Deutsch Read Me System Software 7.9.5 PATCH 7 Diese Version unserer Systemsoftware verbessert Stabilität und Leistung Ihres Gateways und ist für alle Gateways der TR200-Serie verfügbar. Beachten Sie, dass die im Folgenden speziell erwähnten Änderungen nicht den gesamten Umfang der Fehlerbehebungen darstellen. 1.1 PPP - Unterstützung von 255 Byte langen CHAP-Challenges (ID 24925) Bei einer Authentifizierung über CHAP wurden Challenges, die an das Gateway gesendet wurden, nur bis zum 32. Byte verarbeitet. Challenges, die eine Länge von mehr als 32 Bytes aufwiesen, wurden folglich vom Gerät falsch interpretiert. Das Gateway ist nun in der Lage, CHAP-Challenges mit einer Größe von bis zu 255 Bytes zu verarbeiten - in Übereinstimmung mit RFC 1994. 1.2 Keep Alive Monitoring - Falscher Host- Status (ID 14586) Durch den Empfang einer ICMP-Echo-Reply von der IP-Adresse des aktuellen Standard-Gateways wurden fälschlicherweise alle Einträge in der IPHOSTSALIVE auf erreichbar gesetzt. Dadurch wurde möglicherweise ein falscher Status der überwachten Hosts gemeldet. Teldat Read Me 1
1.3 Web-Filter - Fehlerhafte Ausführung des Zeitplans im Web-Filter (ID 14324) Ein im Menü LOKALE DIENSTE WEB-FILTER FILTERLISTE Neu erstellter ZEITPLAN wurde aufgrund eines internen Fehlers zu falschen Zeiten ausgeführt. 1.4 IPSec - Fehler bei der Erstellung eines dynamischen Peers (ID 11744) Falls bei der Erstellung eines IPSec-Tunnels im Menü VPN IPSEC IPSEC- PEERS Neu unter IP-ADRESSVERGABE Client im IKE-Konfigurationsmodus oder Server im IKE-Konfigurationsmodus gewählt wurde, wurden konfigurierte Parameter nicht in die IPEXTIFTABLE übernommen. Dies betraf beispielsweise den Menüpunkt PROXY ARP. 1.5 GUI - Fehlender Spaltentitel auf der Hotspot-Übersichtsseite (ID 14492) Im Menü LOKALE DIENSTE HOTSPOT-GATEWAY HOTSPOT-GATEWAY trägt nun die dritte Spalte der Listenübersicht den Titel STATUS. In dieser Spalte können die Hotspot-Einträge aktiviert bzw. deaktiviert werden. 2 Read Me Teldat
1.6 Wartung - Konfiguration importieren (ID 13055) Falls eine Konfiguration im neuen Tabellenformat über die GUI oder das Setup Tool importiert wurde und der Flash-Speicher bereits voll belegt war, scheiterte der Prozeß nach einer langen Bearbeitungszeit. Der Importvorgang wird nun bei nicht ausreichend verfügbarem Speicher sofort abgebrochen. 1.7 IPSec - Tunnel mit iphone bricht ab (ID 14194) Nach einem zunächst erfolgreichen Tunnelaufbau von einem iphone mittels XAuth brach die Verbindung beim Rekeying ab. 1.8 GUI - Veränderungen im Menü QoS- Schnittstellen / Richtlinien (ID 16996) Im Menü ROUTING QOS QOS-SCHNITTSTELLEN/RICHTLINIEN NEU HINZUFÜGEN wurde unter ERWEITERTE EINSTELLUNGEN der Menüpunkt CONGESTION AVOIDANCE ALGORITHM nach VERMEIDUNG VON DATENSTAU (RED) umbenannt. Es steht nun kein Auswahlfeld mehr zur Verfügung. Die Funktion kann nur noch aktiviert bzw. deaktiviert werden. Teldat Read Me 3
1.9 IPSec - Unterstützung des Racoon-Clients (ID 13478) Die Einwahl des Racoon-Clients über einen IPSec-Tunnel führte zu einem Stacktrace. 1.10 VoIP - Begrenzung der Anfragen von einer IP-Adresse (ID 19174) Die Anzahl möglicher Anfragen von derselben IP-Adresse wurde begrenzt. Somit können die Anfragen einer IP-Adresse keine Überlastung des Systems verursachen. Ein DoS-Angriff auf diesem Weg ist somit nicht möglich. 1.11 VoIP - SIP-Sicherheit verbessert (ID 19146) Bisher konnte ein Ruf aus dem Internet initiiert werden, sofern dem SIP-Client im WAN die Daten eines registrierten Clients aus dem LAN einschließlich des SIP-Passworts bekannt waren. Der Registrar verhält sich jetzt restriktiver. Standardmäßig ist der Rufaufbau ausschließlich über dieselbe IP-Adresse möglich, unter der die SIP-Registrierung erfolgte. Wenn über Port 5060 viele Anfragen (Denial-of-Service-Attacken) gesendet wurden, stieg die CPU-Last bis auf 86 % an und brachte damit die Rufverarbeitung praktisch zum Erliegen. 4 Read Me Teldat
Zur Abwehr solcher Attacken und zur Begrenzung der Überlast wurden die Grenzwerte erheblich verringert, so dass bei SIP-basierten Attacken Einschränkungen minimiert werden. Wenn die DoS-Attacken von derselben Quell-IP- Adresse stammen, greift die SIP-Session-Begrenzung ein und die CPU-Last wird begrenzt. Darüber hinaus kann mit der Option REGISTRIERUNG AUS DEM INTERNET im Menü PBX INTERNE RUFNUMMERN VOIP BEARBEITEN ERWEITERTE EINSTELLUNGEN festgelegt werden, ob eine SIP-Registrierung am Gateway aus dem WAN möglich sein soll oder nicht. Bei der Aktualisierung der Systemsoftware bleibt diese Option aus Sicherheitsgründen deaktiviert und muss bei Bedarf nachträglich aktviert werden. Teldat Read Me 5
English This version of our system software improves stability and performance of your gateway and is available for all gateways of the TR200 series. Please note that the changes described below do not cover the complete extent of the corrections made. 1.1 PPP - Support for 255 byte CHAP challenges (ID 24925) When using CHAP authenticating challenges that were sent to the gateway were processed only up to the 32nd byte. Challenges with a length of more than 32 bytes were interpreted incorrectly by the device. It is now possible to manage CHAP challenges with a size up to 255 bytes - in accordance with RFC 1994. 1.2 Keep Alive Monitoring - Incorrect Host Status (ID 14586) By receiving an ICMP echo reply from the IP address of the current default gateway the status of all entries in IPHOSTSALIVE changed to alive. Therefore, the status of the monitored hosts could be incorrect. 6 Read Me Teldat
1.3 Web Filter - Incorrect execution of the Web Filter schedule (ID 14324) A SCHEDULE created in the menu LOCAL SERVICES WEB FILTER FILTER LIST New was executed at a wrong time because of an internal error. 1.4 IPSec - Error in creation of a dynamic peer (ID 11744) Creating a tunnel with IP ADDRESS ASSIGNMENT set to IKE Config Mode Client or IKE Config Mode Server in the menu VPN IPSEC IPSEC PEERS New caused other IPSec parameters not to be written into the IPEXTIFTABLE. For example this concerns the menu item PROXY ARP. 1.5 GUI - Missing column header on the hotspot overview page (ID 14492) In the menu LOCAL SERVICES HOTSPOT GATEWAY HOTSPOT GATEWAY the 3rd column on the overview page is now titled STATUS. In this column, you can activate or deactivate the HotSpot entries. Teldat Read Me 7
1.6 Maintenance - Import configuration (ID 13055) If a configuration in the new table format was imported via GUI or Setup Tool and the entire Flash memory was already consumed at that time, the procedure failed after a long time. Import is now terminated if too little memory is available. 1.7 IPSec - Tunnel fails (ID 14194) After an initially successful tunnel establishment initiated by an iphone via XAuth, the tunnel failed when rekeying. 1.8 GUI - Changes in the menu QoS Interfaces / Policies (ID 16996) In the menu ROUTING QOSQOS INTERFACES/POLICIES NEW ADD under ADVANCED SETTINGS the menu item CONGESTION AVOIDANCE ALGORITHM has been changed to CONGESTION AVOIDANCE (RED). A selection field is no longer available. The function can only be activated or deactivated. 1.9 IPSec - Support for the Racoon Client (ID 13478) 8 Read Me Teldat
The Racoon Client is now supported. So far the dialing into an IPSec tunnel led to a stack trace. 1.10 VoIP - Limit the requests from the same IP address (ID 19174) The amount of possible requests from the same IP address has been limited. Thus, the requests of one IP address could not overload the system. A DoS attack in this way is not longer possible. 1.11 VoIP - SIP security improved (ID 19146) Up to now, a call could be initiated from the Internet using the data of a SIP client registered in the LAN including the SIP password. From now on, the behaviour of the registrar is much more restrictive. By default, setting up a call is only possible with the same IP address that was used for registering. When many requests (denial of service attacks, DoS attacks) used port 5060, the CPU load rose up to 86 % and call processing nearly broke down. The restrictions caused by SIP based attacks will be minimized by reducing the threshold values to limit the overload. Receiving too many requests from the same source IP address activates the SIP session limitation and the CPU load does not increase any more. Teldat Read Me 9
Moreover, the option Registration from Internet in PBX INTERNAL NUMBERS VOIP EDIT ADVANCED SETTINGS allows to specify if a SIP registration at the gateway from the WAN is to be allowed or not. After updating the system software, this options remains deactivated for security reasons. If required, it has to be activated after the update. 10 Read Me Teldat