Aktuelles aus unserer Technik  -  Q2 / 2019

Seit Check Point auf der Check Point Experience 2019 R80.20 zum Magnum Opus seiner bisherigen Entwicklung erklärt hat und im September 2019 R77.30 ausläuft, steht für viele Kunden die R80.20 Migration samt Konsolidierung & Optimierung der Security Policy an. Wir setzen diese Projekte erfahren & kundenspezifisch um.

techblog.esc.de

Check Point hat zu den beiden bekannt gewordenen Linux-Schwachstellen SegmentSmack (CVE-2018-5390) und FragmentSmack (CVE-2018-5391) im Knowledgebase Artikel sk134253 erste Hotfixes veröffentlicht und wird in Kürze aktualisierte Jumbo Hotfixes für R77.30 sowie R80.10 bereitstellen.

Betroffen sind alle Linux-basierten Systeme. Vom Angriffsvektor her jedoch primär die Security Gateways in den externen Netzwerkperimetern.

Die Schwere der Linux-Schwachstellen hat Check Point derzeit mit Medium eingestuft.

Für alle Check Point SMB Appliances (1100/1400) stehen bereits aktualisierte Firmware-Images in der Version R77.20.80 zur Verfügung.

Weitere Informationen folgen in Kürze.

Check Point bietet mit seinem HealthCheck Skript ein Werkzeug zur skriptgestützten Analyse des Systemzustands für alle GAiA-basierten Check Point Systeme an.

[ Download ]

Beispiel Screenshot:

Für jede Information oder Warnung wird zusätzlich eine weiterführende Erklärung mit Hinweisen zum Troubleshooting ausgegeben. Seit Version 6.0 sogar ein HTML-Export verfügbar, so dass die Ergebnisse auch im Webbrowser leicht auswertbar sind. Wir finden dieses Skript sehr hilfreich und verwenden es zur Wartung und Überprüfung unserer Kundensysteme daher regelmäßig.

Danke Check Point!

Aktuelle IP-Blocklisten für Sicherheitssysteme werden im Internet von verschiedenen Anbietern bereitgestellt. Diese listen IP-Adressen auf, von denen zuletzt häufig Angriffe stattfanden (vgl. Cyber Attack Threat Map). Durch das präventive Blockieren dieser IP-Adressen lässt sich potentiellen Gefahrenquellen eine weitere Schutzmöglichkeit entgegenstellen (Sicherheit). Zudem brauchen Sicherheitssysteme für Anfragen solcher IP-Adressen keine rechenintensiven Operationen durchführen, wenn Sie die Anfragen direkt verwerfen können (Performance).

Ein bekannter Anbieter solcher Blocklisten ist u.a. das DShield Storm Center, welchen Check Point bereits seit NGX unterstützt. Eine gute Übersicht über weitere Anbieter findet sich unter https://cpdbl.net.

SmartConsole GUI

Check Point beschreibt in sk21534 – How to configure and troubleshoot IPS protection “Malicious IPs” (DShield Storm Center), wie die IP-Blockliste des DShield Storm Centers einfach in der Check Point SmartConsole konfiguriert und administriert werden kann.

GAiA CLI
Auf der Konsole lassen sich zudem weitere Blocklisten einbinden.

  • via Check Points ip_block Skript, siehe sk103154
  • via sim dropcfg – siehe sk67861
  • via fw samp – siehe sk103154

Länderspezifische IPs sperren (IPS Geo Protection)

Mit Check Points Geo Protection kann Netzwerkverkehr zudem vor Aufrufen aus bestimmten Ländern geschützt werden. Geo Protection baut auf einer Datenbank auf, welche IP-Adressen spezifischen Ländern zuordnet.

Check Point bietet unter checkpoint.com/webinars/ zahlreiche interessante Webinare zum kostenfreien Streaming an. Wir empfehlen dieses hilfreiche Angebot allen unseren Kunden wahrzunehmen. Für Rückfragen zu den Webinar-Inhalten stehen wir jederzeit gern zur Verfügung.

Aktuelle Webinar-Angebote
Unveiling 100+ Features in R80.20: Learn Their Benefits
Leading Cloud Security with Dome9
SandBlast for Education: Protecting Learners, Shielding Schools
Phishing, Bots and Malicious Sites Threaten Mobile Workers
Smart Security for the era of Gen V
GDPR Hacks for Mobile Businesses: A Pragmatist’s Approach
Migrating Your Datacenters to AWS with Automated Security
Securing Your Business in the Era of Multi-Vector Attacks
Diagnosing the Evolving Mobile Threat Landscape
Introducing CloudGuard SaaS
Mobile Cyberattacks Impact Every Business
Securing Your Cloud With Check Point vSEC
Check Point vSEC for Cisco ACI
Check Point and Microsoft Secure Enterprise Mobility
WannaCry: Protect Yourself Now
Are You Prepared for the Next Mobile Attack?
Securing Workloads and Assets in Azure with Check Point vSEC
Preparing Effectively for GDPR
Introducing Check Point Anti-Ransomware: Defeat Cyber Extortion
Avoid Mobile Security Breaches in Healthcare
Gooligan: Uncovering the Attack that Breached Over 1 Million Google Accounts
Check Point vSEC: Comprehensive Threat Prevention Security for AWS
HummingBad, QuadRooter, Trident: What’s the next mobile threat?
Best Practices for Defending the Endpoint
Pegasus & Trident: Government-grade Espionage on iOS in the Wild
Best Practices to Securing the Hybrid Clouds and SDDC
SandBlast Agent for Browsers webinar replay
How to Keep Mobile Threats at Bay
Advanced Threat Prevention for Office 365™ Cloud Email
The Evolution of Crypto Attacks: Understanding, Detecting, and Preventing Ransomware
A New Model for Security Management
Staying One Step Ahead with SandBlast Zero-Day Protection

Danke Check Point!

Check Point’s Research & Development Team veröffentlicht in seinem Research Portal detaillierte technische Ausführungen zu den Ergebnissen seiner Arbeit bei der Analyse von Schadsoftware, Schwachstellen, Angriffsvektoren und Bedrohungen. Sehr interessant sind die dabei stets enthaltenen Erkenntnisse, Code-Beispiele, Statistiken und Erläuterungen, welche die technische Expertise und Verständnis für die Ursache und Behebung von Schwachstellen der Check Point Sicherheitsspezialisten belegen.

Jährlich wird der Check Point Security Report zur aktuellen Sicherheitslage veröffentlicht. Gerade ist der Security Report 2018 (PDF) erschienen, welchen wir allen IT-Sicherheitsverantwortlichen empfehlen.

Check Point stellt mit Log Exporter ein neues Werkzeug für den einfachen und sicheren Export von Logs via Syslog bereit und ersetzt damit CPLogToSyslog.

Log Exporter steht ab R77.30 zur Verfügung und unterstützt:

SIEM Applikationen: Splunk, Arcsight, RSA, LogRhythm, QRadar, McAfee, rsyslog, ng-syslog
Formate: Syslog, Splunk, CEF, LEEF, Generic
Sicherheit: Mutual authentication via TLS
Exportierbare Logs: Security & Audits Logs

Weitere Links zu Log Exporter:

Log Exporter Guide
Video zum R80.20 Log Exporter Feature
Splunk Add-on for Check Point Log Exporter

Check Point bietet seinen Kunden ab sofort eine zentrale Statusübersicht über alle seine Cloud Services und Websites an.

https://status.checkpoint.com

Die Statusübersicht informiert über die jeweils aktuelle Verfügbarkeit und bietet Details zur Betriebszeit samt vergangenen Ereignissen. Zudem kann man sich Status-Benachrichtigungen auch direkt per E-Mail zusenden lassen bzw. den zugehörigen RSS-Feed oder Atom-Feed abonnieren.

Was für ein Jahresbeginn mit der hochbrisanten Meldung zur Prozessor-Sicherheitslücke in Intel, AMD und ARM CPUs (CVE-2017-5705.. CVE-2017-5712).

Für alle Check Point Kunden hat Check Point mit sk121938 eine Entwarnung veröffentlicht.

Check Point Produkte sind NICHT betroffen!

Bzgl. der von Sicherheitsforschern vorgestellten Angriffsszenarien “Meltdown” und “Spectre” hat Check Point mit sk122205 eine Stellungnahme veröffentlicht.
Wir empfehlen allen Kunden die Check Point IPS Protection zum Schutz vor Meltdown/Spectre Angriffen zu aktivieren.

Danke Check Point!

Das Check Point EA-Team (Early Availability) hat angekündigt, dass die gerade erst im Mai 2017 veröffentlichte R80.10 GA-Version (General Availability) Anfang 2018 noch einmal durch ein komplett neues Build ersetzt wird.

Gleichzeitig arbeitet das Check Point EA-Team an einer weiteren Version von R80.10 auf Basis eines neueren Linux-Kernels (3.10) und an der Veröffentlichung von R80.20.

Wir sind gespannt, was das neue Jahr bringt und wünschen allen Kunden ein frohes Weihnachtsfest 2017 und einen guten Rutsch ins neue Jahr 2018!


Update vom 18. Januar 2018

Check Point hat das R80.10 GA-Replacement veröffentlicht.

Check Point hat für seine SmartConsole R80.10 das neue Build 013 am 18. Dezember 2017 veröffentlicht, welches das bisherige Build 005 ersetzt.

Resolved Issues

ID Symptoms
SmartConsole – General Availability – Build 013
PMTR-521 Opening group containing a very large number (>1000) of objects takes a long time.
PMTR-774 Cannot import regulation from R77.x to R80.10 by XML file.
TPM-343 For IP Fragments settings, maximum number of packets is limited to 200 instead of infinite.
SMCAPP-210 Sporadic crashes when viewing the details of various tasks in SmartConsole.
SmartConsole – General Availability – Build 005
CIS-276 Filtered data in rulebase objects’ pickers are not highlighted and not shown correctly when scrolling.
In network group editor, when clicking on new item, the IP address column is not shown correctly when scrolling over filtered data.
CIS-277 Cannot enter a string that is longer than 255 characters in URL list of Application/Site editor.
PMTR-89 Allowed Peer Gateway is set to any after migrate import.
PMTR-361 Clicking “Connect to Domain Server” in Domain Management view sometimes connects to a server on a different Multi-Domain Management server.
When adding a Multi-Domain Management server, the new server is always added at the right-most column.
PMTR-462 Users with read-only permissions for security rules cannot use “copy rule image” or “copy rule UID” options.
PMTR-483 Enhancement: Improved ability of “Get interfaces” on the Topology page of the Gateway Properties to retrieve interfaces only, without the existing topology.
Refer to sk118518.
SmartConsole – General Availability – Build 001
PMTR-98 Translated Source column with “Original” object wrongly has a Hide NAT option.