packetalarm UTM Release Notes (deutsch)

packetalarm UTM Release Notes (deutsch) Allgemeine Hinweise Bitte erstellen Sie vor der Installation der neuen Software eine Sicherung der Konfiguration (Maintenance > Configuration > Manual Backup) und notieren Sie sich, welche Softwareversion auf dem UTM System installiert ist. Sollten während des Updates Komplikationen auftreten (z.b. Stromausfall, versehentliches Abschalten), muss ein Factory Reset durchgeführt werden. Installieren Sie nach dem Factory Reset die zuletzt verwendete Softwareversion und spielen Sie den zuvor erstellten Backup ein (Maintenance > Configuration > Restore). Danach wiederholen Sie das Einspielen des Softwareupdates. Release 1.95.1 Release Datum: 14.04.2009 Diese Version der Systemsoftware unterstützt folgende Plattformen: UTM1100 UTM1500 UTM2100 UTM2500 Hinweise zum Release Auf UTM1500, 2100 und 2500 wird zur Installation des Updates die Softwareversion 1.60.0 oder neuer vorausgesetzt. Bitte melden Sie sich nach der Installation vom Web User Interface ab (Button Logout) oder schließen Sie den Web Browser komplett. Weiterhin ist es erforderlich den Browser Cache zu leeren. 1

Neue Funktionen und Änderungen Neue Version des packetalarm UTM SSL VPN Clients In der Administrations WebGUI und im User Portal steht nun die Version 1.14 des Clients zum Download zur Verfügung. Bereits installierte Clients können auch über die eingebaute Update Funktion aktualisiert werden. Weitere Informationen zu den Änderungen des Clients sind in den Release Notes unter http://www.funkwerkec.de/portal/downloadcenter/dateien/funkwerk_utm/packetalarm_ssl_v pn_client release_notes 1_14_00_de.pdf zu finden. Behobene Fehler HTTP Proxy (transparenter Modus) Bedingt durch die Arbeitsweise von transparenten HTTP Proxies konnte ein Browser Plugin oder ein manipulierter Browser unberechtigt auf Webseiten zugreifen (siehe http://www.kb.cert.org/vuls/id/435052). Problem mit Datenbanksperren Ein Fehler bei der Behandlung von Sperren auf der Konfigurationsdatenbank wurde behoben. Email Einstellungen im User Portal Bei deaktiviertem POP3 Proxy kam es zu einem Fehler bei der Konfiguration der Email Einstellungen im User Portal. Anzahl der IP Adressen Wurden mehr als 18 Interface IP Adressen (Virtual Interfaces) konfiguriert, konnte die Status Seite nicht mehr angezeigt werden. 2

SSL VPN Bei langsamen Internet Anbindungen (z.b. GPRS) konnte es zu Zeitüberschreitungen im SSLVPN Protokoll kommen. Die Grenzwerte wurden entsprechend angepasst, so dass nun die Nutzung von SSLVPN über langsame Verbindungen zuverlässig möglich ist. Sicherheitsupdates In den folgenden verwendeten Opensource Komponenten sind Sicherheitsprobleme bekannte geworden: IPSec ClamAV Bzip2 Um einen möglichen Einfluss auf die Funkwerk UTM zu vermeiden, wurden die Komponenten erneuert oder korrigiert. 3

Release 1.95.0 Release Datum: 1.03.2009 Diese Version der Systemsoftware unterstützt folgende Plattformen: UTM1100 UTM1500 UTM2100 UTM2500 Hinweise zum Release Auf UTM1500, 2100 und 2500 wird zur Installation des Updates die Softwareversion 1.60.0 oder neuer vorausgesetzt. Bitte melden Sie sich nach der Installation vom Web User Interface ab (Button Logout) oder schließen Sie den Web Browser komplett. Weiterhin ist es erforderlich den Browser Cache zu leeren. Neue Funktionen und Änderungen Neue Version des packetalarm UTM SSL VPN Clients In der Administrations WebGUI und im User Portal steht nun die Version 1.12 des Clients zum Download zur Verfügung. Bereits installierte Clients können auch über die eingebaute Update Funktion aktualisiert werden. Weitere Informationen zu den Änderungen des Clients sind in den Release Notes unter http://www.funkwerkec.de/portal/downloadcenter/dateien/funkwerk_utm/packetalarm_ssl_v pn_client_release_note_1_12_de.pdf zu finden. 4

HTTP Proxy Transparenter Modus Der HTTP Proxy kann nun im transparenten Modus betrieben werden. In diesem Modus muss im HTTP Client die packetalarm UTM nicht als Proxy konfiguriert werden. TCP Verbindungen, die über die UTM laufen und den konfigurierten TCP Ports entsprechen, werden von der UTM automatisch zum HTTP Proxy umgeleitet. Im transparenten Modus steht keine Proxy Authentifizierung zur Verfügung. Der Proxy kann entweder im Standard Modus (bisherige Funktion) oder im transparenten Modus betrieben werden. HTTP Proxy Fortschrittsbalken für Downloads Ab einer konfigurierbaren Größe wird beim HTTP Download ein Fortschrittsbalken im Browser angezeigt. Diese Anzeige gibt dem Benutzer eine Rückmeldung über den Fortschritt des Downloads und verhindert einen Timeout des Browsers bei langen Wartezeiten (z.b. langsame Verbindung zum Server, Virenscanning) HTTP Proxy Benutzertext für Fehlermeldungen Der Administrator kann einen beliebigen Text definieren. Dieser Text wird zusätzlich zur Fehlermeldung des HTTP Proxies (z.b Access Denied) im Browser des Benutzers angezeigt. FTP Proxy Transparenter Modus Der FTP Proxy kann nun im transparenten Modus betrieben werden. In diesem Modus muss im FTP Client die packetalarm UTM nicht als Proxy konfiguriert werden. TCP Verbindungen, die über die UTM laufen und den konfigurierten TCP Ports entsprechen, werden von der UTM automatisch zum FTP Proxy umgeleitet. Im transparenten Modus steht keine Proxy Authentifizierung zur Verfügung. Der Proxy kann entweder im Standard Modus (bisherige Funktion) oder im transparenten Modus betrieben werden. NAT 1 zu 1 Umsetzung von Netzen Bei Source NAT und Destination NAT kann nun eine 1 zu 1 Umsetzung 5

von kompletten Netzen unter Beachtung der Netzmaske erfolgen. Hierbei wird der Netzanteil der Adresse in ein anderes Netz überführt und der Hostanteil bleibt erhalten (z.b. 192.168.100.x/24 > 10.10.0.x/24). NAT Reihenfolge für Policies Die NAT Policies können nun vom Benutzer in eine Reihenfolge gebracht werden. Die Policy, die in der Liste an oberster Stelle angezeigt wird, wird zuerst abgearbeitet (vgl. Firewall Policies). Behobene Fehler LDAP Synchronisation Bei der LDAP Synchronisation von Benutzern kam es bei einer großen Anzahl von Email Adressen (mehrere Tausend) zum Abbruch während der Synchronisation und zu einer lange anhaltenden hohen CPU Auslastung. Release 1.90.1 Release Datum: 25.11.2008 Diese Version der Systemsoftware unterstützt folgende Plattformen: UTM1100 UTM1500 UTM2100 UTM2500 Hinweise zum Release Auf UTM1500, 2100 und 2500 wird zur Installation des Updates die Softwareversion 1.60.0 oder neuer vorausgesetzt. 6

Bitte melden Sie sich nach der Installation vom Web User Interface ab (Button Logout) oder schließen Sie den Web Browser komplett. Weiterhin ist es erforderlich den Browser Cache zu leeren. Neue Funktionen und Änderungen Neue Version des packetalarm UTM SSL VPN Clients. In der Administrations WebGUI und im User Portal steht nun die Version 1.10 des Clients zum Download zur Verfügung. Bereits installierte Clients können auch über die eingebaute Update Funktion aktualisiert werden. Weitere Informationen zu den Änderungen des Clients sind in den Release Notes unter http://www.funkwerkec.de/portal/downloadcenter/dateien/funkwerk_utm/packetalarm_ssl_v pn_client_release_note_1_10_de.pdf zu finden. Performance Verbesserung HTTP Content Check Die Performance des HTTP Content Checks konnte durch Optimierungen beim Caching und den Anfragen an die Datenbankserver verbessert werden. Behobene Fehler Neue Version von Clam AV Sicherheitsupdate des Clam AV Virenscanners. Siehe http://lists.grok.org.uk/pipermail/full disclosure/2008 November/065530.html. Email White und Blacklists (Bug ID 10987) Ein Fehler bei der Verarbeitung der Email Listen hat dazu geführt, dass 7

die White und Blacklists für den POP3 Proxy und den SMTP Proxy nicht korrekt verarbeitet wurden. Das Problem trat ab der Version 1.90.0 auf. Betroffen waren folgende Komponenten: UTM1100 SMTP und POP3 Proxy UTM1500/2100/2500 POP3 Proxy Eingabeprüfung Local Services > Anti Spam (Bug ID 10974) Durch eine fehlerhafte Eingabeprüfung wurde das Feld Realtime Blackhole Lists / Database Hosts zum Pflichtfeld, so dass ohne die Eingabe eines Hosts das Formular nicht gespeichert werden konnte. Das Problem trat ab der Version 1.90.0 auf. SMTP Proxy Groß/Kleinschreibung bei Email Adressen (UTM1500/2100/2500, Bug ID 10957) Beim Empfang einer Email durch den SMTP Proxy wurde beim Vergleich der Zieladresse mit den Email Adressen, die den jeweiligen Benutzern zugeordnet wurden, die Groß/Kleinschreibung berücksichtigt. Dies führte dazu, dass die individuellen Einstellungen des Benutzers (Spam Level, White /Blacklist) nur dann angewandt wurden, wenn die Schreibweise exakt übereingestimmt hat. Gleiches galt für die Zuordnung der Quarantäne Mails zu den Benutzern. POP3 Proxy beschädigte Emails (UTM 1500/2100/2500, Bug ID 10950) Der Inhalt von Mails wurde beschädigt. Das Problem konnte bei größeren Attachments beobachtet werden und trat in Abhängigkeit vom Verhalten der TCP/IP Verbindung zwischen POP3 Server und UTM sporadisch auf. 8

POP3 Proxy beschädigte Emails (UTM 1100) Wurde der POP3 Proxy so konfiguriert, dass Emails mit einer Länge größer Maximum Message Size ungeprüft weitergeleitet werden, so wurden diese Emails beschädigt. POP3 Proxy anhaltend hohe CPU Auslastung (UTM1500/2100/2500, Bug ID 10943) Ein Abbruch der Verbindung zwischen POP3 Server und UTM konnte zu einer Endlosschleife führen. Dies hat sich durch eine anhaltend hohe CPU Auslastung bemerkbar gemacht. POP3 Proxy Mails werden nicht vom Server gelöscht (UTM1500/2100/2500) Auf einigen POP3 Servern konnten Mails nicht gelöscht werden. Diagnose Ausgabe Fehler wenn SSL VPN deaktiviert (Bug ID 10946) Wurden unter Maintenance > Diagnostic > System Logs alle Logs zum Anzeigen ausgewählt, kam es bei deaktiviertem SSL VPN zu einem Fehler. Probleme mit Leerzeichen im Passwort Lokale oder mittels AAA Server authentifizierte Benutzer mit einem Leerzeichen im Passwort konnten sich nicht anmelden. Betroffen waren alle Komponenten mit Benutzeranmeldung außer HTTP Proxy und PPTP/L2TP mit (MS CHAP). 9

Backtrace bei der Eingabe eines Benutzernamens Wurde unter Entities > Authentication > Users ein Benutzername mit Leerzeichen eingegeben, wurde ein Backtrace statt einer korrekten Fehlermeldung angezeigt. Benutzer können nicht gelöscht werden (UTM1500/2100/2500) Benutzer, die im Userportal White und Blacklists definiert hatten, konnten unter Entities > Authentication > Users nicht gelöscht werden. Nach einem Löschversuch trat beim Editieren des Benutzers eine Fehlermeldung auf. Falsche Eingabeprüfung (UTM1500/2100/2500) Bei allen Eingaben, die einen FQDN erfordern, war die Eingabe einer IP Adresse möglich. Wurde versehentlich eine IP Adresse eingegeben, konnte dies zu einer ungültigen Konfiguration führen, was sich nur durch einen Config Reset beheben lies. HTTP Proxy konnte nicht gestartet werden Der HTTP Proxy kann nicht gestartet werden, wenn eine HTTP Policy eine leere URL Liste referenziert. Aus diesem Grund können keine leeren URL Listen mehr gespeichert werden. Herunterladen des SSL VPN Clients Bei deaktiviertem SSL VPN konnte in der Admin GUI der Client nicht heruntergeladen werden. Fehler in POP3 und SMTP Proxy Anti Spam (UTM1100) Die empfangenen Emails enthielten statt dem Mail Inhalt eine 10

Fehlermeldung bzgl. einer fehlenden Shared Library. Hohe CPU Auslastung durch LDAP Synchronisation (UTM1500/2100/2500) Abhängig von der Anzahl der LDAP Benutzer kam es zu einer hohen CPU Auslastung auf dem UTM System. Zusätzlich trat das Problem auf, dass Konfigurationsänderungen in der Administrations WebGUI nicht gespeichert werden konnten (Fehlermeldung: database locked). 11

Release 1.90.0 Release Datum: 15.09.2008 Diese Version der Systemsoftware unterstützt folgende Plattformen: UTM1100 UTM1500 UTM2100 UTM2500 Hinweise zum Release Auf UTM1500, 2100 und 2500 wird zur Installation des Updates die Softwareversion 1.60.0 oder neuer vorausgesetzt. Bitte melden Sie sich nach der Installation vom Web User Interface ab (Button Logout) oder schließen Sie den Web Browser komplett. Weiterhin ist es erforderlich den Browser Cache zu leeren. Neue Funktionen und Änderungen Unterstützung von PPPoA/PPTP Es können nun virtuelle Interfaces vom Typ 'PPPoA/PPTP' angelegt werden. Diese Funktion ermöglicht es, die UTM zusammen mit DSL Modems einzusetzen, die kundenseitig PPTP zur Kommunikation einsetzen. Unterstützung von VLANs nach IEEE 802.1Q Die UTM stellt nun virtuelle Interfaces vom Typ VLAN zur Verfügung. Mittels dieses Interface Typs kann die UTM direkt mit VLANs nach dem IEEE 802.1Q Standard verbunden werden. Pro physikalischem Ethernet Interface können mehrere VLAN Interfaces definiert werden. 12

Konfiguration der MTU Für alle Typen von virtuellen Interfaces kann nun die MTU (Maximum Transfer Unit) konfiguriert werden. Zusammenfassung User/Portal User Die Verwaltung der Portal Benutzer (Local Services > User Portal > User) wurde zur Vereinfachung mit der Administration der Benutzer unter Entities > Authentication > User zusammengefasst. Hierzu wurden die Benutzer mit dem Merkmal 'Type' versehen, das die Werte 'local' (von der UTM verwaltete Benutzer) und 'remote' (von einem AAA Server verwaltete Benutzer) annehmen kann. Eine detaillierte Beschreibung ist im aktualisierten Benutzerhandbuch zu finden. Default Werte für Zertifikate Unter Entities > Certificates > Defaults können nun Default Werte konfiguriert werden, die in die Dialoge beim Erstellen von CAs und Benutzer Zertifikaten automatischen eingetragen werden. Diese Werte können in den jeweiligen Dialogen unverändert übernommen oder überschrieben werden. Hierdurch wird der Aufwand beim Anlegen von Zertifikaten erheblich reduziert. Zeitabhängige Firewall Policies Die Firewall Policies vom Typ Filter HTTP Proxy POP3 Proxy SMTP Proxy (nur UTM1100) können nun in Abhängigkeit der Zeit (Uhrzeit und Wochentag) definiert werden. Hierzu werden unter Entities > Time Ranges Zeiträume definiert, die in den Policies als zusätzliche Bedingung (vergleichbar mit Absender IP Adresse oder Service) verwendet werden können. 13

SMTP Proxy Zurückweisen von E Mails (nur UTM1500, 2100, 2500) Der SMTP Proxy prüft die Inhalte von E Mails nun bevor der Empfang der Nachricht bestätigt wird (Return Code 250). Wird der Inhalt der Mail als unerwünscht identifiziert (Spam, Virus oder verbotenes Attachment) und als entsprechende Aktion wurde 'Block' oder 'Quarantine' konfiguriert, wird die Mail mit dem Code 554 abgelehnt. Hierdurch können reale Absender über das Problem benachrichtigt werden, ohne dass eine Bounce Mail gesendet werden muss. Quarantäne für SMTP E Mails (nur UTM1500, 2100, 2500) Nachrichten mit unerwünschten Inhalten, die über den SMTP Proxy empfangen wurden, können in einem Quarantäne Bereich innerhalb des UTM Systems gehalten werden. Dort können sie vom Administrator oder den Benutzern geprüft und gelöscht oder weitergeleitet werden. Werden die E Mails nicht bearbeitet, werden sie durch die UTM nach Ablauf einer konfigurierbaren Zeit automatisch gelöscht. Bitte beachten Sie, dass der SMTP Proxy den Empfang von Nachrichten ebenfalls mit dem Return Code 554 ablehnt, wenn diese in die Quarantäne kopiert werden. Paralleles Virenscanning (nur UTM1500, 2100, 2500) Zur Vermeidung von Überlast sequentialisiert die UTM die Aufrufe des Virenscanners, d.h. die zu überprüfenden Dateien werden in eine Warteschlange eingereiht. Bei der Abarbeitung der Warteschlange werden Dateien, die durch den HTTP Proxy empfangen wurden, stets priorisiert, um einen flüssigen Webzugriff sicherzustellen. Dieses Verfahren hat den Nachteil, dass das Scannen einer einzelnen großen Datei die Verarbeitung von kleinen Dateien verzögert. Zur Reduzierung dieses Problems arbeitet die UTM nun mit zwei Warteschlangen und zwei gleichzeitig arbeitenden Virenscannern. In der ersten Warteschlange werden kleine Dateien eingereiht und in der zweiten große Dateien. Die Schwelle kann unter Local Services > Anti 14

Virus > Advanced mit der Einstellung Large file threshold konfiguriert werden. Anzahl der SMTP Anti Spam Engines konfigurierbar (nur UTM1500, 2100, 2500) Die Anzahl der Anti Spam Engines kann nun durch den Anwender konfiguriert werden. Die Anzahl der Engines bestimmt, wie viele Nachrichten parallel auf Spam geprüft werden können. Der kleinste Wert (Grundeinstellung) ist 2 und der höchste 6. Der Maximalwert sollte nur konfiguriert werden, wenn die UTM primär als SMTP Gateway verwendet wird. Externe Tests der SMTP Anti Spam Engine abschaltbar (nur UTM1500, 2100, 2500) Einige Tests der Anti Spam Engine benötigen Zugriff auf das Internet (primär DNS Anfragen). Diese Tests lassen sich nun komplett deaktivieren (Local Services > Anti Spam, Einstellung Disable External Checks). Warnung bei großer Anzahl von E Mails in der SMTP Mailqueue (nur UTM1500, 2100, 2500) Beim Überschreiten einer konfigurierbaren Anzahl von Nachrichten in der SMTP Mailqueue wird eine Warnmeldung generiert. Die Einstellung erfolgt unter Local Services > Proxy Server > SMTP > Advanced mittels des Parameters Queue Size Warning. Die Meldung wird über das Logging System der UTM abgesetzt und kann mittels der Log Targets entsprechend verteilt werden. 15

Unterstützung von SMTP Authentifizierung, TLS und konfigurierbare TCP Ports Für den Versand von SMTP Nachrichten kann nun die Verwendung von SMTP Auth und TLS konfiguriert werden. Dies umfasst den Versand von durch die UTM generierte E Mails (Logging, automatischer Backup, Quarantäne Report) als auch E Mails, die durch den SMTP Proxy (nur UTM1500, 2100, 2500) versendet werden. Weiterhin kann der TCP Port des Mailservers konfiguriert werden, auf dem mittels SMTP die Nachrichten empfangen werden. Erweitertes Mail Routing für eingehende E Mails (nur UTM1500, 2100, 2500) Für eingehende E Mails kann nun abhängig von der Domain ein interner Zielserver konfiguriert werden. Somit können unterschiedliche Domains auf getrennte Server verteilt werden. Überwachung der UTM Hardware mittels SNMP Die Geschwindigkeit der Lüfter (nur UTM1500, 2100, 2500) und der CPU Temperatur kann nun über den SNMP Agent abgefragt werden. Eine Referenz der durch den SNMP Agent unterstützten MIBs ist im Benutzerhandbuch zu finden. SSL VPN Als zusätzliche Alternative zur Anbindung externer Nutzer bietet die UTM nun auch die Möglichkeit, zertifikatsgeschützte VPN Verbindungen über das SSL Protokoll (TCP) entgegenzunehmen. Zur Vereinfachung der Konfiguration für den Endanwender wurde hierzu auch das Benutzerportal erweitert. Entsprechend authorisierte Benutzer können hier nun sowohl die zum Verbindungsaufbau benötigte Client Software als auch die dazugehörige Konfiguration direkt herunterladen. Eine detaillierte Beschreibung hierzu findet sich im aktualisierten Benutzerhandbuch. 16

Behobene Fehler POP3 Proxy (nur UTM1500, 2100, 2500) Unterschiedliche Fehler im neuen POP3 Proxy, der in der Version 1.80.0 eingeführt wurde, hatten zur Folge, dass große Mails nicht abgeholt wurden Mails nicht vom Server gelöscht wurden Mails nur teilweise abgeholt wurden die Kommunikation mit einzelnen Typen von POP3 Servern nicht möglich war Der Versand von Quarantäne Berichten fehlschlug HTTP Content Check Ein Ausfall eines einzelnen Servers in der Infrastruktur zur Klassifizierung von URLs konnte dazu führen, dass die UTM nicht mehr in der Lage war eine Klassifizierung durchzuführen, obwohl noch andere Server erreichbar waren. Release 1.80.0 Release Datum: 30.05.2008 Diese Version der Systemsoftware unterstützt folgende Plattformen: UTM1100 UTM1500 UTM2100 UTM2500 17

Hinweise zum Release Auf UTM 1500, 2100 und 2500 wird zur Installation des Updates die Softwareversion 1.60.0 oder neuer vorausgesetzt. Neue Funktionen und Änderungen Statistiken Die Statistik Funktion sammelt statistische Daten über die einzelnen Funktionen des UTM Systems (z.b. Anti Spam, Anti Virus) sowie über die Auslastung des Systems. Abhängig von der Art der Daten werden diese entweder graphisch oder tabellarisch angezeigt. NTP Server mittels FQDN Neben der Angabe der NTP Server mittels IP Adresse können diese nun auch im Setup Wizard und unter System Management > Global Settings > Date & Time mittels FQDN (Full Qualified Domain Name) angegeben werden. Dies erlaubt u.a. die einfache Verwendung von öffentlich bereitgestellten Time Servern wie pool.ntp.org. Warnung bei auslaufenden Lizenzen UTM bietet nun die Möglichkeit rechtzeitig vor dem Auslaufen einzelner Lizenz Komponenten (Wartung, Commtouch Anti Spam, Kaspersky Anti Virus...) zu warnen. Der Zeitpunkt der ersten Warnung und die Häufigkeit der Wiederholungen können konfiguriert werden. Die Warnung erfolgt in Form einer Log Nachricht. Durch die flexiblen Log Targets kann gesteuert werden, an wen in welcher Form die Warung versendet wird. TCP Ports für Admin GUI konfigurierbar Die TCP Ports für den HTTP und HTTPS Zugang der Admin GUI können nun frei konfiguriert werden. Weiterhin ist es möglich den HTTP Zugang zu deaktivieren, so dass die Administration nur über das verschlüsselte HTTPS Protokoll erfolgen kann. 18

Einfachere Benutzung von Network Items Network Items können nun an den Stellen erstellt, geändert und angeschaut werden, an denen sie verwendet werden. In Listen, in denen Network Items angezeigt werden, können diese angeklickt werden, um die Definition anzuzeigen. Weiterhin kann unter Entities > Network Items angezeigt werden, an welchen Stellen einzelne Network Items verwendet werden. Zeitgesteuerte Trennung von PPPoE Verbindungen PPPoE Verbindungen können nun einmal täglich getrennt werden, um einer Zwangstrennung durch den Internet Service Provider zuvorzukommen. Der Zeitpunkt der Trennung kann konfiguriert werden, so dass diese z.b. nachts außerhalb der Geschäftszeiten stattfindet. Policy Based Routing Das Policy Based Routing (PBR) bietet die Möglichkeit das Routing für IP Pakete anhand von Regeln zu definieren. Ähnlich wie bei Firewall Regeln können hier Merkmale wie Absender Adresse, eingehende Schnittstelle, Service usw. genutzt werden, um Pakete an ein bestimmtes Gateway oder über ein bestimmtes Interface weiterzuleiten. Quarantäne für POP3 Viren und Spam E Mails (nur UTM 1500, 2100, 2500) Viren und spam behaftete E Mails, die über den POP3 Proxy empfangen wurden, können in einem Quarantäne Bereich innerhalb des UTM Systems gehalten werden. Dort können sie vom Administrator oder den Benutzern geprüft und gelöscht oder weitergeleitet werden. Werden die E Mails nicht bearbeitet, werden sie durch die UTM nach Ablauf einer konfigurierbaren Zeit automatisch gelöscht. Bitte beachten Sie: Die Einstellung Pass im Dropdown Action when Virus is found unter Local Services > Anti Virus bedeutet nun, dass eine E Mail, die einen Virus enthält, vom Proxy unverändert an den Client weitergegeben wird. Bislang hatte die Einstellung Pass die Bedeutung, 19

dass die E Mail durch eine Warnung ausgetauscht wurde. Bitte ändern Sie bei Bedarf den Wert des Dropdowns von Pass auf Block, damit keine Viren zum Client gelangen. Userportal zum Verwalten der Quarantäne (nur UTM 1500, 2100, 2500) Das Userportal bietet den Benutzern die Möglichkeit, ihre E Mails, die in der Quarantäne zwischengespeichert wurden, selbst zu verwalten. Weiterhin können, falls vom Administrator erlaubt, die Schwellwerte für das Markieren von Spam und das Kopieren in die Quarantäne durch den Benutzer angepasst werden. Limitierung der Dateigröße bei HTTP Virus Scans (nur UTM1500, 2100, 2500) Entsprechend der UTM1100 kann für HTTP Downloads eine maximale Größe konfiguriert werden, bis zu der eine Prüfung auf Viren stattfindet. Einspielen von Backups älterer Versionen Beim Einspielen von Backups können nun Backup Dateien verwendet werden, die mit einer älteren UTM Softwareversion erstellt wurden. Backup Dateien, die mit einer Version kleiner 1.50.0 erstellt wurden, werden hierbei nicht unterstützt. Konfigurierbares Spam Tag Der Text, der im Betreff von spam behafteten E Mails durch den POP3 und SMTP Proxy eingefügt wird, kann nun frei definiert werden. SSLv2 Unterstützung entfernt Aus Sicherheitsgründen wird SSLv2 bei den HTTPS Zugängen (Administrations GUI, OOBA, Userportal) nicht mehr unterstützt. Hierdurch wird u.a. den Anforderungen des PCI Security Standards Council Rechnung getragen. 20

Behobene Fehler na 21

Release 1.70.1 Release Datum: 03.12.2007 Diese Version der Systemsoftware unterstützt folgende Plattformen: UTM1100 UTM1500 UTM2100 UTM2500 Hinweise zum Release Auf UTM1500, 2100 und 2500 wird zur Installation des Updates die Softwareversion 1.60.0 oder neuer vorausgesetzt. Behobene Fehler Opensource Updates Mehrere Opensource Komponenten wurden aktualisiert. IPSec und PPPoE Durch einen in v1.70.0 eingeführten Fehler, war es nicht mehr möglich IPSec Verbindungen über PPPoE aufzubauen. Express Setup Wizard / SMTP Proxy (nur UTM1500, 2100, 2500) Durch einen Fehler im Express Setup Wizard konnte das als Internal Mailserver angegebene System keine SMTP Verbindungen über das UTM System aufbauen. 22

Aufwachen aus Power Down Der eingebaute Hardware Watchdog hatte das System nach einem Power Down automatisch neu gestartet. Release 1.70.0 Release Datum: 29.10.2007 Diese Version der Systemsoftware unterstützt folgende Plattformen: UTM1100 UTM1500 UTM2100 UTM2500 Hinweise zum Release Auf UTM1500, 2100 und 2500 wird zur Installation des Updates die Softwareversion 1.60.0 oder neuer vorausgesetzt. Neue Funktionen und Änderungen HTTP Content Filter Der Zugriff auf Webseiten über den HTTP Proxy kann nun auf Basis von Kategorien (z.b. Pornographie, Shopping...) erlaubt und verboten werden. Hierzu können in Content Profilen (Entities > Content Profiles) Kategorien, die erlaubt bzw verboten werden sollen, zusammengefasst werden. Diese Profile werden dann unter Firewall > Policies > HTTP den HTTP Policies zugeordnet. Eine Kombination mit anderen Einstellungen der Policies (z.b. Benutzer Authentifizierung) ist ebenfalls möglich. Die Content Filter Funktion muss als Erweiterung separat lizenziert 23

werden. High Availability Die High Availability Funktion (Local Services > High Availability) erlaubt durch den Einsatz eines Hot Standby Systems die Verfügbarkeit der Funkwerk UTM zu steigern. Beim Ausfalls des primären Systems (Master) übernimmt das Hot Standby System dessen Funktion. Die Konfiguration muss nur auf dem Master gepflegt werden und wird automatisch auf das Standby System übertragen. Die Übertragung der Konfiguration und der Austausch des Heartbeat Signals erfolgt über eine der Ethernet Schnittstellen. Eine Übernahme von bestehenden Sessions (Firewall, VPN...) findet nicht statt. Erweiterungen (Benutzer, Kaspersky Antivirus, Commtouch Antispam...) müssen pro Master/Standby Verbund nur einmalig lizenziert werden. Quality of Service (QoS) Die QoS Funktion erlaubt es, die Bandbreite der an einem virtuellen Interface ausgehenden Daten zu kontrollieren. Hierbei wird die zur Verfügung stehende Bandbreite in Klassen eingeteilt und die IP Pakete anhand unterschiedlicher Kriterien den Klassen zugeordnet. Für jede Klasse kann eine minimale und maximale Bandbreite definiert werden. Benötigt eine Klasse nicht ihre komplette minimale Bandbreite, so wird die verbliebene Bandbreite auf die anderen Klassen aufgeteilt, die bis zu ihrer maximalen Bandbreite davon profitieren können. OSPF Routing Protokoll Funkwerk UTM kann nun mittels des OSPFv2 Routingprotokolls mit anderen Systemen dynamisch IP Routinginformationen austauschen. Für jedes Interface vom Typ Base kann definiert werden, ob es am OSPF teilnehmen soll. 24

Firewall Unterstützung für SIP, PPTP und TFTP Die Firewall wurde um so genannte Connection Tracker für SIP, PPTP und TFTP erweitert. Die Connection Tracker erlauben der stateful Firewall Protokolle zu behandeln, die dynamisch weitere Verbindungen zwischen Client und Server aushandeln (z.b. RTP bei SIP). Timeout und manuelles Löschen der IP/Lizenz Bindung Jedes Client System, in einem internen Netz, das über Funkwerk UTM IP Pakete versendet, belegt eine der verfügbaren Lizenzen. Hierzu wird die IP Adresse des Systems einer Lizenz zugeordnet. In älteren Versionen blieb diese Bindung bis zu einem Neustart der Funkwerk UTM bestehen. Nun wurde die Lizenz Bindung mit einer Timeout Funktion versehen. Sendet das Client System keine IP Pakete mehr über Funkwerk UTM, so wird die Bindung nach 5 Stunden aufgehoben und die Lizenz steht wieder für andere Client Systeme zur Verfügung. Unter dem Menüpunkt Monitoring > License Usage ist es nun ebenfalls möglich, eine IP/Lizenz Bindung manuell zu löschen. Löschen der kompletten Mailqueue (nur UTM1500, 2100, 2500) Unter dem Menüpunkt Maintenance > Diagnostic > Mailqueue kann nun der Inhalt der kompletten Mailqueue des SMTP Proxies gelöscht werden. Die Funktion löscht nach einer vorherigen Bestätigung alle Einträge der Mailqueue. Sekundäre IP Adressen An Schnittstellen mit statischer primärer IP Adresse (Networking > Interfaces > IP / Virtual) können nun weitere sekundäre IP Adressen gebunden werden. Pro Schnittstelle kann definiert werden, ob die UTM Dienste (z.b. Proxies, Webinterface...) nur an die primäre IP Adresse oder ebenfalls an die sekundären Adressen gebunden werden sollen. Alle VPN Variationen sind hiervon ausgenommen. Die VPN Server können immer nur an die primäre Adresse gebunden werden. 25

Behobene Fehler Anzeige der IPSec Phase 1 ID (Bug ID 8949) Unter Monitoring > VPN Connections > IPSec wurde die Phase 1 ID einer IPSec Verbindung falsch ausgegeben. Certificate Calculator (Bug ID 8778) Unter Certificates > Calculator wurden die Platzhalter im User Distinguished Name falsch ermittelt. 26

Release 1.60.0 Release Datum: 13.08.2007 Diese Version der Systemsoftware unterstützt folgende Plattformen: UTM1100 UTM1500 UTM2100 UTM2500 Hinweise zum Release Bei der Installation des Updates auf UTM1500, 2100 und 2500 findet eine Konvertierung der Konfigurationsdaten statt. Dieser Vorgang dauert einige Minuten. Neue Funktionen und Änderungen Setup Wizard Die Auswahl Previous Configuration / Factory Defaults wurde aus dem Setup Wizard entfernt. Der Setup Wizard setzt nun immer auf den Auslieferungszustand auf. Administration über beliebiges Interface Der Zugriff auf die Web GUI ist nun über jedes beliebige Interface (inkl. PPoE, PPTP und L2TP) möglich. Somit kann UTM nun auch von einem System außerhalb des lokalen Netzes administriert werden. In UTM1100 ist diese Funktion bereits enthalten. 27

DHCP Client Die Konfiguration der IP Adressen für die Ethernet Schnittstellen des UTM Systems kann nun dynamisch mittels DHCP erfolgen. (Betrifft nur UTM1500, 2100, 2500. In UTM1100 ist diese Funktion bereits enthalten. IPSec zu Gegenstellen mit dynamischer IP Adresse Ausgehende IPSec Verbindungen zu Gegenstellen mit dynamischer IP Adresse sind nun möglich. Hierzu muss die Gegenstelle die eigene IP Adresse mittels dynamischem DNS bekannt machen. UTM registriert, wenn sich die DNS Auflösung ändert und baut die IPSec Verbindung neu auf. IPSec Dead Peer Detection UTM unterstützt nun Dead Peer Detection nach RFC 3706. Die Funktion kann pro IPSec Verbindung konfiguriert werden. IPSec IDs frei definierbar Die lokale ID und die ID der Gegenstelle können nun frei definiert werden. Es stehen die Typen IP Adresse, FQDN und Email Adresse zur Verfügung. Behobene Fehler CA Root Zertifikate in IPSec Für die Prüfung des Zertifikats der IPSec Gegenstelle werden nun alle importierten und lokalen CA Root Zertifikate verwendet. 28

Spam Benachrichtigung an Absender Es wurde keine Benachrichtigung an den Absender einer Spam Email versendet wenn dies in der Einstellung When Spam is found notify unter Local Services > Anti Spam entsprechend konfiguriert wurde. Forbidden Extensions Die Einstellungen Forbidden Attachments unter Local Services > Proxy Server > SMTP wurden nicht angewendet, wenn die Viren und Spam Erkennung deaktiviert war. HTTP Proxy Benutzeranmeldung (Bug ID 8484) Die Anmeldung von Benutzern mit Großbuchstaben im Benutzername war nicht möglich. Commtouch Spamerkennung (nur UTM1100) Die Commtouch Spamerkennung war nicht möglich, wenn der Systemname des UTM Systems als FQDN definiert war. Verarbeitung von UTF 8 kodierten Emails (nur UTM1500, 2100, 2500) Emails mit UTF 8 kodierten Inhalten konnten nicht verarbeitet werden und wurden an den Absender zurückgesendet. GUI TCPDump (nur UTM1100) Die Download Funktion unter Maintenance > Diagnostic > TCPDump hat nicht funktioniert. 29

GUI Stacktrace in SMTP Proxy Konfiguration Waren im System keine Network Items vom Typ Host konfiguriert, wurde beim Drücken des OK Buttons unter Local Services > Proxy Server > SMTP ein Stacktrace ausgegeben. Import von CA Root Zertifikaten (Bug ID 8556) Root Zertifikate mit dem Wert critical unter 509v3 Basic Constraint konnten nicht importiert werden. GUI Stacktrace beim Import von CA Root Zertifikaten (Bug ID 8828) Beim Import eines Root Zertifikats ohne zugehörigen Private Key (z.b. PEM Format) kam es zu einem GUI Stacktrace. Anzeige der Größe von RSA Keys (Bug ID 8461) Unter Entities > RSA Keys wurde bei allen RSA Keys eine Größe von 512 Bit statt der tatsächlichen Größe angezeigt. L2TP via NAT Traversal Eine Verbindung von L2TP Clients hinter einer NAT Firewall zu UTM war nicht möglich. Löschen des letzten Admin Benutzers (Bug ID 8462) Unter System Management > Administration > User konnte der letzte Benutzer gelöscht werden. Somit war keine Anmeldung am UTM System mehr möglich. 30

Generierung von Zertifikaten (Bug ID 8767) Wurde beim Generieren eines Zertifikats oder einer CRL das Passwort der CA falsch eingegeben, wurde dieser Fehler ignoriert und unvollständige Daten gespeichert. Filtern des Internal Logs Wurde unter Monitoring > Internal Log ein Filter mir dem Wert All für die Option Subsystem definiert, wurden keine Log Einträge ausgegeben. GUI Stacktrace beim Anzeigen von Active Connections Unter bestimmten Umständen kam es unter Monitoring > Active Connections zum Anzeigen eines GUI Stacktrace. ClamAV Fehlermeldungen (Bug ID: 8214) Vom ClamAV wurden Fehlermeldungen mit dem Inhalt unknown error when looking for updates. Error code 55' generiert. ClamAV Fehlermeldungen werden vom UTM System nicht weiter interpretiert was eine bessere Fehlerdiagnose ermöglicht. Fehlermeldungen bei HTTP Zugriffen (Bug ID: 8678, nur UTM1100) Während des Updates der Virus Signaturen wurde bei Zugriffen über den HTTP Proxy die Meldung Virus scan failed: Scan daemon failed (1013 Error\srunning\sclamdscan WARNING:\sCan't\sconnect\sto\sclamd.\n) im Web Browser angezeigt. 31

GUI Stacktrace bei IPSec Policies (Bug ID: 8827) Unter VPN > IPSec > Policies wurde bei der Auswahl von Aggressive Mode ein Stacktrace ausgegeben. Der Aggressive Mode wurde komplett aus UTM entfernt. 32

Release 1.00.4 Release Datum: 7.05.2007 Diese Version der Systemsoftware unterstützt folgende Plattformen: UTM1100 UTM1500 UTM2100 Neue Funktionen und Änderungen POP3 Proxy markieren von Spam Als Spam identifizierte Mails werden zusätzlich im Betreff mit dem Zusatz ***SPAM*** markiert. Behobene Fehler GUI Anmeldung Gateway Users (Entities > Authentication > User) konntem sich wie Administratoren an der GUI anmelden. Fehler in IPS Konfiguration (Portscan) Wurde in der Postscan Konfiguration das Network Item Any (oder andere Netze der Form 0.0.0.0/0) verwendet, konnte das IPS Subsystem nicht gestartet werden. Fehler in IPS Konfiguration (REJECT Action) Bei der Verwendung der REJECT Action für einzelne Regeln oder Regelgruppen konnte das IPS Subsystem nicht gestartet werden. 33

Timeout Problem in FTP Downloads via HTTP Proxy Beim Download großer Dateien mittels FTP über den HTTP Proxy kam es abhängig von der Dateigröße und der Übertragungsgeschwindigkeit UTM/FTP Server zu Timeouts. DNS Server Wurde unter System Management > Global Settings > Settings nur ein DNS Server angegeben war ein Reboot zur Aktivierung der Konfiguration erforderlich. Bei der Verwendung von zwei DNS Servern wurde die Konfiguration ohne Reboot aktiviert. NAT Es konnten Einstellungen vorgenommen werden, die dazu führten, dass das Firewall Subsystem nicht gestartet werden konnte. IPSec Algorithmen, die von der IPSec Implementierung nicht unterstützt werden, wurden aus der GUI entfernt (VPN > IPSec > Policies) Zeitversatz bei Log Einträgen Bei den Log Einträgen einiger Subsysteme wurde die Differenz zwischen UTC und lokaler Zeit nicht richtig berücksichtigt. 34

Release 1.00.3 Release Datum: 20.02.2007 Diese Version der Systemsoftware unterstützt folgende Plattformen: UTM1100 UTM1500 UTM2100 Neue Funktionen und Änderungen ClamAV Scan Engine Update der ClamAV Scan Engine. Behobene Fehler na 35

Release 1.00.2 Release Datum: 31.01.2007 Diese Version der Systemsoftware unterstützt folgende Plattformen: UTM1100 UTM1500 UTM2100 Neue Funktionen na Behobene Fehler Interfaces nicht aktivierbar Nach der Benutzung des Setup Wizards konnten Interfaces nicht aktiviert werden. Release 1.00.1 Release Datum: 19.01.2007 Diese Version der Systemsoftware unterstützt folgende Plattformen: UTM1100 UTM1500 UTM2100 36

Neue Funktionen und Änderungen IPS Verbesserte Portscan Erkennung. Behobene Fehler na 37