packetalarm UTM Release Notes (deutsch)

Transkript

1 packetalarm UTM Release Notes (deutsch) Allgemeine Hinweise Bitte erstellen Sie vor der Installation der neuen Software eine Sicherung der Konfiguration (Maintenance > Configuration > Manual Backup) und notieren Sie sich, welche Softwareversion auf dem UTM System installiert ist. Sollten während des Updates Komplikationen auftreten (z.b. Stromausfall, versehentliches Abschalten), muss ein Factory Reset durchgeführt werden. Installieren Sie nach dem Factory Reset die zuletzt verwendete Softwareversion und spielen Sie den zuvor erstellten Backup ein (Maintenance > Configuration > Restore). Danach wiederholen Sie das Einspielen des Softwareupdates. Beim Update des Master Systems in einem High Availability Verbund ist darauf zu achten, dass das System zuvor offline gesetzt wird (Local Services > High Availability > Actions). Weiterhin muss mittels der IP Adresse des HA Interfaces (Services > High Availability > Settings > Master UTM IP Address) auf das System zugegriffen werden, um das Update zu starten. Beim Update von Systemen mit einem Softwarestand älter als kann es während des Updates zur Anzeige eines Browser Popups mit dem Inhalt RPC xxx.yyy() invalid response from server kommen. In diesem Fall zeigt der Fortschrittsbalken das Ende des Update Vorgangs nicht an, sondern läuft endlos weiter. Bitte nutzen Sie bei entsprechenden Systemen die serielle Konsole zur Kontrolle des Update Vorgangs. Der Update ist dann abgeschlossen, wenn an der Konsole das Login Prompt mit der neuen Software Version angezeigt wird. 1

2 Release Release Datum: Diese Version der Systemsoftware unterstützt folgende Plattformen: UTM1100 UTM1500 UTM2100 UTM2500 Hinweise zum Release Auf allen Plattformen (UTM1100/1500/2100/2500) wird zur Installation des Updates die Softwareversion oder neuer vorausgesetzt. Bitte melden Sie sich nach der Installation vom Web User Interface ab (Button Logout) oder schließen Sie den Web Browser komplett. Weiterhin ist es erforderlich den Browser Cache zu leeren. Neue Funktionen und Änderungen SMTP Proxy Transparenter Modus (UTM1500/2100/2500) Der SMTP Proxy wurde um einen transparenten Modus erweitert. Im transparenten Modus kann der Proxy nach wie vor als Relaying Proxy verwendet werden. Zusätzlich besteht die Möglichkeit, SMTP Verbindungen ausgehend von internen Systemen, die über die UTM geroutet werden, transparent auf Viren zu prüfen. Dies wird entsprechend der UTM1100 mittels Policies gesteuert. Die Policies bieten zusätzlich die Möglichkeit, die Verbindungen an den Relaying Proxy der UTM umzuleiten. Hierdurch lässt sich zum Beispiel ein Smarthost für alle Clients erzwingen oder die BATV Funktionalität der UTM nutzen. 2

3 Certificate Revocation Lists (CRL) Automatischer Download Neben der Möglichkeit CRLs manuell zu importieren besteht nun die Möglichkeit eines automatischen Imports. Beim Importieren einer externen CA wird nun zusätzlich geprüft, ob ein CDP (CRL Distribution Point) im CA Zertifikat definiert ist. Ist dies der Fall, wird automatisch eine entsprechende CRL Konfiguration erstellt. Der automatische Import findet nächtlich statt. Geänderte CRLs werden automatisch in der UTM aktiviert. Der automatische Import kann via HTTP oder HTTPS stattfinden. Behobene Fehler POP3 Policies (Bug ID 12580) POP3 Policies blieben bei ausgeschaltetem POP3 Proxy aktiviert. Dies führte dazu, dass durch die Policies erfasste Verbindungen blockiert wurden. Dieses Problem wurde behoben. 3

4 Release Release Datum: Diese Version der Systemsoftware unterstützt folgende Plattformen: UTM1100 UTM1500 UTM2100 UTM2500 Hinweise zum Release Auf allen Plattformen (UTM1100/1500/2100/2500) wird zur Installation des Updates die Softwareversion oder neuer vorausgesetzt. Bitte melden Sie sich nach der Installation vom Web User Interface ab (Button Logout) oder schließen Sie den Web Browser komplett. Weiterhin ist es erforderlich den Browser Cache zu leeren. Neue Funktionen und Änderungen ISDN Login (UTM1500/2100/2500) Mittels des optionalen Produkts UTM ISDN MODULE (Bestellnummer ) kann via ISDN auf die CLI und die Web GUI der UTM zugegriffen werden. Hierdurch besteht die Möglichkeit die Erstkonfiguration aus der Ferne vorzunehmen. Weiterhin kann die Funktion zur Fernwartung genutzt werden, wenn kein Zugriff auf die UTM über die WAN Anbindung möglich ist. DHCP Proxy Die UTM bietet nun einen DHCP Proxy. Wird die UTM zur Anbindung einer Filiale/Außenstelle genutzt, kann durch den Proxy die Vergabe 4

5 von IP Adressen mittels DHCP von einem zentralen DHCP Server vorgenommen werden. Auf der UTM kann entweder der DHCP Proxy oder der DHCP Server genutzt werden. Die parallele Nutzung beider Komponenten ist nicht möglich. Proxy Unterstützung durch DHCP Server Der DHCP Server der UTM unterstützt nun Anfragen von einem DHCP Proxy. Somit kann die UTM die Vergabe von IP Adressen an einem entfernten Standort durchführen. Proxy ARP Die virtuellen Schnittstellen vom Typ Base und VLAN unterstützen nun die Proxy ARP Funktionalität. Hierdurch kann z.b. ein freier Bereich des lokalen LANs als IP Pool für SSLVPN genutzt werden. Quell IP Adresse in Ping Werkzeug definierbar Unter Maintenance > Diagnostic > Ping kann eine Quell IP Adresse zum Versenden der Ping Pakete angegeben werden. Diese IP Adresse muss mit einer der Interface Adressen übereinstimmen, die auf der UTM konfiguriert wurden. Hosts Tabelle für SSLVPN Clients Auf der UTM kann nun eine Hosts Tabelle konfiguriert werden, die in der SSLVPN Konfiguration an die Clients übergeben wird. Dies kann optional oder zusätzlich zu der Angabe von DNS Servern verwendet werden. Wenn ein Client eine SSLVPN Verbindung aufgebaut hat, wir die Hosts Tabelle an die lokale Tabelle des Clients angehängt. Beim Beenden der Verbindung werden die Einträge wieder entfernt. NAT Umgehung für IPSec Tunnel deaktivierbar Bislang wurde die NAT Funktionalität für den Datenverkehr zwischen zwei mittels IPSec verbundenen Netzen automatisch deaktiviert. Hierdurch werden möglich Probleme im Zusammenhang mit 5

6 Masquerading umgangen. Teilweise ist dieser Automatismus jedoch nicht erwünscht und kann nun pro Tunnel Konfiguration deaktiviert werden. NAT Bypass Policies Bei der Definition von NAT Policies steht nun der neue Typ Bypass zur Verfügung. Durch Bypass Policies wird die NAT Verarbeitung für Verbindungen, mit den in der Policy definierten Eigenschaften (IP Adresse, Service), umgangen. Behobene Fehler Transparente Proxies über IPSec Clients, die mittels IPSec an die UTM angebunden sind, konnten nicht auf die transparenten Proxy Server (HTTP, FTP, POP3) zugreifen. Dieses Problem wurde behoben. PPPoE Abbruch nach IPSec Konfigurationsänderungen (Bug ID 12053, 12053) Beim Aktivieren einer IPSec Konfigurationsänderung wurde eine bestehenden PPPoE Verbindung abgebrochen. Da die PPP Verbindung nicht ordnungsgemäß beendet wurde, kam es abhängig von der PPP Gegenstelle zu Problemen beim erneuten Verbindungsaufbau (Mehrfachanmeldung). Diese Problem wurde behoben. Abbruch von IPSec Verbindungen nach IPSec Konfigurationsänderungen (Bug ID 12053) Beim Aktivieren von IPSec Konfigurationsänderungen wurden alle bestehenden Tunnel abgebaut und erneut verbunden. Dieses Problem wurde beseitigt. Es ist zu beachten, dass bei Änderungen an globalen 6

7 IPSec Einstellungen (z.b. Debugging, NAT Support) weiterhin alle Tunnel erneut verbunden werden müssen. Das Ändern von Tunnel Konfigurationen, Anlegen von neuen Tunneln oder das Löschen von Tunneln hat nur einen Einfluss auf die jeweilige Verbindung. Export Internal Log via HTTPS und Internet Explorer (Bug ID 12365) Die in der Version eingeführte Funktionalität arbeitete nicht mit dem Internet Explorer zusammen, wenn der Zugriff auf die UTM mittels HTTPS erfolgte. Dieses Problem wurde beseitigt. SMTP Proxy verarbeitet keine s (Bug ID 12186, UTM1500/2100/2500) Unter bestimmten Bedingungen kam es zum Absturz der in v eingeführten BATV Komponente. Danach konnten keine weiteren s durch den SMTP Proxy bearbeitet werden. Durch einen Neustart des Subsystems oder einen Reboot konnte das Problem zeitweise beseitigt werden. Dieser Fehler wurde beseitigt. 7

8 Release Release Datum: Diese Version der Systemsoftware unterstützt folgende Plattformen: UTM1100 UTM1500 UTM2100 UTM2500 Hinweise zum Release Auf UTM1500, 2100 und 2500 wird zur Installation des Updates die Softwareversion oder neuer vorausgesetzt. Bitte melden Sie sich nach der Installation vom Web User Interface ab (Button Logout) oder schließen Sie den Web Browser komplett. Weiterhin ist es erforderlich den Browser Cache zu leeren. Durch die Größe des Updates benötigt die Installation im Flash Speicher der UTM1100 ca. 20 Minuten. Bitte schalten Sie das Gerät in dieser Zeit nicht aus. Neue Funktionen und Änderungen Historie installierter Software Updates Unter Maintenance > Diagnostic > System Logs kann mittels des Eintrags Update History die Historie der eingespielten Software Updates (inkl. Hotfixes) angezeigt werden. Updates, die vor Version eingespielt wurden, werden nicht angezeigt. CSV Export der internen Log Datenbank Die interne Log Datenbank (Monitoring > Internal Log) kann nun im CSV Format exportiert werden. Dabei wird der eingestellte Filter 8

9 angewandt, um den Umfang der exportierten Meldungen zu reduzieren. Update Status Informationen Beim manuellen und automatischen Einspielen von Software Updates werden die ausgeführten Schritte angezeigt. Dies gibt dem Benutzer darüber Aufschluss, ob ein Update Paket noch heruntergeladen oder bereits installiert wird. Weiterhin sind alle Betriebssystem Kommandos und deren Ausgabe sichtbar, die zur Installation des Updates ausgeführt werden. Anzeige von Release Notes Beim automatischen Einspielen von Softwareupdates werden zuerst die Release Notes heruntergeladen und angezeigt. Danach kann der Update Vorgang abgebrochen oder fortgesetzt werden. Erst beim Fortsetzen des Updates wird das Update Paket vom Server geladen und installiert. DHCP Server Adressbereiche Neben der Auswahl von Network Items zur Definition der DHCP Adressbereiche ist nun eine manuelle Eingabe möglich. Somit lassen sich Adressbereiche ohne Berücksichtigung von IP Subnetzen definieren (z.b ). Es muss jedoch berücksichtigt werden, dass sich der Adressbereich im gleichen Subnetz befinden muss, wie das entsprechende Netzwerk Interface der UTM. TCPDump im PCAP Format Unter Maintenance > Diagnostic > TCPDump kann nun das Format gewählt werden, in dem die Netzwerk Pakete aufgezeichnet werden. Zur Auswahl stehen Text und PCAP. Bei der Auswahl von Text (entspricht der bisherigen Funktion) werden die Paket Informationen in der Web GUI angezeigt. Bei der Auswahl von PCAP erfolgt keine Anzeige, die Daten können jedoch im PCAP Format heruntergeladen werden. 9

10 Speicherung von Konfigurations Backups auf USB Massenspeicher Die UTM unterstützt nun den Anschluss eines USB Massenspeichers zur automatischen Speicherung von Konfigurations Backups. Es werden alle gängigen USB Massenspeicher (USB Stick, USB Festplatte) mit Partitionstabelle und FAT32 Dateisystem unterstützt. Befinden sich mehrere verwendbare Partitionen auf dem Massenspeicher, wird die erste von der UTM benutzt. Automatische Abmeldung in Admin Web GUI und Benutzerportal In der Admin Web GUI und im Benutzerportal findet nun eine automatische Abmeldung statt. Die Sitzung wird nach einer einstellbaren Zeit automatisch beendet. Die Zeit kann für die Admin Web GUI und das Benutzerportal getrennt konfiguriert werden. BATV Unterstützung im SMTP Proxy (UTM1500/2100/2500) Der SMTP Proxy unterstützt nun Bounce Address Tag Validation (siehe Durch BATV können Bounce Messages (Benachrichtigungen, die ein Mail Server versendet) abgewiesen werden, die sich nicht auf eine E Mail beziehen, die zuvor über die UTM versendet wurde. Greylisting Unterstützung im SMTP Proxy (UTM1500/2100/2500) Der SMTP Proxy unterstützt nun Greylisting als weitere Maßnahme zur Abwehr von Spam (siehe 10

11 Behobene Fehler Pflichtfeld CRL Path in CA Beim Anlegen einer CA (Entities > Certificates > Authorities) ist das Feld CRL Path nun kein Pflichtfeld mehr. SSLVPN Anzeige Verbundener Clients Unter Monitoring > VPN Connections > SSL VPN wurden Clients angezeigt, die nicht mehr verbunden waren. HTTP Proxy Hängende Prozesse Netzwerk oder Server Probleme konnten beim Aufbau der Verbindung von der UTM zum Web Server dazu führen, dass der Proxy Prozess blockiert wurde. Hierdurch stand er für keine neuen Client Anfragen zur Verfügung. Ein wiederholtes auftreten solcher Probleme konnte dazu führen, dass alle Proxy Prozesse blockiert waren und somit keine weiteren Client Anfragen bearbeitet wurden. Release Release Datum: Diese Version der Systemsoftware unterstützt folgende Plattformen: UTM1100 UTM1500 UTM2100 UTM2500 Hinweise zum Release Auf UTM1500, 2100 und 2500 wird zur Installation des Updates die 11

12 Softwareversion oder neuer vorausgesetzt. Bitte beachten Sie den oben stehenden Hinweis zum Update von Systemen mit einem Softwarestand älter Bitte melden Sie sich nach der Installation vom Web User Interface ab (Button Logout) oder schließen Sie den Web Browser komplett. Weiterhin ist es erforderlich den Browser Cache zu leeren. Neue Funktionen und Änderungen na Behobene Fehler HTTP Proxy Anzahl gleichzeitiger Verbindungen Der Proxy Server besitzt ein Limit für die Anzahl gleichzeitiger Verbindungen. Ein Verbindungsabbruch konnte dazu führen, dass der Verbindungszähler nicht herabgesetzt wurde und somit keine Server Instanz für neue Verbindungen zur Verfügung stand. HTTP Proxy Virus Scanner Durch einen Fehler im Update wurde die Ausnahme Liste für die Viren Prüfung (Safe URL List) wirkungslos. Somit wurden auch Dateien auf Viren geprüft, die durch die Liste hätten ausgeschlossen werden sollen. HTTP Proxy Fortschrittsbalken (UTM1500/2100/2500) Bei fehlendem Filename Tag im Content Disposition Header wurde die Datei unter dem Namen pa pgbar.cgi zum Herunterladen angeboten. Bei fehlendem Tag wird nun der Dateiname aus dem letzten Teil der URL gebildet. 12

13 POP3 Proxy Zerstörte Dateianhänge (UTM 1100) Abhängig von der Übertragungsgeschwindigkeit und der Größe einer wurden Zeichen in der eingefügt. Dies hatte zur Folge, dass Dateianhänge nicht mehr geöffnet werden konnten. 13

14 SMTP Proxy / Anti Spam (UTM1500/2100/2500) Statt des individuell konfigurierten Spam Tags wurde immer das Default Tag (***SPAM***) verwendet. SMTP Proxy (UTM1500/2100/2500) Durch einen Fehler in der Scheduler Konfiguration wurde keine Warnung beim Überschreiten der konfigurierten maximalen Länge der Mail Warteschlange generiert. Virenscanner (UTM 1100) Zur Reduzierung der Speicherbelegung wird beim Umschalten zwischen den Virenscannern (ClamAV und KasperskyAV) die Virendatenbank des zuvor genutzten Scanners gelöscht und das Herunterladen der Virendatenbank des neuen Scanners gestartet. Konfigurations Version Beim Update auf die Version wurde eine interne Versionsnummer falsch gesetzt. Dies konnte folgende Probleme zur Folge haben: Synchronisation der Konfiguration im HA Betrieb konnte nicht erfolgen. Konfigurationsbackup konnte nicht eingespielt werden Die Probleme traten nur auf, wenn zuvor ein Config Reset durchgeführt wurde. IPSec Wurden mehrere IPSec Verbindungen mit unterschiedlichen lokalen 14

15 Zertifikaten konfiguriert, konnte das IPSec Subsystem nicht mehr gestartet werden. L2TP über IPSec Windows Vista Clients konnten mit NAT Traversal keine Verbindung aufbauen. Bitte beachten Sie, dass zur Nutzung von NAT Traversal unter Vista eine Registry Änderung erforderlich ist ( Weiterhin muss UTM seitig der Algorithmus SHA1 statt MD5 in der verwendeten IPSec Policy konfiguriert werden. Sicherheitsupdate In den folgenden verwendeten Opensource Komponenten sind Sicherheitsprobleme bekannte geworden: IPSec Um einen möglichen Einfluss auf die Funkwerk UTM zu vermeiden, wurden die Komponenten erneuert oder korrigiert. 15

16 Release Release Datum: Diese Version der Systemsoftware unterstützt folgende Plattformen: UTM1100 UTM1500 UTM2100 UTM2500 Hinweise zum Release Auf UTM1500, 2100 und 2500 wird zur Installation des Updates die Softwareversion oder neuer vorausgesetzt. Bitte melden Sie sich nach der Installation vom Web User Interface ab (Button Logout) oder schließen Sie den Web Browser komplett. Weiterhin ist es erforderlich den Browser Cache zu leeren. Neue Funktionen und Änderungen Neue Version des packetalarm UTM SSL VPN Clients In der Administrations WebGUI und im User Portal steht nun die Version 1.14 des Clients zum Download zur Verfügung. Bereits installierte Clients können auch über die eingebaute Update Funktion aktualisiert werden. Weitere Informationen zu den Änderungen des Clients sind in den Release Notes unter pn_client release_notes 1_14_00_de.pdf zu finden. 16

17 Behobene Fehler HTTP Proxy (transparenter Modus) Bedingt durch die Arbeitsweise von transparenten HTTP Proxies konnte ein Browser Plugin oder ein manipulierter Browser unberechtigt auf Webseiten zugreifen (siehe Problem mit Datenbanksperren Ein Fehler bei der Behandlung von Sperren auf der Konfigurationsdatenbank wurde behoben. Einstellungen im User Portal Bei deaktiviertem POP3 Proxy kam es zu einem Fehler bei der Konfiguration der Einstellungen im User Portal. Anzahl der IP Adressen Wurden mehr als 18 Interface IP Adressen (Virtual Interfaces) konfiguriert, konnte die Status Seite nicht mehr angezeigt werden. SSL VPN Bei langsamen Internet Anbindungen (z.b. GPRS) konnte es zu Zeitüberschreitungen im SSLVPN Protokoll kommen. Die Grenzwerte wurden entsprechend angepasst, so dass nun die Nutzung von SSLVPN über langsame Verbindungen zuverlässig möglich ist. Sicherheitsupdates In den folgenden verwendeten Opensource Komponenten sind Sicherheitsprobleme bekannte geworden: IPSec ClamAV 17

18 Bzip2 Um einen möglichen Einfluss auf die Funkwerk UTM zu vermeiden, wurden die Komponenten erneuert oder korrigiert. 18

19 Release Release Datum: Diese Version der Systemsoftware unterstützt folgende Plattformen: UTM1100 UTM1500 UTM2100 UTM2500 Hinweise zum Release Auf UTM1500, 2100 und 2500 wird zur Installation des Updates die Softwareversion oder neuer vorausgesetzt. Bitte melden Sie sich nach der Installation vom Web User Interface ab (Button Logout) oder schließen Sie den Web Browser komplett. Weiterhin ist es erforderlich den Browser Cache zu leeren. Neue Funktionen und Änderungen Neue Version des packetalarm UTM SSL VPN Clients In der Administrations WebGUI und im User Portal steht nun die Version 1.12 des Clients zum Download zur Verfügung. Bereits installierte Clients können auch über die eingebaute Update Funktion aktualisiert werden. Weitere Informationen zu den Änderungen des Clients sind in den Release Notes unter pn_client_release_note_1_12_de.pdf zu finden. 19

20 HTTP Proxy Transparenter Modus Der HTTP Proxy kann nun im transparenten Modus betrieben werden. In diesem Modus muss im HTTP Client die packetalarm UTM nicht als Proxy konfiguriert werden. TCP Verbindungen, die über die UTM laufen und den konfigurierten TCP Ports entsprechen, werden von der UTM automatisch zum HTTP Proxy umgeleitet. Im transparenten Modus steht keine Proxy Authentifizierung zur Verfügung. Der Proxy kann entweder im Standard Modus (bisherige Funktion) oder im transparenten Modus betrieben werden. HTTP Proxy Fortschrittsbalken für Downloads Ab einer konfigurierbaren Größe wird beim HTTP Download ein Fortschrittsbalken im Browser angezeigt. Diese Anzeige gibt dem Benutzer eine Rückmeldung über den Fortschritt des Downloads und verhindert einen Timeout des Browsers bei langen Wartezeiten (z.b. langsame Verbindung zum Server, Virenscanning) HTTP Proxy Benutzertext für Fehlermeldungen Der Administrator kann einen beliebigen Text definieren. Dieser Text wird zusätzlich zur Fehlermeldung des HTTP Proxies (z.b Access Denied) im Browser des Benutzers angezeigt. FTP Proxy Transparenter Modus Der FTP Proxy kann nun im transparenten Modus betrieben werden. In diesem Modus muss im FTP Client die packetalarm UTM nicht als Proxy konfiguriert werden. TCP Verbindungen, die über die UTM laufen und den konfigurierten TCP Ports entsprechen, werden von der UTM automatisch zum FTP Proxy umgeleitet. Im transparenten Modus steht keine Proxy Authentifizierung zur Verfügung. Der Proxy kann entweder im Standard Modus (bisherige Funktion) oder im transparenten Modus betrieben werden. NAT 1 zu 1 Umsetzung von Netzen Bei Source NAT und Destination NAT kann nun eine 1 zu 1 Umsetzung 20

21 von kompletten Netzen unter Beachtung der Netzmaske erfolgen. Hierbei wird der Netzanteil der Adresse in ein anderes Netz überführt und der Hostanteil bleibt erhalten (z.b x/24 > x/24). NAT Reihenfolge für Policies Die NAT Policies können nun vom Benutzer in eine Reihenfolge gebracht werden. Die Policy, die in der Liste an oberster Stelle angezeigt wird, wird zuerst abgearbeitet (vgl. Firewall Policies). Behobene Fehler LDAP Synchronisation Bei der LDAP Synchronisation von Benutzern kam es bei einer großen Anzahl von Adressen (mehrere Tausend) zum Abbruch während der Synchronisation und zu einer lange anhaltenden hohen CPU Auslastung. Release Release Datum: Diese Version der Systemsoftware unterstützt folgende Plattformen: UTM1100 UTM1500 UTM2100 UTM2500 Hinweise zum Release Auf UTM1500, 2100 und 2500 wird zur Installation des Updates die Softwareversion oder neuer vorausgesetzt. 21

22 Bitte melden Sie sich nach der Installation vom Web User Interface ab (Button Logout) oder schließen Sie den Web Browser komplett. Weiterhin ist es erforderlich den Browser Cache zu leeren. Neue Funktionen und Änderungen Neue Version des packetalarm UTM SSL VPN Clients. In der Administrations WebGUI und im User Portal steht nun die Version 1.10 des Clients zum Download zur Verfügung. Bereits installierte Clients können auch über die eingebaute Update Funktion aktualisiert werden. Weitere Informationen zu den Änderungen des Clients sind in den Release Notes unter pn_client_release_note_1_10_de.pdf zu finden. Performance Verbesserung HTTP Content Check Die Performance des HTTP Content Checks konnte durch Optimierungen beim Caching und den Anfragen an die Datenbankserver verbessert werden. Behobene Fehler Neue Version von Clam AV Sicherheitsupdate des Clam AV Virenscanners. Siehe disclosure/2008 November/ html. White und Blacklists (Bug ID 10987) Ein Fehler bei der Verarbeitung der Listen hat dazu geführt, dass 22

23 die White und Blacklists für den POP3 Proxy und den SMTP Proxy nicht korrekt verarbeitet wurden. Das Problem trat ab der Version auf. Betroffen waren folgende Komponenten: UTM1100 SMTP und POP3 Proxy UTM1500/2100/2500 POP3 Proxy Eingabeprüfung Local Services > Anti Spam (Bug ID 10974) Durch eine fehlerhafte Eingabeprüfung wurde das Feld Realtime Blackhole Lists / Database Hosts zum Pflichtfeld, so dass ohne die Eingabe eines Hosts das Formular nicht gespeichert werden konnte. Das Problem trat ab der Version auf. SMTP Proxy Groß/Kleinschreibung bei Adressen (UTM1500/2100/2500, Bug ID 10957) Beim Empfang einer durch den SMTP Proxy wurde beim Vergleich der Zieladresse mit den Adressen, die den jeweiligen Benutzern zugeordnet wurden, die Groß/Kleinschreibung berücksichtigt. Dies führte dazu, dass die individuellen Einstellungen des Benutzers (Spam Level, White /Blacklist) nur dann angewandt wurden, wenn die Schreibweise exakt übereingestimmt hat. Gleiches galt für die Zuordnung der Quarantäne Mails zu den Benutzern. POP3 Proxy beschädigte s (UTM 1500/2100/2500, Bug ID 10950) Der Inhalt von Mails wurde beschädigt. Das Problem konnte bei größeren Attachments beobachtet werden und trat in Abhängigkeit vom Verhalten der TCP/IP Verbindung zwischen POP3 Server und UTM sporadisch auf. 23

24 POP3 Proxy beschädigte s (UTM 1100) Wurde der POP3 Proxy so konfiguriert, dass s mit einer Länge größer Maximum Message Size ungeprüft weitergeleitet werden, so wurden diese s beschädigt. POP3 Proxy anhaltend hohe CPU Auslastung (UTM1500/2100/2500, Bug ID 10943) Ein Abbruch der Verbindung zwischen POP3 Server und UTM konnte zu einer Endlosschleife führen. Dies hat sich durch eine anhaltend hohe CPU Auslastung bemerkbar gemacht. POP3 Proxy Mails werden nicht vom Server gelöscht (UTM1500/2100/2500) Auf einigen POP3 Servern konnten Mails nicht gelöscht werden. Diagnose Ausgabe Fehler wenn SSL VPN deaktiviert (Bug ID 10946) Wurden unter Maintenance > Diagnostic > System Logs alle Logs zum Anzeigen ausgewählt, kam es bei deaktiviertem SSL VPN zu einem Fehler. Probleme mit Leerzeichen im Passwort Lokale oder mittels AAA Server authentifizierte Benutzer mit einem Leerzeichen im Passwort konnten sich nicht anmelden. Betroffen waren alle Komponenten mit Benutzeranmeldung außer HTTP Proxy und PPTP/L2TP mit (MS CHAP). 24

25 Backtrace bei der Eingabe eines Benutzernamens Wurde unter Entities > Authentication > Users ein Benutzername mit Leerzeichen eingegeben, wurde ein Backtrace statt einer korrekten Fehlermeldung angezeigt. Benutzer können nicht gelöscht werden (UTM1500/2100/2500) Benutzer, die im Userportal White und Blacklists definiert hatten, konnten unter Entities > Authentication > Users nicht gelöscht werden. Nach einem Löschversuch trat beim Editieren des Benutzers eine Fehlermeldung auf. Falsche Eingabeprüfung (UTM1500/2100/2500) Bei allen Eingaben, die einen FQDN erfordern, war die Eingabe einer IP Adresse möglich. Wurde versehentlich eine IP Adresse eingegeben, konnte dies zu einer ungültigen Konfiguration führen, was sich nur durch einen Config Reset beheben lies. HTTP Proxy konnte nicht gestartet werden Der HTTP Proxy kann nicht gestartet werden, wenn eine HTTP Policy eine leere URL Liste referenziert. Aus diesem Grund können keine leeren URL Listen mehr gespeichert werden. Herunterladen des SSL VPN Clients Bei deaktiviertem SSL VPN konnte in der Admin GUI der Client nicht heruntergeladen werden. Fehler in POP3 und SMTP Proxy Anti Spam (UTM1100) Die empfangenen s enthielten statt dem Mail Inhalt eine 25

26 Fehlermeldung bzgl. einer fehlenden Shared Library. Hohe CPU Auslastung durch LDAP Synchronisation (UTM1500/2100/2500) Abhängig von der Anzahl der LDAP Benutzer kam es zu einer hohen CPU Auslastung auf dem UTM System. Zusätzlich trat das Problem auf, dass Konfigurationsänderungen in der Administrations WebGUI nicht gespeichert werden konnten (Fehlermeldung: database locked). 26

27 Release Release Datum: Diese Version der Systemsoftware unterstützt folgende Plattformen: UTM1100 UTM1500 UTM2100 UTM2500 Hinweise zum Release Auf UTM1500, 2100 und 2500 wird zur Installation des Updates die Softwareversion oder neuer vorausgesetzt. Bitte melden Sie sich nach der Installation vom Web User Interface ab (Button Logout) oder schließen Sie den Web Browser komplett. Weiterhin ist es erforderlich den Browser Cache zu leeren. Neue Funktionen und Änderungen Unterstützung von PPPoA/PPTP Es können nun virtuelle Interfaces vom Typ 'PPPoA/PPTP' angelegt werden. Diese Funktion ermöglicht es, die UTM zusammen mit DSL Modems einzusetzen, die kundenseitig PPTP zur Kommunikation einsetzen. Unterstützung von VLANs nach IEEE 802.1Q Die UTM stellt nun virtuelle Interfaces vom Typ VLAN zur Verfügung. Mittels dieses Interface Typs kann die UTM direkt mit VLANs nach dem IEEE 802.1Q Standard verbunden werden. Pro physikalischem Ethernet Interface können mehrere VLAN Interfaces definiert werden. 27

28 Konfiguration der MTU Für alle Typen von virtuellen Interfaces kann nun die MTU (Maximum Transfer Unit) konfiguriert werden. Zusammenfassung User/Portal User Die Verwaltung der Portal Benutzer (Local Services > User Portal > User) wurde zur Vereinfachung mit der Administration der Benutzer unter Entities > Authentication > User zusammengefasst. Hierzu wurden die Benutzer mit dem Merkmal 'Type' versehen, das die Werte 'local' (von der UTM verwaltete Benutzer) und 'remote' (von einem AAA Server verwaltete Benutzer) annehmen kann. Eine detaillierte Beschreibung ist im aktualisierten Benutzerhandbuch zu finden. Default Werte für Zertifikate Unter Entities > Certificates > Defaults können nun Default Werte konfiguriert werden, die in die Dialoge beim Erstellen von CAs und Benutzer Zertifikaten automatischen eingetragen werden. Diese Werte können in den jeweiligen Dialogen unverändert übernommen oder überschrieben werden. Hierdurch wird der Aufwand beim Anlegen von Zertifikaten erheblich reduziert. Zeitabhängige Firewall Policies Die Firewall Policies vom Typ Filter HTTP Proxy POP3 Proxy SMTP Proxy (nur UTM1100) können nun in Abhängigkeit der Zeit (Uhrzeit und Wochentag) definiert werden. Hierzu werden unter Entities > Time Ranges Zeiträume definiert, die in den Policies als zusätzliche Bedingung (vergleichbar mit Absender IP Adresse oder Service) verwendet werden können. 28

29 SMTP Proxy Zurückweisen von E Mails (nur UTM1500, 2100, 2500) Der SMTP Proxy prüft die Inhalte von E Mails nun bevor der Empfang der Nachricht bestätigt wird (Return Code 250). Wird der Inhalt der Mail als unerwünscht identifiziert (Spam, Virus oder verbotenes Attachment) und als entsprechende Aktion wurde 'Block' oder 'Quarantine' konfiguriert, wird die Mail mit dem Code 554 abgelehnt. Hierdurch können reale Absender über das Problem benachrichtigt werden, ohne dass eine Bounce Mail gesendet werden muss. Quarantäne für SMTP E Mails (nur UTM1500, 2100, 2500) Nachrichten mit unerwünschten Inhalten, die über den SMTP Proxy empfangen wurden, können in einem Quarantäne Bereich innerhalb des UTM Systems gehalten werden. Dort können sie vom Administrator oder den Benutzern geprüft und gelöscht oder weitergeleitet werden. Werden die E Mails nicht bearbeitet, werden sie durch die UTM nach Ablauf einer konfigurierbaren Zeit automatisch gelöscht. Bitte beachten Sie, dass der SMTP Proxy den Empfang von Nachrichten ebenfalls mit dem Return Code 554 ablehnt, wenn diese in die Quarantäne kopiert werden. Paralleles Virenscanning (nur UTM1500, 2100, 2500) Zur Vermeidung von Überlast sequentialisiert die UTM die Aufrufe des Virenscanners, d.h. die zu überprüfenden Dateien werden in eine Warteschlange eingereiht. Bei der Abarbeitung der Warteschlange werden Dateien, die durch den HTTP Proxy empfangen wurden, stets priorisiert, um einen flüssigen Webzugriff sicherzustellen. Dieses Verfahren hat den Nachteil, dass das Scannen einer einzelnen großen Datei die Verarbeitung von kleinen Dateien verzögert. Zur Reduzierung dieses Problems arbeitet die UTM nun mit zwei Warteschlangen und zwei gleichzeitig arbeitenden Virenscannern. In der ersten Warteschlange werden kleine Dateien eingereiht und in der zweiten große Dateien. Die Schwelle kann unter Local Services > Anti 29

30 Virus > Advanced mit der Einstellung Large file threshold konfiguriert werden. Anzahl der SMTP Anti Spam Engines konfigurierbar (nur UTM1500, 2100, 2500) Die Anzahl der Anti Spam Engines kann nun durch den Anwender konfiguriert werden. Die Anzahl der Engines bestimmt, wie viele Nachrichten parallel auf Spam geprüft werden können. Der kleinste Wert (Grundeinstellung) ist 2 und der höchste 6. Der Maximalwert sollte nur konfiguriert werden, wenn die UTM primär als SMTP Gateway verwendet wird. Externe Tests der SMTP Anti Spam Engine abschaltbar (nur UTM1500, 2100, 2500) Einige Tests der Anti Spam Engine benötigen Zugriff auf das Internet (primär DNS Anfragen). Diese Tests lassen sich nun komplett deaktivieren (Local Services > Anti Spam, Einstellung Disable External Checks). Warnung bei großer Anzahl von E Mails in der SMTP Mailqueue (nur UTM1500, 2100, 2500) Beim Überschreiten einer konfigurierbaren Anzahl von Nachrichten in der SMTP Mailqueue wird eine Warnmeldung generiert. Die Einstellung erfolgt unter Local Services > Proxy Server > SMTP > Advanced mittels des Parameters Queue Size Warning. Die Meldung wird über das Logging System der UTM abgesetzt und kann mittels der Log Targets entsprechend verteilt werden. 30

31 Unterstützung von SMTP Authentifizierung, TLS und konfigurierbare TCP Ports Für den Versand von SMTP Nachrichten kann nun die Verwendung von SMTP Auth und TLS konfiguriert werden. Dies umfasst den Versand von durch die UTM generierte E Mails (Logging, automatischer Backup, Quarantäne Report) als auch E Mails, die durch den SMTP Proxy (nur UTM1500, 2100, 2500) versendet werden. Weiterhin kann der TCP Port des Mailservers konfiguriert werden, auf dem mittels SMTP die Nachrichten empfangen werden. Erweitertes Mail Routing für eingehende E Mails (nur UTM1500, 2100, 2500) Für eingehende E Mails kann nun abhängig von der Domain ein interner Zielserver konfiguriert werden. Somit können unterschiedliche Domains auf getrennte Server verteilt werden. Überwachung der UTM Hardware mittels SNMP Die Geschwindigkeit der Lüfter (nur UTM1500, 2100, 2500) und der CPU Temperatur kann nun über den SNMP Agent abgefragt werden. Eine Referenz der durch den SNMP Agent unterstützten MIBs ist im Benutzerhandbuch zu finden. SSL VPN Als zusätzliche Alternative zur Anbindung externer Nutzer bietet die UTM nun auch die Möglichkeit, zertifikatsgeschützte VPN Verbindungen über das SSL Protokoll (TCP) entgegenzunehmen. Zur Vereinfachung der Konfiguration für den Endanwender wurde hierzu auch das Benutzerportal erweitert. Entsprechend authorisierte Benutzer können hier nun sowohl die zum Verbindungsaufbau benötigte Client Software als auch die dazugehörige Konfiguration direkt herunterladen. Eine detaillierte Beschreibung hierzu findet sich im aktualisierten Benutzerhandbuch. 31

32 Behobene Fehler POP3 Proxy (nur UTM1500, 2100, 2500) Unterschiedliche Fehler im neuen POP3 Proxy, der in der Version eingeführt wurde, hatten zur Folge, dass große Mails nicht abgeholt wurden Mails nicht vom Server gelöscht wurden Mails nur teilweise abgeholt wurden die Kommunikation mit einzelnen Typen von POP3 Servern nicht möglich war Der Versand von Quarantäne Berichten fehlschlug HTTP Content Check Ein Ausfall eines einzelnen Servers in der Infrastruktur zur Klassifizierung von URLs konnte dazu führen, dass die UTM nicht mehr in der Lage war eine Klassifizierung durchzuführen, obwohl noch andere Server erreichbar waren. Release Release Datum: Diese Version der Systemsoftware unterstützt folgende Plattformen: UTM1100 UTM1500 UTM2100 UTM

33 Hinweise zum Release Auf UTM 1500, 2100 und 2500 wird zur Installation des Updates die Softwareversion oder neuer vorausgesetzt. Neue Funktionen und Änderungen Statistiken Die Statistik Funktion sammelt statistische Daten über die einzelnen Funktionen des UTM Systems (z.b. Anti Spam, Anti Virus) sowie über die Auslastung des Systems. Abhängig von der Art der Daten werden diese entweder graphisch oder tabellarisch angezeigt. NTP Server mittels FQDN Neben der Angabe der NTP Server mittels IP Adresse können diese nun auch im Setup Wizard und unter System Management > Global Settings > Date & Time mittels FQDN (Full Qualified Domain Name) angegeben werden. Dies erlaubt u.a. die einfache Verwendung von öffentlich bereitgestellten Time Servern wie pool.ntp.org. Warnung bei auslaufenden Lizenzen UTM bietet nun die Möglichkeit rechtzeitig vor dem Auslaufen einzelner Lizenz Komponenten (Wartung, Commtouch Anti Spam, Kaspersky Anti Virus...) zu warnen. Der Zeitpunkt der ersten Warnung und die Häufigkeit der Wiederholungen können konfiguriert werden. Die Warnung erfolgt in Form einer Log Nachricht. Durch die flexiblen Log Targets kann gesteuert werden, an wen in welcher Form die Warung versendet wird. TCP Ports für Admin GUI konfigurierbar Die TCP Ports für den HTTP und HTTPS Zugang der Admin GUI können nun frei konfiguriert werden. Weiterhin ist es möglich den HTTP Zugang zu deaktivieren, so dass die Administration nur über das verschlüsselte HTTPS Protokoll erfolgen kann. 33

34 Einfachere Benutzung von Network Items Network Items können nun an den Stellen erstellt, geändert und angeschaut werden, an denen sie verwendet werden. In Listen, in denen Network Items angezeigt werden, können diese angeklickt werden, um die Definition anzuzeigen. Weiterhin kann unter Entities > Network Items angezeigt werden, an welchen Stellen einzelne Network Items verwendet werden. Zeitgesteuerte Trennung von PPPoE Verbindungen PPPoE Verbindungen können nun einmal täglich getrennt werden, um einer Zwangstrennung durch den Internet Service Provider zuvorzukommen. Der Zeitpunkt der Trennung kann konfiguriert werden, so dass diese z.b. nachts außerhalb der Geschäftszeiten stattfindet. Policy Based Routing Das Policy Based Routing (PBR) bietet die Möglichkeit das Routing für IP Pakete anhand von Regeln zu definieren. Ähnlich wie bei Firewall Regeln können hier Merkmale wie Absender Adresse, eingehende Schnittstelle, Service usw. genutzt werden, um Pakete an ein bestimmtes Gateway oder über ein bestimmtes Interface weiterzuleiten. Quarantäne für POP3 Viren und Spam E Mails (nur UTM 1500, 2100, 2500) Viren und spam behaftete E Mails, die über den POP3 Proxy empfangen wurden, können in einem Quarantäne Bereich innerhalb des UTM Systems gehalten werden. Dort können sie vom Administrator oder den Benutzern geprüft und gelöscht oder weitergeleitet werden. Werden die E Mails nicht bearbeitet, werden sie durch die UTM nach Ablauf einer konfigurierbaren Zeit automatisch gelöscht. Bitte beachten Sie: Die Einstellung Pass im Dropdown Action when Virus is found unter Local Services > Anti Virus bedeutet nun, dass eine E Mail, die einen Virus enthält, vom Proxy unverändert an den Client weitergegeben wird. Bislang hatte die Einstellung Pass die Bedeutung, 34

35 dass die E Mail durch eine Warnung ausgetauscht wurde. Bitte ändern Sie bei Bedarf den Wert des Dropdowns von Pass auf Block, damit keine Viren zum Client gelangen. Userportal zum Verwalten der Quarantäne (nur UTM 1500, 2100, 2500) Das Userportal bietet den Benutzern die Möglichkeit, ihre E Mails, die in der Quarantäne zwischengespeichert wurden, selbst zu verwalten. Weiterhin können, falls vom Administrator erlaubt, die Schwellwerte für das Markieren von Spam und das Kopieren in die Quarantäne durch den Benutzer angepasst werden. Limitierung der Dateigröße bei HTTP Virus Scans (nur UTM1500, 2100, 2500) Entsprechend der UTM1100 kann für HTTP Downloads eine maximale Größe konfiguriert werden, bis zu der eine Prüfung auf Viren stattfindet. Einspielen von Backups älterer Versionen Beim Einspielen von Backups können nun Backup Dateien verwendet werden, die mit einer älteren UTM Softwareversion erstellt wurden. Backup Dateien, die mit einer Version kleiner erstellt wurden, werden hierbei nicht unterstützt. Konfigurierbares Spam Tag Der Text, der im Betreff von spam behafteten E Mails durch den POP3 und SMTP Proxy eingefügt wird, kann nun frei definiert werden. SSLv2 Unterstützung entfernt Aus Sicherheitsgründen wird SSLv2 bei den HTTPS Zugängen (Administrations GUI, OOBA, Userportal) nicht mehr unterstützt. Hierdurch wird u.a. den Anforderungen des PCI Security Standards Council Rechnung getragen. 35

36 Behobene Fehler na 36

37 Release Release Datum: Diese Version der Systemsoftware unterstützt folgende Plattformen: UTM1100 UTM1500 UTM2100 UTM2500 Hinweise zum Release Auf UTM1500, 2100 und 2500 wird zur Installation des Updates die Softwareversion oder neuer vorausgesetzt. Behobene Fehler Opensource Updates Mehrere Opensource Komponenten wurden aktualisiert. IPSec und PPPoE Durch einen in v eingeführten Fehler, war es nicht mehr möglich IPSec Verbindungen über PPPoE aufzubauen. Express Setup Wizard / SMTP Proxy (nur UTM1500, 2100, 2500) Durch einen Fehler im Express Setup Wizard konnte das als Internal Mailserver angegebene System keine SMTP Verbindungen über das UTM System aufbauen. 37

38 Aufwachen aus Power Down Der eingebaute Hardware Watchdog hatte das System nach einem Power Down automatisch neu gestartet. Release Release Datum: Diese Version der Systemsoftware unterstützt folgende Plattformen: UTM1100 UTM1500 UTM2100 UTM2500 Hinweise zum Release Auf UTM1500, 2100 und 2500 wird zur Installation des Updates die Softwareversion oder neuer vorausgesetzt. Neue Funktionen und Änderungen HTTP Content Filter Der Zugriff auf Webseiten über den HTTP Proxy kann nun auf Basis von Kategorien (z.b. Pornographie, Shopping...) erlaubt und verboten werden. Hierzu können in Content Profilen (Entities > Content Profiles) Kategorien, die erlaubt bzw verboten werden sollen, zusammengefasst werden. Diese Profile werden dann unter Firewall > Policies > HTTP den HTTP Policies zugeordnet. Eine Kombination mit anderen Einstellungen der Policies (z.b. Benutzer Authentifizierung) ist ebenfalls möglich. Die Content Filter Funktion muss als Erweiterung separat lizenziert 38

39 werden. High Availability Die High Availability Funktion (Local Services > High Availability) erlaubt durch den Einsatz eines Hot Standby Systems die Verfügbarkeit der Funkwerk UTM zu steigern. Beim Ausfalls des primären Systems (Master) übernimmt das Hot Standby System dessen Funktion. Die Konfiguration muss nur auf dem Master gepflegt werden und wird automatisch auf das Standby System übertragen. Die Übertragung der Konfiguration und der Austausch des Heartbeat Signals erfolgt über eine der Ethernet Schnittstellen. Eine Übernahme von bestehenden Sessions (Firewall, VPN...) findet nicht statt. Erweiterungen (Benutzer, Kaspersky Antivirus, Commtouch Antispam...) müssen pro Master/Standby Verbund nur einmalig lizenziert werden. Quality of Service (QoS) Die QoS Funktion erlaubt es, die Bandbreite der an einem virtuellen Interface ausgehenden Daten zu kontrollieren. Hierbei wird die zur Verfügung stehende Bandbreite in Klassen eingeteilt und die IP Pakete anhand unterschiedlicher Kriterien den Klassen zugeordnet. Für jede Klasse kann eine minimale und maximale Bandbreite definiert werden. Benötigt eine Klasse nicht ihre komplette minimale Bandbreite, so wird die verbliebene Bandbreite auf die anderen Klassen aufgeteilt, die bis zu ihrer maximalen Bandbreite davon profitieren können. OSPF Routing Protokoll Funkwerk UTM kann nun mittels des OSPFv2 Routingprotokolls mit anderen Systemen dynamisch IP Routinginformationen austauschen. Für jedes Interface vom Typ Base kann definiert werden, ob es am OSPF teilnehmen soll. 39

40 Firewall Unterstützung für SIP, PPTP und TFTP Die Firewall wurde um so genannte Connection Tracker für SIP, PPTP und TFTP erweitert. Die Connection Tracker erlauben der stateful Firewall Protokolle zu behandeln, die dynamisch weitere Verbindungen zwischen Client und Server aushandeln (z.b. RTP bei SIP). Timeout und manuelles Löschen der IP/Lizenz Bindung Jedes Client System, in einem internen Netz, das über Funkwerk UTM IP Pakete versendet, belegt eine der verfügbaren Lizenzen. Hierzu wird die IP Adresse des Systems einer Lizenz zugeordnet. In älteren Versionen blieb diese Bindung bis zu einem Neustart der Funkwerk UTM bestehen. Nun wurde die Lizenz Bindung mit einer Timeout Funktion versehen. Sendet das Client System keine IP Pakete mehr über Funkwerk UTM, so wird die Bindung nach 5 Stunden aufgehoben und die Lizenz steht wieder für andere Client Systeme zur Verfügung. Unter dem Menüpunkt Monitoring > License Usage ist es nun ebenfalls möglich, eine IP/Lizenz Bindung manuell zu löschen. Löschen der kompletten Mailqueue (nur UTM1500, 2100, 2500) Unter dem Menüpunkt Maintenance > Diagnostic > Mailqueue kann nun der Inhalt der kompletten Mailqueue des SMTP Proxies gelöscht werden. Die Funktion löscht nach einer vorherigen Bestätigung alle Einträge der Mailqueue. Sekundäre IP Adressen An Schnittstellen mit statischer primärer IP Adresse (Networking > Interfaces > IP / Virtual) können nun weitere sekundäre IP Adressen gebunden werden. Pro Schnittstelle kann definiert werden, ob die UTM Dienste (z.b. Proxies, Webinterface...) nur an die primäre IP Adresse oder ebenfalls an die sekundären Adressen gebunden werden sollen. Alle VPN Variationen sind hiervon ausgenommen. Die VPN Server können immer nur an die primäre Adresse gebunden werden. 40

41 Behobene Fehler Anzeige der IPSec Phase 1 ID (Bug ID 8949) Unter Monitoring > VPN Connections > IPSec wurde die Phase 1 ID einer IPSec Verbindung falsch ausgegeben. Certificate Calculator (Bug ID 8778) Unter Certificates > Calculator wurden die Platzhalter im User Distinguished Name falsch ermittelt. 41

42 Release Release Datum: Diese Version der Systemsoftware unterstützt folgende Plattformen: UTM1100 UTM1500 UTM2100 UTM2500 Hinweise zum Release Bei der Installation des Updates auf UTM1500, 2100 und 2500 findet eine Konvertierung der Konfigurationsdaten statt. Dieser Vorgang dauert einige Minuten. Neue Funktionen und Änderungen Setup Wizard Die Auswahl Previous Configuration / Factory Defaults wurde aus dem Setup Wizard entfernt. Der Setup Wizard setzt nun immer auf den Auslieferungszustand auf. Administration über beliebiges Interface Der Zugriff auf die Web GUI ist nun über jedes beliebige Interface (inkl. PPoE, PPTP und L2TP) möglich. Somit kann UTM nun auch von einem System außerhalb des lokalen Netzes administriert werden. In UTM1100 ist diese Funktion bereits enthalten. 42

43 DHCP Client Die Konfiguration der IP Adressen für die Ethernet Schnittstellen des UTM Systems kann nun dynamisch mittels DHCP erfolgen. (Betrifft nur UTM1500, 2100, In UTM1100 ist diese Funktion bereits enthalten. IPSec zu Gegenstellen mit dynamischer IP Adresse Ausgehende IPSec Verbindungen zu Gegenstellen mit dynamischer IP Adresse sind nun möglich. Hierzu muss die Gegenstelle die eigene IP Adresse mittels dynamischem DNS bekannt machen. UTM registriert, wenn sich die DNS Auflösung ändert und baut die IPSec Verbindung neu auf. IPSec Dead Peer Detection UTM unterstützt nun Dead Peer Detection nach RFC Die Funktion kann pro IPSec Verbindung konfiguriert werden. IPSec IDs frei definierbar Die lokale ID und die ID der Gegenstelle können nun frei definiert werden. Es stehen die Typen IP Adresse, FQDN und Adresse zur Verfügung. Behobene Fehler CA Root Zertifikate in IPSec Für die Prüfung des Zertifikats der IPSec Gegenstelle werden nun alle importierten und lokalen CA Root Zertifikate verwendet. 43

44 Spam Benachrichtigung an Absender Es wurde keine Benachrichtigung an den Absender einer Spam versendet wenn dies in der Einstellung When Spam is found notify unter Local Services > Anti Spam entsprechend konfiguriert wurde. Forbidden Extensions Die Einstellungen Forbidden Attachments unter Local Services > Proxy Server > SMTP wurden nicht angewendet, wenn die Viren und Spam Erkennung deaktiviert war. HTTP Proxy Benutzeranmeldung (Bug ID 8484) Die Anmeldung von Benutzern mit Großbuchstaben im Benutzername war nicht möglich. Commtouch Spamerkennung (nur UTM1100) Die Commtouch Spamerkennung war nicht möglich, wenn der Systemname des UTM Systems als FQDN definiert war. Verarbeitung von UTF 8 kodierten s (nur UTM1500, 2100, 2500) s mit UTF 8 kodierten Inhalten konnten nicht verarbeitet werden und wurden an den Absender zurückgesendet. GUI TCPDump (nur UTM1100) Die Download Funktion unter Maintenance > Diagnostic > TCPDump hat nicht funktioniert. 44

45 GUI Stacktrace in SMTP Proxy Konfiguration Waren im System keine Network Items vom Typ Host konfiguriert, wurde beim Drücken des OK Buttons unter Local Services > Proxy Server > SMTP ein Stacktrace ausgegeben. Import von CA Root Zertifikaten (Bug ID 8556) Root Zertifikate mit dem Wert critical unter 509v3 Basic Constraint konnten nicht importiert werden. GUI Stacktrace beim Import von CA Root Zertifikaten (Bug ID 8828) Beim Import eines Root Zertifikats ohne zugehörigen Private Key (z.b. PEM Format) kam es zu einem GUI Stacktrace. Anzeige der Größe von RSA Keys (Bug ID 8461) Unter Entities > RSA Keys wurde bei allen RSA Keys eine Größe von 512 Bit statt der tatsächlichen Größe angezeigt. L2TP via NAT Traversal Eine Verbindung von L2TP Clients hinter einer NAT Firewall zu UTM war nicht möglich. Löschen des letzten Admin Benutzers (Bug ID 8462) Unter System Management > Administration > User konnte der letzte Benutzer gelöscht werden. Somit war keine Anmeldung am UTM System mehr möglich. 45

46 Generierung von Zertifikaten (Bug ID 8767) Wurde beim Generieren eines Zertifikats oder einer CRL das Passwort der CA falsch eingegeben, wurde dieser Fehler ignoriert und unvollständige Daten gespeichert. Filtern des Internal Logs Wurde unter Monitoring > Internal Log ein Filter mir dem Wert All für die Option Subsystem definiert, wurden keine Log Einträge ausgegeben. GUI Stacktrace beim Anzeigen von Active Connections Unter bestimmten Umständen kam es unter Monitoring > Active Connections zum Anzeigen eines GUI Stacktrace. ClamAV Fehlermeldungen (Bug ID: 8214) Vom ClamAV wurden Fehlermeldungen mit dem Inhalt unknown error when looking for updates. Error code 55' generiert. ClamAV Fehlermeldungen werden vom UTM System nicht weiter interpretiert was eine bessere Fehlerdiagnose ermöglicht. Fehlermeldungen bei HTTP Zugriffen (Bug ID: 8678, nur UTM1100) Während des Updates der Virus Signaturen wurde bei Zugriffen über den HTTP Proxy die Meldung Virus scan failed: Scan daemon failed (1013 Error\srunning\sclamdscan WARNING:\sCan't\sconnect\sto\sclamd.\n) im Web Browser angezeigt. 46

47 GUI Stacktrace bei IPSec Policies (Bug ID: 8827) Unter VPN > IPSec > Policies wurde bei der Auswahl von Aggressive Mode ein Stacktrace ausgegeben. Der Aggressive Mode wurde komplett aus UTM entfernt. 47