TROYgate Appliance System Release Note – TROYgate-System-Software 4.2-1-0 Mai 2005 Einleitung Dieses Dokument beschreibt neue Funktionen, Änderungen, behobene- und bekannte Fehler der SystemSoftware 4.2-1-0. Um Sicherheit und Stabilität zu erhöhen sowie um einige typische Stolperfallen zu entschärfen gelten ab Version 4.2-1.0 die unten aufgeführten Änderungen der Grundkonfiguration. Die Konfiguration von laufenden Systemen die ein Update auf Version 4.2-1.0 installieren sind davon grundsätzlich nicht betroffen. Ausnahme: Die durch den MIME-Filter zu entfernenden Dateierweiterungen (siehe dazu »Neue Funktionen dieser Version« weiter unten). Die Änderungen betreffen nur neue Systeme und Systeme die in den Auslieferungszustand zurückgesetzt werden. Alle Einstellungen sind über die Oberfläche veränderbar. Deaktivierung folgender Server-Dienste: telnet: Aufgrund der mittlerweile sehr starken Verbreitung von Secure-Shell auch in der Windows-Welt wird der telnet-Dienst in der Grundkonfiguration deaktiviert. FTP: Dieser Dienst ist in der Regel nur erforderlich wenn Virenscanner im LAN die Signaturen vom TROYgate abholen sollen oder der Administrator auf den Quarantäne Bereich zugreifen möchte. time, daytime: An deren Stelle ist der Dienst NTP getreten. Alle diese Dienste können selbstverständlich über die Oberfläche jederzeit aktiviert werden. Virenscan-Proxy (per default deaktiviert): Max. 7 parallele Virenscan-Prozesse Vertrauenswürdige Server enthält windowsupdate.com und windowsupdate.microsoft.com Tagfilter für EMBED und OBJECT deaktiviert Proxylisten-Konfiguration (URL-Filter per default deaktiviert): Arbeitszeiten vorbelegt auf Mo-Fr, 7:00-18:00 Proxyliste »standard« ist der Gruppe »system-proxy« zugeordnet und filtert 1. den Inhalt aller Datenbanken mit Ausname der Kategorien »Deutscher Bildungsserver« und »Werbung« 2. pornografische Schlüsselwörter 3. Folgende Dateierweiterungen: ade adp app bas bat cer chm cmd com cpl crt csh dll emf eml fxp grp hlp hta inf ini ins isp its jse ksh lib lnk mad maf mag mam maq mar mas mat mau mav maw mda mdb mde mdt mdw mdz msc msi msp mst ocx ops pcd pif prf prg pst reg scf scr sct sh shb shs sys tmp url vb vbe vbs vcs vsmacros vss vst vsw vxd wmf ws wsc wsf wsh

TROYgate Release Notes

10. Mai 2005

Version 4.2-1-0 Seite 1 von 6

TROYgate Appliance System Die Default-Liste der zu filternden Mail-Attachments wurde erweitert (Attachment-Filter per default deaktiviert): ade adp app asd asf asx asp bas bat cer chm cmd com cpl crt csh dll emf exe fxp grp hlp hta inf ini ins isp its js jse ksh lib lnk mad maf mag mam maq mar mas mat mau mav maw mda mdb mde mdt mdw mdz msc msi msp mst ocx ops pcd pif prf prg pst reg scf scr sct sh shb shs sys tmp url vb vbe vbs vcs vsmacros vss vst vsw vxd wmd wmf wms wmz ws wsc wsf wsh Wöchentlicher Abruf der NTP-Zeit von »europe.pool.ntp.org« aktiviert.

Technische Unterstützung Um technische Unterstützung zu erhalten können Sie den TROYgate Support via Telefon oder E-Mail erreichen. Wenn Sie den technischen Support kontaktieren, halten Sie bitte folgende Informationen bereit: verwendete System-Software Version Geräte-ID TROYgate Support IP-Adresse Diese Informationen können Sie über den Menüpunkt »Home Konfigurationsoberfläche auslesen.

Systeminformation« in der TROYgate

So erreichen Sie den technischen Support: TROYgate Endkunden

: +49-7032-9454-21

TROYgate Fachhändler

: +49-7032-9454-21

Installation Kostenpflichtiges Update Um das Update kostenfrei herunterladen zu können muss ein Software-Updatevertrag bestehen oder das Gerät erst vor kurzem gekauft worden sein. Beim manuellen Download der Update-Datei werden Sie nach Benutzernamen und Kennwort gefragt. Geben Sie als Benutzername die Support-IP (z.B. 172.18.253.15) und als Kennwort die Geräte-ID (z.B. 473I-QN34-O@:5) ein. Sie finden diese Daten unter »Home -> Produktpass«.

Wichtig: Dieses Release kann nur auf einem TROYgate mit der installierten System-Software Version 4.1-4-0 oder höher installierte werden. Haben Sie einen älteren Firmwarestand, bitte installieren Sie vorher alle notwendigen Updates der Reihenfolge nach. Beispiel: Ihr TROYgate hat die System-Software Version 4.1-3-3 installiert. Um jetzt auf die System-Software Version 4.2-1-0 updaten zu können, müssen Sie zuvor mindestens die Version 4.1-4.0 installieren. In diesem Beispiel zuerst folgende Versionen: Basis:

4.1-3-3

1.

4.1-4-0

2.

4.2-1-0

TROYgate Release Notes

10. Mai 2005

Version 4.2-1-0 Seite 2 von 6

TROYgate Appliance System Auch für zukünftige Updates behalten Sie dieses Verfahren bitte bei. Sollte sich diesbezüglich eine Änderung ergeben, dann werden wir dieses explizit in der jeweiligen Release Note erwähnen.

Zur Installation: Erstellen Sie bitte zu Ihrer eigenen Sicherheit ein System-, Benutzer- und ggf. auch ein Mailbackup. Downloaden Sie die Update-Software Version 4.2-1-0 von der TROYgate Update-Webseite. Diese erreichen Sie unter http://update.troygate.de/firmware.html. Führen Sie über den Menüpunkt »Administration Update« ein interaktives Update durch. Wählen Sie dazu die Option »Das Update interaktiv durchführen.« aus und folgen Sie den Anweisungen auf dem Bildschirm. Klicken Sie im Folgenden auf »Weiter« um das Update automatisch installieren zu lassen. Über den Fortgang des Updates und ggf. einen Reboot des TROYgate werden Sie im interaktiven Update-Log informiert. Sie haben zusätzlich die Möglichkeit ein manuelles Update durchzuführen. Wählen Sie dazu bitte im Menü die Option »Eine vorhandene Update-Datei manuell einspielen«. Folgen Sie dann den Anweisungen auf dem Bildschirm.

Neue Funktionen dieser Version NEU: Reverse-Proxy und Load-Balancer Mit Hilfe des Reverse-Proxies kann der Zugriff aus dem Internet auf Web-Anwendungen im LAN ab sofort besser abgesichert werden. Mit dem Reverse-Proxy kann sowohl mit HTTP als auch mit HTTPS (also verschlüsselt) kommuniziert werden. Die Verbindung zum Anwendungs-Server im Hintergrund erfolgt dann mit HTTP. So können selbst dann verschlüsselte Internet-Verbindungen genutzt werden, wenn der Anwendungs-Server selbst HTTPS nicht unterstützt. Bisher wurde DNAT (Portforwarding) genutzt um Verbindungen aus dem Internet auf IP-Ebene an den Server im LAN umzuleiten. Mit dem neuen Reverse-Proxy erfolgt die Weiterleitung hingegen auf Applikations-Ebene. So ergeben sich eine Reihe von Möglichkeiten, wie z.B. eine zusätzliche Authentifizierung oder die Syntax-Überprüfung der angeforderten URL um z.B. Buffer-Overflow Angriffe zu verhindern. Auch der Internet-Zugriff auf den Webmail-Client kann zukünftig über den Reverse-Proxy erfolgen ohne dabei den Zugriff auf die Administrations-Oberfläche ebenfalls freizugeben. Der Reverse-Proxy kann darüber hinaus auch zur Lastverteilung beim Zugriff auf eine WebServer-Farm genutzt werden.

NEU: Erweiterte Funktionalität des Web-Proxy (ehemals »Proxy-Cache«) Aufgrund der Vielzahl neuer Proxies wurde der ehemalige Menü-Punkt »Proxy-Cache« in »WebProxy« umbenannt. Alle Proxies sind unter dem neuen Menü-Punkt »Proxies« zusammengefasst. Achtung: War es bislang möglich, den Virenscan-Proxy durch Zugriffe auf Port 8081 zu umgehen, wird dies mit dem Einspielen dieses Updates nicht länger unterstützt. Nutzen Sie die Einstellung »Vertrauenswürdige Server« um den Virenscan für bestimmte Adressen außer Kraft zu setzen. Aus Kompatibilitätsgründen kann der Zugriff auf Port 8081 jedoch über die Oberfläche wieder aktiviert werden. Auch der Web-Proxy kann nun transparent genutzt werden. Mit Hilfe einer entsprechenden DNAT-Regel in der Firewall können so Zugriffe auf Port 80 automatisch an den Proxy umgeleitet werden. Die Umkonfiguration des Web-Browsers kann so entfallen. Beachten Sie jedoch bitte, dass HTTP-Zugriffe auf andere Ports und auch z.B. HTTPS nicht transparent umgeleitet werden können. Der Zugriff auf den Web-Proxy kann nun über die Oberfläche auf bestimmte Quell-IP-Adressen eingeschränkt werden. In der Grundeinstellung ist dies nur noch den in den Grundeinstellungen konfigurierten lokalen IP-Subnetzen erlaubt. TROYgate Release Notes

10. Mai 2005

Version 4.2-1-0 Seite 3 von 6

TROYgate Appliance System Die Option »Mehrfachanmeldung eines Benutzers verhindern« steht nun auch bei aktiviertem Virenscan-Proxy zur Verfügung. Der Web-Proxy nun auch als ICAP-Client fungieren. Browser-Anfragen und die aus dem Internet erhaltenen Daten können auf diese Weise zur Filterung an einen externen ICAP-Server übergeben werden.

NEU: SIP-Poutbound Proxy mit integriertem RTP-Proxy für Voice-over-IP In den meisten LANs werden interne IP-Adressen genutzt die dann mit NAT (Network-AddressTranslation) umgesetzt werden. Dies ist ein großes Hindernis für die Nutzung von Voice-over-IP. Mit dem neue SIP-Proxy ist es nun für mehrere Benutzer möglich, sowohl Anrufe in das Internet zu tätigen als auch angerufen zu werden. Steht kein externer Voice-over-IP Provider zur Verfügung, kann der SIP-Proxy sogar als einfacher Registrar fungieren.

NEU: Bandbreiten Management Daten-Pakete in das Internet können nun verschiedenen Prioritäts-Klassen zugeordnet werden. Über spezielle Schalter können VPN und Voice-over-IP priorisiert werden. Für beliebige andere Anwendungen lässt sich basierend auf der IP-Signatur einstellen, ob diese bevorzugt oder benachteiligt werden sollen. Die Zuordnung der verfügbaren Bandbreite erfolgt grundsätzlich dynamisch. Ungenutzte Bandbreite einer höheren Prioritäts-Klasse steht den darunter liegenden zur Verfügung. Eine gewisse Mindestbandbreite steht bei Bedarf auch der niedrigsten Stufe zu.

NEU: Benutzer-Konfiguration über das Microsoft Windows Active-Directory Die Benutzer- und Gruppendefinition kann nun über das Microsoft Windows Active-Directory durchgeführt werden. Nutzen Sie diese Funktion zum einmaligen Import oder zum regelmäßigen Abgleich der Benutzer. In einer der folgenden Versionen wird dieser Vorgang auch automatisiert zu bestimmten Zeitpunkten ablaufen können. Wird auf dem Windows Domain-Controller eine mitgelieferte DLL installiert, so können mit den Benutzern auch deren Kennwörter importiert werden. Nähere Informationen dazu finden Sie im Handbuch und in der Online-Hilfe.

NEU: Statistik der über die Internetschnittstelle übertragene Datenmenge In der Netzwerk-Statistik ist nun auch das monatliche Gesamtvolumen der über die InternetSchnittstelle übertragenen Daten ersichtlich. Achtung: Bereits mit dem Update werden auch Werte für die vergangenen Monate angezeigt. Dabei handelt es sich um eine Hochrechnung die aus dem Datenbestand der Transferrate errechnet wurde. Von daher ist dieser Wert ungenau. Erst mit dem Zeitpunkt des Updates beginnt die exakte Bestimmung des Datenvolumens.

Update: SPAM-Filter Die SPAM-Filter-Software und damit auch deren Signatur-Datenbank wurden aktualisiert. Sind die DNS-basierenden schwarzen Listen zur Echtzeit-Filterung aktiviert, werden ab sofort auch Links geprüft, die aus dem Text einer Mail auf bekannte SPAM-Server verweisen. Bisher wurden die Echtzeit-Listen ausschließlich dazu genutzt um zu prüfen über welche Mail-Server die E-Mail geleitet wurde. Die Oberfläche erlaubt es nun niedrigere Grenzwerte zu konfigurieren ab denen eine E-Mail als SPAM markiert oder verworfen wird.

Update: MIME-Dateianhang Filter In der neuen Version wird auch die erste Ebene von ZIP-Archiven nach gesperrten Dateinamen TROYgate Release Notes

10. Mai 2005

Version 4.2-1-0 Seite 4 von 6

TROYgate Appliance System durchsucht. Wird innerhalb des Archives eine unerwünschte Datei gefunden, so wird das gesamte Archive unter Quarantäne gestellt. Die Liste der im Auslieferungszustand vorgeschlagenen gesperrten Datei-Typen wurde von ehemals 15 auf nun 88 stark erweitert. Die neu hinzugekommenen werden auch in die Konfiguration bestehender Systeme übernommen, sofern noch mindestens 12 der ursprünglichen Erweiterungen in der Sperr-Liste zu finden sind. Nach folgenden Einträgen wird gesucht: bat, com, dll, eml, exe, ini, js, lnk, ocx, pif, reg, scr, shs, vbs, vxd. Selbstverständlich wirkt sich diese Änderung nur dann aus, wenn der MIME-Filter auch tatsächlich aktiviert ist.

Update: Mail-Virenscan-Modul Das neue Modul unterstützt (unabhängig von der Funktionalität des verwendeten Virenscanners) zusätzliche Archiv-Formate.

Bereits umgesetzte Änderungen Folgende Features konnten bereits in den 4.1er Versionen auf Systemen mit SoftwarePflegevertrag genutzt werden. In 4.2 sind diese Funktionen nun auf allen Systemen verfügbar:

NEU: FTP-Proxy für "echte" FTP-Clients Für Datei-Uploads mit FTP (z.B. zur Pflege der Inhalte des Web-Servers im Interent) musste bislang die Firewall geöffnet werden. Ab sofort steht ein FTP-Proxy auf Port 2121 zur Verfügung. FTP-Clients können sich über diesen mit FTP-Servern im Internet verbinden. Die Freigabe von FTP im Firewall ist nicht mehr notwendig. Auf Wunsch werden Downloads zudem auf Viren geprüft. Der FTP-Proxy kann auch transparent betrieben werden. In diesem Falle ist er sowohl von FTPClients als auch Web-Browsern ohne Änderung in deren Konfiguration verwendbar. Web-Browser sollten jedoch bevorzugt wie bisher den Proxy-Cache auf Port 8080 für FTP-Downloads verwenden. Im nicht-transparenten Modus können Browser den FTP-Proxy nicht nutzen. In der Grundeinstellung ist der FTP-Proxy-Dienst nicht aktiviert. Der Zugriff auf FTP-Server ist zudem gesperrt und muss explizit in der Konfiguration des FTP-Proxies freigegeben werden. Nähere Informationen finden Sie in Online-Hilfe bzw. Handbuch.

NEU: Umleitung von SPAM-Mails im Relay-SPAM-Filter Statt der Zustellung einer als SPAM markierten E-Mail an den ursprünglichen Empfänger, besteht im benutzerunabhängigen SPAM-Filter (Relay-SPAM-Filter) nun alternativ die Möglichkeit, potentiellen SPAM an eine bestimmte zentrale Adresse umzuleiten. NEU: Virtuelle E-Mail Adressen Bislang war es im Mail-Server nicht möglich, E-Mails an info@domainA an einen anderen Benutzer wie info@domainB zuzustellen. Der neue Bereich »Virtuelle Adressen« unter »Expertenmodus -> Mail-Server« stellt nun auch diese Funktion zur Verfügung.

NEU: Intrusion Prevention für IDS Auf Wunsch meldet das IDS bestimmte verdächtige Pakete an die dynamische Firewall. Diese ist so in der Lage, geeignete Gegenmaßnahmen einzuleiten.

TROYgate Release Notes

10. Mai 2005

Version 4.2-1-0 Seite 5 von 6

TROYgate Appliance System Hinweis Die in dieser Release Note enthaltenen Informationen beruhen auf sorgfältiger Recherche. Dennoch lässt es sich nicht ausschließen, dass eine Information im Einzelfall unzutreffend ist. Wir bitte daher um Ihr Verständnis, wenn wir keine Gewähr für die Richtigkeit der Informationen übernehmen und jede Haftung ausschließen. Sollten Sie feststellen, dass eine Information unzutreffend ist, bitten wir um Rückmeldung. Richten Sie diese bitte an: [email protected] Erstellt am: 10.05.2005

TROYgate Release Notes

10. Mai 2005

Version 4.2-1-0 Seite 6 von 6