Funkwerk UTM Release Notes (deutsch) Allgemeine Hinweise Bitte erstellen Sie vor der Installation der neuen Software eine Sicherung der Konfiguration (Maintenance > Configuration > Manual Backup) und notieren Sie sich, welche Softwareversion auf dem UTM System installiert ist. Sollten während des Updates Komplikationen auftreten (z.b. Stromausfall, versehentliches Abschalten), muss ein Factory Reset durchgeführt werden. Installieren Sie nach dem Factory Reset die zuletzt verwendete Softwareversion und spielen Sie den zuvor erstellten Backup ein (Maintenance > Configuration > Restore). Danach wiederholen Sie das Einspielen des Softwareupdates. Das Format des Konfigurationsbackups ist zwischen den einzelnen Releases nicht kompatibel. Bitte erstellen Sie daher unmittelbar nach der Installation der Software einen neuen Konfigurationsbackup. Release 1.80.0 Release Datum: 30.05.2008 Diese Version der Systemsoftware unterstützt folgende Plattformen: UTM 1100 UTM 1500 UTM 2100 UTM 2500 Hinweise zum Release Auf UTM 1500, 2100 und 2500 wird zur Installation des Updates die Softwareversion 1.60.0 oder neuer vorausgesetzt. 1
Neue Funktionen und Änderungen Statistiken Die Statistik Funktion sammelt statistische Daten über die einzelnen Funktionen des UTM Systems (z.b. Anti Spam, Anti Virus) sowie über die Auslastung des Systems. Abhängig von der Art der Daten werden diese entweder graphisch oder tabellarisch angezeigt. NTP Server mittels FQDN Neben der Angabe der NTP Server mittels IP Adresse können diese nun auch im Setup Wizard und unter System Management > Global Settings > Date & Time mittels FQDN (Full Qualified Domain Name) angegeben werden. Dies erlaubt u.a. die einfache Verwendung von öffentlich bereitgestellten Time Servern wie pool.ntp.org. Warnung bei auslaufenden Lizenzen UTM bietet nun die Möglichkeit rechtzeitig vor dem Auslaufen einzelner Lizenz Komponenten (Wartung, Commtouch Anti Spam, Kaspersky Anti Virus...) zu warnen. Der Zeitpunkt der ersten Warnung und die Häufigkeit der Wiederholungen können konfiguriert werden. Die Warnung erfolgt in Form einer Log Nachricht. Durch die flexiblen Log Targets kann gesteuert werden, an wen in welcher Form die Warung versendet wird. TCP Ports für Admin GUI konfigurierbar Die TCP Ports für den HTTP und HTTPS Zugang der Admin GUI können nun frei konfiguriert werden. Weiterhin ist es möglich den HTTP Zugang zu deaktivieren, so dass die Administration nur über das verschlüsselte HTTPS Protokoll erfolgen kann. Einfachere Benutzung von Network Items Network Items können nun an den Stellen erstellt, geändert und angeschaut werden, an denen sie verwendet werden. In Listen, in denen 2
Network Items angezeigt werden, können diese angeklickt werden, um die Definition anzuzeigen. Weiterhin kann unter Entities > Network Items angezeigt werden, an welchen Stellen einzelne Network Items verwendet werden. Zeitgesteuerte Trennung von PPPoE Verbindungen PPPoE Verbindungen können nun einmal täglich getrennt werden, um einer Zwangstrennung durch den Internet Service Provider zuvorzukommen. Der Zeitpunkt der Trennung kann konfiguriert werden, so dass diese z.b. nachts außerhalb der Geschäftszeiten stattfindet. Policy Based Routing Das Policy Based Routing (PBR) bietet die Möglichkeit das Routing für IP Pakete anhand von Regeln zu definieren. Ähnlich wie bei Firewall Regeln können hier Merkmale wie Absender Adresse, eingehende Schnittstelle, Service usw. genutzt werden, um Pakete an ein bestimmtes Gateway oder über ein bestimmtes Interface weiterzuleiten. Quarantäne für POP3 Viren und Spam E Mails (nur UTM 1500, 2100, 2500) Viren und spam behaftete E Mails, die über den POP3 Proxy empfangen wurden, können in einem Quarantäne Bereich innerhalb des UTM Systems gehalten werden. Dort können sie vom Administrator oder den Benutzern geprüft und gelöscht oder weitergeleitet werden. Werden die E Mails nicht bearbeitet, werden sie durch die UTM nach Ablauf einer konfigurierbaren Zeit automatisch gelöscht. Bitte beachten Sie: Die Einstellung Pass im Dropdown Action when Virus is found unter Local Services > Anti Virus bedeutet nun, dass eine E Mail, die einen Virus enthält, vom Proxy unverändert an den Client weitergegeben wird. Bislang hatte die Einstellung Pass die Bedeutung, dass die E Mail durch eine Warnung ausgetauscht wurde. Bitte ändern Sie bei Bedarf den Wert des Dropdowns von Pass auf Block, damit keine Viren zum Client gelangen. 3
Userportal zum Verwalten der Quarantäne (nur UTM 1500, 2100, 2500) Das Userportal bietet den Benutzern die Möglichkeit, ihre E Mails, die in der Quarantäne zwischengespeichert wurden, selbst zu verwalten. Weiterhin können, falls vom Administrator erlaubt, die Schwellwerte für das Markieren von Spam und das Kopieren in die Quarantäne durch den Benutzer angepasst werden. Limitierung der Dateigröße bei HTTP Virus Scans (nur UTM 1500, 2100, 2500) Entsprechend der UTM 1100 kann für HTTP Downloads eine maximale Größe konfiguriert werden, bis zu der eine Prüfung auf Viren stattfindet. Einspielen von Backups älterer Versionen Beim Einspielen von Backups können nun Backup Dateien verwendet werden, die mit einer älteren UTM Softwareversion erstellt wurden. Backup Dateien, die mit einer Version kleiner 1.50.0 erstellt wurden, werden hierbei nicht unterstützt. Konfigurierbares Spam Tag Der Text, der im Betreff von spam behafteten E Mails durch den POP3 und SMTP Proxy eingefügt wird, kann nun frei definiert werden. SSLv2 Unterstützung entfernt Aus Sicherheitsgründen wird SSLv2 bei den HTTPS Zugängen (Administrations GUI, OOBA, Userportal) nicht mehr unterstützt. Hierdurch wird u.a. den Anforderungen des PCI Security Standards Council Rechnung getragen. Behobene Fehler na 4
Release 1.70.1 Release Datum: 03.12.2007 Diese Version der Systemsoftware unterstützt folgende Plattformen: UTM 1100 UTM 1500 UTM 2100 UTM 2500 Hinweise zum Release Auf UTM 1500, 2100 und 2500 wird zur Installation des Updates die Softwareversion 1.60.0 oder neuer vorausgesetzt. Behobene Fehler Opensource Updates Mehrere Opensource Komponenten wurden aktualisiert. IPSec und PPPoE Durch einen in v1.70.0 eingeführten Fehler, war es nicht mehr möglich IPSec Verbindungen über PPPoE aufzubauen. Express Setup Wizard / SMTP Proxy (nur UTM 1500, 2100, 2500) Durch einen Fehler im Express Setup Wizard konnte das als Internal Mailserver angegebene System keine SMTP Verbindungen über das UTM System aufbauen. 5
Aufwachen aus Power Down Der eingebaute Hardware Watchdog hatte das System nach einem Power Down automatisch neu gestartet. Release 1.70.0 Release Datum: 29.10.2007 Diese Version der Systemsoftware unterstützt folgende Plattformen: UTM 1100 UTM 1500 UTM 2100 UTM 2500 Hinweise zum Release Auf UTM 1500, 2100 und 2500 wird zur Installation des Updates die Softwareversion 1.60.0 oder neuer vorausgesetzt. Neue Funktionen und Änderungen HTTP Content Filter Der Zugriff auf Webseiten über den HTTP Proxy kann nun auf Basis von Kategorien (z.b. Pornographie, Shopping...) erlaubt und verboten werden. Hierzu können in Content Profilen (Entities > Content Profiles) Kategorien, die erlaubt bzw verboten werden sollen, zusammengefasst werden. Diese Profile werden dann unter Firewall > Policies > HTTP den HTTP Policies zugeordnet. Eine Kombination mit anderen Einstellungen der Policies (z.b. Benutzer Authentifizierung) ist ebenfalls möglich. Die Content Filter Funktion muss als Erweiterung separat lizenziert 6
werden. High Availability Die High Availability Funktion (Local Services > High Availability) erlaubt durch den Einsatz eines Hot Standby Systems die Verfügbarkeit der Funkwerk UTM zu steigern. Beim Ausfalls des primären Systems (Master) übernimmt das Hot Standby System dessen Funktion. Die Konfiguration muss nur auf dem Master gepflegt werden und wird automatisch auf das Standby System übertragen. Die Übertragung der Konfiguration und der Austausch des Heartbeat Signals erfolgt über eine der Ethernet Schnittstellen. Eine Übernahme von bestehenden Sessions (Firewall, VPN...) findet nicht statt. Erweiterungen (Benutzer, Kaspersky Antivirus, Commtouch Antispam...) müssen pro Master/Standby Verbund nur einmalig lizenziert werden. Quality of Service (QoS) Die QoS Funktion erlaubt es, die Bandbreite der an einem virtuellen Interface ausgehenden Daten zu kontrollieren. Hierbei wird die zur Verfügung stehende Bandbreite in Klassen eingeteilt und die IP Pakete anhand unterschiedlicher Kriterien den Klassen zugeordnet. Für jede Klasse kann eine minimale und maximale Bandbreite definiert werden. Benötigt eine Klasse nicht ihre komplette minimale Bandbreite, so wird die verbliebene Bandbreite auf die anderen Klassen aufgeteilt, die bis zu ihrer maximalen Bandbreite davon profitieren können. OSPF Routing Protokoll Funkwerk UTM kann nun mittels des OSPFv2 Routingprotokolls mit anderen Systemen dynamisch IP Routinginformationen austauschen. Für jedes Interface vom Typ Base kann definiert werden, ob es am OSPF teilnehmen soll. Firewall Unterstützung für SIP, PPTP und TFTP Die Firewall wurde um so genannte Connection Tracker für SIP, PPTP 7
und TFTP erweitert. Die Connection Tracker erlauben der stateful Firewall Protokolle zu behandeln, die dynamisch weitere Verbindungen zwischen Client und Server aushandeln (z.b. RTP bei SIP). Timeout und manuelles Löschen der IP/Lizenz Bindung Jedes Client System, in einem internen Netz, das über Funkwerk UTM IP Pakete versendet, belegt eine der verfügbaren Lizenzen. Hierzu wird die IP Adresse des Systems einer Lizenz zugeordnet. In älteren Versionen blieb diese Bindung bis zu einem Neustart der Funkwerk UTM bestehen. Nun wurde die Lizenz Bindung mit einer Timeout Funktion versehen. Sendet das Client System keine IP Pakete mehr über Funkwerk UTM, so wird die Bindung nach 5 Stunden aufgehoben und die Lizenz steht wieder für andere Client Systeme zur Verfügung. Unter dem Menüpunkt Monitoring > License Usage ist es nun ebenfalls möglich, eine IP/Lizenz Bindung manuell zu löschen. Löschen der kompletten Mailqueue (nur UTM 1500, 2100, 2500) Unter dem Menüpunkt Maintenance > Diagnostic > Mailqueue kann nun der Inhalt der kompletten Mailqueue des SMTP Proxies gelöscht werden. Die Funktion löscht nach einer vorherigen Bestätigung alle Einträge der Mailqueue. Sekundäre IP Adressen An Schnittstellen mit statischer primärer IP Adresse (Networking > Interfaces > IP / Virtual) können nun weitere sekundäre IP Adressen gebunden werden. Pro Schnittstelle kann definiert werden, ob die UTM Dienste (z.b. Proxies, Webinterface...) nur an die primäre IP Adresse oder ebenfalls an die sekundären Adressen gebunden werden sollen. Alle VPN Variationen sind hiervon ausgenommen. Die VPN Server können immer nur an die primäre Adresse gebunden werden. 8
Behobene Fehler Anzeige der IPSec Phase 1 ID (Bug ID 8949) Unter Monitoring > VPN Connections > IPSec wurde die Phase 1 ID einer IPSec Verbindung falsch ausgegeben. Certificate Calculator (Bug ID 8778) Unter Certificates > Calculator wurden die Platzhalter im User Distinguished Name falsch ermittelt. 9
Release 1.60.0 Release Datum: 13.08.2007 Diese Version der Systemsoftware unterstützt folgende Plattformen: UTM 1100 UTM 1500 UTM 2100 UTM 2500 Hinweise zum Release Bei der Installation des Updates auf UTM 1500, 2100 und 2500 findet eine Konvertierung der Konfigurationsdaten statt. Dieser Vorgang dauert einige Minuten. Neue Funktionen und Änderungen Setup Wizard Die Auswahl Previous Configuration / Factory Defaults wurde aus dem Setup Wizard entfernt. Der Setup Wizard setzt nun immer auf den Auslieferungszustand auf. Administration über beliebiges Interface Der Zugriff auf die Web GUI ist nun über jedes beliebige Interface (inkl. PPoE, PPTP und L2TP) möglich. Somit kann UTM nun auch von einem System außerhalb des lokalen Netzes administriert werden. In UTM 1100 ist diese Funktion bereits enthalten. 10
DHCP Client Die Konfiguration der IP Adressen für die Ethernet Schnittstellen des UTM Systems kann nun dynamisch mittels DHCP erfolgen. (Betrifft nur UTM 1500, 2100, 2500. In UTM 1100 ist diese Funktion bereits enthalten. IPSec zu Gegenstellen mit dynamischer IP Adresse Ausgehende IPSec Verbindungen zu Gegenstellen mit dynamischer IP Adresse sind nun möglich. Hierzu muss die Gegenstelle die eigene IP Adresse mittels dynamischem DNS bekannt machen. UTM registriert, wenn sich die DNS Auflösung ändert und baut die IPSec Verbindung neu auf. IPSec Dead Peer Detection UTM unterstützt nun Dead Peer Detection nach RFC 3706. Die Funktion kann pro IPSec Verbindung konfiguriert werden. IPSec IDs frei definierbar Die lokale ID und die ID der Gegenstelle können nun frei definiert werden. Es stehen die Typen IP Adresse, FQDN und Email Adresse zur Verfügung. Behobene Fehler CA Root Zertifikate in IPSec Für die Prüfung des Zertifikats der IPSec Gegenstelle werden nun alle importierten und lokalen CA Root Zertifikate verwendet. 11
Spam Benachrichtigung an Absender Es wurde keine Benachrichtigung an den Absender einer Spam Email versendet wenn dies in der Einstellung When Spam is found notify unter Local Services > Anti Spam entsprechend konfiguriert wurde. Forbidden Extensions Die Einstellungen Forbidden Attachments unter Local Services > Proxy Server > SMTP wurden nicht angewendet, wenn die Viren und Spam Erkennung deaktiviert war. HTTP Proxy Benutzeranmeldung (Bug ID 8484) Die Anmeldung von Benutzern mit Großbuchstaben im Benutzername war nicht möglich. Commtouch Spamerkennung (nur UTM 1100) Die Commtouch Spamerkennung war nicht möglich, wenn der Systemname des UTM Systems als FQDN definiert war. Verarbeitung von UTF 8 kodierten Emails (nur UTM 1500, 2100, 2500) Emails mit UTF 8 kodierten Inhalten konnten nicht verarbeitet werden und wurden an den Absender zurückgesendet. GUI TCPDump (nur UTM 1100) Die Download Funktion unter Maintenance > Diagnostic > TCPDump hat nicht funktioniert. 12
GUI Stacktrace in SMTP Proxy Konfiguration Waren im System keine Network Items vom Typ Host konfiguriert, wurde beim Drücken des OK Buttons unter Local Services > Proxy Server > SMTP ein Stacktrace ausgegeben. Import von CA Root Zertifikaten (Bug ID 8556) Root Zertifikate mit dem Wert critical unter 509v3 Basic Constraint konnten nicht importiert werden. GUI Stacktrace beim Import von CA Root Zertifikaten (Bug ID 8828) Beim Import eines Root Zertifikats ohne zugehörigen Private Key (z.b. PEM Format) kam es zu einem GUI Stacktrace. Anzeige der Größe von RSA Keys (Bug ID 8461) Unter Entities > RSA Keys wurde bei allen RSA Keys eine Größe von 512 Bit statt der tatsächlichen Größe angezeigt. L2TP via NAT Traversal Eine Verbindung von L2TP Clients hinter einer NAT Firewall zu UTM war nicht möglich. Löschen des letzten Admin Benutzers (Bug ID 8462) Unter System Management > Administration > User konnte der letzte Benutzer gelöscht werden. Somit war keine Anmeldung am UTM System mehr möglich. 13
Generierung von Zertifikaten (Bug ID 8767) Wurde beim Generieren eines Zertifikats oder einer CRL das Passwort der CA falsch eingegeben, wurde dieser Fehler ignoriert und unvollständige Daten gespeichert. Filtern des Internal Logs Wurde unter Monitoring > Internal Log ein Filter mir dem Wert All für die Option Subsystem definiert, wurden keine Log Einträge ausgegeben. GUI Stacktrace beim Anzeigen von Active Connections Unter bestimmten Umständen kam es unter Monitoring > Active Connections zum Anzeigen eines GUI Stacktrace. ClamAV Fehlermeldungen (Bug ID: 8214) Vom ClamAV wurden Fehlermeldungen mit dem Inhalt unknown error when looking for updates. Error code 55' generiert. ClamAV Fehlermeldungen werden vom UTM System nicht weiter interpretiert was eine bessere Fehlerdiagnose ermöglicht. Fehlermeldungen bei HTTP Zugriffen (Bug ID: 8678, nur UTM 1100) Während des Updates der Virus Signaturen wurde bei Zugriffen über den HTTP Proxy die Meldung Virus scan failed: Scan daemon failed (1013 Error\srunning\sclamdscan WARNING:\sCan't\sconnect\sto\sclamd.\n) im Web Browser angezeigt. 14
GUI Stacktrace bei IPSec Policies (Bug ID: 8827) Unter VPN > IPSec > Policies wurde bei der Auswahl von Aggressive Mode ein Stacktrace ausgegeben. Der Aggressive Mode wurde komplett aus UTM entfernt. 15
Release 1.00.4 Release Datum: 7.05.2007 Diese Version der Systemsoftware unterstützt folgende Plattformen: UTM 1100 UTM 1500 UTM 2100 Neue Funktionen und Änderungen POP3 Proxy markieren von Spam Als Spam identifizierte Mails werden zusätzlich im Betreff mit dem Zusatz ***SPAM*** markiert. Behobene Fehler GUI Anmeldung Gateway Users (Entities > Authentication > User) konntem sich wie Administratoren an der GUI anmelden. Fehler in IPS Konfiguration (Portscan) Wurde in der Postscan Konfiguration das Network Item Any (oder andere Netze der Form 0.0.0.0/0) verwendet, konnte das IPS Subsystem nicht gestartet werden. Fehler in IPS Konfiguration (REJECT Action) Bei der Verwendung der REJECT Action für einzelne Regeln oder Regelgruppen konnte das IPS Subsystem nicht gestartet werden. 16
Timeout Problem in FTP Downloads via HTTP Proxy Beim Download großer Dateien mittels FTP über den HTTP Proxy kam es abhängig von der Dateigröße und der Übertragungsgeschwindigkeit UTM/FTP Server zu Timeouts. DNS Server Wurde unter System Management > Global Settings > Settings nur ein DNS Server angegeben war ein Reboot zur Aktivierung der Konfiguration erforderlich. Bei der Verwendung von zwei DNS Servern wurde die Konfiguration ohne Reboot aktiviert. NAT Es konnten Einstellungen vorgenommen werden, die dazu führten, dass das Firewall Subsystem nicht gestartet werden konnte. IPSec Algorithmen, die von der IPSec Implementierung nicht unterstützt werden, wurden aus der GUI entfernt (VPN > IPSec > Policies) Zeitversatz bei Log Einträgen Bei den Log Einträgen einiger Subsysteme wurde die Differenz zwischen UTC und lokaler Zeit nicht richtig berücksichtigt. 17
Release 1.00.3 Release Datum: 20.02.2007 Diese Version der Systemsoftware unterstützt folgende Plattformen: UTM 1100 UTM 1500 UTM 2100 Neue Funktionen und Änderungen ClamAV Scan Engine Update der ClamAV Scan Engine. Behobene Fehler na 18
Release 1.00.2 Release Datum: 31.01.2007 Diese Version der Systemsoftware unterstützt folgende Plattformen: UTM 1100 UTM 1500 UTM 2100 Neue Funktionen na Behobene Fehler Interfaces nicht aktivierbar Nach der Benutzung des Setup Wizards konnten Interfaces nicht aktiviert werden. Release 1.00.1 Release Datum: 19.01.2007 Diese Version der Systemsoftware unterstützt folgende Plattformen: UTM 1100 UTM 1500 UTM 2100 19
Neue Funktionen und Änderungen IPS Verbesserte Portscan Erkennung. Behobene Fehler na 20