Im Zuge der NSA-Enthüllungen hob die letzte Cutting-Edge Firmware-Version die Sicherheit unserer Produkte auf eine neue Ebene. Das aktuelle Update bringt darüber hinaus einige weitere neue Funktionen. Im Bezug auf die neuen Sicherheitsfunktionen lesen Sie bitte die wichtigen Release-Notes für die vorherige Cutting-Edge Firmware-Version (10. Februar 2014 – Version 2014013131/2014020702), die auch für die aktuelle Version zutreffen.
Außerdem beinhaltet diese Firmware-Version einige zusätzliche Verbesserungen für unsere Version vom 10. Februar, und wird sehr wahrscheinlich zur neuen Stable-Firmware-Version werden.
Dieses Release ist vollständig kompatibel zur Stable Firmware-Version vom 12. August 2013 (Version 2013071130/2013080900 (Multichannel VPN Router 500/510: Version 2013071130/2013080900)). Es ist daher möglich, Router auf die Cutting-Edge Firmware zu updaten, während die Hubs noch mit der Stable-Version laufen. Viele Verbesserungen bzgl. Sicherheit erfordern jedoch, dass beide Seiten des VPN-Tunnels auf diese Cutting-Edge-Version geupdated werden. Wir empfehlen daher, sowohl auf dem Router als auch auf dem Hub zügig diese Firmware-Version zu installieren.
Liste der Veränderungen im Vergleich zur vorherigen Cutting-Edge Firmware-Version (2014013131/2014020702) – Sollten Sie von einer Stable-Version auf diese Cutting-Edge-Version updaten, lesen Sie bitte auch alle vorherigen Cutting-Edge Release Notes seit der Veröffentlichung Ihrer Stable-Version.
- Der neue Multichannel VPN Router 200 wird nun unterstützt (dieser wird erstmals auf der CeBIT 2014 zu sehen sein).
- Die neuen verbesserten Sicherheitsfunktionen verursachten auf dem Hub mehr Last, wenn ein Channel aufgebaut war. Wenn nun eine große Anzahl Channels gleichzeitig zum Hub verbanden, konnte die große Last eine Art DoS auf dem Hub verursachen, was wiederum eine Feedback-Schleife für die Last auslösen konnte: Aufgrund der hohen Last konnten die SSL-Handshakes der Channels nicht innerhalb der Timeout-Zeit durchgeführt werden, weshalb die Channel immer wieder abbrachen und sich neu verbanden, wodurch noch mehr Last produziert wurde.
Das konnte man in der Realität beobachten, wenn man einen Hub rebootete, der aufgrund vieler Tunnel schwer belastet war, z.B. nach einem Firmware-Upgrade.
Wir haben nun eine Drosselung auf dem Hub und auf dem Router implementiert. Wenn nun ein Channel während des Verbindens zu einem Hub abbricht, wird er gedrosselt, anstatt auf den Hub mit Verbindungen einzuhämmern. Auf der Hub-Seite wird, wenn die CPU-Last hoch ist, die Annahme neuer Channels verzögert, ohne dass es zu einem Timeout kommt.
Durch diese Änderungen ist die neue Cutting-Edge-Version in der Lage, eine höhere Channel-Verbindungslast auf dem Hub zu verarbeiten, als die aktuelle Stable-Firmware (deren SSL-Handshake noch dazu weniger sicher ist). - Das Verhalten von Routern und Hubs während einer DoS-Attacke wurde verbessert. Wenn von einem Quell- oder Zielhost mehr als 25.000 Flows (TCP-Verbindungen) eingingen, konnte dieser Host geblockt werden. Wenn jedoch die Hub-IP attackiert wurde, konnte es passieren, dass die Hub-IP selbst geblockt wurde; dadurch wurde das Web-Interface des Hubs unerreichbar, bis z.B. ein TCP SYN Flood DoS vorbei war. Nun werden lokal gebundene Router-IPs nicht mehr geblockt. Außerdem verursachte die Log-Menge während DoS-Attacken eine ziemliche CPU-Last; das wurde reduziert. Ein blockierter Host wird nun nur einmal geloggt, und erst dann wieder, wenn er nicht mehr blockiert wird (was passiert, sobald die Zahl an aktiven Flows wieder unter 24.000 sinkt).
- VDSL-Module erlauben nun das Aufsetzen eines VLAN.
- VDSL-Module unterstützen nun RFC1483 mit statischen IPs, und erlauben Sonderzeichen in PPP-Benutzernamen und Passwörtern.
- Wenn man bei der vorherigen Cutting-Edge Firmware-Version mehrere Channel mithilfe der Multiedit-Funktion im neuen Web-Interface bearbeitet hat, benutzten nach dem Speichern der Änderungen alle Channels ein einziges (das erste) Modul. Nach dem nächsten Channel-Reconnect benutzte aber jeder Channel dasselbe Modul, weswegen es passieren konnte, dass die Performance erst Stunden nach den Änderungen abstürzte. Dieser Fehler wurde beseitigt.
- Die Multichannel VPN Router 511, 512 und 513 zeigen nun den korrekten Produktnamen im Web-Interface an.
