Aktuelles aus unserer Technik  -  Q2 / 2019

Seit Check Point auf der Check Point Experience 2019 R80.20 zum Magnum Opus seiner bisherigen Entwicklung erklärt hat und im September 2019 R77.30 ausläuft, steht für viele Kunden die R80.20 Migration samt Konsolidierung & Optimierung der Security Policy an. Wir setzen diese Projekte erfahren & kundenspezifisch um.

techblog.esc.de

Check Point hat zu den gerade bekannt gewordenen Linux-Schwachstellen “TCP SACK Panic” ( CVE-2019-11477 , CVE-2019-11478 & CVE-2019-11479 ) im Knowledgebase Artikel sk156192 erste Anleitungen zur Deaktivierung von TCP SACK unter GAiA veröffentlicht. In Kürze werden auch entsprechende Hotfixes veröffentlicht. Sämtliche Cloud-basierten Systeme hat Check Point bereits gepatcht.

Betroffen sind alle Linux-basierten Systeme und damit auch alle Check Point GAiA Releases. Vom Angriffsvektor her jedoch primär die Security Gateways in den externen Netzwerkperimetern.

Check Point hat die Schwere der Schwachstellen derzeit mit Medium eingestuft.

Weitere Informationen folgen in Kürze.

Check Point hat am 7. Mai 2019 sein neues Major Release R80.30 veröffentlicht.

Achtung! Check Point empfiehlt derzeit nur Kunden mit Interesse zur Nutzung der neuen Funktionen bereits R80.30 zu verwenden. Daher wird es auch noch nicht als Recommended Release innerhalb von CPUSE aufgeführt.

R80.30 – Release Notes
R80.30 – Release map
R80.30 – Upgrade map
R80.30 – Backward Compatibility map
R80.30 – Documentation Package
R80.30 – SmartConsole

Weitere Ressourcen

R80.20 – Upgrade Verification Service
R80.30 – CheckMates Community
R80.30 – Known Limitations

Die wichtigsten Neuerungen von R80.30 sind:

  • SandBlast Threat Extraction for web-downloaded documents
  • Advanced Threat Prevention
  • New and Improved Machine-Learning Engines for Threat Emulation
  • Enhanced control of MTA actions and Threat Emulation behavior
  • Enhanced Anti-Virus support
  • Enhanced Import of additional IOCs
  • Enhanced management of the MTA
  • SSL Inspection > Server Name Indications (SNI) and TLS 1.2 support for additional cipher suites
  • IPsec VPN improvements
  • Advanced routing capabilities
  • SmartConsole extensions

Das US-Cert warnt vor einer Schwachstelle in vielen VPN Clients!

VPN Session Cookies werden nicht ausreichend verschlüsselt und zudem an unsicheren Speicherorten abgelegt.

Check Point‘s Remote Access VPN Clients sind nicht betroffen!

Wir empfehlen allen Kunden jedoch zeitnah eine Aktualisierung der VPN Client Software vorzunehmen.

Danke Check Point!

sk141412 beschreibt, dass tcpdump die CPU-Auslastung erheblich steigern kann, was großen Einfluss auf die Firewall-Performance hat.

Daher stellt Check Point ein besser auf sein GAiA Betriebssystem abgestimmtes Interface Packet Capturing Werkzeug CPPCAP bereit, welches als RPM-Download für R77.30, R80.10 und R80.20 verfügbar ist.

Hinweise:

  • CPPCAP läuft nur auf GAiA mit 64-bit Kernel.
  • Ab R80.20 braucht SecureXL nicht mehr ausgeschaltet werden, während ein Packet Capture erstellt wird.
  • CPPCAP ist aktuell nur für Firewalls im Routing Mode gedacht. Bridge Mode wird in einer späteren Version unterstützt.
  • CPPCAP zeigt wie tcpdump Netzwerkverkehr auf Interface-Ebene an. Zur Erstellen von Captures innerhalb der Firewall Kernel Chains empfiehlt sich weiterhin fw monitor.

[Expert@fw]# cppcap -h

FlagBeschreibung
 -vV VSID                   lowercase to capture only from specific VSID, uppercase for all exec pt VSID
 -iI DEVIC E lowercase to capture only from specific DEVICE, uppercase for all execpt DEVICE         
 -d DIR capture specific direction (‘in’ for inbound, ‘out’ for outbound)
 -f “EXPR” filter specific expression, for syntax, see pcap-filter(7)
 -o FILE save capture to a FILE
 -c NUM capture up to NUM bytes of frame (default 96, ‘0’ for any size)
 -p NUM capture NUM frames before stopping
 -b NUM capture NUM bytes before stopping
 -D verbose datalink layer
 -N verbose network layer
 -T verbose transport layer
 -Q omit time from output

Weitere Beispiele sind auf der pcap manpage zu finden.

Danke Check Point!

Nach der Check Point Experience 2019 hat Check Point nun die CPX Präsentationen online gestellt. Zu vielen Präsentationen stehen zusätzlich auch die Videos der CPX-Vorträge zur Verfügung.

Besonders interessant sind die technischen Fachvorträge der Breakout Sessions. Großen Zuspruch fand insbesondere der Vortrag über Security Policy Design – The LEGO® Principle unseres technischen Leiters, Danny Jung.

Danke Check Point!

Auf der am 18. Februar beginnenden Sicherheitskonferenz CPX 360 in Wien wird die ESC Technik am diesjährigen Cyber Range Event im Wettkampf gegen ein Team von Angreifern seine langjährige Check Point Erfahrung einsetzen um mit Check Point eine effektive Abwehr sicherzustellen.

In den Technology Innovation & Hands-On Labs machen wir uns für unsere Kunden mit den neuesten Check Point Produkten, Technologien und Lösungen vertraut und tauschen uns direkt mit Produktspezialisten von Check Point aus.

Am 20. Februar hält unser technischer Leiter, Danny Jung, auf der CPX als Sprecher einen Vortrag zum Thema: Security Policy Design – The LEGO® Principle (Beginn: 13:30 Uhr). Hierzu laden wir Sie sehr herzlich ein.

Wir sehen uns auf der CPX!


Check Point hat R80.20 am 15. Januar 2019 offiziell zur empfohlenen Version für alle Kunden erklärt (sk95746).

Achtung! ClusterXL Load Sharing wird noch nicht unterstützt.

Gleichzeitig wurden mit Build 025 eine überarbeitete Version der SmartConsole R80.20 bereitgestellt und mit Dynamic CLI (sk144112) eine Möglichkeit zur Verwendung von Expert-Befehlen innerhalb Check Points abgesicherter GAiA CLIsh geschaffen. In Zukunft soll der GAiA Expert-Mode immer seltener benötigt werden.

Beim BSI läuft unter der Zertifizierungsnummer BSI-DSZ-CC-1054 für R80.20 aktuell auch die Common Criteria EAL4+ Zertifizierung (vgl. PDF).

Damit steht für viele Kunden die Migration auf die aktuelle Version R80.20 in diesem Jahr an. Wir freuen uns darauf!

R80.20 – Release Notes
R80.20 – Release map
R80.20 – Upgrade map
R80.20 – Backward Compatibility map
R80.20 – Documentation Package
R80.20 – SmartConsole (Portable Version)

ESC ist jetzt offizieller Check Point 4-Sterne Partner!

Bereits seit 1997 setzt ESC bei Firewalls auf zentrale Sicherheitslösungen von Check Point und bietet seinen Kunden mit einem dedizierten Check Point Supportteam direkte Expertenunterstützung aus erster Hand.

Unser besonderes fachliches Engagement zeigt sich auch dadurch, dass mehrere unserer Check Point Experten sogar Check Points höchste Zertifizierungsstufe, den Check Point Certified Security Master (CCSM), erreicht haben.

ESC betreibt zudem das einzige deutschsprachige Check Point Techblog.

Unsere technische Leitung wurde 2018 von Check Points Experten-Community CheckMates zum Member of the Year gekürt und durfte daher bereits Check Points Geschäftsführer Gil Shwed in Check Points Zentrale in Tel Aviv persönlich treffen.

Weiter so ESC!

Vielen Dank auch für die vielen Glückwünsche und Gratulationen, welche uns von allen Seiten erreichten. Wir haben uns über diese Anerkennung sehr gefreut und werden zeigen, dass wir dieser mehr als gerecht werden.

Check Point bietet ab R80.10 alle SmartConsole GUI-Clients zusätzlich zum normalen Windows-Installer auch in einer portablen Version an (sk116158).

Bei dieser werden alle Daten direkt im Verzeichnis der portablen SmartConsole verwaltet und nicht in die Registry von Windows geschrieben.

Das bietet den Vorteil, verschiedene Versionen der SmartConsole R80.x auf einem System parallel verwenden zu können.

Downloads
Portable SmartConsole R80.20
Portable SmartConsole R80.20 M1
Portable SmartConsole R80.10

Danke, Check Point!

Check Point hat am 24. Oktober 2018 offiziell das Ende der Weiterentwicklung von Firmwares für seine 1100 Appliances bekannt gegeben.

Die letzte Firmware-Version für 1100 Appliances ist R77.20.80.

In den Release Notes zur aktuellen Firmware R77.20.81 steht bereits:
Important: this and future releases do not support 600/1100 appliances.

Dies entspricht auch der offiziellen Übersicht für alle SMB-Firmwares.

Hintergrund sind hardwarespezifische Erweiterungen, denen die ältere Hardware der 1100 Appliances nicht mehr gerecht wird. Bis zum End of Engineering Support im Juni 2020 wird es jedoch noch Bugfix-Updates geben. Allen Kunden, welche noch 1100 Appliances einsetzen, empfehlen wir deshalb einen Wechsel auf Check Points aktuelle Branch Office Appliances vorzunehmen.