Unsere Top 10 Liste typischer Check Point Konfigurationsfehler, welche unserem ESC Security-Support immer wieder bei Kunden-Installationen begegnen, haben wir nachfolgend nach absteigender Häufigkeit einmal aufgelistet. Unsere Spezialisten haben mittlerweile ein geübtes Auge für diese Art von Fehlern, welche sie bei Security Reviews unseren Kunden in einem abschließenden Security Report mitteilen und anschließend auch direkt beheben.

1. Fehlende oder unzureichende Dokumentation der aktuellen Konfiguration
(vgl. BSI Fehlhandlungen & Anforderungen)

2. Verwendung von Non-Standard ASCII-Zeichen oder reservierten Wörtern
(vgl. sk105708, sk40768, sk104077, sk85540, sk106573, sk40179, sk34990)

3. On-board NICs, Broadcom NICs bzw. Nicht-Intel NICs in Verwendung
(vgl. HCL NIC Limitationen, sk44584, Max Power Firewalls)

4. Fehlende Segmentierung des Firewall-Managements zum Eigenschutz der Firewall-Infrastruktur

5. Direktes Login in die Bash-Shell möglich bzw. identische Passwörter für Clish (User Mode) und Bash (System Mode)
(meist wegen SCP, da SCP-only Shell nicht bekannt)

6. Fehlende Stealth-Regeln zur Firewall-Eigenabsicherung
(vgl. How to create a Stealth rule)

7. Bestehende Netzwerkbrücken zwischen Sicherheitszonen
(Bsp. FW-Management wurde als Gateway anstatt als Management Host konfiguriert)

8. VPNs sind nicht stringent Zertifikat-basiert abgesichert
(vgl. Certificate based VPNs with Check Point appliances)

9. Stateful Inspection oder Anti-Spoofing für IP Adressen sind deaktiviert

10. Fehlende Optimierungen (CoreXL, Drop & Capacity Optimization, Hit Count, Farbcodes, Namenskonventionen, u.v.m.)