Aktuelles aus unserer Technik  -  Q4 / 2020

Seit Check Point auf der Check Point Experience 2020 R80.40 zum Magnum Opus seiner bisherigen Entwicklung erklärt hat und im Mai 2021 bereits R80.10 ausläuft, steht für viele Kunden die R80.x Migration samt Konsolidierung & Optimierung der Security Policy an. Wir setzen diese Projekte erfahren & kundenspezifisch um.

techblog.esc.de

Archiv für 'Allgemein'

Es gibt ja so schöne Begriffe, wie Single Point of Failure, Bottleneck, Standalone, Unmanaged, Lokales Logging, Lokales Management, Never touch a running system. usw. Schon einmal gehört? Hoffentlich nicht im Umfeld Ihres Netzwerk-Perimeters!

Das Gegenteil davon sind Redundanz, Fehlertoleranz, Distributed Deployment, zentrales Management, Monitoring & Logging, gemanagte Switche, getrennte Stromkreise, Aktualität aller Soft- und Hardwarekomponenten. Wow!

Letztere Begriffe sollten eigentlich die Ziele jeder IT-Verwaltung sein. Oftmals zeigt uns die Praxis jedoch, dass nur die Komponenten von zentraler Bedeutung (Firewall, Proxy, Mailserver, ESX-Server, usw.) redundant ausgelegt werden, um dann an einfachen, teilweise ungemanagten, Switchen und Routern ihr Dasein zu fristen. Eine konsistent geplante und stringent umgesetzte Redundanz zur Erhöhung der Stabilität und Verfügbarkeit aller Netzwerkkomponenten betrachtet jedoch alle an der Netzwerkstruktur beteiligten Komponenten. Das beinhaltet die logische Konzeption eines verteilten (Distributed) Systems bis hin zu getrennten Stromkreisen für die redundanten Netzteile.

Hilfsmittel, wie Farbcodes und Namenskonventionen, sind dabei nicht nur erwünscht, sondern aus unserer Sicht unabdingbar, um administrative Fehler schon im Planungsprozess, als auch bei der späteren Umsetzung & Instandhaltung, vermeiden zu helfen und zwischen allen Beteiligten klar zu definieren, wie und wo etwas aufgrund welcher Konzeption konfiguriert ist.

Vorab sollte daher immer ein konzeptioneller Netzplan zur allgemeinen Veranschaulichung erstellt werden, bei welchem auch die Switche geclustert bzw. gestacked sind. Denkbar wäre noch HSRP für die ISP-Router und LACP für die Bündelung von physischen Netzwerkverbindungen.

Seit kurzem bietet Check Point eine Rescue CD an. Mit dieser Live-CD ist eine Desinfizierung von Malware verseuchten PCs möglich.

Es handelt sich dabei um eine ältere Version von Kaspersky Rescue Disk 10. Für technische Fragen verweist Check Point auch direkt an seinen Anti-Malware Engine Provider.
Diese basiert auf Gentoo Linux mit dem Kernel 2.6.35-krd10 und nutzt IceWM.
Gescannt werden können Festplatten, die Bootsektionen der Laufwerke sowie versteckte Autostart-Objekte. Unterstützt werden dabei die Dateisysteme FAT32, NTFS, Ext2, Ext3, Ext4 und Reiser.
Die Einstellungen des Kaspersky Rescue Disk Programms sind konfigurierbar, so dass auch eine heuristische Analyse möglich ist. Die aktuellen Pattern sind von Juni 2011, allerdings lassen sich Updates direkt von CD aus dem Internet herunterladen. Eine Proxy-Konfiguration ist ebenfalls möglich.
Neben den Scan-Programm ist noch ein Terminal, ein Dateimanager (X File Explorer), ein Screenshot-Programm sowie Firefox in der Version 3.6.12 enthalten.

Ein Handbuch kann von der offiziellen Kaspersky Webseite heruntergeladen werden.

Die hier angebotene Rescue Disk 10 von Kaspersky basiert nun auf KDE 4.4.5 mit Dolphin als Dateiexplorer und Konquerer anstatt Mozilla Firefox. Die derzeitige Anti-Viren Datenbank der Live-CD ist ca. einen Monat alt und besitzt einen zusätzlichen Registry Editor.

Bei der neueren Variante werden weniger Sprachen zur Auswahl angeboten, jedoch ist Deutsch bei beiden verfügbar, so dass es aktuell sinnvoller ist, die neuere Edition der Kaspersky Webseite zu verwenden.

Die Cloud zählt zu den zukunftsträchtigsten IT-Technologien. Allerdings haben viele Unternehmen noch Sicherheitsbedenken bezüglich dem Schutz von sensiblen Informationen und den angebotenen Diensten. Check Point möchte mit seinem neuen virtuellen Gateway: “Virtual Appliance for Amazon Web Services” die gewohnte Sicherheit gewährleisten.

Das Gateway verhält sich wie eine physikalische R75 Appliance, welche durch Anbindung an das Firewall-Management mit in die bestehende Check Point Infrastruktur integriert und zentral verwaltet werden kann. Alle gewünschten Software Blades wie beispielsweise Firewall, IPS, AppControl, DLP und AntiVirus können gewohnt einfach hinzugefügt werden.
Software Blades

Zum Konfiguration der Appliance kann auf der Check Point Webseite das ca. 2 MB große Virtual Appliance Configuration Tool cpvpc.exe heruntergeladen werden. Dieses erstellt auf einem Windows PC eine virtuelle, private Cloud mit einen privaten Netzwerk. In diesem wird anschließend die Virtual Appliance ausgeführt. Die benötigten AWS Access und Secret Keys können dem AWS Web-Portal auf der Security Credentials Seite im Access Key Tab entnommen werden.
cpvpc-tool

Die Preise für eine Virtual Appliance for Amazon Web Services beginnen bei Amazon Web Services ab 2000 Dollar und sind analog für weitere Software Blades zum normalen Preismodell. Alternativ kann auch eine vorhandene Lizenz eingesetzt werden. Die eigentliche Appliance wird durch Amazon bereitgestellt, sobald die Lizenz bereitgestellt wurde.

Weitere Informationen kann man den sk66141 aus dem Check Point Support Center entnehmen.

Check Point bietet die Möglichkeit; sich verbindende VPN-Clients auf bestimmte Kriterien z.B. Aktualität des installierten AV-Clients via SCV zu prüfen. Auch andere evtl. unternehmensspezifische Merkmale lassen sich mittels eigenen Scripten abfragen und auswerten.
Die Implementierung eines solchen Script-Checks ist leider nicht sehr ausführlich in den Check Point Guides dokumentiert. Folgend daher einige Hinweise, welcher bei der Einrichtung zu beachten sind.

Die Konfiguration des SCV Script-Checks erfolgt auf dem Firewall-Management in der Datei $FWDIR/conf/local.scv.
Aus den Check Point Dokumentationen geht nicht hervor, dass auch als “default” beschriebene Parameter zu definieren sind, da die Prüfung andernfalls fehlschlägt, eine vollständige Konfiguration könnte somit wie folgt aussehen:

: (ScriptRun
         :type (plugin)
         :parameters (
                     :exe ("C:\script.bat")
                     :script_run_cycle (1)
                     :run_as_admin (yes)
                     :run_timeout (15)
          :begin_admin (admin)
                     :send_log (alert)
                     :mismatchmessage ("Verification script has determined that your configuration does not meet policy requirements")
                     :end (admin)
         )
 )

Ebenfalls sollte der Prüfintervall in der Sektion SCVGlobalParams ergänzt werden:

:scv_checks_interval (20)

Die Beschreibung der einzelnen Parameter lässt sich dem Admin-Guide des E75.10 Clients entnehmen.

Um einen Client als konform einzustufen, muss das auf dem Client ausgeführte Script den Returncode 0 ausgeben, alle anderen Werte bedeuten entsprechend, dass das System nicht den Anforderungen des Unternehmens entspricht.
Die korrekte Übergabe des Returncodes erfolgt über einen zu implementierenden Exit Code in folgender Form @Exit 0 bzw. Exit /B 0.

Bei den aktuellen R75 und R75.10 Versionen der Check Point Firewall-Umgebungen kann es vorkommen, dass der Firewall-Management-Server plötzlich seine installierten Produkte nicht mehr erkennt. Aus diesem Grund ist auch kein Login per SmartConsole möglich.
Connection cannot be initiated. Please make sure that the Server is up and running and that you are defined as GUI Client.
Dieses Problem tritt spontan und unabhängig von durchgeführten Änderungen auf. Auch Check Point Befehle, wie cpconfig, sind nicht mehr verfügbar.
No Check Point Product was installed on this system, the requested command can not run because this station is not configured
Derzeit ist bei Check Point dazu weder ein Patch noch ein sk-Eintrag verfügbar.

Die Ursache ist eine Überschreibung von Werten durch ungültige Strings in der Check Point Registry-Datei $CPDIR/registry/HKLM_registry.data.
registry-error
Weder ein Neustart noch ein Wiederherstellen der automatischen Backupdatei HKLM_registry.data.old im gleichen Verzeichnis hilft die Funktionalität wieder herzustellen. Abhilfe schafft nur eine intakte Registry-Datei aus dem letzten Backup einzuspielen. Um nicht das komplette Backup zuerst entpacken zu müssen, empfehlt es sich nur die einzelne Registry-Datei zu extrahieren:

tar xvfz backup.tgz var/opt/CPshrd-R75/registry/HKLM_registry.data

Anschließend werden die Check Point Versionen bereits ordnungsgemäß erkannt, jedoch ist ein Login per SmartConsole erst nach einem cpstop; cpstart wieder möglich.

Wer bereits mit Check Point’s SecurePlatform WebUI gearbeitet hat, wird sich nach dem Upgrade auf Mozilla Firefox 4 wundern (sofern Firefox verwendet wird), dass die Website leer bleibt. Schuld ist eine Javascript-Klasse in der webisapi.js Bibliothek. Diese ist bis einschließlich R75.10 nur bis Firefox 3 kompatibel.

Firefox 3.6.17:

Firefox 4.0.1:

Update: Seit R75.20 werden nun auch die neueren Firefox Versionen unterstützt, womit sich die Symptomatik erledigt hat.

Geboren als eine Idee unserer Technik, mehr von ihren Erfahrungen und Fähigkeiten der Außenwelt zu präsentieren, haben wir es nun zu unserem Projekt gemacht. Geplant sind Howtos, FAQs, Hinweise und Berichte zu den interessantesten Security Themen unserer Technik. Wir laden Sie ein, teilzuhaben an unserer Reise durch die IT-Security Welt in Deutschland und International.