Aktuelles aus unserer Technik  -  Q1 / 2017

Seit Check Point auf der Check Point Experience 2016 R77.30 zum Magnum Opus seiner bisherigen Entwicklung erklärt und R80 veröffentlicht hat und im April 2016 bereits R75.40 auslief, steht für viele Kunden die R77.30 Migration samt Konsolidierung & Optimierung der Security Policy für die neue Blade Technologie an. Wir setzen diese Projekte erfahren & kundenspezifisch um.

techblog.esc.de

Die kommende Check Point Experience CPX 2017 findet vom 17. – 18. Mai 2017 erstmals in Mailand, Italien statt.

Vorgelagert wird Check Point am 16. April 2016 wieder seine begehrten und stets schnell ausgebuchten technischen Trainings anbieten.

Unsere Technik wird sich auch dieses Jahr wieder vor Ort über die neuesten Sicherheitstrends informieren, Best-Practices & How-To’s in den technischen Sessions verfolgen und Erfahrungen mit den Technikern des Check Point R&D Teams (Research & Development) austauschen. Besonders interessant sind immer auch die technischen Hands-On Angebote zum Austesten der neuen Versionen und Software Blades.

Wir freuen uns darauf!

Check Point hat mit CPCheckMe einen öffentlichen Service zum Schnelltest auf Sicherheitslücken bei der Arbeit mit Web-Anwendungen bereitgestellt. Der CheckMe Service simuliert dabei die häufigsten Arten von Angriffen auf Web-Browser. Die Tests sind selbstverständlich unschädlich und dienen ausschließlich der Überprüfung der eigenen IT-Sicherheit.

CPCheckMe führt folgende Sicherheitstests durch:

  • Download-Test vermeintlich “schädlicher” Dateien via HTTP/HTTPS
  • Upload-Test “sensibler” Daten
  • Archiv-Test (De-/Komprimierung)
  • Reputations-Test (Download von Domains mit schlechter Reputation)

 

Weiterhin werden folgende Web-Angriffe simuliert und überprüft:

  • Ransomware: Malware, die infizierte Rechner durch Verschlüsselung sperrt und Lösegeld verlangt
  • Phishing: Abgreifen von sensiblen Daten (z.B. Login-Daten) durch gefälschte Internetseiten
  • Zero Day Angriffe: nutzen unbekannte Schwachstellen im System aus, um Zugriff auf diese zu erlangen
  • Bots: nutzen Schwachstellen aus, um die Kontrolle über einen Computer zu erlangen und Kommunikation mit einem Bot-Netzwerk herzustellen
  • Browser Angriffe / Identitätsdiebstahl: Skripte auf Internetseiten missbrauchen Cookies von Nutzern um ihre Identität zu imitieren
  • Anonymes Surfen: erlaubt Nutzern Ihre Online-Aktivitäten zu verstecken bzw. zu anonymisieren
  • Datenlecks: Transfer sensibler Daten von internen Ressourcen in das Internet

In sk115236 stellt Check Point detaillierte Informationen zu den simulierten Angriffen inkl. Testdateien bereit. Auch wird erläutert, wie Check Points Next Generation Software Blades vor diesen Gefahren schützen können.

 

Nach der CPCheckMe Simulation werden die Testergebnisse direkt im Browser angezeigt und können auch per E-Mail zugesandt werden. Des Weiteren werden zu jeder Angriffsart detaillierte Informationen sowie Statistiken aufgeführt.

Check Point CPCheckMe bietet einen reduzierten Security CheckUp, welcher in kürzester Zeit (ca. 5 Minuten) einen Sofort-Überblick über das eigene Schutzlevel beim Browsen im Internet bietet.

Ein kompletter Check Point Security CheckUp beinhaltet den Aufbau eines Security Gateways im externen Netzwerk-Perimeter des Kunden zur detaillierten Auswertung aller Kommunikationsverbindungen.

ESC bietet IT-Security CheckUps für alle interessierten Kunden an.
Hier unsere Top 10 der dabei von uns oftmals vorgefundenen Fehlkonfigurationen.

Danke Check Point!

Check Point hat am 19. Februar 2017 eine IPS Protection (CVE-2017-0038) für den aktuellen Microsoft Windows Zero-Day Exploit zur Verfügung gestellt. Durch den Exploit können Angreifer Programmierfehler in der Grafikbibliothek GDI (gdi32.dll) ausnutzen, um Zugriff auf private Daten zu erlangen.

 

In Check Points IPS Repository lautet die Protection:
Microsoft Windows gdi32.dll Out Of Bounds Reads Information Disclosure

Da Microsoft diese Sicherheitslücke voraussichtlich bis März 2017 nicht schließen wird, empfehlen wir allen Check Point Kunden ihre IPS Konfiguration zu prüfen und diese IPS Protection entsprechend zu aktivieren.

 

Danke Check Point!

SmartConsole R77.30
enthält SmartConsole für Endpoint Security Server E80.65;
nur für 1400 Appliances gem. sk111292 (Download)

SmartConsole R80 mit Jumbo Hotfix (Take 76)

R77.30 GAiA DVD-ISO
für Open Server, Smart-1, UTM-1, Power-1, 2200, 4000, 12000 13000, 21000, TE250, TE1000, TE2000 Appliances

R77.30 GAiA DVD-ISO
für 3200, 5000, 12000, 23000, TE100X, TE250X TE1000X, TE2000X Appliances


für VPN Einwahlnutzer:

E80.65 Remote Access VPN Clients
für Microsoft Windows
für Mac OSX (E80.64)

Bezug: Check Point Web Visualization | Update 1
 
– Variante 1-

Check Point bietet in seiner neuen Version R80 eine integrierte Möglichkeit die Security Policy des SmartCenter Servers (Firewall Management) in HTML bzw. JSON zu extrahieren.

Hierbei wird mittels eines lokalen Shell-Skripts, welches seit dem ersten R80 HFA Release lokal auf dem Firewall Management verfügbar ist, ein .tgz Archiv erstellt, dass für jedes Policy Package eine HTML sowie JSON-Datei enthält. Es empfiehlt sich zunächst die index.html Datei zu öffnen, welche alle weitere Dateien aufruft.

$FWDIR/scripts/web_api_show_package.sh

Das Skript kann lokal ohne Parameter gestartet werden (Default).
Zum Aufruf eines Nicht-lokalen SmartCenter Servers stehen zudem auch folgende Parameter zur Verfügung:

-m (SmartCenter Server)
-u (Nutzer)
-p (Passwort)
-g (Gateway)
-d (Domain)
-k (Policy Package)
-t (Template Verzeichnis)

– Variante 2-

Als zweite Variante für eine Extraktion der Security Policy in HTML wurde dieses Bash-Skript über Check Points Exchange Point von einem Check Point Group Manager vorgestellt.

Danke Check Point!

Check Point beschäftigt derzeit 150 Analysten und Forscher (vgl. ThreatPortal FAQ), welche aktiv neue Bedrohungen inspizieren, Schutzmechanismen entwickeln und Signaturen zur Erkennung für Check Points Security Portfolio bereitstellen.

Auf seinem neuen Threat Intelligence Portal veröffentlicht Check Point entsprechende Threat Intelligence Reports und bescheibt detailliert neue sowie verbesserte IPS-/AppControl Schutzfunktionen, Anti-Virus & Anti-Bot Signaturen, technische Publikationen und stellt diese jeweils in den entsprechenden Kontext.

Check Points Threat Portal beinhaltet Artikel folgender Kategorien:

  • Threat Alerts zu neuen Bedrohungen
  • Wöchentliche Intelligence Reports
  • IPS & Application Control Veröffentlichungen
  • Best Practice Empfehlungen
  • Publikationen zu aktuellen Nachforschungen

Im Threat Portal kann zudem nach folgenden Themen gesucht werden:

  • IPS Schutzmechanismen
  • Applikationen (AppControl)
  • Anti-Virus & Anti Bot Signaturen
  • Malware Familien
  • Publikationen
  • Glossar

Weiterführende Links:
  Next Generation Threat Prevention
   Threat Prevention Resources
    Check Point Advisories
   ThreatWiki
  AppWiki

Danke Check Point!

Check Point hat für seine 1100 & 1400 Appliances eine neue Firmware in der Version R77.20.31 veröffentlicht.

Firmware für 1100 | 1400 Appliances

Ab sofort können sich mehrere Administratoren gleichzeitig auf 1100/1400 Appliances einloggen. Zudem können die beiden Administrationsbereiche Netzwerk & Sicherheit voneinander getrennt den verschiedenen Administratoren zur Verwaltung zugeordnet werden.

Die Neuerungen im Überblick:

  • Networking Administrator
  • Neue Administrator-Rolle, welche die Trennung von Netzwerk- und Sicherheitsaufgaben im lokalen Management der Appliances ermöglicht.

  • Concurrent administrators
  • Erlaubt mehrere gleichzeitige WebUI Administratoren sich einzuloggen. Der Erste hat Schreibzugriff, alle weiteren ReadOnly-Rechte.

  • AES 256 Encryption Support
  • AES-256 Support für SSL Network Extender (SNX).

  • Identity Awareness mit Identity Agent
  • Identity Agent wird im zentralen Management ab R77.30 (SmartCenter + Hotfix) unterstützt.

    Check Point Experience 2016

    Nach der Check Point Experience 2016 in Nizza hat Check Point nun die Präsentationen online gestellt. Insbesondere der Deep Dive in Check Point R80 und Sandblast dürfte für viele Kunden besonders interessant sein. Danke Check Point!

     

    General Sessions
    Malware in Action: Tales from the Trenches
    Technology in Action: Breaking the Ransomware Tide
    Security Vendor Landscape-What to Ask, What to Know, and How to Decide

    Track 1 – Next Generation Strategies to Prevent Threats and Attacks
    Confronting the Kill Chain with Check Point Threat Prevention
    Preventing the Unknown Breach with SandBlast
    Enabling a Mobile Workforce without Compromising Security
    Spotlight on Check Point Threat Intelligence and Research
    The Big Reveal—A Look Ahead at Threat Prevention Innovation
    Zero Day at the Endpoint

    Track 2 – Innovations in Security Architecture from the Data Center to the Cloud
    R80 Security Management—The Best Argument for Consolidation
    Automate and Streamline Operations for Efficiency with R80 Security Management
    vSEC Security for the Modern Hybrid-Cloud Data Center
    Future Proof Your Investment with Next Generation Appliances
    Leverage the Cloud with Security as a Service

    Track 3 – Ask the Experts: Deep Dives and Technical Tricks and Tips
    Best Practices in Mobile Threat Defense
    Deep Dive on R80—Implementation and Key Features
    Deep Dive on SandBlast—Technical Review Advanced Protections
    Technical Tricks and Tips to Simplify Device Operation
    Deep Dive on vSEC—Understanding Security Virtualization
    Deep Dive on Appliances— Technical Tips for Implementing and Configuring Check Point Appliances

    Vertical Sessions
    Banking Attacks—How They Work and How to Block Them
    Critical Infrastructure Attacks— Preventing the Kill Chain in Industrial Control System
    SMB Attacks—Enterprise-Class Protection Optimized for Your Business

    Check Point’s Firewall Security Policies lassen sich von Beginn an grafisch verwalten und sind damit besonders übersichtlich und intuitiv zu administrieren. Check Point’s Security Suite hat sich im Laufe der Zeit sehr vergrößert, ist seinem grundlegenden Administrations-Konzept jedoch stets treu geblieben. Diese Beständigkeit zeugt von der Qualität des zugrunde liegenden Ansatzes.

    Logins

    Login-4.1

    Policy Editor 4.1

    Login-R54

    Smart Dashboard R54

    Login-R55

    Smart Dashboard R55

    Login-R62

    Smart Dashboard R62

    Login-R65

    Smart Dashboard R65

    Login-R70

    Smart Dashboard R70

    Login-R77

    Smart Dashboard R77

    Check Point Policy Editor, Smart Dashboard

    Die Kernkomponenten Firewall-1 und VPN-1 ließen sich Anno 2000 mit dem Check Point Policy Editor bearbeiten.

    Das Design reflektiert den Stil der Systeme auf denen es lief. Dieser Trend läßt sich auch in den darauf folgenden Versionen beobachten: Icons und Farben passen sich grob den jeweiligen Vorgaben von Windows an.

    Mit stetig wachsendem Funktionsumfang wich der “Policy Editor” ab R5x der “Smart Console”, einem vereinheitlichten Framework zur Verwaltung und Visualisierung der Firewall mit dem “Smart Dashboard” als zentrales Werkzeug.

    Die eindeutige farbliche Markierung verschiedener Regeln ist von Beginn an wichtig:

    Policy-Editor

    Policies im Policy Editor 4.1

    Policy-R6x

    Policies in R6x

    Policy-R76

    Policies ab R76

    Policy-R08

    Policies ab R80

    Blade Technologie: Check Point SecurePlatform R70

    Mit R70 brachte Check Point im März 2009 erstmals einen neuen Ansatz im Firewall-Bereich heraus: Die "Software Blade" Architektur. Dadurch ist es möglich, zur “normalen” Firewall zusätzliche Funktionen, sogenannte “Software Blades” (z.B. Intrusion Prevention System, Anti-Spam, Quality Of Service), hinzuzuschalten. Diese Software Blades beeinflussen sich nicht gegenseitig und können völlig unabhängig voneinander aktiviert und lizenziert werden.

    Blades

    Software Blade Übersicht

    Eine aufgefrischte grafische Oberfläche zur zentralen Verwaltung der Firewall-Umgebung macht es einfach, eine einheitliche Firewall-Policy für die gesamte Firewall-Umgebung zu erstellen. Ebenfalls neu waren eine Mehrkernunterstützung (“CoreXL”) und das IPS-Blade.

    Mit dem ersten Update, der Version R70.1, wurden ein SmartWorkflow Blade, ein Remote Deployment Tool und Link Aggregation zum Funktionsumfang der Check Point Software hinzugefügt.

    Im Oktober 2010 brachte Check Point das nächste Major Release heraus, R71. Neu in dieser Version waren das Data Loss Prevention Blade sowie das SSL VPN Blade.

    Mit R71.20 führte Check Point ein zentrales Management für Series 80 Appliances, Edge N Series und Embedded NGX 8.1 Gateways ein. Kurz darauf erblickte im Dezember 2010 Version R75 das Licht der Welt, in die alle Features der vorherigen Versionen integriert wurden. Zusätzlich wurden die Blades Identity Awareness, Application Control (mit integriertem Data Loss Prevention Blade) und Mobile Access hinzugefügt.

    Neues Betriebssystem: GAiA

    Seit R75.40 läuft GAiA, ein gehärtetes RHEL 5.2, als Basis für die verschiedenen Blades und die GUI. Es vereint seine vorhergehenden Plattformen IPSO und SPLAT. Das WebUI des GAiA Betriebssystems ist dem Vorgänger SPLAT in der Struktur relativ treu geblieben, der gewachsene Funktionsumfang läßt sich in den folgenden Screenshots gut ablesen. Der Name GAiA verweist auf Check Point’s Ansatz, alle sicherheitsrelevante Funktionalität unter einem Dach verfügbar zu machen.

     IPSO+SPLAT=GAiA

    Neue Optik: SmartConsole R76

    Gegenüber Vorgängerversionen haben sich ab Smart Console R76 Icons, Anordnungen und Farben geändert. Zwar steigt der Funktionsumfang, jedoch haben sich Redundanz und Komplexität des UI erhöht. Die SMART Map verliert ihren prominenten Platz und muß über die globalen Einstellungen erst aktiviert werden, zudem kann sie (noch?) nicht mit IPv6 Objekten umgehen.

    Gut gelungen ist die Menüleiste („Datei“, „Bearbeiten“, „Ansicht“, …). Sie ist in ein Platz sparendes Dropdown-Menü gewandert, nur oft benutzte Funktionen wie “Speichern”, “Policy installieren” und Links zu anderen Anwendungen der SmartConsole bleiben an der Stelle der Menüleiste. Das spart Platz für eine neu gestaltete Reihe Reiter zur Verwaltung des Gateways („Firewall“, „Application & URL Filtering“, „IPS“ oder „IPSec“). Diese ist nun prominenter und mit größeren Schaltflächen zu erreichen. Der Reiter „Willkommen“ ist in einen Übersichtsbildschirm verändert worden.

    Die vormals im oberen linken Bereich befindliche Liste verschiedener Objekte hat sich in zwei neue Bereiche links unten und in eine Bodenleiste aufgeteilt. Im Bereich links unten sind die Objekte nach Typ geordnet (Check Point, Nodes, Networks, …), während in der unteren Leiste alle Objekte alphabetisch sortiert sind, was bei der Suche nach bestimmten Objekten helfen soll.

    Die veränderten Icons an vielen Stellen lassen sich weiterhin gut voneinander unterscheiden und karikieren weiterhin gut, was sich hinter ihnen verbirgt. Zahlen, Grafiken und Farben der vielen anschaulichen Statistiken sind gleichbleibend gefällig für das Auge und schnell zu erfassen.

    Leider ist die Smart Console nicht für vergrößerte Schrift optimiert und es kommt dann zu kleineren Anzeigefehlern. Hilfreich für die tägliche Arbeit als Firewall Administrator wären zudem Smart Dashboards in verschiedenen Farben, um geöffnete Sessions zu verschiedenen Kunden leicht unterscheiden zu können.

    Konsolidiertes Security Management: R80

    Wie bereits in unseren beiden Artikeln zu Check Point R80 beschrieben, integriert Check Point sämtliche SmartConsole Komponenten (SmartDashboard, SmartView Monitor, SmartLog, SmartUpdate etc.) zu einer einzigen SmartConsole.

    Check Point kündigt R80 an!
    Check Point R80 Security Management veröffentlicht!

    SmartConsole R80 Login

    Aufgrund der komplett neuen Entwicklung von R80 stehen zudem viele neue Möglichkeiten, Funktionen, Verbesserungen und Werkzeuge für die tägliche Firewall Security Administration zur Verfügung.

    Danke Check Point!

    Seit heute erweitert der Check Point SandBlast Partnerstatus das umfangreiche IT-Sicherheitsportfolio der ESC. Herzlichen Glückwunsch!

    Check Point SandBlast ist Teil der Produktfamilie der Next Generation Threat Prevention und eine Kombination aus Threat Emulation (Sandboxing) und Threat Extraction auf CPU-Prozessorebene. So kann neuartige und noch unbekannte Schadsoftware im Netzwerk erkannt und gebannt werden, bevor sie aktiv wird.

    SandBlast verstärkt die Bedrohungsabwehr durch umgehungssichere Malware-Erkennung und bietet damit Schutz vor gefährlichen Angriffen zur Minderung des Risikos erfolgreicher Angriffe.

    Link: Threat Prevention Resources

    In dem andauernden Kampf zwischen Cyberkriminellen und Sicherheitsexperten bedienen sich die Angreifer verstärkt raffinierterer Instrumente, wie neuer Zero-Day-Angriffsmethoden und angepasster Varianten bereits existierender Malware, um so die herkömmliche Sandboxing-Technologie zu umgehen und unerkannt in die Infrastrukturen ihrer Opfer eindringen zu können.

    Diese neuen Angriffsvektoren verlangen eine proaktive Methode mit modernen Lösungen und Technologien, die nicht nur bekannte Bedrohungen erfassen, sondern auch in der Lage sind, unbekannte Malware beim ersten Auftreten zu erkennen und zu stoppen. Check Points neue, bahnbrechende Exploit-Erkennungsmaschine auf CPU-Ebene ist als einzige fähig, die gefährlichsten Zero-Day-Bedrohungen bereits in ihrer Anfangsphase zu erkennen, bevor die Malware überhaupt eine Chance hat, sich zu entfalten und zu versuchen, die Erkennung zu umgehen.

    SandBlast läuft wahlweise in der Check Point Cloud oder auf einer lokalen Check Point SandBlast Appliance. Beide Szenarien werden bereits von den IT-Sicherheitsexperten der ESC bei verschiedenen Kunden umgesetzt und kompetent betreut.

    Bei Interesse beraten wir Sie gern!