Aktuelles aus unserer Technik  -  Q3 / 2019

Seit Check Point auf der Check Point Experience 2019 R80.20 zum Magnum Opus seiner bisherigen Entwicklung erklärt hat und im September 2019 R77.30 ausläuft, steht für viele Kunden die R80.20 Migration samt Konsolidierung & Optimierung der Security Policy an. Wir setzen diese Projekte erfahren & kundenspezifisch um.

techblog.esc.de

Archiv für 'Allgemein'

Frohe Weihnachten 2015

ESC und Check Point wünschen allen Kunden auch in diesem Jahr ein frohes Weihnachtsfest und erholsame Festtage sowie einen guten Rutsch ins neue Jahr 2016.

Check Point hat für 2016 zehn Vorhersagen zur IT-Sicherheit veröffentlich.

Für alle Check Point Kunden ist im nächsten Jahr insbesondere die lang erwartete Neuentwicklung der Check Point Management Software in der Version R80 interessant. Aktuell läuft gerade die EA-Phase, nach welcher mit einer Veröffentlichung im ersten Halbjahr 2016 zu rechnen ist.

Wir freuen uns darauf!

Check Point R80 - Next Generation Security Management

Check Point R80 – Next Generation Security Management

Check Point R80 EA - Unified, Sub- and Layered Security Policies

Check Point R80 – Unified, Sub- and Layered Security Policies

Check Point R80 - Granular Admin Delegation, Concurrent Admins & Sessions

Check Point R80 – Granular Admin Delegation, Concurrent Admins & Sessions

Check Point R80 - Policy Apps, Trusted Automation, Policy Orchestration

Check Point R80 – Policy Apps, Trusted Automation, Policy Orchestration

Check Point R80 - Smart Ops+

Check Point R80 – Smart Ops+

Check Point R80 - Threat Navigator, Forensics, Predictive Intelligene

Check Point R80 – Threat Navigator, Forensics, Predictive Intelligene

Check Point R80 - SmartConsole Installation

Check Point R80 – SmartConsole Installation

1100-specs-klein

Im Oktober 2015 veröffentlichte Check Point für seine 1100 Appliances zwei neue Firmware-Versionen: Embedded GAiA R75.20 HFA 71 und R77.20 HFA 11.

Wie angekündigt wird Check Point zur Verbesserung der Sicherheit einen Wechsel von SHA1- auf SHA256-Zertifikate vornehmen. Um auch danach wichtige Dienste wie zum Beispiel Anti-Spam-, Anti-Bot-, Anti-Virus- und Lizenzupdates weiter nutzen zu können, empfehlen wir unseren Kunden dringend die Firmware aller 1100 Appliances zu aktualisieren.

R75.20 HFA 71 enthält gegenüber seinen Vorgängerversionen Verbesserungen bezüglich Anti-Spam, Wifi-Hotspot und Reporting.

R77.20 HFA 11 basiert im Vergleich zum langjährig entwickelten R75.20 Release auf der noch relativ neuen R77.20 Engine und sollte daher nur eingesetzt werden, wenn Funktionen benötigt werden, die erst mit diesem Release verfügbar sind (neue Anti-Virus und Anti-Bot Engines, URL Filtering für HTTPS, SSL Inspection (bei zentraler Verwaltung), Identity Sharing Options, erweiterte VPN Funktionalitäten sowie SCADA-Protokolle zum steuern technischer Prozesse). Zur zentralen Verwaltung von 1100 Appliances mit neuer R77.20 Embedded GAiA Firmware muss auf dem Firewall Management (SmartCenter) zwingend R77.30 mit Add-On installiert sein!

Nützliche Links:
Check Point 1100 Appliance – FAQ

R77.30

Check Point stellt seit dem 19. Mai 2015 das Stabilitätsupgrade R77.30 für das aktuelle Major Release R77 zur Verfügung.

Wir haben R77.30 umfassend getestet. Aufgrund der umfangreichen Liste behobener Fehler und neuer Funktionalitäten empfehlen wir allen Check Point Kunden, auch bzgl. eines besseren Herstellersupports, R77.30 zeitnah als In-place Upgrade oder Neuinstallation einzuspielen.

Check Point wird für R77.30 auch seine Courseware aktualisieren.

R77.30 – Release Notes | Appendix
R77.30 – Resolved Issues
R77.30 – Known Limitations
R77.30 – Jumbo Hotfix (enthält Recommended Hotfixes)

Downloads

R77.30 – Release map
R77.30 – Upgrade map
R77.30 – Backward Compatibility map
R77.30 – SmartConsole and SmartDomain Manager

Die wichtigsten Neuerungen von R77.30 sind:

– Verbesserung der Stabilität und Belastbarkeit von GAiA
– Performance-Verbesserung von SSL-Sitzungen (siehe sk104717)
– DNS Tunnel-Erkennung durch das IPS Blade

Zusätzlich steht ein R77.30 Add-On zur Verfügung, welches folgende weitere Funktionen bietet:

– ein neues Software-Blade: Threat Extraction
– Verwaltung von 1100 Appliances mit neuer R77.20 Firmware (siehe sk105379).
– Mobile Access Blade and Capsule Verbesserungen (siehe sk104542)
– Unterstützung von Carrier-Lösungen (LTE Suite): NAT64, GTP, SCTP, CGNAT und einige mehr.

Check Point empfiehlt jedoch das Add-On nur einzuspielen, sofern die darin enthaltenen Funktionen auch benötigt werden.

 
R77.30 What’s new

cp_r77.30_sc1

Was ist neu in R77.30?

cp_r77.30_sc2

Firewall Performance Boost

cp_r77.30_sc3

Neuigkeiten im SmartDashboard

cp_r77.30_sc4

Neu: Versionsverteilung

cp_r77.30_sc5

Besseres Identity Awareness

cp_r77.30_sc6

Bessere Endpoint Security

cp_r77.30_sc7

Verbesserte Threat Emulation

cp_r77.30_sc8

Verbessertes Compliance Blade

cp_r77.30_sc9

SmartDashboard einsatzbereit


Empfohlene Hotfixes für R77.30 schließen neu erkannte Sicherheitslücken und bringen weitere Stabilitätsverbesserungen.

Wir empfehlen das Einspielen dieser Hotfixes via CPUSE.

 

Für Check Point’s 1100 Appliances gibt es mit Embedded GAiA R75.20.70 sowie R77.20 zwei neue Firmware-Images.

Embedded GAiA R75.20.70 unterstützt nun den SHA-256 Algorithmus für Zertifikate. Zudem läßt sich das Anti-Spam Blade granularer administrieren (sk106669).

Embedded GAiA R77.20 bietet eine Reihe neuer Funktionen, u.A. neue Anti-Bot und Anti-Virus Engines, erweiterte VPN-Funktionalitäten (u.A. IKEv2) sowie die Unterstützung von industriellen Steuerprotokollen (SCADA). Für einen vollumfänglichen Überblick empfiehlt sich der Secure Knowledge-Artikel sk105379. Für die zentrale Verwaltung von 1100-Appliances mit Embedded GAiA R77.20 Firmware wird GAiA R77.30 auf dem Security-Management benötigt!

Embedded GAiA R77.20

Embedded GAiA R77.20

Embedded GAiA R77.20-2

Embedded GAiA R77.20

cpx-2015

Nach der Check Point Experience 2015 in Amsterdam hat Check Point nun die Präsentationen online gestellt. Insbesondere der Ausblick auf R80 ist für alle Check Point Kunden sehr interessant, da sich gerade in Check Point’s zentralem Security Management eine riesige und fantastische Neuerung ankündigt. Wir sind schon sehr gespannt!

 

General Sessions
Best Security of the Future
Real-Time Responses to Breaches

Track 1 – The Future of Threat Prevention
Preventing Zero-Day Attacks with Advanced Threat Prevention Technologies
Best Practice: Defining a Multi-Layer Threat Prevention Strategy
The Future of Malware: Understanding the Genesis of Unknown Malware
Securing Shadow IT with Web and Application Security
The Future of Threat Intelligence
Exploits Demystified – An Attacker’s View

Track 2 – The Future of Mobile Security
The Future of Mobile Security: Under the Hood with Capsule
Understanding Mobile Malware: Extending Threat Prevention to Mobility
The Future of Mobile Threat Prevention

Track 3 – The Future of Security Architectures
Ready for the Future: Building a Sustainable Security Architecture
The Future of Security Management – R80 Under The Hood
Securing the Data Center of the Future
Case Study: Data Breach Incidence Response
The Future of Forensics and Monitoring

Vertical Industry Sessions
Retail: Preventing History from Repeating Itself: The Year of the Retail Breach
The Future of Security for CSP, MSSP and Telco Operators
Critical Infrastructure Doomsday: Not If, But When
Securing Financial Services: Anatomy of an ATM Attack

Nach der zuletzt durch FREAK bekannt gewordenen TLS-Schwachstelle gibt es nun eine weitere Variante namens Logjam.

Diese in Zusammenarbeit verschiedener Sicherheitsforscher gefundene TLS-Sicherheitslücke (Link zu CVE-2015-4000) erlaubt durch eine Schwachstelle im Diffie-Hellman Schlüsselaustausch ein Downgrade der Sicherheit auf nur 512 Bit, was ein Knacken des geheimen Schlüssels sehr vereinfacht.

Für alle Check Point Kunden hat Check Point mit sk106147 eine Entwarnung veröffentlicht.

Zudem stehen zentral vor Logjam schützende IPS-Updates zur Verfügung!
CPAI-2015-0223
CPAI-2015-0226

Danke Check Point!

Logjam Website: https://weakdh.org
Logjam PDF: https://weakdh.org/imperfect-forward-secrecy.pdf

Wie Check Point in seinem aktuellen Product Alert zu sk103839 mitteilt, werden in wenigen Monaten sämtliche Online Services auf SHA-256 Zertifikate umgestellt. Dies geschieht zur Verbesserung der Sicherheit.

Alle Check Point Versionen bis einschließlich R77.20 benötigen daher umgehend den sk103839 Hotfix, da diese die neuen SHA-256 Zertifikate nicht ohne Aktualisierung verarbeiten können und damit sonst keine Online-Updates mehr für IPS, Threat Emulation, Threat Prevention, Application Control, URL Filtering, HTTPS Inspection, Endpoint Security, CPUSE, SmartUpdate Lizenzen & Contracts laden können!

ACHTUNG! Wer noch nicht mindestens auf R75.20 aktualisiert hat, muss jetzt spätestens aktualisieren, da der Hotfix nur für unterstützte Check Point Versionen ab R75.20 angeboten wird!

Auch im Check Point UserCenter wird die Warnmeldung aufgrund der Kritikalität nun als Erstes angezeigt.

Der sk103839 Hotfix ist auf ALLEN Check Point Systemen einzuspielen! Ebenfalls steht für die zentrale Check Point Verwaltung eine aktualisierte Version der Check Point SmartConsole inkl. SmartDashboard zur Verfügung.

Security Expert Technical Newsletter

Check Point hat soeben die erste Ausgabe seines Security Expert Technical Newsletter für 2015 veröffentlicht.

Das gesamte Newsletter Archiv kann hier eingesehen werden.

Im aktuellen Newsletter beschreibt Check Point seine Capsule Cloud in der aktuellen Version 1.3.0 und kündigt die sofortige Verfügbarkeit des wichtigen und bewährten Check Point R77.20 Jumbo Hotfix (Take 77) für alle Check Point Kunden an.

Für Check Point 1100 Appliances steht mit der neuen Firmware R75.20 HFA 69 (Release Notes) ein größeres Sicherheitsupdate zur Verfügung.

Ab sofort stellt Check Point für alle Kunden das Werkzeug Signature Tool zur Erstellung eigener Applikation für das Application Control & URL Filtering Software Blade zur Verwendung bereit!

Für die zuletzt bekannt gewordenen CVE-2015-0235 (glibc – GHOST), CVE-2014-9293, CVE-2014-9294, CVE-2014-9295, CVE-2014-9296 (NTP) sowie TLS 1.x Padding Schwachstellen referenziert der Newsletter die entsprechenden Stellungnahmen von Check Point.

Interessant ist für uns als Check Point Partner vor allem Check Point’s neues TAC Academy Programm, wodurch uns ab sofort auch erweiterte technische Trainings direkt von Check Point zur Verfügung gestellt werden. Wie freuen uns darauf!

Zum Ende des Newsletters stellt Check Point noch seine neuen Logos für die technischen Zertifizierungsstufen vor, welche wir er­freu­li­cher­wei­se alle in unserer Firma für unsere Kunden vorhalten können!

ESC und Check Point wünschen allen Kunden auch in diesem Jahr ein frohes Weihnachtsfest und erholsame Festtage.

In diesem Jahr haben wir sehr viel zusammen erreicht, wofür wir unseren Kunden als auch Check Point herzlich danken möchten.

Happy Holidays 2014

Nicht vergessen! Ab 2015 verkauft Check Point keine UTM-1 Edge Appliances mehr! Der 31. Dezember 2014 markiert das End-Of-Sale dieser Produktlinie. Gem. Check Point’s Support Lifecycle Policy läuft auch der Support für diese Geräte ein Jahr später am 8. Mai 2016 aus. Wir empfehlen daher einen Austausch mit den aktuellen Check Point 1100 Appliances einzuplanen.

UTM-1 Edge - End of Sale

Keep ’em Coming > Download des Check Point 2014 Security Report:
Keep 'em Coming

Auch in diesem Jahr stellt ESC wieder mit zwei Messeständen auf der it-sa IT-Security Messe aus. Bereits seit 2010 ist ESC kontinuierlich als Check Point Partner auf der Fachmesse für IT-Sicherheit vertreten und präsentiert seine Dienstleistungen und Produkte dem interessierten Fachpublikum.

Sie finden uns auf folgenden Ständen:
Halle 12.0 / 12.0-511 (Hauptstand)
Halle 12.0 / 12.0-504

Wir freuen uns auf Ihren Besuch!

it-sa_2014

ShellShock Logo

Guten Morgen ShellShock!

Diese so genannte und von Entwickler Stephane Chazelas gefundene Bash-Sicherheitslücke (CVE-2014-6271/7169) stellt eine echte und ernst zu nehmende Gefährdung zur Remote-Ausführung von Code für alle auf Linux basierenden IT-Systemen dar, da diese Bash als Standard-Shell verwenden.

Für alle Check Point Kunden hat Check Point mit sk102673 eine Entwarnung samt Bash-Updates veröffentlicht.

Zudem steht ein zentral vor ShellShock schützendes IPS-Update zur Verfügung!

Check Point - ShellShock Advisory

Check Point stellt allen Kunden ferner eine ShellShock Hilfeseite zur Verfügung.

Folgende Check Point Produkte sind NICHT betroffen:

(1) Mobile Access
(2) Identity Awareness Portal
(3) User Check Portal
(4) Alle Remote Access Portale für das Mobile Access Blade
(5) IPS VPN
(6) SNX (SSL Network Extender)

Check Point Protects Customers Against Shellshock

Check Point Protects Customers Against Shellshock

Danke Check Point!

Check Point SmartDashboard - IPS ShellShock Protection

Check Point SmartDashboard – IPS ShellShock Protection

Die Bash-Updates für Check Point Gaia, SecurePlatform und IPSO 6.2 empfehlen wir allen Check Point Kunden, neben dem IPS-Update, zeitnah einzuspielen, sofern Check Point Admin-Portale über unsichere Netzwerke zur Verfügung gestellt werden müssen. Ansonsten geht Check Point von keiner akuten Gefährdung aus, sofern alle Admin-Portal nur über gesicherte Netzwerke erreichbar sind. Check Point hat angekündigt innerhalb der nächsten 24 Stunden einen generellen Hotfix für alle Systeme zur Verfügung zu stellen.

Check Point R77.20 ShellShock

Check Point R77.20 ShellShock

 

Generell empfehlen wir allen Check Point Kunden niemals die abgesicherte Gaia CLISH beim Standard-Login gegen BASH zu ersetzen, nur damit SCP-Dateitransfers auch direkt mit der Firewall funktionieren. Hierdurch wird nicht nur das vom Hersteller vordefinierte Betriebssystem-Sicherheitskonzept unterlaufen, vielmehr schwächt es gerade auch bei solchen BASH-Schwachstellen die generelle Sicherheit aller an der IT-Sicherheitsinfrastruktur beteiligten Komponenten.

Check Point stellt hierfür eine dedizierte SCPonly-Shell zur Verfügung. Hiermit kann ein separater scpuser elegant in der Gaia-WebUI erstellt werden:
Check Point GAiA SCPUser

Das geht mit folgenden Befehlen natürlich auch direkt in der Gaia Clish:

[ R77.30 ]
add user scpuser uid 2600 homedir /home/scpuser
set user scpuser shell /usr/bin/scponly
set user scpuser password
save config

[ R80 ]
add user scpuser uid 2600 homedir /home/scpuser
set user scpuser realname Scpuser
add rba role scpRole domain-type System readwrite-features expert
add rba user scpuser roles scpRole
set user scpuser gid 100 shell /usr/bin/scponly
set user scpuser password
save config

 


 

Im Netz finden sich bereits zahlreiche ShellShock Tester zum Überprüfen der eigenen, aus dem Internet erreichbaren, Server.

ShellShock Test Tool

ShellShock Test Tool

ShellShock Test Tool

BashSmash

Bash Smash - ShellShock Test

Bash Smash – ShellShock Test

ShellShock Tester

ShellShock Tester . com

ShellShock Tester . com