads Ab einer konfigurierbaren Größe wird beim HTTP Download ein Fortschrittsbalken im Browser angezeigt. Diese Anzeige gibt dem Benutzer eine Rückmeldung über den Fortschritt des Downloads und verhindert einen Timeout des Browsers bei langen Wartezeiten (z.b. langsame Verbindung zum Server, Virenscanning) HTTP Proxy Benutzertext für Fehlermeldungen Der Administrator kann einen beliebigen Text definieren. Dieser Text wird zusätzlich zur Fehlermeldung des HTTP Proxies (z.b Access Denied) im Browser des Benutzers angezeigt. FTP Proxy Transparenter Modus Der FTP Proxy kann nun im transparenten Modus betrieben werden. In diesem Modus muss im FTP Client die packetalarm UTM nicht als Proxy konfiguriert werden. TCP Verbindungen, die über die UTM laufen und den konfigurierten TCP Ports entsprechen, werden von der UTM automatisch zum FTP Proxy umgeleitet. Im transparenten Modus steht keine Proxy Authentifizierung zur Verfügung. Der Proxy kann entweder im Standard Modus (bisherige Funktion) oder im transparenten Modus betrieben werden. 38

39 NAT 1 zu 1 Umsetzung von Netzen Bei Source NAT und Destination NAT kann nun eine 1 zu 1 Umsetzung von kompletten Netzen unter Beachtung der Netzmaske erfolgen. Hierbei wird der Netzanteil der Adresse in ein anderes Netz überführt und der Hostanteil bleibt erhalten (z.b x/24 > x/24). NAT Reihenfolge für Policies Die NAT Policies können nun vom Benutzer in eine Reihenfolge gebracht werden. Die Policy, die in der Liste an oberster Stelle angezeigt wird, wird zuerst abgearbeitet (vgl. Firewall Policies). Behobene Fehler LDAP Synchronisation Bei der LDAP Synchronisation von Benutzern kam es bei einer großen Anzahl von Adressen (mehrere Tausend) zum Abbruch während der Synchronisation und zu einer lange anhaltenden hohen CPU Auslastung. Release Release Datum: Diese Version der Systemsoftware unterstützt folgende Plattformen: UTM1100 UTM1500 UTM2100 UTM

40 Hinweise zum Release Auf UTM1500, 2100 und 2500 wird zur Installation des Updates die Softwareversion oder neuer vorausgesetzt. Bitte melden Sie sich nach der Installation vom Web User Interface ab (Button Logout) oder schließen Sie den Web Browser komplett. Weiterhin ist es erforderlich den Browser Cache zu leeren. Neue Funktionen und Änderungen Neue Version des packetalarm UTM SSL VPN Clients. In der Administrations WebGUI und im User Portal steht nun die Version 1.10 des Clients zum Download zur Verfügung. Bereits installierte Clients können auch über die eingebaute Update Funktion aktualisiert werden. Weitere Informationen zu den Änderungen des Clients sind in den Release Notes unter pn_client_release_note_1_10_de.pdf zu finden. Performance Verbesserung HTTP Content Check Die Performance des HTTP Content Checks konnte durch Optimierungen beim Caching und den Anfragen an die Datenbankserver verbessert werden. Behobene Fehler Neue Version von Clam AV Sicherheitsupdate des Clam AV Virenscanners. Siehe disclosure/2008 November/ html. 40

41 White und Blacklists (Bug ID 10987) Ein Fehler bei der Verarbeitung der Listen hat dazu geführt, dass die White und Blacklists für den POP3 Proxy und den SMTP Proxy nicht korrekt verarbeitet wurden. Das Problem trat ab der Version auf. Betroffen waren folgende Komponenten: UTM1100 SMTP und POP3 Proxy UTM1500/2100/2500 POP3 Proxy Eingabeprüfung Local Services > Anti Spam (Bug ID 10974) Durch eine fehlerhafte Eingabeprüfung wurde das Feld Realtime Blackhole Lists / Database Hosts zum Pflichtfeld, so dass ohne die Eingabe eines Hosts das Formular nicht gespeichert werden konnte. Das Problem trat ab der Version auf. SMTP Proxy Groß/Kleinschreibung bei Adressen (UTM1500/2100/2500, Bug ID 10957) Beim Empfang einer durch den SMTP Proxy wurde beim Vergleich der Zieladresse mit den Adressen, die den jeweiligen Benutzern zugeordnet wurden, die Groß/Kleinschreibung berücksichtigt. Dies führte dazu, dass die individuellen Einstellungen des Benutzers (Spam Level, White /Blacklist) nur dann angewandt wurden, wenn die Schreibweise exakt übereingestimmt hat. Gleiches galt für die Zuordnung der Quarantäne Mails zu den Benutzern. POP3 Proxy beschädigte s (UTM 1500/2100/2500, Bug ID 10950) Der Inhalt von Mails wurde beschädigt. Das Problem konnte bei größeren Attachments beobachtet werden und trat in Abhängigkeit vom 41

42 Verhalten der TCP/IP Verbindung zwischen POP3 Server und UTM sporadisch auf. POP3 Proxy beschädigte s (UTM 1100) Wurde der POP3 Proxy so konfiguriert, dass s mit einer Länge größer Maximum Message Size ungeprüft weitergeleitet werden, so wurden diese s beschädigt. POP3 Proxy anhaltend hohe CPU Auslastung (UTM1500/2100/2500, Bug ID 10943) Ein Abbruch der Verbindung zwischen POP3 Server und UTM konnte zu einer Endlosschleife führen. Dies hat sich durch eine anhaltend hohe CPU Auslastung bemerkbar gemacht. POP3 Proxy Mails werden nicht vom Server gelöscht (UTM1500/2100/2500) Auf einigen POP3 Servern konnten Mails nicht gelöscht werden. Diagnose Ausgabe Fehler wenn SSL VPN deaktiviert (Bug ID 10946) Wurden unter Maintenance > Diagnostic > System Logs alle Logs zum Anzeigen ausgewählt, kam es bei deaktiviertem SSL VPN zu einem Fehler. Probleme mit Leerzeichen im Passwort Lokale oder mittels AAA Server authentifizierte Benutzer mit einem Leerzeichen im Passwort konnten sich nicht anmelden. Betroffen waren alle Komponenten mit Benutzeranmeldung außer HTTP Proxy und 42

43 PPTP/L2TP mit (MS CHAP). Backtrace bei der Eingabe eines Benutzernamens Wurde unter Entities > Authentication > Users ein Benutzername mit Leerzeichen eingegeben, wurde ein Backtrace statt einer korrekten Fehlermeldung angezeigt. Benutzer können nicht gelöscht werden (UTM1500/2100/2500) Benutzer, die im Userportal White und Blacklists definiert hatten, konnten unter Entities > Authentication > Users nicht gelöscht werden. Nach einem Löschversuch trat beim Editieren des Benutzers eine Fehlermeldung auf. Falsche Eingabeprüfung (UTM1500/2100/2500) Bei allen Eingaben, die einen FQDN erfordern, war die Eingabe einer IP Adresse möglich. Wurde versehentlich eine IP Adresse eingegeben, konnte dies zu einer ungültigen Konfiguration führen, was sich nur durch einen Config Reset beheben lies. HTTP Proxy konnte nicht gestartet werden Der HTTP Proxy kann nicht gestartet werden, wenn eine HTTP Policy eine leere URL Liste referenziert. Aus diesem Grund können keine leeren URL Listen mehr gespeichert werden. Herunterladen des SSL VPN Clients Bei deaktiviertem SSL VPN konnte in der Admin GUI der Client nicht heruntergeladen werden. 43

44 Fehler in POP3 und SMTP Proxy Anti Spam (UTM1100) Die empfangenen s enthielten statt dem Mail Inhalt eine Fehlermeldung bzgl. einer fehlenden Shared Library. Hohe CPU Auslastung durch LDAP Synchronisation (UTM1500/2100/2500) Abhängig von der Anzahl der LDAP Benutzer kam es zu einer hohen CPU Auslastung auf dem UTM System. Zusätzlich trat das Problem auf, dass Konfigurationsänderungen in der Administrations WebGUI nicht gespeichert werden konnten (Fehlermeldung: database locked). 44

45 Release Release Datum: Diese Version der Systemsoftware unterstützt folgende Plattformen: UTM1100 UTM1500 UTM2100 UTM2500 Hinweise zum Release Auf UTM1500, 2100 und 2500 wird zur Installation des Updates die Softwareversion oder neuer vorausgesetzt. Bitte melden Sie sich nach der Installation vom Web User Interface ab (Button Logout) oder schließen Sie den Web Browser komplett. Weiterhin ist es erforderlich den Browser Cache zu leeren. Neue Funktionen und Änderungen Unterstützung von PPPoA/PPTP Es können nun virtuelle Interfaces vom Typ 'PPPoA/PPTP' angelegt werden. Diese Funktion ermöglicht es, die UTM zusammen mit DSL Modems einzusetzen, die kundenseitig PPTP zur Kommunikation einsetzen. Unterstützung von VLANs nach IEEE 802.1Q Die UTM stellt nun virtuelle Interfaces vom Typ VLAN zur Verfügung. Mittels dieses Interface Typs kann die UTM direkt mit VLANs nach dem IEEE 802.1Q Standard verbunden werden. Pro physikalischem Ethernet Interface können mehrere VLAN Interfaces definiert werden. 45

46 Konfiguration der MTU Für alle Typen von virtuellen Interfaces kann nun die MTU (Maximum Transfer Unit) konfiguriert werden. Zusammenfassung User/Portal User Die Verwaltung der Portal Benutzer (Local Services > User Portal > User) wurde zur Vereinfachung mit der Administration der Benutzer unter Entities > Authentication > User zusammengefasst. Hierzu wurden die Benutzer mit dem Merkmal 'Type' versehen, das die Werte 'local' (von der UTM verwaltete Benutzer) und 'remote' (von einem AAA Server verwaltete Benutzer) annehmen kann. Eine detaillierte Beschreibung ist im aktualisierten Benutzerhandbuch zu finden. Default Werte für Zertifikate Unter Entities > Certificates > Defaults können nun Default Werte konfiguriert werden, die in die Dialoge beim Erstellen von CAs und Benutzer Zertifikaten automatischen eingetragen werden. Diese Werte können in den jeweiligen Dialogen unverändert übernommen oder überschrieben werden. Hierdurch wird der Aufwand beim Anlegen von Zertifikaten erheblich reduziert. Zeitabhängige Firewall Policies Die Firewall Policies vom Typ Filter HTTP Proxy POP3 Proxy SMTP Proxy (nur UTM1100) können nun in Abhängigkeit der Zeit (Uhrzeit und Wochentag) definiert werden. Hierzu werden unter Entities > Time Ranges Zeiträume definiert, die in den Policies als zusätzliche Bedingung (vergleichbar mit Absender IP Adresse oder Service) verwendet werden können. 46

47 SMTP Proxy Zurückweisen von E Mails (nur UTM1500, 2100, 2500) Der SMTP Proxy prüft die Inhalte von E Mails nun bevor der Empfang der Nachricht bestätigt wird (Return Code 250). Wird der Inhalt der Mail als unerwünscht identifiziert (Spam, Virus oder verbotenes Attachment) und als entsprechende Aktion wurde 'Block' oder 'Quarantine' konfiguriert, wird die Mail mit dem Code 554 abgelehnt. Hierdurch können reale Absender über das Problem benachrichtigt werden, ohne dass eine Bounce Mail gesendet werden muss. Quarantäne für SMTP E Mails (nur UTM1500, 2100, 2500) Nachrichten mit unerwünschten Inhalten, die über den SMTP Proxy empfangen wurden, können in einem Quarantäne Bereich innerhalb des UTM Systems gehalten werden. Dort können sie vom Administrator oder den Benutzern geprüft und gelöscht oder weitergeleitet werden. Werden die E Mails nicht bearbeitet, werden sie durch die UTM nach Ablauf einer konfigurierbaren Zeit automatisch gelöscht. Bitte beachten Sie, dass der SMTP Proxy den Empfang von Nachrichten ebenfalls mit dem Return Code 554 ablehnt, wenn diese in die Quarantäne kopiert werden. Paralleles Virenscanning (nur UTM1500, 2100, 2500) Zur Vermeidung von Überlast sequentialisiert die UTM die Aufrufe des Virenscanners, d.h. die zu überprüfenden Dateien werden in eine Warteschlange eingereiht. Bei der Abarbeitung der Warteschlange werden Dateien, die durch den HTTP Proxy empfangen wurden, stets priorisiert, um einen flüssigen Webzugriff sicherzustellen. Dieses Verfahren hat den Nachteil, dass das Scannen einer einzelnen großen Datei die Verarbeitung von kleinen Dateien verzögert. Zur Reduzierung dieses Problems arbeitet die UTM nun mit zwei Warteschlangen und zwei gleichzeitig arbeitenden Virenscannern. In der ersten Warteschlange werden kleine Dateien eingereiht und in der zweiten große Dateien. Die Schwelle kann unter Local Services > Anti 47

48 Virus > Advanced mit der Einstellung Large file threshold konfiguriert werden. Anzahl der SMTP Anti Spam Engines konfigurierbar (nur UTM1500, 2100, 2500) Die Anzahl der Anti Spam Engines kann nun durch den Anwender konfiguriert werden. Die Anzahl der Engines bestimmt, wie viele Nachrichten parallel auf Spam geprüft werden können. Der kleinste Wert (Grundeinstellung) ist 2 und der höchste 6. Der Maximalwert sollte nur konfiguriert werden, wenn die UTM primär als SMTP Gateway verwendet wird. Externe Tests der SMTP Anti Spam Engine abschaltbar (nur UTM1500, 2100, 2500) Einige Tests der Anti Spam Engine benötigen Zugriff auf das Internet (primär DNS Anfragen). Diese Tests lassen sich nun komplett deaktivieren (Local Services > Anti Spam, Einstellung Disable External Checks). Warnung bei großer Anzahl von E Mails in der SMTP Mailqueue (nur UTM1500, 2100, 2500) Beim Überschreiten einer konfigurierbaren Anzahl von Nachrichten in der SMTP Mailqueue wird eine Warnmeldung generiert. Die Einstellung erfolgt unter Local Services > Proxy Server > SMTP > Advanced mittels des Parameters Queue Size Warning. Die Meldung wird über das Logging System der UTM abgesetzt und kann mittels der Log Targets entsprechend verteilt werden. 48