Aktuelles aus unserer Technik  -  Q3 / 2017

Seit Check Point auf der Check Point Experience 2017 R80.10 zum Magnum Opus seiner bisherigen Entwicklung erklärt hat und im August 2017 bereits R77.20 ausläuft, steht für viele Kunden die R80.10 Migration samt Konsolidierung & Optimierung der Security Policy an. Wir setzen diese Projekte erfahren & kundenspezifisch um.

techblog.esc.de

Archiv für 'Allgemein'

Die kommende Check Point Experience CPX 2017 findet vom 17. – 18. Mai 2017 erstmals in Mailand, Italien statt.

Kongresszentrum: MiCo – Milano Congressi

Anmeldung

Vorgelagert wird Check Point am 16. Mai 2016 wieder seine begehrten und stets schnell ausgebuchten technischen Trainings anbieten.

Training I
SandBlast Agent Best Practices
Training II
Unleashing the power of the cloud in a secured manner – Advanced track
Training III
Mobile Threat Prevention Best Practices
Training IV
R80.10 Hands-On Security Management & Gateway
Training V
Security Management Automation and Orchestration with R80.10
Training VI
SandBlast Zero Day Threat Prevention workshop
Training VII
Securing Public Cloud (AWS and Azure) with vSEC – introductory Track
Training VIII
Check Point Platform Performance Acceleration and Optimizations

Unsere Technik wird sich auch dieses Jahr wieder vor Ort über die neuesten Sicherheitstrends informieren, Best-Practices & How-To’s in den technischen Sessions verfolgen und Erfahrungen mit den Technikern des Check Point R&D Teams (Research & Development) austauschen. Besonders interessant sind immer auch die technischen Hands-On Angebote zum Austesten der neuen Versionen und Software Blades.

Wir freuen uns darauf!

Check Point hat mit CheckMe einen öffentlichen Service zum Schnelltest auf Sicherheitslücken bei der Arbeit mit Web-Anwendungen bereitgestellt. Der CheckMe Service simuliert dabei die häufigsten Arten von Angriffen auf Web-Browser. Die Tests sind selbstverständlich unschädlich und dienen ausschließlich der Überprüfung der eigenen IT-Sicherheit.

CheckMe führt folgende Sicherheitstests durch:

  • Download-Test vermeintlich “schädlicher” Dateien via HTTP/HTTPS
  • Upload-Test “sensibler” Daten
  • Archiv-Test (De-/Komprimierung)
  • Reputations-Test (Download von Domains mit schlechter Reputation)

 

Weiterhin werden folgende Web-Angriffe simuliert und überprüft:

  • Ransomware: Malware, die infizierte Rechner durch Verschlüsselung sperrt und Lösegeld verlangt
  • Phishing: Abgreifen von sensiblen Daten (z.B. Login-Daten) durch gefälschte Internetseiten
  • Zero Day Angriffe: nutzen unbekannte Schwachstellen im System aus, um Zugriff auf diese zu erlangen
  • Bots: nutzen Schwachstellen aus, um die Kontrolle über einen Computer zu erlangen und Kommunikation mit einem Bot-Netzwerk herzustellen
  • Browser Angriffe / Identitätsdiebstahl: Skripte auf Internetseiten missbrauchen Cookies von Nutzern um ihre Identität zu imitieren
  • Anonymes Surfen: erlaubt Nutzern Ihre Online-Aktivitäten zu verstecken bzw. zu anonymisieren
  • Datenlecks: Transfer sensibler Daten von internen Ressourcen in das Internet

In sk115236 stellt Check Point detaillierte Informationen zu den simulierten Angriffen inkl. Testdateien bereit. Auch wird erläutert, wie Check Points Next Generation Software Blades vor diesen Gefahren schützen können.

 

Nach der CheckMe Simulation werden die Testergebnisse direkt im Browser angezeigt und können auch per E-Mail zugesandt werden. Des Weiteren werden zu jeder Angriffsart detaillierte Informationen sowie Statistiken aufgeführt.

Check Point CheckMe bietet einen reduzierten Security CheckUp, welcher in kürzester Zeit (ca. 5 Minuten) einen Sofort-Überblick über das eigene Schutzlevel beim Browsen im Internet bietet.

Ein kompletter Check Point Security CheckUp beinhaltet den Aufbau eines Security Gateways im externen Netzwerk-Perimeter des Kunden zur detaillierten Auswertung aller Kommunikationsverbindungen.

ESC bietet IT-Security CheckUps für alle interessierten Kunden an.
Hier unsere Top 10 der dabei von uns oftmals vorgefundenen Fehlkonfigurationen.

Danke Check Point!

SmartConsole R77.30
enthält SmartConsole für Endpoint Security Server E80.65;
nur für 1400 Appliances gem. sk111292 (Download)

SmartConsole R80.10

R77.30 GAiA DVD-ISO
für Open Server, Smart-1, UTM-1, Power-1, 2200, 4000, 12000 13000, 21000, TE250, TE1000, TE2000 Appliances

R77.30 GAiA DVD-ISO
für 3200, 5000, 12000, 23000, TE100X, TE250X TE1000X, TE2000X Appliances

R80.10 GAiA DVD-ISO


für VPN Einwahlnutzer:

E80.65 Remote Access VPN Clients
für Microsoft Windows
für Mac OSX (E80.64)

Check Point Experience 2016

Nach der Check Point Experience 2016 in Nizza hat Check Point nun die Präsentationen online gestellt. Insbesondere der Deep Dive in Check Point R80 und Sandblast dürfte für viele Kunden besonders interessant sein. Danke Check Point!

 

General Sessions
Malware in Action: Tales from the Trenches
Technology in Action: Breaking the Ransomware Tide
Security Vendor Landscape-What to Ask, What to Know, and How to Decide

Track 1 – Next Generation Strategies to Prevent Threats and Attacks
Confronting the Kill Chain with Check Point Threat Prevention
Preventing the Unknown Breach with SandBlast
Enabling a Mobile Workforce without Compromising Security
Spotlight on Check Point Threat Intelligence and Research
The Big Reveal—A Look Ahead at Threat Prevention Innovation
Zero Day at the Endpoint

Track 2 – Innovations in Security Architecture from the Data Center to the Cloud
R80 Security Management—The Best Argument for Consolidation
Automate and Streamline Operations for Efficiency with R80 Security Management
vSEC Security for the Modern Hybrid-Cloud Data Center
Future Proof Your Investment with Next Generation Appliances
Leverage the Cloud with Security as a Service

Track 3 – Ask the Experts: Deep Dives and Technical Tricks and Tips
Best Practices in Mobile Threat Defense
Deep Dive on R80—Implementation and Key Features
Deep Dive on SandBlast—Technical Review Advanced Protections
Technical Tricks and Tips to Simplify Device Operation
Deep Dive on vSEC—Understanding Security Virtualization
Deep Dive on Appliances— Technical Tips for Implementing and Configuring Check Point Appliances

Vertical Sessions
Banking Attacks—How They Work and How to Block Them
Critical Infrastructure Attacks— Preventing the Kill Chain in Industrial Control System
SMB Attacks—Enterprise-Class Protection Optimized for Your Business

Check Point’s Firewall Security Policies lassen sich von Beginn an grafisch verwalten und sind damit besonders übersichtlich und intuitiv zu administrieren. Check Point’s Security Suite hat sich im Laufe der Zeit sehr vergrößert, ist seinem grundlegenden Administrations-Konzept jedoch stets treu geblieben. Diese Beständigkeit zeugt von der Qualität des zugrunde liegenden Ansatzes.

Logins

Login-4.1

Policy Editor 4.1

Login-R54

Smart Dashboard R54

Login-R55

Smart Dashboard R55

Login-R62

Smart Dashboard R62

Login-R65

Smart Dashboard R65

Login-R70

Smart Dashboard R70

Login-R77

Smart Dashboard R77

Check Point Policy Editor, Smart Dashboard

Die Kernkomponenten Firewall-1 und VPN-1 ließen sich Anno 2000 mit dem Check Point Policy Editor bearbeiten.

Das Design reflektiert den Stil der Systeme auf denen es lief. Dieser Trend läßt sich auch in den darauf folgenden Versionen beobachten: Icons und Farben passen sich grob den jeweiligen Vorgaben von Windows an.

Mit stetig wachsendem Funktionsumfang wich der “Policy Editor” ab R5x der “Smart Console”, einem vereinheitlichten Framework zur Verwaltung und Visualisierung der Firewall mit dem “Smart Dashboard” als zentrales Werkzeug.

Die eindeutige farbliche Markierung verschiedener Regeln ist von Beginn an wichtig:

Policy-Editor

Policies im Policy Editor 4.1

Policy-R6x

Policies in R6x

Policy-R76

Policies ab R76

Policy-R08

Policies ab R80

Blade Technologie: Check Point SecurePlatform R70

Mit R70 brachte Check Point im März 2009 erstmals einen neuen Ansatz im Firewall-Bereich heraus: Die "Software Blade" Architektur. Dadurch ist es möglich, zur “normalen” Firewall zusätzliche Funktionen, sogenannte “Software Blades” (z.B. Intrusion Prevention System, Anti-Spam, Quality Of Service), hinzuzuschalten. Diese Software Blades beeinflussen sich nicht gegenseitig und können völlig unabhängig voneinander aktiviert und lizenziert werden.

Blades

Software Blade Übersicht

Eine aufgefrischte grafische Oberfläche zur zentralen Verwaltung der Firewall-Umgebung macht es einfach, eine einheitliche Firewall-Policy für die gesamte Firewall-Umgebung zu erstellen. Ebenfalls neu waren eine Mehrkernunterstützung (“CoreXL”) und das IPS-Blade.

Mit dem ersten Update, der Version R70.1, wurden ein SmartWorkflow Blade, ein Remote Deployment Tool und Link Aggregation zum Funktionsumfang der Check Point Software hinzugefügt.

Im Oktober 2010 brachte Check Point das nächste Major Release heraus, R71. Neu in dieser Version waren das Data Loss Prevention Blade sowie das SSL VPN Blade.

Mit R71.20 führte Check Point ein zentrales Management für Series 80 Appliances, Edge N Series und Embedded NGX 8.1 Gateways ein. Kurz darauf erblickte im Dezember 2010 Version R75 das Licht der Welt, in die alle Features der vorherigen Versionen integriert wurden. Zusätzlich wurden die Blades Identity Awareness, Application Control (mit integriertem Data Loss Prevention Blade) und Mobile Access hinzugefügt.

Neues Betriebssystem: GAiA

Seit R75.40 läuft GAiA, ein gehärtetes RHEL 5.2, als Basis für die verschiedenen Blades und die GUI. Es vereint seine vorhergehenden Plattformen IPSO und SPLAT. Das WebUI des GAiA Betriebssystems ist dem Vorgänger SPLAT in der Struktur relativ treu geblieben, der gewachsene Funktionsumfang läßt sich in den folgenden Screenshots gut ablesen. Der Name GAiA verweist auf Check Point’s Ansatz, alle sicherheitsrelevante Funktionalität unter einem Dach verfügbar zu machen.

 IPSO+SPLAT=GAiA

Neue Optik: SmartConsole R76

Gegenüber Vorgängerversionen haben sich ab Smart Console R76 Icons, Anordnungen und Farben geändert. Zwar steigt der Funktionsumfang, jedoch haben sich Redundanz und Komplexität des UI erhöht. Die SMART Map verliert ihren prominenten Platz und muß über die globalen Einstellungen erst aktiviert werden, zudem kann sie (noch?) nicht mit IPv6 Objekten umgehen.

Gut gelungen ist die Menüleiste („Datei“, „Bearbeiten“, „Ansicht“, …). Sie ist in ein Platz sparendes Dropdown-Menü gewandert, nur oft benutzte Funktionen wie “Speichern”, “Policy installieren” und Links zu anderen Anwendungen der SmartConsole bleiben an der Stelle der Menüleiste. Das spart Platz für eine neu gestaltete Reihe Reiter zur Verwaltung des Gateways („Firewall“, „Application & URL Filtering“, „IPS“ oder „IPSec“). Diese ist nun prominenter und mit größeren Schaltflächen zu erreichen. Der Reiter „Willkommen“ ist in einen Übersichtsbildschirm verändert worden.

Die vormals im oberen linken Bereich befindliche Liste verschiedener Objekte hat sich in zwei neue Bereiche links unten und in eine Bodenleiste aufgeteilt. Im Bereich links unten sind die Objekte nach Typ geordnet (Check Point, Nodes, Networks, …), während in der unteren Leiste alle Objekte alphabetisch sortiert sind, was bei der Suche nach bestimmten Objekten helfen soll.

Die veränderten Icons an vielen Stellen lassen sich weiterhin gut voneinander unterscheiden und karikieren weiterhin gut, was sich hinter ihnen verbirgt. Zahlen, Grafiken und Farben der vielen anschaulichen Statistiken sind gleichbleibend gefällig für das Auge und schnell zu erfassen.

Leider ist die Smart Console nicht für vergrößerte Schrift optimiert und es kommt dann zu kleineren Anzeigefehlern. Hilfreich für die tägliche Arbeit als Firewall Administrator wären zudem Smart Dashboards in verschiedenen Farben, um geöffnete Sessions zu verschiedenen Kunden leicht unterscheiden zu können.

Konsolidiertes Security Management: R80

Wie bereits in unseren beiden Artikeln zu Check Point R80 beschrieben, integriert Check Point sämtliche SmartConsole Komponenten (SmartDashboard, SmartView Monitor, SmartLog, SmartUpdate etc.) zu einer einzigen SmartConsole.

Check Point kündigt R80 an!
Check Point R80 Security Management veröffentlicht!

SmartConsole R80 Login

Aufgrund der komplett neuen Entwicklung von R80 stehen zudem viele neue Möglichkeiten, Funktionen, Verbesserungen und Werkzeuge für die tägliche Firewall Security Administration zur Verfügung.

Danke Check Point!

Frohe Weihnachten 2015

ESC und Check Point wünschen allen Kunden auch in diesem Jahr ein frohes Weihnachtsfest und erholsame Festtage sowie einen guten Rutsch ins neue Jahr 2016.

Check Point hat für 2016 zehn Vorhersagen zur IT-Sicherheit veröffentlich.

Für alle Check Point Kunden ist im nächsten Jahr insbesondere die lang erwartete Neuentwicklung der Check Point Management Software in der Version R80 interessant. Aktuell läuft gerade die EA-Phase, nach welcher mit einer Veröffentlichung im ersten Halbjahr 2016 zu rechnen ist.

Wir freuen uns darauf!

Check Point R80 - Next Generation Security Management

Check Point R80 – Next Generation Security Management

Check Point R80 EA - Unified, Sub- and Layered Security Policies

Check Point R80 – Unified, Sub- and Layered Security Policies

Check Point R80 - Granular Admin Delegation, Concurrent Admins & Sessions

Check Point R80 – Granular Admin Delegation, Concurrent Admins & Sessions

Check Point R80 - Policy Apps, Trusted Automation, Policy Orchestration

Check Point R80 – Policy Apps, Trusted Automation, Policy Orchestration

Check Point R80 - Smart Ops+

Check Point R80 – Smart Ops+

Check Point R80 - Threat Navigator, Forensics, Predictive Intelligene

Check Point R80 – Threat Navigator, Forensics, Predictive Intelligene

Check Point R80 - SmartConsole Installation

Check Point R80 – SmartConsole Installation

1100-specs-klein

Im Oktober 2015 veröffentlichte Check Point für seine 1100 Appliances zwei neue Firmware-Versionen: Embedded GAiA R75.20 HFA 71 und R77.20 HFA 11.

Wie angekündigt wird Check Point zur Verbesserung der Sicherheit einen Wechsel von SHA1- auf SHA256-Zertifikate vornehmen. Um auch danach wichtige Dienste wie zum Beispiel Anti-Spam-, Anti-Bot-, Anti-Virus- und Lizenzupdates weiter nutzen zu können, empfehlen wir unseren Kunden dringend die Firmware aller 1100 Appliances zu aktualisieren.

R75.20 HFA 71 enthält gegenüber seinen Vorgängerversionen Verbesserungen bezüglich Anti-Spam, Wifi-Hotspot und Reporting.

R77.20 HFA 11 basiert im Vergleich zum langjährig entwickelten R75.20 Release auf der noch relativ neuen R77.20 Engine und sollte daher nur eingesetzt werden, wenn Funktionen benötigt werden, die erst mit diesem Release verfügbar sind (neue Anti-Virus und Anti-Bot Engines, URL Filtering für HTTPS, SSL Inspection (bei zentraler Verwaltung), Identity Sharing Options, erweiterte VPN Funktionalitäten sowie SCADA-Protokolle zum steuern technischer Prozesse). Zur zentralen Verwaltung von 1100 Appliances mit neuer R77.20 Embedded GAiA Firmware muss auf dem Firewall Management (SmartCenter) zwingend R77.30 mit Add-On installiert sein!

Nützliche Links:
Check Point 1100 Appliance – FAQ

R77.30

Check Point stellt seit dem 19. Mai 2015 das Stabilitätsupgrade R77.30 für das aktuelle Major Release R77 zur Verfügung.

Wir haben R77.30 umfassend getestet. Aufgrund der umfangreichen Liste behobener Fehler und neuer Funktionalitäten empfehlen wir allen Check Point Kunden, auch bzgl. eines besseren Herstellersupports, R77.30 zeitnah als In-place Upgrade oder Neuinstallation einzuspielen.

Check Point wird für R77.30 auch seine Courseware aktualisieren.

R77.30 – Release Notes | Appendix
R77.30 – Resolved Issues
R77.30 – Known Limitations
R77.30 – Jumbo Hotfix (enthält Recommended Hotfixes)

Downloads

R77.30 – Release map
R77.30 – Upgrade map
R77.30 – Backward Compatibility map
R77.30 – SmartConsole and SmartDomain Manager

Die wichtigsten Neuerungen von R77.30 sind:

– Verbesserung der Stabilität und Belastbarkeit von GAiA
– Performance-Verbesserung von SSL-Sitzungen (siehe sk104717)
– DNS Tunnel-Erkennung durch das IPS Blade

Zusätzlich steht ein R77.30 Add-On zur Verfügung, welches folgende weitere Funktionen bietet:

– ein neues Software-Blade: Threat Extraction
– Verwaltung von 1100 Appliances mit neuer R77.20 Firmware (siehe sk105379).
– Mobile Access Blade and Capsule Verbesserungen (siehe sk104542)
– Unterstützung von Carrier-Lösungen (LTE Suite): NAT64, GTP, SCTP, CGNAT und einige mehr.

Check Point empfiehlt jedoch das Add-On nur einzuspielen, sofern die darin enthaltenen Funktionen auch benötigt werden.

 
R77.30 What’s new

cp_r77.30_sc1

Was ist neu in R77.30?

cp_r77.30_sc2

Firewall Performance Boost

cp_r77.30_sc3

Neuigkeiten im SmartDashboard

cp_r77.30_sc4

Neu: Versionsverteilung

cp_r77.30_sc5

Besseres Identity Awareness

cp_r77.30_sc6

Bessere Endpoint Security

cp_r77.30_sc7

Verbesserte Threat Emulation

cp_r77.30_sc8

Verbessertes Compliance Blade

cp_r77.30_sc9

SmartDashboard einsatzbereit


Empfohlene Hotfixes für R77.30 schließen neu erkannte Sicherheitslücken und bringen weitere Stabilitätsverbesserungen.

Wir empfehlen das Einspielen dieser Hotfixes via CPUSE.

 

Für Check Point’s 1100 Appliances gibt es mit Embedded GAiA R75.20.70 sowie R77.20 zwei neue Firmware-Images.

Embedded GAiA R75.20.70 unterstützt nun den SHA-256 Algorithmus für Zertifikate. Zudem läßt sich das Anti-Spam Blade granularer administrieren (sk106669).

Embedded GAiA R77.20 bietet eine Reihe neuer Funktionen, u.A. neue Anti-Bot und Anti-Virus Engines, erweiterte VPN-Funktionalitäten (u.A. IKEv2) sowie die Unterstützung von industriellen Steuerprotokollen (SCADA). Für einen vollumfänglichen Überblick empfiehlt sich der Secure Knowledge-Artikel sk105379. Für die zentrale Verwaltung von 1100-Appliances mit Embedded GAiA R77.20 Firmware wird GAiA R77.30 auf dem Security-Management benötigt!

Embedded GAiA R77.20

Embedded GAiA R77.20

Embedded GAiA R77.20-2

Embedded GAiA R77.20

cpx-2015

Nach der Check Point Experience 2015 in Amsterdam hat Check Point nun die Präsentationen online gestellt. Insbesondere der Ausblick auf R80 ist für alle Check Point Kunden sehr interessant, da sich gerade in Check Point’s zentralem Security Management eine riesige und fantastische Neuerung ankündigt. Wir sind schon sehr gespannt!

 

General Sessions
Best Security of the Future
Real-Time Responses to Breaches

Track 1 – The Future of Threat Prevention
Preventing Zero-Day Attacks with Advanced Threat Prevention Technologies
Best Practice: Defining a Multi-Layer Threat Prevention Strategy
The Future of Malware: Understanding the Genesis of Unknown Malware
Securing Shadow IT with Web and Application Security
The Future of Threat Intelligence
Exploits Demystified – An Attacker’s View

Track 2 – The Future of Mobile Security
The Future of Mobile Security: Under the Hood with Capsule
Understanding Mobile Malware: Extending Threat Prevention to Mobility
The Future of Mobile Threat Prevention

Track 3 – The Future of Security Architectures
Ready for the Future: Building a Sustainable Security Architecture
The Future of Security Management – R80 Under The Hood
Securing the Data Center of the Future
Case Study: Data Breach Incidence Response
The Future of Forensics and Monitoring

Vertical Industry Sessions
Retail: Preventing History from Repeating Itself: The Year of the Retail Breach
The Future of Security for CSP, MSSP and Telco Operators
Critical Infrastructure Doomsday: Not If, But When
Securing Financial Services: Anatomy of an ATM Attack

Nach der zuletzt durch FREAK bekannt gewordenen TLS-Schwachstelle gibt es nun eine weitere Variante namens Logjam.

Diese in Zusammenarbeit verschiedener Sicherheitsforscher gefundene TLS-Sicherheitslücke (Link zu CVE-2015-4000) erlaubt durch eine Schwachstelle im Diffie-Hellman Schlüsselaustausch ein Downgrade der Sicherheit auf nur 512 Bit, was ein Knacken des geheimen Schlüssels sehr vereinfacht.

Für alle Check Point Kunden hat Check Point mit sk106147 eine Entwarnung veröffentlicht.

Zudem stehen zentral vor Logjam schützende IPS-Updates zur Verfügung!
CPAI-2015-0223
CPAI-2015-0226

Danke Check Point!

Logjam Website: https://weakdh.org
Logjam PDF: https://weakdh.org/imperfect-forward-secrecy.pdf