Seit Check Point auf der Check Point Experience 2020 R80.40 zum Magnum Opus seiner bisherigen Entwicklung erklärt hat und im Mai 2021 bereits R80.10 ausläuft, steht für viele Kunden die R80.x Migration samt Konsolidierung & Optimierung der Security Policy an. Wir setzen diese Projekte erfahren & kundenspezifisch um.
Check Point hat zu den gerade bekannt gewordenen Linux-Schwachstellen “TCP SACK Panic” ( CVE-2019-11477 , CVE-2019-11478 & CVE-2019-11479 ) im Knowledgebase Artikel sk156192 eine Anleitungen zur Deaktivierung von TCP SACK unter GAiA veröffentlicht. Ebenfalls wurden entsprechende Hotfixes veröffentlicht. Sämtliche Cloud-basierten Systeme hat Check Point bereits gepatcht.
Check Point hat die Schwere der Schwachstellen mit Medium bewertet.
Betroffen sind alle Linux-basierten Systeme und damit auch alle Check Point GAiA Releases. Vom Angriffsvektor her jedoch primär die Security Gateways in den externen Netzwerkperimetern.
Check Point hat am 7. Mai 2019 sein neues Minor Release R80.30 veröffentlicht.
Achtung! Check Point empfiehlt derzeit nur Kunden mit Interesse zur Nutzung der neuen Funktionen bereits R80.30 zu verwenden. Daher wird es auch noch nicht als Recommended Release innerhalb von CPUSE aufgeführt.
sk141412 beschreibt, dass tcpdump die CPU-Auslastung erheblich steigern kann, was großen Einfluss auf die Firewall-Performance hat.
Daher stellt Check Point ein besser auf sein GAiA Betriebssystem abgestimmtes Interface Packet Capturing Werkzeug CPPCAP bereit, welches als RPM-Download für R77.30, R80.10 und R80.20 verfügbar ist.
Hinweise:
CPPCAP läuft nur auf GAiA mit 64-bit Kernel.
Ab R80.20 braucht SecureXL nicht mehr ausgeschaltet werden, während ein Packet Capture erstellt wird.
CPPCAP ist aktuell nur für Firewalls im Routing Mode gedacht. Bridge Mode wird in einer späteren Version unterstützt.
CPPCAP zeigt wie tcpdump Netzwerkverkehr auf Interface-Ebene an. Zur Erstellen von Captures innerhalb der Firewall Kernel Chains empfiehlt sich weiterhin fw monitor.
[Expert@fw]# cppcap -h
Flag
Beschreibung
-vV VSID
lowercase to capture only from specific VSID, uppercase for all exec pt VSID
-iI DEVIC E
lowercase to capture only from specific DEVICE, uppercase for all execpt DEVICE
-d DIR
capture specific direction (‘in’ for inbound, ‘out’ for outbound)
-f “EXPR”
filter specific expression, for syntax, see pcap-filter(7)
-o FILE
save capture to a FILE
-c NUM
capture up to NUM bytes of frame (default 96, ‘0’ for any size)
-p NUM
capture NUM frames before stopping
-b NUM
capture NUM bytes before stopping
-D
verbose datalink layer
-N
verbose network layer
-T
verbose transport layer
-Q
omit time from output
Weitere Beispiele sind auf der pcap manpage zu finden.
Nach der Check Point Experience 2019 hat Check Point nun die CPX Präsentationen online gestellt. Zu vielen Präsentationen stehen zusätzlich auch die Videos der CPX-Vorträge zur Verfügung.
Auf der am 18. Februar beginnenden Sicherheitskonferenz CPX 360 in Wien wird die ESC Technik am diesjährigen Cyber Range Event im Wettkampf gegen ein Team von Angreifern seine langjährige Check Point Erfahrung einsetzen um mit Check Point eine effektive Abwehr sicherzustellen.
In den Technology Innovation & Hands-On Labs machen wir uns für unsere Kunden mit den neuesten Check Point Produkten, Technologien und Lösungen vertraut und tauschen uns direkt mit Produktspezialisten von Check Point aus.
Gleichzeitig wurden mit Build 025 eine überarbeitete Version der SmartConsole R80.20 bereitgestellt und mit Dynamic CLI (sk144112) eine Möglichkeit zur Verwendung von Expert-Befehlen innerhalb Check Points abgesicherter GAiA CLIsh geschaffen. In Zukunft soll der GAiA Expert-Mode immer seltener benötigt werden.
Beim BSI läuft unter der Zertifizierungsnummer BSI-DSZ-CC-1054 für R80.20 aktuell auch die Common Criteria EAL4+ Zertifizierung (vgl. PDF).
Damit steht für viele Kunden die Migration auf die aktuelle Version R80.20 in diesem Jahr an. Wir freuen uns darauf!
Bereits seit 1997 setzt ESC bei Firewalls auf zentrale Sicherheitslösungen von Check Point und bietet seinen Kunden mit einem dedizierten Check Point Supportteam direkte Expertenunterstützung aus erster Hand.
Unser besonderes fachliches Engagement zeigt sich auch dadurch, dass mehrere unserer Check Point Experten sogar Check Points höchste Zertifizierungsstufe, den Check Point Certified Security Master (CCSM), erreicht haben.
ESC betreibt zudem das einzige deutschsprachige Check Point Techblog.
Unsere technische Leitung wurde 2018 von Check Points Experten-Community CheckMates zum Member of the Year gekürt und durfte daher bereits Check Points Geschäftsführer Gil Shwed in Check Points Zentrale in Tel Aviv persönlich treffen.
Vielen Dank auch für die vielen Glückwünsche und Gratulationen, welche uns von allen Seiten erreichten. Wir haben uns über diese Anerkennung sehr gefreut und werden zeigen, dass wir dieser mehr als gerecht werden.
Hintergrund sind hardwarespezifische Erweiterungen, denen die ältere Hardware der 1100 Appliances nicht mehr gerecht wird. Bis zum End of Engineering Support im Juni 2020 wird es jedoch noch Bugfix-Updates geben. Allen Kunden, welche noch 1100 Appliances einsetzen, empfehlen wir deshalb einen Wechsel auf Check Points aktuelle Branch Office Appliances vorzunehmen.