3Änderungen gegenüber der Vorversion
3.1Übersicht der Änderungen in Version 8.9
Für eine detailliertere Übersicht der Änderungen siehe mGuard-Firmware Version 8.9.x – Release Notes.
Die folgenden Funktionen wurden in Firmwareversion 8.9 hinzugefügt:
–Die Zeitsynchronisation mit einigen NTP-Clients, insbesondere von SPS-Systemen, kann optimiert werden (siehe Variable „‘discard minimum 1‘“ auf Seite 52).
–Der Aufbau einer Datenverbindung über das Mobilfunkmodem kann optimiert werden (siehe Variable „Daten-Roaming“ auf Seite 176).
3.2Übersicht der Änderungen in Version 8.8
Für eine detailliertere Übersicht der Änderungen siehe mGuard-Firmware Version 8.8.x – Release Notes.
Die folgenden Funktionen wurden in Firmwareversion 8.8 hinzugefügt oder entfernt:
–Filtern von TCP-Paketen mit gesetztem URGENT-Flag
Filtern von TCP-Paketen mit gesetztem URGENT-Flag
IT-Sicherheitsexperten haben elf Sicherheitslücken im Echtzeit-Betriebssystem VxWorks aufgedeckt (URGENT/11). Sechs Sicherheitslücken erlauben es einem Angreifer, Code auf betroffenen Geräten zu installieren und auszuführen (Remote Code Execution):
–CVE-2019-12256
–CVE-2019-12257
–CVE-2019-12255
–CVE-2019-12260
–CVE-2019-12261
–CVE-2019-12263
Vorgeschaltete mGuard-Geräte können über ihre Firewall-Funktionalität betroffene Geräte vor diesbezüglichen Angriffen schützen (siehe detaillierte Beschreibung unter phoenixcontact.com).
mGuard-Firmwareversion 8.8.0 bietet dazu eine neue Funktion, mit der TCP-Pakete, die im TCP-Header ein URGENT-Flag gesetzt haben, blockiert werden können (siehe Kapitel 8.1.7: TCP-Pakete mit gesetztem URGENT-Flag blockieren).
Verschlüsselter Zustandsabgleich in aktivierter Firewall- und VPN-Redundanz wird nicht mehr unterstützt
Ab mGuard Firmwareversion 8.8.0 ist ein verschlüsselter Zustandsabgleich bei aktivierter Firewall- und VPN-Redundanz nicht mehr möglich.
Ein Update auf Firmware-Version 8.8.0 ist nur möglich, wenn die Funktion „Verschlüsselter Zustandsabgleich“ zuvor deaktiviert wurde.
3.3Übersicht der Änderungen in Version 8.7
Für eine detailliertere Übersicht der Änderungen siehe mGuard-Firmware Version 8.7.x – Release Notes.
Die folgenden Funktionen wurden für die Firmwareversion 8.7 hinzugefügt:
–QoS-Funktionen in VPN-Verbindungen werden nicht mehr unterstützt
–Neue Versionen des Konfigurationsspeichers MEM PLUG werden unterstützt
QoS-Funktionen in VPN-Verbindungen werden nicht mehr unterstützt
Die folgenden Quality of Service-Funktionen wurden entfernt und werden in VPN-Verbindungen nicht mehr unterstützt:
–Egress-Queues (VPN)
–Egress-Zuordnungen (VPN)
Neue Versionen des Konfigurationsspeichers MEM PLUG werden unterstützt
Neue Versionen des externen Konfigurationsspeichers MEM PLUG mit höherer Kapazität für das Gerät FL MGUARD GT/GT werden unterstützt.
3.4Übersicht der Änderungen in Version 8.6
Für eine detailliertere Übersicht der Änderungen siehe mGuard-Firmware Version 8.6.x – Release Notes.
Die folgenden Funktionen wurden für die Firmwareversion 8.6 hinzugefügt:
–SNMPv3-Benutzername und -Passwort können geändert werden
–Vereinfachte Suche nach Firewall-Regeln auf Grundlage der Log-Einträge
–NTP-Zeitsynchronisation über VPN möglich
–DHCP-Server über die DMZ-Schnittstelle verfügbar
–SSH-Fernzugang für den Benutzer root kann deaktiviert werden
Das Programm BusyBox wurde auf Version 1.26.1 aktualisiert.
Benutzer, die UNIX-Dienstprogramme oder Shell-Skripte (z. B. Rollout-Scripts) auf dem mGuard ausführen, sollten diese auf geändertes Verhalten überprüfen.
SNMPv3-Benutzername und -Passwort können geändert werden
Der in früheren mGuard-Versionen fest vergebene SNMPv3-Benutzername „admin“ kann über die Web-Oberfläche, eine ECS-Konfiguration oder ein Rollout-Script geändert werden. Das Gleiche gilt für das zugehörige SNMPv3-Passwort (siehe „Verwaltung >> SNMP“ auf Seite 105).
Vereinfachte Suche nach Firewall-Regeln auf Grundlage der Log-Einträge
Das Anklicken eines Log-Eintrags des Netzwerksicherheits-Logs öffnet die Konfigurationsseite mit der Firewall-Regel, die den Log-Eintrag verursacht hat (siehe „Logging >> Logs ansehen“ auf Seite 435).
NTP-Zeitsynchronisation über VPN möglich
Die Anfrage des NTP-Servers zur Zeitsynchronisation kann, wenn ein passender VPN-Tunnel konfiguriert ist, über diesen VPN-Tunnel durchgeführt werden (siehe „NTP-Server“ auf Seite 52).
Im Stealth-Modus „Automatisch“ kann der mGuard den DNS-Server seines zu schützende Clients verwenden
Im Stealth-Modus „Automatisch“ kann der mGuard automatisch den verwendeten DNS-Server seines zu schützenden Clients ermitteln und ebenfalls verwenden. Dazu muss in den DNS-Einstellungen als Nameserver „Provider-definiert (d. h. via PPPoE oder DHCP)“ ausgewählt werden (siehe „Zu benutzende Nameserver“ auf Seite 220).
DHCP-Server über die DMZ-Schnittstelle verfügbar
Der mGuard kann auf der DMZ-Schnittstelle als DHCP-Server fungieren und anfragenden Clients automatisch eine Netzwerkkonfiguration über das DHCP-Protokoll zuweisen (siehe „DMZ DHCP“ auf Seite 231).
SSH-Fernzugang für den Benutzer root kann deaktiviert werden
Der SSH-Zugang kann für den Beutzer „root“ deaktiviert werden (siehe „Erlaube SSH-Zugang als Benutzer root“ auf Seite 56).
3.5Übersicht der Änderungen in Version 8.5
Für eine detailliertere Übersicht der Änderungen siehe mGuard-Firmware Version 8.5.x – Release Notes.
Die folgenden Funktionen wurden für die Firmwareversion 8.5 hinzugefügt:
–Proxy-Authentifizierung durch VPN Path Finder
–SNMP-Trap „Service-Eingang/CMD“
–TLS-Authentifizierung in OpenVPN-Verbindungen
–Firewall-Funktionalität in mGuard-Geräten der RS2000-Serie
–Die Funktion CIFS-Anti-Virus-Scan-Connector entfällt
–1:1-NAT in OpenVPN-Verbindungen
–COM-Server-Funktionalität wurde erweitert
Proxy-Authentifizierung durch VPN Path Finder
Die Path Finder-Funktion des initiierenden Gateways unterstützt die Proxy-Authentifizierungsmechanismen: „NTLM“, „Basic“ .
SNMP-Trap „Service-Eingang/CMD“
Der neue hardwarebezogene Trap „Service-Eingang/CMD“ wird gesendet, wenn ein Service-Eingang/CMD durch einen Schalter oder Taster geschaltet wird.
TLS-Authentifizierung in OpenVPN-Verbindungen
OpenVPN-Verbindungen können zusätzlich über den Austausch von statischen Pre-Shared-Keys (TLS-PSK) abgesichert werden.
1:1-NAT in OpenVPN-Verbindungen
In OpenVPN-Verbindungen kann lokales1:1-NAT verwendet werden.
Firewall-Funktionalität in mGuard-Geräten der RS2000-Serie
Die bisherige Funktionalität der sogenannten „2-Click-Firewall“ auf mGuard-Geräten der RS2000-Serie wurde erweitert. Das Anlegen von Firewall-Regeln und die Verwendung von IP- und Portgruppen ist nun möglich. Die Firewall-Zugriffe werden in Log-Dateien erfasst und dargestellt.
Die Funktion CIFS-Anti-Virus-Scan-Connector entfällt
Die Funktion CIFS-AV-Scan-Connector entfällt.
COM-Server-Funktionalität wurde erweitert
Die COM-Server-Funktionalität für die serielle Schnittstelle unterstützt zusätzlich Paketlängen von 7 Bit.
3.6Übersicht der Änderungen in Version 8.4
Die folgenden Funktionen wurden für die Firmwareversion 8.4 hinzugefügt:
–Unterstützung des LTE-Mobilfunkmodems (4G)
–Automatische Anmeldung beim CDMA-Mobilfunkprovider
–Modbus-TCP (Deep Packet Inspection)
–Verwendung von Hostnamen in IP-Gruppen (Firewall-Regeln)
–Zugriffsbeschränkung (intern/extern) für den mGuard-NTP-Server
Unterstützung des LTE-Mobilfunkmodems (4G)
mGuard-Geräte mit eingebautem LTE-Mobilfunkmodem (4G) werden unterstützt.
Automatische Anmeldung beim CDMA-Mobilfunkprovider
Die Anmeldung und Aktivierung eines bereits beim CDMA-Mobilfunkprovider (Verizon – USA) registrierten Geräts erfolgt automatisch, sobald die Mobilfunkverbindung zum Provider das erste Mal aufgebaut wird („Mobile network cdma2000 OTASP Registration“ auf Seite 172).
mGuard-Geräte mit enthaltener Mobilfunk-Funktion können mit einer SMS-Nachricht und einem darin enthaltenem Token neu gestartet (rebootet) werden (siehe „Neustart“ auf Seite 129).
Modbus-TCP (Deep Packet Inspection)
Der mGuard kann ein- und ausgehende Modbus-TCP-Verbindungen, d. h. in der Regel Verbindungen an TCP-Port 502, prüfen (Deep Packet Inspection) und bei Bedarf filtern.
Die Regeln für die Filterung von Modbus-TCP-Paketen werden in Modbus-TCP-Regelsätzen konfiguriert. Diese Regelsätze können in den folgenden Firewall-Tabellen als Aktion ausgewählt werden: Allgemeiner Paketfilter / DMZ / GRE / IPsec VPN / OpenVPN-Client / PPP (siehe „Modbus TCP“ auf Seite 302).
Verwendung von Hostnamen in IP-Gruppen (Firewall-Regeln)
In IP-Gruppen können neben IP-Adressen auch Hostnamen angegeben werden (DNS-basierte Firewall-Regeln).
Damit wird die Verwendung von Hostnamen in Firewall-Tabellen möglich, in denen IP-Gruppen ausgewählt werden können (siehe „IP- und Portgruppen“ auf Seite 293): Allgemeiner Paketfilter / DMZ / GRE / IPsec VPN / OpenVPN-Client / NAT / Benutzer-Firewall.
Zugriffsbeschränkung (intern/extern) für den mGuard-NTP-Server
Eingehende Anfragen an den NTP-Server des mGuards über beliebige Interfaces können mittels Firewall-Regeln beschränkt werden (siehe „Aktiviere NTP-Zeitsynchronisation“ auf Seite 52).
Vor der Durchführung der Recovery-Prozedur wird die aktuelle Konfiguration des Geräts in einem neuen Konfigurationsprofil gespeichert („Recovery-DATUM“). Das Gerät startet nach der Recovery-Prozedur mit den werkseitigen Voreinstellungen. Die vorher aktive Konfiguration kann über das Recovery-Konfigurationsprofil mit oder ohne Änderungen wiederhergestellt werden.
Das Schalten eines CMD-Kontaktes (CMD 1–3) mittels angeschlossenem Schalter oder Taster erzeugt einen Log-Eintrag.
3.7Übersicht der Änderungen in Version 8.3
Die folgenden Funktionen wurden für die Firmware Version 8.3 hinzugefügt:
–Aufbau von OpenVPN-Verbindungen
–Dynamisches Routing (OSPF)
–Unterstützung von GRE-Tunneln
–Unterstützung der Path Finder-Funktion des mGuard Secure VPN Client s
–Verwendung von IP- und Portgruppen
–Neue Zugriffsüberprüfung und veränderte Prüfberichtserstellung (Logging) bei CIFS
–Verbesserte Anzeige des VPN-Status (IPsec)
–Verbessertes Timeout-Verhalten bei VPN-Verbindungen
–Neues VPN-Lizenz-Modell
–Verbesserte Verwendung von Konfigurationsprofilen
–Optionale Nutzung des Proxy-Servers durch das sekundäre externe Interface
–Unterstützung von XAuth und Mode Config (iOS-Support)
Aufbau von OpenVPN-Verbindungen
Der mGuard kann als OpenVPN-Client VPN-Verbindungen zu Gegenstellen aufbauen, die OpenVPN als Server unterstützen (siehe „Menü OpenVPN-Client“ auf Seite 385).
Dynamisches Routing (OSPF)
Unterstützung des dynamischen Routing-Protokolls OSPF (Open Shortest Path First). Der mGuard kann als OSPF-Router dynamisch die Routen von benachbarten OSPF-Routern lernen und eigene sowie gelernte Routen weiterverbreiten. Dies erleichtert die Konfiguration von komplexen Netzwerkstrukturen, da weniger Routen statisch eingetragen werden müssen (siehe „Netzwerk >> Dynamisches Routing“ auf Seite 236).
Die OSPF-Routen können über jedes ausgewählte Interface (Intern, Extern, DMZ) und ebenfalls über IPsec-Verbindungen gelernt und weiterverbreitet werden (im Falle von IPsec unter Zuhilfenahme eines GRE-Tunnels).
Unterstützung von GRE-Tunneln
Der mGuard unterstützt die Verwendung von GRE-Tunneln. Damit ist es möglich, andere Netzwerk-Protokolle einzukapseln und in Form eines Tunnels über das Internet Protocol (IP) zu transportieren. Die dynamische Verbreitung von OSPF-Routen über IPsec-Verbindungen wird dadurch ermöglicht (siehe „Netzwerk >> GRE-Tunnel“ auf Seite 241).
Unterstützung der Path Finder-Funktion (mGuard Secure VPN Client )
Die Funktion „Path Finder“ ermöglicht den Verbindungsaufbau durch den mGuard Secure VPN Client , wenn sich dieser hinter einem Proxy-Server oder einer Firewall befindet (siehe „TCP-Kapselung mit aktivierter Funktion „Path Finder““ auf Seite 336).
Verwendung von IP- und Portgruppen
Mithilfe von IP- und Portgruppen lassen sich Firewall- und NAT-Regeln in komplexen Netzwerkstrukturen einfacher anlegen und verwalten.
IP-Adressen, IP-Bereiche und Netzwerke können in IP-Gruppen zusammengefasst und mit einem Namen bezeichnet werden. Ports oder Portbereiche lassen sich ebenfalls in Portgruppen zusammenfassen.
Wird eine Firewall- oder NAT-Regel angelegt, können die IP- oder Portgruppen direkt anstelle von IP-Adressen/IP-Bereichen bzw. Ports/Portbereichen in den entsprechenden Feldern ausgewählt und der Regel zugewiesen werden (siehe „IP- und Portgruppen“ auf Seite 293).
Neue Zugriffsüberprüfung und veränderte Prüfberichtserstellung (Logging) bei CIFS
Zugriffsüberprüfung
Um zu vermeiden, dass eine umfangreiche Integritätsprüfung aufgrund von fehlenden Zugriffsberechtigungen auf dem Ziellaufwerk abgebrochen wird, kann die Zugriffsberechtigung vor dem eigentlichen Scan geprüft werden. Diese Zugriffsüberprüfung verläuft deutlich schneller und erzeugt einen Prüfbericht, der heruntergeladen und analysiert werden kann. Sind alle Zugriffsberechtigungen gegeben, kann anschließend die Integritätsprüfung durchgeführt werden (siehe „CIFS-Integrity-Monitoring >> CIFS-Integritätsprüfung“ auf Seite 318).
Prüfbericht (Log-Datei)
Im Prüfbericht der Integritätsprüfung werden die alten Ergebnisse einer Prüfung nicht gelöscht, wenn eine neue Prüfung erfolgt. Der Bericht wir ferner um die neuen Ergebnisse ergänzt. Erreicht der Bericht eine bestimmte Dateigröße, wird er als Backup-Datei abgelegt, und ein neuer Prüfbericht wird erstellt. Erreicht dieser Prüfbericht ebenfalls eine bestimmte Dateigröße, wird die Backup-Datei mit dem neuen Bericht überschrieben, und ein weiterer Bericht wird angelegt (siehe „Prüfbericht“ auf Seite 326).
Verbesserte Anzeige des VPN-Status (IPsec)
Der Statusseite zur Anzeige von Informationen zu VPN-Verbindungen wurde überarbeitet. Der Status aller VPN-Verbindungen wird übersichtlich dargestellt („IPsec VPN >> IPsec Status“ auf Seite 383).
Neues VPN-Lizenz-Modell
Das neue VPN-Lizenz-Modell erlaubt es, mit allen VPN-Lizenzen Tunnelgruppen zu erstellen.
Die Lizenz begrenzt nun nicht mehr die Anzahl der aufgebauten Tunnel, sondern die Anzahl der verbundenen Gegenstellen (VPN-Peers). Werden zu einer Gegenstelle mehrere Tunnel aufgebaut, wird nur eine Gegenstelle gezählt, was eine Verbesserung zum alten Modell darstellt.
Der Lizenzstatus, also die Gesamtzahl und die aktuell verwendete Anzahl lizenzierter Gegenstellen, wird in den Menüs „IPsec VPN“ und „OpenVPN-Client“ übersichtlich dargestellt.
Verbesserte Verwendung von Konfigurationsprofilen
Bevor die Einstellungen von gespeicherten Konfigurationsprofilen in Kraft gesetzt werden, können die Veränderungen zur aktuellen Konfiguration sichtbar gemacht und so überprüft werden. Die Änderungen können unverändert übernommen werden. Einzelne Einstellungen können aber auch vor dem Übernehmen beliebig geändert werden (siehe „Konfigurationsprofile“ auf Seite 98).
Verbessertes Timeout-Verhalten bei VPN-Verbindungen
Der Timeout kann eine VPN-Verbindung stoppen, die über eine Schaltfläche in der Web-Oberfläche, SMS, Schalter, Taster oder das Skript nph-vpn.cgi gestartet wurde. Diese VPN-Verbindung wird nach Ablauf des Timeouts beendet und in den Zustand „Gestoppt“ versetzt.
Eine VPN-Verbindung, die durch Datenverkehr initiiert (aufgebaut) wird, wird ebenfalls per Timeout beendet. Diese VPN-Verbindung wird nach Ablauf des Timeouts allerdings nicht in den Zustand „Gestoppt“ versetzt, sondern verbleibt im Zustand „Gestartet“. Bei erneut auftretendem Datenverkehr wird die VPN-Verbindung wieder aufgebaut. Diese Funktion ist vor allem bei der Verwendung der mobilen Schnittstelle (3G) sinnvoll.
Unterstützung von XAuth und Mode Config (iOS-Support)
Der mGuard unterstützt jetzt die Authentifizierungsmethode „Extended Authentication“ (XAuth) und die häufig erforderliche Protokollerweiterung „Mode Config“ inklusive Split Tunneling als Server und als Client (u. a. Unterstützung von Apple iOS). Netzwerkeinstellungen, DNS- und WINS-Konfigurationen werden dem IPsec-Client vom IPsec-Server mitgeteilt (siehe „Mode Configuration“ auf Seite 350).
Optionale Nutzung des Proxy-Servers durch das sekundäre externe Interface
Wird ein Proxy-Server verwendet, kann das sekundäre externe Interface von dessen Nutzung ausgenommen werden. Dies kann sinnvoll sein, wenn es sich bei dem sekundären externen Interface um ein Mobilfunkmodem (3G) handelt (siehe „Netzwerk >> Proxy-Einstellungen“ auf Seite 234).
3.8Übersicht der Änderungen in Version 8.1
Die folgenden Funktionen wurden für die Firmware Version 8.1 hinzugefügt.
–Benutzerfirewall in VPN-Verbindungen
–Dynamische Aktivierung der Firewall-Regeln
–Erweiterung der Funktion der Servicekontakte
–OPC Inspector zur Deep Packet Inspection für OPC Classic
–Erweiterte DynDNS-Anbieter
–Neuer Modus beim Authentisierungsverfahren Pre-Shared Key (PSK)
–In der Web-Oberfläche werden dynamische Änderungen grau gestellt.
–Ausführliches Logging von Modems
Benutzerfirewall in VPN-Verbindungen
Die Benutzerfirewall kann innerhalb von VPN-Verbindungen benutzt werden.
Bei der Benutzerfirewall kann nun eine VPN-Verbindung ausgewählt werden, in der die Benutzerfirewall-Regeln gültig sind (unter Netzwerksicherheit >> Benutzerfirewall >> Benutzerfirewall-Templates).
Dynamische Aktivierung der Firewall-Regeln (Conditional Firewall)
Die Firewall-Regeln können jetzt über ein externes Ereignis aktiviert werden:
–Eine Schaltfläche in der Web-Oberfläche (unter Netzwerksicherheit >> Paketfilter >> Regelsätze)
–Eine API-Befehlszeile, die über den Namen
oder die Row-ID aktiviert wird.
/Packages/mguard-api_0/mbin/action fwrules/[in]active <ROWID>
–/Packages/mguard-api_0/mbin/action_name fwrules/[in]active <NAME>
–Ein extern angeschlossenen Taster/Schalter (bei mGuards, die den Anschluss erlauben, siehe „Dynamische Aktivierung der Firewall-Regeln (Conditional Firewall)“ auf Seite 39)
–Das Starten oder Stoppen einer VPN-Verbindung. Es kann eingestellt werden, ob eine gestartete bzw. gestoppte VPN-Verbindung den Firewall-Regelsatz aktiviert oder inaktiviert. Ein erfolgreicher Aufbau der VPN-Verbindung ist dabei nicht von Bedeutung. (Das Starten der VPN-Verbindung kann über eine Schaltfläche in der Web-Oberfläche, SMS, Schalter, Taster, Datenverkehr oder das Skript nph-vpn.cgi erfolgen.)
–Eine eingehende SMS (nur beim TC MGUARD RS4000/RS2000 3G ). Siehe „Token für SMS-Steuerung“ unter Netzwerksicherheit >> Paketfilter >> Regelsätze.
–Das CGI-Interface. Das CGI-Script „nph-action.cgi may“ kann benutzt werden, um Firewall-Regelsätze zu steuern.
Es kann automatisch eine E-Mail verschickt werden, wenn sich der Status der Firewall-Regelsätze ändert. Beim TC MGUARD RS4000/RS2000 3G kann in einem solchen Fall auch eine SMS verschickt werden.
Erweiterung der Funktion der Servicekontakte
An einige mGuards könnten Servicekontakte (Service I/Os) angeschlossen werden.
–TC MGUARD RS4000/RS2000 3G
–FL MGUARD RS4000/RS2000
–FL MGUARD RS
–FL MGUARD GT/GT
An die Eingänge CMD 1-3 können ein Taster oder ein Ein-/Aus-Schalter angeschlossen werden. Der Taster oder Ein-/Aus-Schalter dient zum Auf- und Abbau von zuvor definierten VPN-Verbindungen oder der definierten Firewall-Regelsätze.
Dafür wird bei den VPN-Verbindungen eingestellt, ob die VPN-Verbindung über einen der Servicekontakte geschaltet werden soll (IPsec VPN >> Verbindungen >> Editieren >> Allgemein). Bei einem angeschlossenen Schalter kann das Verhalten des Schalters auch invertiert werden.
Für die Firewall-Regelsätze kann eingestellt werden, ob eine Regel über einen der Servicekontakte oder eine VPN-Verbindung geschaltet werden soll (Netzwerksicherheit >> Paketfilter >> Regelsätze).
Auf diese Weise können ein oder mehrere frei wählbare VPN-Verbindungen oder Firewall-Regelsätze geschaltet werden. Auch eine Mischung von VPN-Verbindungen und Firewall-Regelsätzen ist möglich.
Über die Web-Oberfläche wird angezeigt, welche VPN-Verbindungen und welche Firewall-Regelsätze an einen Eingang gebunden sind (Verwaltung >> Service I/O>> Servicekontakte).
Außerdem kann in der Web-Oberfläche das Verhalten der Ausgänge ACK 1-3 eingestellt werden (Verwaltung >> Service I/O>> Servicekontakte).
Über die Ausgänge ACK O1-2 können bestimmte VPN-Verbindungen oder Firewall-Regelsätze überwacht und über LEDs angezeigt werden.
Der Alarmausgang ACK 03 überwacht die Funktion des mGuards und ermöglicht damit eine Ferndiagnose.
Durch den Alarmausgang wird Folgendes gemeldet, wenn das aktiviert worden ist.
–Der Ausfall der redundanten Versorgungsspannung
–Überwachung des Link-Status der Ethernet-Anschlüsse
–Überwachung des Temperaturzustandes
–Überwachung des Verbindungsstatus des internen Modems
OPC Inspector zur Deep Packet Inspection für OPC Classic
Bei dem Netzwerk-Protokoll OPC Classic haben zwischengeschaltete Firewalls praktisch keine Wirksamkeit. Zudem kann konventionelles NAT-Routing nicht eingesetzt werden.
Wenn die OPC Classic-Funktion aktiviert wird, werden die OPC-Pakete überwacht (siehe „OPC Inspector“ auf Seite 306).
Die TCP-Ports, die innerhalb der ersten geöffneten Verbindung ausgehandelten werden, werden erkannt und für OPC-Pakete geöffnet. Wenn über diese Ports innerhalb eines konfigurierbaren Timeouts keine OPC-Pakete versendet werden, werden diese wieder geschlossen. Wenn die OPC-Gültigkeitsprüfung aktiviert ist, dürfen über den OPC Classic-Port 135 ausschließlich OPC-Pakete gesendet werden.
Weitere Funktionen
Erweiterte DynDNS-Anbieter
–Zum Aufbau von VPN-Verbindungen ist es hilfreich, wenn die Teilnehmer ihre IP-Adresse über einen DynDNS-Service beziehen.
In Version 8.1 werden mehr DynDNS-Anbieter unterstützt.
Neuer Modus beim Authentisierungsverfahren Pre-Shared Key
Bei Wahl des Authentisierungsverfahrens Pre-Shared Key (PSK) kann der „Aggressive Mode“ gewählt werden (unter IPsec VPN >> Verbindungen >> Editieren >> Authentifizierung).
In der Web-Oberfläche werden dynamische Änderungen grau hervorgehoben.
In der Web-Oberfläche werden Statusmeldungen angezeigt, die laufend aktualisiert werden. Damit diese dynamischen Einträge besser zu erkennen sind, werden sie grau dargestellt.
Ausführliches Logging von Modems
Nur für mGuards, die über ein internes oder externes Modem verfügen oder Mobilfunk-fähig sind (unter Logging >> Einstellungen).
3.9Übersicht der Änderungen in Version 8.0
Die folgenden Funktionen wurden für die Firmware Version 8.0 hinzugefügt.
Erweiterung der Konfiguration
–Verbessertes CIFS-Integrity-Monitoring (siehe „Neu im CIFS-Integrity-Monitoring“ auf Seite 42)
–Integrierter COM-Server für mGuard-Plattformen mit serieller Schnittstelle (siehe „Netzwerk >> Ethernet“ auf Seite 207)
–Konfigurierbare Multicast-Unterstützung für Geräte mit internem Switch, um Daten an eine Gruppe von Empfängern zu versenden, ohne dass diese vom Sender mehrmals versendet werden müssen (siehe „Multicast“ auf Seite 210)
–VPN-Erweiterungen (siehe „VPN-Erweiterungen“ auf Seite 43).
–Dynamische Web-Oberfläche zum Konfigurieren. Fehlerhafte Einträge werden farblich hervorgehoben und zusätzlich werden Hilfen in Form von Systemnachrichten angeboten.
–Unterstützung von 100 MBit/s SFPs für FL MGUARD GT/GT . SFPs sind wechselbare Schnittstellen für Ethernet oder Lichtwellenleiter in verschiedenen Ausprägungen.
Unterstützung der mGuard-Plattformen TC MGUARD RS4000 3G und TC MGUARD RS2000 3G
–Unterstützung von Mobilfunk- und Ortungsfunktionen (siehe „Netzwerk >> Mobilfunk“ auf Seite 167)
–Unterstützung integrierter managed und unmanaged Switches (siehe „Netzwerk >> Ethernet“ auf Seite 207)
–Unterstützung eines dedizierten DMZ-Ports (nur TC MGUARD RS4000 3G )
Der DMZ-Port kann so eingestellt werden, dass er Pakete an das interne, externe oder sekundäre externe Interface weiterleitet.
Der DMZ-Port wird nur im Router-Modus unterstützt und benötigt wenigstens eine IP-Adresse und eine entsprechende Netzmaske. Die DMZ unterstützt keine VLANs.
Entfernte Funktionen
–HiDiscovery-Support
–Die Schaltfläche „Übernehmen“, bei der Änderungen nur für die aktuelle Seite übernommen wurden, wurde entfernt. Änderungen werden seitenübergreifend ausgeführt.
Neu im CIFS-Integrity-Monitoring
Zeitsteuerung
Die Zeitsteuerung ist in Version 8.0 verbessert worden. Jetzt ist mehr als ein Scan pro Tag möglich. Auch ein kontinuierliches Scannen kann eingestellt werden.
Wenn der Scan länger dauert als geplant, wird er abgebrochen. Man kann aber einstellen, dass regelmäßig ein Scan gestartet wird.
Erweiterte Anzeige des aktuellen Status
Jede Zeile des CIFS-Integrity-Monitoring zeigt zusätzlich diese Informationen an.
–den Status der gescannten Netzlaufwerke
–das Ergebnis des letzten oder den Fortschritt des laufenden Scans
Das Menü in der Web-Oberfläche ist erweitert worden, so dass Sie jetzt den Status jedes Scans einsehen können. Der Fortschrittsbalken zeigt die Anzahl der überprüften Dateien an.
Status der VPN-Verbindungen
Die Einstellung der VPN-Verbindung wird nun in „Deaktiviert“, „Gestartet“ und „Angehalten“ eingeteilt. Die Einstellung „Deaktiviert“ ignoriert die VPN-Verbindung, als wäre diese nicht konfiguriert. Sie kann damit auch nicht dynamisch aktiviert/deaktiviert werden. Die anderen beiden Einstellung bestimmen den Status der VPN-Verbindung beim Neustart der Verbindung oder beim Booten.
Die VPN-Verbindungen können in Version 8.0 über eine Schaltfläche in der Web-Oberfläche, über SMS, einen externen Schalter oder das Skript nph-vpn.cgi gestartet oder gestoppt werden. Alle VPN-Verbindungen werden dabei berücksichtigt. Pakete, die zu einer nicht deaktivierten VPN-Verbindung passen werden weitergeleitet, wenn die Verbindung aufgebaut ist, oder verworfen, wenn die Verbindung nicht aufgebaut ist. VPN-Verbindungen, die in der Vorversion als „Aktiv: Nein“ eingestellt wurden, werden nun als „Deaktiviert“ interpretiert.
Eindeutige Namen
In Version 8.0 werden die Namen von VPN-Verbindungen eindeutig gemacht. Während des Updates werden Namen, die doppelt vorhanden sind, mit einer Raute oder einer eindeutigen Zahl versehen.
Timeout für die VPN-Verbindung
Sie können einen Timeout einstellen, der die VPN-Verbindung abbricht, wenn sie über SMS, nph-vpn.cgi oder die Web-Oberfläche gestartet worden ist. Eine VPN-Verbindung, die von einer explizierten Anforderungen durch eine Anwendung gestartet worden ist, ist davon nicht betroffen.
Source based routing
Es können nun VPN-Tunnel konfiguriert werden, die sich nur im Quellnetz unterscheiden.
Die VPN-Konfiguration erlaubt ab Version 8.0 ein Remote-Netzwerk mit unterschiedlichen lokalen Netzwerken in einer Konfiguration. Die VPN-Tunnel-Gruppen werden so erweitert, dass sie es einer aufgebauten VPN-Verbindung erlauben, sich nur ein Subnetz aus dem lokalen Netzwerk auszuwählen. Das war in vorherigen Versionen nur für Remote-Netzwerke möglich.