Wechseln zu:Navigation, Suche
Wiki
Zeile 35: Zeile 35:
*Feature: UserInterface: Spam-Filter mit Resend-Funktionalität.
*Feature: UserInterface: Spam-Filter mit Resend-Funktionalität.


: 1)Securepoint GmbH lässt präventiv in regelmässigen Abständen SecurityAudits durch unabhängige Unternehmen durchführen. Die Fehler wurden im Rahmen eines Penetrationstests durch die Firma RedTeam Pentesting GmbH mit Sitz in Aachen gefunden (https://www.redteam-pentesting.de).
: 1)Securepoint GmbH lässt präventiv in regelmässigen Abständen Security Audits durch unabhängige Unternehmen durchführen. Die Fehler wurden im Rahmen eines Penetrationstests durch die Firma RedTeam Pentesting GmbH mit Sitz in Aachen gefunden (https://www.redteam-pentesting.de).


'''Known issue''':
'''Known issue''':

Version vom 6. September 2013, 14:46 Uhr



Changelog Securepoint V11

Build 11.3

Release Date: 06.09.2013

  • Security Bugfix: Cross-Site-Scripting Lücke im Live Log behoben. 1
  • Security Bugfix: Directory-Traversal-Attacke in Clientless VPN behoben. 1
  • Security Bugfix: Unauthorisierter Datei-Upload in Clientless VPN behoben. 1
  • Security Bugfix: Clientless VPN Websocket-Verbindung. Fehler in der Prüfung auf Session ID behoben.
  • Bugfix: Active Directory Gruppen werden nun nach Alphabet sortiert.
  • Bugfix: Die Limitierung des Mailarchives auf 3,2 GByte wurde aufgehoben.
  • Bugfix: Fehler in der Zeit-Einstellung korrigiert.
  • Bugfix: Fehler beim Anlegen eines PPTP DSL Interfaces behoben.
  • Bugfix: VLAN-Interface wurden nicht vollständig entfernt, wenn diese in der Konfiguration entfernt wurden.
  • Bugfix: Fehler in der Auswahl des Tastatur-Layouts am Login an Konsole behoben.
  • Bugfix: Clientless VPN: Domain Namen mit mehr als 15 Zeichen wurden bei Übergabe an den RDP Server abgeschnitten.
  • Bugfix: Clientless VPN: Problematik mit einigen Remote Desktop Servern behoben.
  • Bugfix: HTTP Proxy: Webseiten die ein Statuscode 200 zurück liefern und keinen Content hinterlegen, produzierten ein ICAP Protokoll Fehler.
  • Bugfix: HTTP Proxy: NTLM Authentifizierung mit Umlauten im Benutzernamen.
  • Feature: HA Funktionalität (erfordert HA Lizenz) Cluster Konfiguration - Best Practice
  • Feature: DHCP Client IPv6 Unterstützung.
  • Feature: Lokale HTTP Proxy Auswertung.
  • Feature: Export Name von SSL VPN Client geändert, zum einfacheren Import in Mac OSX Tunnelblick Client.
  • Feature: Neuer Befehl manager (new|get|set) um über die CLI einfacher IP Adressen für die Administration frei zu schalten.
  • Feature: Logmeldungen für SSL VPN angepasst um unterschiedliche Verbindungen besser zu unterscheiden.
  • Feature: Die laufende Konfiguration kann nun zwecks Dokumentation gedruckt werden.
  • Feature: Mailrelay: ausgehende IP Adresse fest einstellbar.
  • Feature: Mailfilter: Die Regeln können nun per Drag and Drop verschoben werden.
  • Feature: HTTP Proxy: Webfilter Standardverhalten einstellbar.
  • Feature: Reverse Proxy: SSL Protokoll einstellbar.
  • Feature: UserInterface: Spam-Filter mit Resend-Funktionalität.
1)Securepoint GmbH lässt präventiv in regelmässigen Abständen Security Audits durch unabhängige Unternehmen durchführen. Die Fehler wurden im Rahmen eines Penetrationstests durch die Firma RedTeam Pentesting GmbH mit Sitz in Aachen gefunden (https://www.redteam-pentesting.de).

Known issue: Bei einer Appliance mit einer zusätzlichen PCI-Netzwerkkarte besteht die Möglichkeit, dass sich nach dem Update auf die Version 11.3 von einer Version < 11.2 die Reihenfolge der eth-Interface ändert. Bitte prüfen Sie nach dem Update umgehend die Reihenfolge der Schnittstellen.

Build 11.2.5.3

Release Date: 30.07.2013

  • Bugfix: Die ClamAV-Virenscan-Engine wurde auf Version 0.97.8 aktualisiert.
  • Bugfix: Doppelt im SSL-VPN-Server eingetragene Subnetze werden beim Übermitteln der Daten entfernt.
  • Bugfix: Das Cache-Log des HTTP-Proxy wird jetzt korrekt rotiert.
  • Bugfix: Beim Export von RSA-Schlüsseln über das Webinterface wird jetzt immer der Public-Key exportiert. Der Download des Private-Keys ist weiterhin über die CLI möglich: rsa export id <ID> flags PRIVATE
  • Bugfix: Es wurde ein Problem beim Ausführen des Befehls user who behoben, der zum Einfrieren der Appliance führen konnte.


Known issue: Bei einer Appliance mit einer zusätzlichen PCI-Netzwerkkarte besteht die Möglichkeit, dass sich nach dem Update auf die Version 11.2.5.3 von einer Version < 11.2 die Reihenfolge der eth-Interface ändert. Bitte prüfen Sie nach dem Update umgehend die Reihenfolge der Schnittstellen.

Build 11.2.5.2

Release Date: 26.06.2013

  • Bugfix: Fehler beim Bearbeiten von Routen behoben.
  • Bugfix: Problem beim Anlegen von PPTP Interfaces behoben.
  • Feature: Diverse Verbesserungen im Bereich der Wlan-Konfiguration.
  • Feature: Netzwerk Bridging. Interfaces können zu einer Bridge zusammengefasst werden (siehe auch http://wiki.securepoint.de/index.php/Bridging_UTMV11).


Known issue: Bei einer Appliance mit einer zusätzlichen PCI-Netzwerkkarte besteht die Möglichkeit, dass nachdem Update auf die Version 11.2.5.2 von einer Version < 11.2 sich die Reihenfolge der eth-Interface ändert. Bitte prüfen Sie umgehend nachdem Update die Reihenfolge der Interface.

Build 11.2.5.1

  • Bugfix: WLan Probleme mit Apple iOS6 Geräten, die den 802.11n-Modus unterstützen, behoben.
  • Bugfix: IPSec Tunnelaufbau nach DSL Zwangstrennung verbessert.
  • Bugfix: Zeitweise hohe CPU Last in Zusammenhang mit FWA-3210 Hardware und LCDd behoben.
  • Feature: HTTP Proxy kann bei eingeschalteter Authentifizierung (Browser hat Proxy eingetragen) nun gleichzeitig auch im transparenten Modus ohne Authentifizierung betrieben werden.
  • Feature: Konfigurations-Wizard um WLan Einstellungen erweitert.


Known issue: Bei einer Appliance mit einer zusätzlichen PCI-Netzwerkkarte besteht die Möglichkeit, dass nachdem Update auf die Version 11.2.5.1 von einer Version < 11.2 sich die Reihenfolge der eth-Interface ändert. Bitte prüfen Sie umgehend nachdem Update die Reihenfolge der Interface.

Build 11.2.5

  • Security Bugfix: Im Linux Kernel wurde eine Sicherheitslücke geschlossen, die es einem lokalen User ermöglicht sich root-Rechte zu verschaffen.
  • Bugfix: Reduzierung der Virenscanner Threads bei Appliances mit einem Core und weniger als 1GHz.
  • Bugfix: Bei Verwendung des ECAP Modules (Virenscanner), konnte es vorkommen das einige File Deskriptoren nicht wieder geschlossen werden.
  • Bugfix: Mögliche Einwahl-Probleme bei DSL PPPoE Verbindungen nach Zwangstrennung behoben.
  • Bugfix: Umstellung der Mail-Queue auf einen permanenten Speicherbereich, so das E-Mails aus der Queue nach einem Reboot nicht verloren gehen.
  • Bugfix: Beim Editieren von PPPoE wurde das Interface fälschlicher Weise nicht wieder als dynamisches Interface markiert.
  • Bugfix: Beim Importieren einer Konfiguration UTM V10 wurden PPPoE Interfaces nicht als dynamisches Interface markiert.
  • Bugfix: Übermittlung der LZO Einstellungen an den SSL VPN Client korrigiert.
  • Bugfix: Editieren von SSL VPN Site to Site Verbindungen korrigiert.
  • Bugfix: Beim manuellen Löschen aller Konfigurationen startete die UTM nicht in den Werkseinstellungen.
  • Bugfix: Der Status von IPSec IKEv2 Verbindungen wurde im WebInterface nicht korrekt dargestellt.
  • Bugfix: Der Mailfilter (Spamfilter) produzierte unter umständen doppelte Header Einträge in den verarbeiteten E-Mails.
  • Bugfix: Verbindet sich ein SSL VPN Client mit aktivierten IPv6 Support, wurden das Log mit einer Log-Meldung dazu geflutet.
  • Bugfix: Speicher- und Performance Verbesserung des Firewall Servers.
  • Feature: Neues App für das Cockpit für die Zugriffsstatistik über den transparenten HTTP Proxy.
  • Feature: Es können für die Administration nun auch Hostnamen anstatt IP Adressen/Netze eingetragen werden.
  • Feature: In der Konfiguration des Mailfilters sind nun auch „oder“ Verknüpfungen in den Regeln möglich.
  • Feature: Neue implizierte Regel um das NAT für IPSec automatisch zu deaktivieren.


Known issue: Bei einer Appliance mit einer zusätzlichen PCI-Netzwerkkarte besteht die Möglichkeit, dass nachdem Update auf die Version 11.2.5 von einer Version < 11.2 sich die Reihenfolge der eth-Interface ändert. Bitte prüfen Sie umgehend nachdem Update die Reihenfolge der Interface.

Build 11.2.3

  • Bugfix: Das Update enthält die fehlende Firmware für einige Broadcom Netzwerkkarten.
  • Bugfix: Problem beim dynamischen Erstellen der Zertifikate im SSL Proxy behoben.
  • Bugfix: Es werden nun Wildcard Zertifikate im SSL Proxy erzeugt, wenn der Hostname in der URL länger als 64 Zeichen ist.
  • Bugfix: Interoperabilität des PoP3 Proxy mit PoP3 Connectoren verbessert.


Known issue: Bei einer Appliance mit einer zusätzlichen PCI-Netzwerkkarte besteht die Möglichkeit, dass nachdem Update auf die Version 11.2.3 von einer Version < 11.2 sich die Reihenfolge der eth-Interface ändert. Bitte prüfen Sie umgehend nachdem Update die Reihenfolge der Interface.

Build 11.2.2

  • Bugfix: Update Root Hints im Nameserver.
  • Bugfix: Update der TLS Komponenten.
  • Bugfix: Problem bei Verwendung des Mailrelays und der Smarthost Funktion im Zusammenhang mit TLS gelöst.
  • Bugfix: Automatisches Laden des NAT Moduls für Aktiv-FTP behoben.


Known issue: Bei einer Appliance mit einer zusätzlichen PCI-Netzwerkkarte besteht die Möglichkeit, dass nachdem Update auf die Version 11.2.2 von einer Version < 11.2 sich die Reihenfolge der eth-Interface ändert. Bitte prüfen Sie umgehend nachdem Update die Reihenfolge der Interface.

Build 11.2.1

  • Bugfix: Update der TLS Komponente für Clientless VPN.
  • Bugfix: Behebt Darstellungsproblem im UserInterface, Bereich Spamfilter.


Known issue: Bei einer Appliance mit einer zusätzlichen PCI-Netzwerkkarte besteht die Möglichkeit, dass nachdem Update auf die Version 11.2 sich die Reihenfolge der eth-Interface ändert. Bitte prüfen Sie umgehend nachdem Update die Reihenfolge der Interface.

Build 11.2

  • Security Bugfix: Validierungstiefe der Authentifizierung im WebInterface erhöht, um eine mögliche Rechteausweitung zu unterbinden. Eine Schwachstelle in der Authentifizierung im WebInterface ermöglicht unter Umständen die Manipulation von Bereichen der Datenbank.
  • Bugfix: Bereinigung einiger Fehler bei Verwendung von Fallback-Interface- Konfigurationen.
  • Bugfix: Verbesserung der UMTS Einwahl bei schwankender Signalstärke.
  • Bugfix: Cloudbackup Fehler bei Konfigurations-Namen mit Leerzeichen beseitigt.
  • Bugfix: Möglicher Fehler beim dekodieren von E-Mail-Headern im Mailfilter korrigiert.
  • Bugfix: Verwendung von Umlauten im HTTP Proxy Webfilter korrigiert.
  • Bugfix: Verbesserungen der Ausfallsicherheit beim Multipathrouting.
  • Bugfix: Fehler bei Verwendung von lokalen Gruppen im HTTP Proxy beseitigt.
  • Bugfix: Zugriff auf einige Versionen des MS IE Servers über den HTTP Proxy beseitigt.
  • Bugfix: Möglicher Abbruch eines Download bei eingeschalteten Virenscan in Kombination mit bestimmten Webserver behoben.
  • Feature: SMP Prozessor Unterstützung.
  • Feature: Aufbau von GRE Tunneln über die Interface-Einstellungen implementiert.
  • Feature: Automatische Update-Funktion für den SSL-VPN Client.
  • Feature: Unterstützung von IPSec Kompression und Erweiterung der Implied Rules.
  • Feature: Reverse Proxy, Unterstützung von Authentication-Passthrough.
  • Feature: HTTP Proxy Virenscanner, Whitelist des ICY-Protokolls einstellbar.
  • Feature: Im Regelwerk können nun Dienste auch mit der Stateless-Funktion konfiguriert werden.


Known issue: Bei einer Appliance mit einer zusätzlichen PCI-Netzwerkkarte besteht die Möglichkeit, dass nachdem Update auf die Version 11.2 sich die Reihenfolge der eth-Interface ändert. Bitte prüfen Sie umgehend nachdem Update die Reihenfolge der Interface.

Build 11.1.2

  • Bugfix: Aufgrund eines Fehlers bei der Datenbankkonvertierung, konnten einige Konfigurationsdatenbanken nicht auf die Version 11.1.1 aktualisiert werden. Mit der Version 11.1.2 wird die Konvertierung erfolgreich durchgeführt.

Build 11.1.1

  • Bugfix: Problem beim manuellen Neustart des Spamfilter Dienstes behoben.
  • Bugfix: Fehler beim Anlegen von mehr als einem WLAN Netz behoben.
  • Bugfix: Fehler in den implizierten Regeln für SSL VPN und Verwendung des TCP Protokolls behoben.
  • Bugfix: Bei statischen DHCP Leases wurde kein Standard-Gateway/Nameserver übermittelt.
  • Bugfix: Mögliche, falsche Dekodierung des Mailheaders im Mailfilter Dienst behoben.
  • Bugfix: Mögliche Datenbankkorruption im Authentisierungs-Dienst behoben.
  • Bugfix: HTTP Proxy Performance verbessert.
  • Bugfix: Caching im Contentfilter verbessert.
  • Bugfix: Fehler im Anlegen von SSL VPN Site to Site Verbindungen behoben.
  • Bugfix: Fehler beim Anlegen der Netzwerkmaske bei SSL VPN Roadwarrior Verbindungen behoben.
  • Bugfix: Fehler in der automatischen Aktualisierung des Live-Logging im WebInterface behoben.
  • Feature: Im LCD Display wird jetzt die vollständige Versionsnummer angezeigt.

Build 11.1

  • Bugfix: Active Directory Authentifizierung für PPTP/L2TP VPN Verbindung.
  • Bugfix: Zuweisung fester IPs für PPTP/L2TP/SSL VPN Verbindungen.
  • Bugfix: Zuweisung von DNS/WINS Servern bei PPTP/L2TP Verbindungen.
  • Bugfix: TLS Support für PoP3Proxy deaktivierbar.
  • Bugfix: Setzen des Server-Flags bei Zertifikaten.
  • Feature: Verbesserungen der Bandbreite bei WLan Verbindungen.
  • Feature: Optimierungen beim Import von Konfigurationen aus der Version 10.
  • Feature: WoL Funktion für Active Directory Benutzer im UserInterface.
  • Feature: SSL VPN Funktion für Active Directory Benutzer im UserInterface.

Build 11.0.1

  • Bugfix: Portfiltersortierung, die Regeln wurden in Gruppen sortiert.
  • Bugfix: Contenfilter funktionierte nicht korrekt.

Build 11.0 - First Release

SICHERUNGSMANAGEMENT

  • Cloudbackup


NETZWERK

  • IPv6 Funktionalität
    • Konfiguration zu externen Tunnelbrokern (z.B. HE.net)
    • IPv6 DHCP + Router Advertisment
    • DHCP-Relay (generell nun auch durch VPN Tunnel möglich)
    • Regeln für DHCP werden automatisch für das entsprechende Interface angelegt
  • WLAN Access Point
    • Virtuelle WLANs (zum Beispiel Gäste Netze)
    • PSK oder Enterprise Authentisierung (Active Directory)
  • UMTS
    • Generelle Internetverbindung über UMTS oder Fallback


PACKETFILTER

  • Einzelne Host/Netze/Dienste oder in Kombination mit Gruppen möglich (kein Gruppenzwang mehr)
  • Implied Rules Konfiguration
    • Standarddienste wie Bootp, Netbios Broadcast... die nicht explizit freigeschaltet sind, können durch einen

Klick aus dem vom Logging entfernt werden.

    • Standarddienste wie VPN können durch einen Klick der Zugriff gewährt werden, ohne extra eine Regel zu

schreiben.

  • Static NAT, Hide Nat und deren Ausnahmen werden jetzt direkt im Paketfilter konfiguriert.
    • Bedeutet: wenn solch eine Regel geschrieben wird, muss keine extra Regel mehr für die Freischaltung

erstellt werden.

  • Überarbeitet QoS Management


HTTP PROXY

  • Deaktivieren der transparenten Funktion oder stoppen des Dienstes erwirkt auch Deaktivierung des Redirect

(gilt auch für PoP3 Proxy)

  • Virenscanning, Auswahl zwischen Comtouch und Clamav Virenscanner
  • SSL Interception
  • Webfilter/Contentfilter (kein Dansguardian mehr, alles über Squid und unserem Contentfilter)
    • Dedizierte Konfiguration von Nutzer oder/und Netzwerken
    • AdBlocking zentral möglich


REVERSE PROXY

  • Reverse Proxy für http/https
    • Loadbalacing auf interne Server
    • Bandbreitenmanagment
    • diverse Filtermöglichkeiten


SPAM FILTER

  • kein Bayes Filter mehr, nur noch über Comtouch Spamfilter und unserem Contentfilter

(Beispiel: pornografische Links)


NAMESERVER

  • Erstellung eigener Zone Files über die Oberfläche (Domain als auch Reverse).


DIENSTE STATUS

  • Zeigt nicht nur Stopp/Gestartet sondern auf Fehler.


IPSEC

  • Unterstützung von XAuth (interessant für iPhone und VPN Clients die das Unterstützen)


OPEN VPN

  • Site-to-Site Konfiguration nun auch möglich


CLIENTLESS VPN

  • VPN über den Browser für RDP und VNC ohne zusätzliche Plugins (moderner Browser erforderlich)


USERMANAGEMENT

  • Gruppenmanagement
  • Integration in Verzeichnisdienste


CLI

  • Komplett neue CLI Syntax
  • CLI auch über die Weboberfläche möglich


UPDATE

  • Beim Online-Update und Update über Speichermedium ist es möglich wieder auf die vorherige Version zurück

zu gehen.