Aktuelles aus unserer Technik  -  Q3 / 2017

Seit Check Point auf der Check Point Experience 2017 R80.10 zum Magnum Opus seiner bisherigen Entwicklung erklärt hat und im August 2017 bereits R77.20 ausläuft, steht für viele Kunden die R80.10 Migration samt Konsolidierung & Optimierung der Security Policy an. Wir setzen diese Projekte erfahren & kundenspezifisch um.

techblog.esc.de

Seit heute erweitert der Check Point SandBlast Partnerstatus das umfangreiche IT-Sicherheitsportfolio der ESC. Herzlichen Glückwunsch!

Check Point SandBlast ist Teil der Produktfamilie der Next Generation Threat Prevention und eine Kombination aus Threat Emulation (Sandboxing) und Threat Extraction auf CPU-Prozessorebene. So kann neuartige und noch unbekannte Schadsoftware im Netzwerk erkannt und gebannt werden, bevor sie aktiv wird.

SandBlast verstärkt die Bedrohungsabwehr durch umgehungssichere Malware-Erkennung und bietet damit Schutz vor gefährlichen Angriffen zur Minderung des Risikos erfolgreicher Angriffe.

Link: Threat Prevention Resources

In dem andauernden Kampf zwischen Cyberkriminellen und Sicherheitsexperten bedienen sich die Angreifer verstärkt raffinierterer Instrumente, wie neuer Zero-Day-Angriffsmethoden und angepasster Varianten bereits existierender Malware, um so die herkömmliche Sandboxing-Technologie zu umgehen und unerkannt in die Infrastrukturen ihrer Opfer eindringen zu können.

Diese neuen Angriffsvektoren verlangen eine proaktive Methode mit modernen Lösungen und Technologien, die nicht nur bekannte Bedrohungen erfassen, sondern auch in der Lage sind, unbekannte Malware beim ersten Auftreten zu erkennen und zu stoppen. Check Points neue, bahnbrechende Exploit-Erkennungsmaschine auf CPU-Ebene ist als einzige fähig, die gefährlichsten Zero-Day-Bedrohungen bereits in ihrer Anfangsphase zu erkennen, bevor die Malware überhaupt eine Chance hat, sich zu entfalten und zu versuchen, die Erkennung zu umgehen.

SandBlast läuft wahlweise in der Check Point Cloud oder auf einer lokalen Check Point SandBlast Appliance. Beide Szenarien werden bereits von den IT-Sicherheitsexperten der ESC bei verschiedenen Kunden umgesetzt und kompetent betreut.

Bei Interesse beraten wir Sie gern!

Check Point R80 Security Management

Check Point hat am 31. März 2016 sein neues Security Management R80 veröffentlicht.

R80 enthält das neue Security & Multi-Domain Management. Ab R80.10 sind dann ebenfalls auch Gateway-Versionen verfügbar. Aktuell empfiehlt Check Point gem. seines Releases Plan daher allen Kunden noch den Einsatz von R77.30.

Check Point hat anlässlich seines komplett neu konzipierten Security Managements eigens die Kampagne “Rethink Security Management” (Whitepaper) gestartet.

R80 – Release Notes
R80 – Known Limitations
R80 – Upgrade Verification Service | sk110267
R80 – Community Exchange Point
R80 – Jumbo Hotfix (enthält Recommended Hotfixes)

Downloads

R80 – Release map
R80 – Upgrade map
R80 – Backward Compatibility map
R80 – Documentation Package
R80 – SmartConsole mit Jumbo Hotfix (Take 76)

Die wichtigsten Neuerungen von R80 sind:

· Unified Security Management Console
· Unified Security Policies
· Policy Layers & Sub-Policies
· Role-based & Concurrent Administration
· Secured Automation and Orchestration (CLI & API)
· Automated Tasks
· Integrated Threat Management
· Next Generation Logs, Events and Reports
· Improved Security for SIC and VPN certificates
· New Licensing Experience

Check Point R80

Check Point hat heute sein neues und konsolidiertes Security Management R80 angekündigt. Es soll in Kürze verfügbar sein. Gleichzeitig wurde eine neue Check Point Online Community mit dem Namen Exchange Point eröffnet, über welches man ab sofort auch R80 Skripte und APIs austauschen und jeder damit sein eigenes R80 Security Management um hilfreiche und nützliche Funktionen erweitern kann.

R80 Übersicht
R80 Data Sheet
R80 What’s New
R80 Press Release
R80 Check Point Blogeintrag
R80 Solution Showcase
R80 IPS Änderungen

Das erste R80 Training wird im April auf der Check Point Experience 2016 in Nizza angeboten, bei welchem natürlich auch ESC teilnehmen wird!

Eine Infografik zu Check Point R80 stellt die herausragenden Neuerungen, wie die einheitliche und konsolidierte Security Management Konsole, die Möglichkeit mit mehreren Admins gleichzeitig in Kollaboration schreibend an der Security Policy zu arbeiten, die Security Policy in mehreren Ebenen sowie in Sub-Policies zu definieren, mit Skripten und APIs wiederkehrende Arbeiten zu automatisieren, d.h. ein echtes Next Generation Security Policy Orchestration Werkzeug zu bedienen, dar.

Check Point  R80 Infografik

Check Point R80 Infografik

Danke Check Point!

Wir freuen uns auf die Zukunft des Security Managements!

Check Point hat seinem mittlerweile in CPinfo integrierten Kommandozeilenwerkzeug cp_uploader ein sehr nutzerfreundliches Windows GUI-Frontend namens Check Point Uploader zur Seite gestellt.

Check Point Uploader

< Download >

Mit diesem Werkzeug lassen sich ganz einfach bis zu 10GB große Dateien dem Check Point Support innerhalb offener Service Requests zur Verfügung stellen. Wir arbeiten bereits selbst damit und können es allen Check Point Kunden nur ebenfalls empfehlen.

Danke Check Point!

Frohe Weihnachten 2015

ESC und Check Point wünschen allen Kunden auch in diesem Jahr ein frohes Weihnachtsfest und erholsame Festtage sowie einen guten Rutsch ins neue Jahr 2016.

Check Point hat für 2016 zehn Vorhersagen zur IT-Sicherheit veröffentlich.

Für alle Check Point Kunden ist im nächsten Jahr insbesondere die lang erwartete Neuentwicklung der Check Point Management Software in der Version R80 interessant. Aktuell läuft gerade die EA-Phase, nach welcher mit einer Veröffentlichung im ersten Halbjahr 2016 zu rechnen ist.

Wir freuen uns darauf!

Check Point R80 - Next Generation Security Management

Check Point R80 – Next Generation Security Management

Check Point R80 EA - Unified, Sub- and Layered Security Policies

Check Point R80 – Unified, Sub- and Layered Security Policies

Check Point R80 - Granular Admin Delegation, Concurrent Admins & Sessions

Check Point R80 – Granular Admin Delegation, Concurrent Admins & Sessions

Check Point R80 - Policy Apps, Trusted Automation, Policy Orchestration

Check Point R80 – Policy Apps, Trusted Automation, Policy Orchestration

Check Point R80 - Smart Ops+

Check Point R80 – Smart Ops+

Check Point R80 - Threat Navigator, Forensics, Predictive Intelligene

Check Point R80 – Threat Navigator, Forensics, Predictive Intelligene

Check Point R80 - SmartConsole Installation

Check Point R80 – SmartConsole Installation

1100-specs-klein

Im Oktober 2015 veröffentlichte Check Point für seine 1100 Appliances zwei neue Firmware-Versionen: Embedded GAiA R75.20 HFA 71 und R77.20 HFA 11.

Wie angekündigt wird Check Point zur Verbesserung der Sicherheit einen Wechsel von SHA1- auf SHA256-Zertifikate vornehmen. Um auch danach wichtige Dienste wie zum Beispiel Anti-Spam-, Anti-Bot-, Anti-Virus- und Lizenzupdates weiter nutzen zu können, empfehlen wir unseren Kunden dringend die Firmware aller 1100 Appliances zu aktualisieren.

R75.20 HFA 71 enthält gegenüber seinen Vorgängerversionen Verbesserungen bezüglich Anti-Spam, Wifi-Hotspot und Reporting.

R77.20 HFA 11 basiert im Vergleich zum langjährig entwickelten R75.20 Release auf der noch relativ neuen R77.20 Engine und sollte daher nur eingesetzt werden, wenn Funktionen benötigt werden, die erst mit diesem Release verfügbar sind (neue Anti-Virus und Anti-Bot Engines, URL Filtering für HTTPS, SSL Inspection (bei zentraler Verwaltung), Identity Sharing Options, erweiterte VPN Funktionalitäten sowie SCADA-Protokolle zum steuern technischer Prozesse). Zur zentralen Verwaltung von 1100 Appliances mit neuer R77.20 Embedded GAiA Firmware muss auf dem Firewall Management (SmartCenter) zwingend R77.30 mit Add-On installiert sein!

Nützliche Links:
Check Point 1100 Appliance – FAQ

Unsere Top 10 Liste typischer Check Point Konfigurationsfehler, welche unserem ESC Security-Support immer wieder bei Kunden-Installationen begegnen, haben wir nachfolgend nach absteigender Häufigkeit einmal aufgelistet. Unsere Spezialisten haben mittlerweile ein geübtes Auge für diese Art von Fehlern, welche sie bei Security Reviews unseren Kunden in einem abschließenden Security Report mitteilen und anschließend auch direkt beheben.

1. Fehlende oder unzureichende Dokumentation der aktuellen Konfiguration
(vgl. BSI Fehlhandlungen & Anforderungen)

2. Verwendung von Non-Standard ASCII-Zeichen oder reservierten Wörtern
(vgl. sk105708, sk40768, sk104077, sk85540, sk106573, sk40179, sk34990)

3. On-board NICs, Broadcom NICs bzw. Nicht-Intel NICs in Verwendung
(vgl. HCL NIC Limitationen, sk44584, Max Power Firewalls)

4. Fehlende Segmentierung des Firewall-Managements zum Eigenschutz der Firewall-Infrastruktur

5. Direktes Login in die Bash-Shell möglich bzw. identische Passwörter für Clish (User Mode) und Bash (System Mode)
(meist wegen SCP, da SCP-only Shell nicht bekannt)

6. Fehlende Stealth-Regeln zur Firewall-Eigenabsicherung
(vgl. How to create a Stealth rule)

7. Bestehende Netzwerkbrücken zwischen Sicherheitszonen
(Bsp. FW-Management wurde als Gateway anstatt als Management Host konfiguriert)

8. VPNs sind nicht stringent Zertifikat-basiert abgesichert
(vgl. Certificate based VPNs with Check Point appliances)

9. Stateful Inspection oder Anti-Spoofing für IP Adressen sind deaktiviert

10. Fehlende Optimierungen (CoreXL, Drop & Capacity Optimization, Hit Count, Farbcodes, Namenskonventionen, u.v.m.)

Die kommende Check Point Experience CPX 2016 findet vom 19.-20. April 2016 erstmals in Nizza, Frankreich statt.

Check Point Experience 2016

Check Point bietet bis zum 31.12.2015 einen Frühbucherrabatt von $250 USD an.

Anmeldung

 

Vorgelagert wird Check Point am 18. April 2016 wieder seine begehrten und stets schnell ausgebuchten technischen Trainings anbieten.

Training I
Advanced Threat Prevention and Zero-Day Protection
Training II
Fundamentals of Check Point Mobile Security
Training III
Fundamentals of Check Point R80 Security Management

Zudem werden erstmals mobile Pearson VUE Prüfungen zu einer rabattierten Event-Prüfungsgebühr i.H.v. $75 USD für alle Check Point Zertifizierungen angeboten.

Unsere Technik wird sich auch nächstes Jahr wieder vor Ort über die neuesten Sicherheitstrends informieren, Best-Practices & How-To’s in den technischen Sessions verfolgen und Erfahrungen mit den Technikern des Check Point R&D Teams (Research & Development) austauschen. Besonders interessant sind immer auch die technischen Hands-On Angebote zum Austesten der neuen Versionen und Software Blades.

Wir freuen uns darauf!

Gartner 2015

Check Point wurde von Gartner auch 2015 erneut und damit zum 18. Mal in Folge als Marktführer, Leader und Visionär im Magic Quadrant der Enterprise Network Firewalls bewertet.

18 Jahre!

Herzlichen Glückwunsch!
Weiter so Check Point!

R77.30

Check Point stellt seit dem 19. Mai 2015 das Stabilitätsupgrade R77.30 für das aktuelle Major Release R77 zur Verfügung.

Wir haben R77.30 umfassend getestet. Aufgrund der umfangreichen Liste behobener Fehler und neuer Funktionalitäten empfehlen wir allen Check Point Kunden, auch bzgl. eines besseren Herstellersupports, R77.30 zeitnah als In-place Upgrade oder Neuinstallation einzuspielen.

Check Point wird für R77.30 auch seine Courseware aktualisieren.

R77.30 – Release Notes | Appendix
R77.30 – Resolved Issues
R77.30 – Known Limitations
R77.30 – Jumbo Hotfix (enthält Recommended Hotfixes)

Downloads

R77.30 – Release map
R77.30 – Upgrade map
R77.30 – Backward Compatibility map
R77.30 – SmartConsole and SmartDomain Manager

Die wichtigsten Neuerungen von R77.30 sind:

– Verbesserung der Stabilität und Belastbarkeit von GAiA
– Performance-Verbesserung von SSL-Sitzungen (siehe sk104717)
– DNS Tunnel-Erkennung durch das IPS Blade

Zusätzlich steht ein R77.30 Add-On zur Verfügung, welches folgende weitere Funktionen bietet:

– ein neues Software-Blade: Threat Extraction
– Verwaltung von 1100 Appliances mit neuer R77.20 Firmware (siehe sk105379).
– Mobile Access Blade and Capsule Verbesserungen (siehe sk104542)
– Unterstützung von Carrier-Lösungen (LTE Suite): NAT64, GTP, SCTP, CGNAT und einige mehr.

Check Point empfiehlt jedoch das Add-On nur einzuspielen, sofern die darin enthaltenen Funktionen auch benötigt werden.

 
R77.30 What’s new

cp_r77.30_sc1

Was ist neu in R77.30?

cp_r77.30_sc2

Firewall Performance Boost

cp_r77.30_sc3

Neuigkeiten im SmartDashboard

cp_r77.30_sc4

Neu: Versionsverteilung

cp_r77.30_sc5

Besseres Identity Awareness

cp_r77.30_sc6

Bessere Endpoint Security

cp_r77.30_sc7

Verbesserte Threat Emulation

cp_r77.30_sc8

Verbessertes Compliance Blade

cp_r77.30_sc9

SmartDashboard einsatzbereit


Empfohlene Hotfixes für R77.30 schließen neu erkannte Sicherheitslücken und bringen weitere Stabilitätsverbesserungen.

Wir empfehlen das Einspielen dieser Hotfixes via CPUSE.

 

Für Check Point’s 1100 Appliances gibt es mit Embedded GAiA R75.20.70 sowie R77.20 zwei neue Firmware-Images.

Embedded GAiA R75.20.70 unterstützt nun den SHA-256 Algorithmus für Zertifikate. Zudem läßt sich das Anti-Spam Blade granularer administrieren (sk106669).

Embedded GAiA R77.20 bietet eine Reihe neuer Funktionen, u.A. neue Anti-Bot und Anti-Virus Engines, erweiterte VPN-Funktionalitäten (u.A. IKEv2) sowie die Unterstützung von industriellen Steuerprotokollen (SCADA). Für einen vollumfänglichen Überblick empfiehlt sich der Secure Knowledge-Artikel sk105379. Für die zentrale Verwaltung von 1100-Appliances mit Embedded GAiA R77.20 Firmware wird GAiA R77.30 auf dem Security-Management benötigt!

Embedded GAiA R77.20

Embedded GAiA R77.20

Embedded GAiA R77.20-2

Embedded GAiA R77.20