Aktuelles aus unserer Technik  -  Q4 / 2019

Seit Check Point auf der Check Point Experience 2019 R80.20 zum Magnum Opus seiner bisherigen Entwicklung erklärt hat und im September 2019 R77.30 auslief, steht für viele Kunden die R80.20 Migration samt Konsolidierung & Optimierung der Security Policy an. Wir setzen diese Projekte erfahren & kundenspezifisch um.

techblog.esc.de

Archiv für 'Allgemein'

ShellShock Logo

Guten Morgen ShellShock!

Diese so genannte und von Entwickler Stephane Chazelas gefundene Bash-Sicherheitslücke (CVE-2014-6271/7169) stellt eine echte und ernst zu nehmende Gefährdung zur Remote-Ausführung von Code für alle auf Linux basierenden IT-Systemen dar, da diese Bash als Standard-Shell verwenden.

Für alle Check Point Kunden hat Check Point mit sk102673 eine Entwarnung samt Bash-Updates veröffentlicht.

Zudem steht ein zentral vor ShellShock schützendes IPS-Update zur Verfügung!

Check Point - ShellShock Advisory

Check Point stellt allen Kunden ferner eine ShellShock Hilfeseite zur Verfügung.

Folgende Check Point Produkte sind NICHT betroffen:

(1) Mobile Access
(2) Identity Awareness Portal
(3) User Check Portal
(4) Alle Remote Access Portale für das Mobile Access Blade
(5) IPS VPN
(6) SNX (SSL Network Extender)

Check Point Protects Customers Against Shellshock

Check Point Protects Customers Against Shellshock

Danke Check Point!

Check Point SmartDashboard - IPS ShellShock Protection

Check Point SmartDashboard – IPS ShellShock Protection

Die Bash-Updates für Check Point Gaia, SecurePlatform und IPSO 6.2 empfehlen wir allen Check Point Kunden, neben dem IPS-Update, zeitnah einzuspielen, sofern Check Point Admin-Portale über unsichere Netzwerke zur Verfügung gestellt werden müssen. Ansonsten geht Check Point von keiner akuten Gefährdung aus, sofern alle Admin-Portal nur über gesicherte Netzwerke erreichbar sind. Check Point hat angekündigt innerhalb der nächsten 24 Stunden einen generellen Hotfix für alle Systeme zur Verfügung zu stellen.

Check Point R77.20 ShellShock

Check Point R77.20 ShellShock

 

Generell empfehlen wir allen Check Point Kunden niemals die abgesicherte Gaia CLISH beim Standard-Login gegen BASH zu ersetzen, nur damit SCP-Dateitransfers auch direkt mit der Firewall funktionieren. Hierdurch wird nicht nur das vom Hersteller vordefinierte Betriebssystem-Sicherheitskonzept unterlaufen, vielmehr schwächt es gerade auch bei solchen BASH-Schwachstellen die generelle Sicherheit aller an der IT-Sicherheitsinfrastruktur beteiligten Komponenten.

Check Point stellt hierfür eine dedizierte SCPonly-Shell zur Verfügung. Hiermit kann ein separater scpuser elegant in der Gaia-WebUI erstellt werden:
Check Point GAiA SCPUser

Das geht mit folgenden Befehlen natürlich auch direkt in der Gaia Clish:

[ R77.30 ]
add user scpuser uid 2600 homedir /home/scpuser
set user scpuser shell /usr/bin/scponly
set user scpuser password
save config

[ R80 ]
add user scpuser uid 2600 homedir /home/scpuser
set user scpuser realname Scpuser
add rba role scpRole domain-type System readwrite-features expert
add rba user scpuser roles scpRole
set user scpuser gid 100 shell /usr/bin/scponly
set user scpuser password
save config

 


 

Im Netz finden sich bereits zahlreiche ShellShock Tester zum Überprüfen der eigenen, aus dem Internet erreichbaren, Server.

ShellShock Test Tool

ShellShock Test Tool

ShellShock Test Tool

BashSmash

Bash Smash - ShellShock Test

Bash Smash – ShellShock Test

ShellShock Tester

ShellShock Tester . com

ShellShock Tester . com

Für alle Check Point 1100 Appliances steht ab sofort die neue Firmware-Version R75.20 HFA 65 bereit. Enthalten sind Verbesserungen zur Appliance-Verwaltung via SMP (Security Management Portal), die Unterstüzung für neue 3G (UMTS) und 4G (LTE) Modems sowie weitere Stabilitätsverbesserungen.

Wir empfehlen daher allen Check Point Kunden ein zeitnahes Upgrade ihrer 1100 Appliances.

Die Check Point 1100 Appliance bietet Check Point’s Software Blade Funktionalität (Firewall, VPN, QoS, Intrusion Prevention, App Filter, Anti Virus, Anti Spam) in einem routergroßen Kleincomputer.

Darin läuft GAiA Embedded (Check Point’s gehärtetes Red Hat Linux) auf einer ARM 32-bit RISC CPU mit 512 MByte RAM. Neben WAN, DMZ und 8-Port Switch (alles Gbit/s) gibt es RS-232, USB-2, SD-Card sowie Express-Card Erweiterungen. 802.11n WLAN und ADSL Modem sind optional auch erhältlich. Mehr erfahren: 1100 Appliance FAQ

01

02

03

04

05

06

07

 

Logo Heartbleed Bug

Was für ein Wochenauftakt mit der hochbrisanten Meldung zur Heartbleed Bug genannten OpenSSL Schwachstelle (CVE-2014-0160). Für alle Check Point Kunden hat Check Point mit sk100173 eine Entwarnung veröffentlicht.

Folgende Check Point Produkte sind NICHT betroffen:

– Security Gateway
– Security Management Server
– Multi-Domain Security Management Server
– Endpoint Security Management Server
– Endpoint Connect clients
– SSL Network Extender (SNX)
– 61000 Data Center Security Appliances
– 21000 Data Center Security Appliances
– 2000 / 4000 / 12000 / 13500 Appliances
– Power-1 / UTM-1 / VSX-1 / DDoS / Smart-1 Appliances
– IP Series Appliances
– 600 appliances
– 1100 appliances
– Edge devices
– Safe@Office devices

Derzeit werden lediglich noch die Check Point Mobile VPN Lösungen für iOS & Android überprüft. Ansonsten sind sämtliche von Check Point unter Support stehenden Produkte nicht vom Heartbleed Bug betroffen.

Darüber hinaus schützt Check Point IPS auch andere Systeme vor der Heartbleed Bug – OpenSSL Schwachstelle.

Danke Check Point!

Seit heute, 1. April 2014, ist ESC nunmehr offizieller Check Point Gold Partner. Herzlichen Glückwunsch!

Link zum Check Point Partnerstatus der ESCLink zum Check Point Partnerstatus der ESC

Bereits seit 1997 setzt ESC im Firewall Security Bereich primär auf zentrale Sicherheitslösungen von Check Point und bietet seinen Kunden mit einem dedizierten Check Point Supportteam direkten Experten-Support aus erster Hand. Unser besonderes fachliches Engagement zeigt sich auch dadurch, dass unsere Check Point Experten sogar das hohe und eigentlich nur für Check Point Platinum-Partner vorgesehene Zertifizierungslevel erfüllen. ESC betreibt zudem das einzige deutschsprachige Check Point Techblog und ist seit 2010 stets mit einem eigenen Check Point Stand auf der it-sa IT-Security Messe in Nürnberg zu finden.

Weiter so ESC!

Vielen Dank auch für die vielen Glückwünsche und Gratulationen, welche uns von allen Seiten erreichten. Wir haben uns über diese Anerkennung sehr gefreut und werden zeigen, dass wir dieser mehr als gerecht werden.

Wie Check Point bereits vorab in seinem öffentlichen Releases Plan ankündigte, steht seit dem gestrigen Abend endlich das Stabilitätsupdate R77.10 für sein aktuelles Major Release R77 zur Verfügung.

Auch die aktualisierte Release map hat eine wesentliche Überarbeitung erfahren und enthält nun deutlich mehr Informationen sowie ein neues Layout.

Check Point R77.10 – Release map
Check Point R77.10 – Upgrade map
Check Point R77.10 – Backward Compatibility map

Die wichtigsten Neuerungen von R77.10 sind:
– Verbesserungen und Korrekturen in Check Point’s GAiA Betriebssystem
– Mobile Access support für IPv6, VSX, Push Notifications, Remote Wipe etc.
– Integriertes Appliance Hardware Diagnostic Tool (sk97251)
– Dead Peer Detection (DPD) Support für VPNs
– CoreXL + SecureXL + QoS können nun auch zusammen eingesetzt werden

Eine vollständige Übersicht der umfangreichen Verbesserungen und Korrekturen finden sich in sk97620. Die Known Limitations listet sk97619 auf.

Aufgrund der umfangreichen Liste behobener Fehler, inkl. diverser Memory Leaks, empfehlen wir allen Check Point Kunden auch bzgl. eines besseren Herstellersupports umgehend das Stabilitätsupdate R77.10 einzuspielen.

Logo der IT-Security Messe it-sa

Vom 8. – 10. Oktober 2013 findet wieder die jährliche IT-Security Messe it-sa in Nürnberg statt. Die ESC ist auch in diesem Jahr wieder als Aussteller mit einem eigenen Stand (Halle 12.0, Stand 307) vor Ort und wird zusätzlich noch auf dem Stand 504 des IT-Security Distributors Arrow ECS in Kooperation mit Check Point die neuesten Lösungen vorstellen.

Besuchen Sie uns in Halle 12.0 an einem der beiden Stände 307 bzw. 504. Wir beraten Sie gern auch technisch detailliert zu den neuesten Funktionen, bestehenden Migrations- und Optimierungswegen und geben auch gern den ein oder anderen Tipp aus unserer Praxis weiter. Ein Besuch lohnt sich!

“Anwender müssen 25 Update-Mechanismen im Auge behalten!”

Einige IT-Newsfeeds, darunter auch heise Security, berichteten in den vergangenen Tagen über einen Sicherheitsreport des Softwareentwicklers Secunia zur Problematik der Pflege von Softwareinstallationen auf Client-PCs.

Die Studie stellte fest, dass 68% aller gefundenen Verwundbarkeiten eines Computersystems aus schlecht gepflegter Drittsoftware stammen. Allen voran gehen dabei die üblichen Verdächtigen:
Adobe Flash Player, Acrobat Reader und Oracle Java. Der durchschnittliche Nutzer hat ca. 75 Programme installiert, welche zum großen Teil einen eigenen Update-Mechanismus des jeweiligen Softwareherstellers eingebunden haben. Effekt: Der Anwender muss im Schnitt 25 verschiedene Update-Mechanismen bedienen!

Was im Heimbereich schon ein kaum lösbares Problem darstellt potenziert sich noch einmal in einem Unternehmen: Welcher Mitarbeiter pflegt seinen PC-Arbeitsplatz und nutzt ihn nicht nur? Die Updatefunktionen werden schlimmstenfalls von der Firewall oder durch den Proxy geblockt, neue Updates damit nicht eingespielt. Die IT erfährt nichts von der Misere. Ein umfangreiches Patchmanagement zur Pflege des sich stetig ändernden Software-Zoos der Mitarbeiter ist teuer und kaum zu handhaben. Restriktive Vorgaben zur Softwareinstallation schränken die Mitarbeiter oftmals jedoch zu sehr ein.

Wir empfehlen den Einsatz eines bewährten Intrusion Prevention Systems (IPS). Idealerweise bereits auf der zentralen Firewall am Netzwerk-Perimeter integriert. Eine solche IPS-Engine kann nach Bekanntwerden einer Sicherheitslücke den Schadcode direkt an der Firewall zentral erkennen und blockieren. Die internen Computersysteme (sprich: Clients) sind somit zentral geschützt und müssen nicht warten, bis ein Update oder Patch bereitsteht und systemspezifisch eingespielt wurde.

Check Point R76

Check Point bietet hierfür seine integrierte IPS-Engine (früher: SmartDefense) als IPS Software Blade an, welche bereits seit vielen Jahren erfolgreich und aktiv weiterentwickelt wird, um den Kunden stets aktuelle Schutzmechanismen bereitzustellen. Damit setzt Check Point seit Jahren neue Standards bei von NSS Labs durchgeführten Group IPS Tests und erhielt das wegweisende ‘Recommended‘ Rating.

Bei unserer täglichen Arbeit an den Perimeter-Netzen unserer Kunden tritt oftmals eines zutage: Selbst in vollständig geclusterten, hochredundanten Umgebungen haben nur eine überschaubare Anzahl von Kunden ausreichend dimensionierte Terminal Server im Einsatz.  Einige sogar gar keine.  Dabei bringt fast jeder Server einen dedizierten seriellen Konsole-Port (RS232) zum Anschluss an einen Terminal Server mit.

In der Praxis schließen die meisten Admins aber erst ihr Notebook mittels eines USB-to-Serial Adapters an, wenn man anders nicht mehr auf das System kommt (Beispiele: sshd restart bringt einen Fehler; Vertipper beim Editieren der /etc/hosts.allow). Viel zu spät!  Ferner müssen die Admins dazu lokal an den Server, welcher nicht immer gleich um die Ecke im Serverraum steht.  Gerade in einem solchen Szenario sollte der Admin seinen Arbeitsplatz besser nicht verlassen müssen, um sämtliche Prozesse des Troubleshootings zentral steuern zu können und zwecks abgestimmter Kommunikation erreichbar zu bleiben.

Natürlich bringen diverse Server auch ein eigenes ILOM-Management (sprich: Service Prozessor) mit.  Dieses Management-Portal ist direkt netzwerkfähig und kann i.d.R. direkt über den Webbrowser via SSL angesprochen werden.  Dafür benötigt man für die Remote Konsole (meist Java oder .NET basierend) oftmals noch eine zusätzliche Lizenz.  Unseren Kunden empfehlen wir, sämtliche ILOM-Ports aufgrund des hohen Schutzbedarfs in ein dediziertes Management-Netzwerk zu konnektieren, welches direkt von der Firewall geschützt wird.

Im Check Point Appliance-Bereich bieten jedoch erst die höherpreisigen Appliances eine Möglichkeit zum ILOM-Einbau. Ebenso wie die benachbarten Switche, Router und DMZ-Server haben sie jedoch alle standardmäßig einen seriellen Konsolen-Port (RS232). Warum also werden diese nicht auf einen geeigneten Terminal Server aufgeschaltet?  Vielleicht weil sich die wenigsten darüber bewusst sind, dass diese Ports mittels eines Terminal Servers über das Netzwerk normal via SSH erreicht werden können und ebenfalls alle gängigen Sicherheitsmerkmale unterstützen (RADIUS, TACACS+, LDAP, Kerberos, NIS, RSA SecurID).  AES, 3DES, etc. Verschlüsselung inklusive.

Daher empfehlen wir unseren Kunden, einen Terminal Server von vornherein mit einzuplanen.  Die Vorteile überwiegen die geringen Mehrkosten bei weitem!  Vor allem im sensiblen Perimeter-Bereich ist der Einsatz eines geeigneten Terminal Servers aus unserer Sicht unabdingbar.

Beispielsysteme von Perle Systems GmbH :

http://www.perlesystems.de/products/Terminal-Server.shtml

Es gibt ja so schöne Begriffe, wie Single Point of Failure, Bottleneck, Standalone, Unmanaged, Lokales Logging, Lokales Management, Never touch a running system. usw. Schon einmal gehört? Hoffentlich nicht im Umfeld Ihres Netzwerk-Perimeters!

Das Gegenteil davon sind Redundanz, Fehlertoleranz, Distributed Deployment, zentrales Management, Monitoring & Logging, gemanagte Switche, getrennte Stromkreise, Aktualität aller Soft- und Hardwarekomponenten. Wow!

Letztere Begriffe sollten eigentlich die Ziele jeder IT-Verwaltung sein. Oftmals zeigt uns die Praxis jedoch, dass nur die Komponenten von zentraler Bedeutung (Firewall, Proxy, Mailserver, ESX-Server, usw.) redundant ausgelegt werden, um dann an einfachen, teilweise ungemanagten, Switchen und Routern ihr Dasein zu fristen. Eine konsistent geplante und stringent umgesetzte Redundanz zur Erhöhung der Stabilität und Verfügbarkeit aller Netzwerkkomponenten betrachtet jedoch alle an der Netzwerkstruktur beteiligten Komponenten. Das beinhaltet die logische Konzeption eines verteilten (Distributed) Systems bis hin zu getrennten Stromkreisen für die redundanten Netzteile.

Hilfsmittel, wie Farbcodes und Namenskonventionen, sind dabei nicht nur erwünscht, sondern aus unserer Sicht unabdingbar, um administrative Fehler schon im Planungsprozess, als auch bei der späteren Umsetzung & Instandhaltung, vermeiden zu helfen und zwischen allen Beteiligten klar zu definieren, wie und wo etwas aufgrund welcher Konzeption konfiguriert ist.

Vorab sollte daher immer ein konzeptioneller Netzplan zur allgemeinen Veranschaulichung erstellt werden, bei welchem auch die Switche geclustert bzw. gestacked sind. Denkbar wäre noch HSRP für die ISP-Router und LACP für die Bündelung von physischen Netzwerkverbindungen.

Seit kurzem bietet Check Point eine Rescue CD an. Mit dieser Live-CD ist eine Desinfizierung von Malware verseuchten PCs möglich.

Es handelt sich dabei um eine ältere Version von Kaspersky Rescue Disk 10. Für technische Fragen verweist Check Point auch direkt an seinen Anti-Malware Engine Provider.
Diese basiert auf Gentoo Linux mit dem Kernel 2.6.35-krd10 und nutzt IceWM.
Gescannt werden können Festplatten, die Bootsektionen der Laufwerke sowie versteckte Autostart-Objekte. Unterstützt werden dabei die Dateisysteme FAT32, NTFS, Ext2, Ext3, Ext4 und Reiser.
Die Einstellungen des Kaspersky Rescue Disk Programms sind konfigurierbar, so dass auch eine heuristische Analyse möglich ist. Die aktuellen Pattern sind von Juni 2011, allerdings lassen sich Updates direkt von CD aus dem Internet herunterladen. Eine Proxy-Konfiguration ist ebenfalls möglich.
Neben den Scan-Programm ist noch ein Terminal, ein Dateimanager (X File Explorer), ein Screenshot-Programm sowie Firefox in der Version 3.6.12 enthalten.

Ein Handbuch kann von der offiziellen Kaspersky Webseite heruntergeladen werden.

Die hier angebotene Rescue Disk 10 von Kaspersky basiert nun auf KDE 4.4.5 mit Dolphin als Dateiexplorer und Konquerer anstatt Mozilla Firefox. Die derzeitige Anti-Viren Datenbank der Live-CD ist ca. einen Monat alt und besitzt einen zusätzlichen Registry Editor.

Bei der neueren Variante werden weniger Sprachen zur Auswahl angeboten, jedoch ist Deutsch bei beiden verfügbar, so dass es aktuell sinnvoller ist, die neuere Edition der Kaspersky Webseite zu verwenden.