ESC – TechBlog
techblog.esc.de
Aktuelles aus unserer Technik - Q3 / 2020
Seit Check Point auf der Check Point Experience 2020 R80.40 zum Magnum Opus seiner bisherigen Entwicklung erklärt hat und im September 2019 R77.30 auslief, steht für viele Kunden die R80.x Migration samt Konsolidierung & Optimierung der Security Policy an. Wir setzen diese Projekte erfahren & kundenspezifisch um.
Check Point hat R80.40 mit Jumbo Hotfix (Take 48+) am 27. Mai 2020 offiziell zur empfohlenen Version für alle Kunden erklärt (sk95746).
Achtung! Kunden, welche ein Upgrade auf R80.30 oder R80.40 planen, müssen die Kompatibilität der Jumbo Hotfixes zu älteren R80.x Versionen beachten (sk164258). Zudem gibt es noch einige geplante Fixes, die aktuell noch nicht implementiert sind. Weiterhin wird SandBlast noch nicht unter R80.40 unterstützt (sk106210).
R80.40 enthält neue Funktionen, wie:
- Identity Awareness/Identity Broker
- CoreXL Dynamic Split
- Multi Version Clustering
- Kernel upgrade on Gateway
- Revert to Revision
- HTTP/2 Support
- HTTPS Inspection API
- MITRE ATT&CK Reporting & Matrix
- uvm.
Dynamic & Domain Objects sowie Updatable Objects können nun ebenfalls in den Threat Prevention und HTTPS Inspection Policies genutzt werden.
Danke Check Point!
Check Point bietet mit seinen neuen 1500 Appliances (Datasheet, FAQ) die nächste Generation seiner SMB Appliances auf Basis von GAiA Embedded an und löst damit seine 1400 Appliances ab (End of Sale: Mai 2020).
Auch im Bereich der Branch Office Security Gateways lösen die neuen 3600 & 3800 Appliances die bisherigen 3100 & 3200 Appliances als Einstiegsmodelle auf Basis von Check Point GAiA ab.
Hinweis: Zum zentralen Management der neuen Appliances wird Check Point R80.30 mit aktuellem Jumbo Hotfix bzw. R80.40 vorausgesetzt.
Zu den neuen Check Point Appliances beraten wir Sie gern!
Für Arbeiten aus dem Home Office stellt Check Point diverse Remote Access VPN Lösungen und eine steigende Anzahl von Werkzeugen zur Analyse und Auswertung bereit.
Überblick – Check Point Remote Access VPN
FAQ für alle Fragen und Antworten rund um die VPN-Nutzereinwahl.
Script zur Anzeige der VPN-Nutzerstatistiken via SSH (Expert Mode) sowie innerhalb der SmartConsole (Scripts Repository)
SmartConsole Extension zur direkten Anzeige der VPN-Nutzerstatistiken innerhalb der Check Point SmartConsole.
Remote Access – SmartEvent Reports
Check Point hat die Präsentationen der CPX 2020 online gestellt. Zu vielen Präsentationen stehen auch die Videos der Vorträge zur Verfügung.
Besonders interessant sind die technischen Fachvorträge der Breakout Sessions. Großen Zuspruch fand auch der Vortrag unseres technischen Leiters über die besten Code Hub Beiträge der Check Point Community.
Danke Check Point!
Check Point hat am 28. Januar 2020 sein neues Release R80.40 veröffentlicht.
Achtung! Check Point empfiehlt derzeit nur Kunden mit Interesse zur Nutzung der neuen Funktionen bereits R80.40 zu verwenden. Daher wird es auch noch nicht als Recommended Release innerhalb von CPUSE aufgeführt. Für Open Server wird R80.40 derzeit nur als Security Management unterstützt. Zudem werden aktuell noch keine Sandblast Appliances unter R80.40 unterstützt.
R80.40 – Release Notes
R80.40 – Release map
R80.40 – Upgrade map
R80.40 – Backward Compatibility map
R80.40 – SmartConsole
R80.30 – Upgrade Verification Service
R80.40 – CheckMates Community
R80.40 – Known Limitations
R80.40 – Resolved Issues
Die wichtigsten Neuerungen von R80.40 sind:
- HTTP/2 support
- HTTPS policy layer
- HTTPS inspection API
- SmartConsole SmartTasks
- Zero-touch deployment
- Automatic Threat Extraction Engine updates
- Support for new file types and protocols
- Enhanced E-Mail security
- Different VPN encryption domains for VPN gateway
- GAiA REST API
- Upgraded Linux kernel
- New partitioning system (gpt)
- Faster file system (xfs)
- IoT Security Manager
Check Point stellt für die kritische Citrix Schwachstelle (CVE-2019-19781) seit dem 12. Januar eine IPS Protection zur Verfügung, welche wir allen Kunden empfehlen, die Citrix Gateways oder Citrix Application Delivery Controller einsetzen.
Check Point hat die Schwere der Schwachstelle als Kritisch bewertet.
Durch die Schwachstelle kann ggf. unerlaubt Code ausgeführt bzw. auf Dateien zugegriffen werden, für welche eigentlich keine Zugriffsberechtigung besteht.
Der Citrix Support hat hierfür ebenfalls bereits eine Workaround-Anleitung veröffentlicht, bis ein Hotfix zur Verfügung gestellt werden kann. Im Artikel CTX267027 informiert Citrix fortlaufend über den aktuellen Stand zur kritischen Schwachstelle.
Danke Check Point!
Die Gefahr, welche von Emotet und ähnlich bösartiger Schadsoftware (vgl. Emotet Techniken) ausgeht, ist allgegenwärtig. Tägliche Berichte über Emotet-Vorfälle zeigen, dass es jeden treffen kann. Sogar Heise hatte mit Emotet zu kämpfen.
Check Point hat Emotet eingehend analysiert bietet durch die Kombination von Schutzmechanismen vor bekannten und unbekannten Gefahren sehr gute Abwehrmöglichkeiten vor Emotet (Video).
Unbekannt bedeutet, dass noch kein bekanntes Virenpattern, Dateisignatur oder Kommunikationsweg eine Schadsoftware eindeutig als solche identifiziert.
Check Point bietet daher mit seiner Sandboxing-Lösung: SandBlast Threat Emulation & Extraction für Gateway Security und Endpoint Security Lösungen für Web & Mail an.
Nachlese: Network Threat Prevention
Nachlese: Sandblast Agent für Webbrowser | Anti-Ransomware
Bekannt bedeutet, dass Check Point bereits Sicherheitlösungen hat, welche nur konfiguriert werden brauchen, damit der Schutz vor Emotet gelingt.
Firewall:
Ein mit Emotet infizierter Rechner kommuniziert mit Command & Control (C&C) Servern um Schadcode nachzuladen. Die IP-Adressen dieser C&C Server landen sehr schnell auf sog. Known Malicious IP Address Listen. Diese Listen lassen sich sehr einfach automatisiert abfragen um sämtliche Kommunikation mit solchen IP Adressen zu unterbinden.
Nachlese: Check Point mit IP-Blocklisten
IPS:
Check Point IPS erkennt und schützt vor ungewöhnlichen Lese-/Schreibzugriffen auf Netzwerklaufwerken und verhindert die Ausbreitung via ‘lateral movement’ durch Monitoring des SMB-Protokolls. Zusätzlich bietet Check Point seit der Integration des Snort-Herstellers eine Unterstützung für Snort IDS Signaturen. Das freie Snort Intrusion Detection System (IDS) beinhaltet ebenfalls Regeln zur Erkennung von Emotet und hilft daher komplementär bei der Gefahrenabwehr.
Anti-Bot & Anti-Virus:
Check Point’s Threat Prevention Policy enthält Anti-Bot und Anti-Virus bereits per Default, d.h. sie brauchen auf dem Security Gateway nur aktiviert zu werden, damit ein sofortiger Schutz vor Bot-Kommunikation zu den Emotet C&C Servern eintritt.
Nachlese: ThreatWiki
Geo Policy:
Allen Kunden bereits als Basisfunktionalität verfügbar ist die Möglichkeit zur geografischen Einschränkung von Zugriffen mittels Geo Policy (Community) oder Geo Location Objects. Dies dient dem weiteren Ausbau der eigenen Next Generation Security hin zu einer vollständigen Zero Trust Security und verbessert den Schutz vor Emotet somit zusätzlich.
HTTPS Inspection & Categorization:
Zur Überprüfung SSL-verschlüsselter Webzugriffe bietet Check Point, gleichfalls als Basisfunktionalität, die Möglichkeit zur HTTPS Inspection & Categorization. Damit können selbst via SSL-verschlüsselte Emotet-Verbindungen durch vorgenannte Lösungen erkannt werden.
Danke Check Point!
Ab R80.20 steht auf allen Check Point Gateways das sehr praktische und nützliche Werkzeug domains_tool zur Analyse des Domain Object Cache zur Verfügung.
Domain Objects können seit R80.x ganz normal im Regelwerk der Firewall verwendet werden, wie andere Objekte auch.
Bis R77.x galt noch: Bloß keine Domain Objects!
Ab R80.x ist dies nun gänzlich anders, da Check Point ein neues Verfahren zum Caching der zu den Domain Objects gehörenden IP-Adressen auf den Gateways eingeführt hat. Daher können jetzt auch Domain Objects bei der Gestaltung und Planung von Firewall-Regeln regulär mit einbezogen werden.
Domain Objects können jeweils als FQDN bzw. Non-FQDN Objekt konfiguriert und selbst in den vordersten Regeln des Firewall-Regelwerks verwendet werden, da SecureXL auch die Beschleunigung dieser Objekte unterstützt. -> Vgl. Domain Objects in R80.x
Danke Check Point!
Erneut wurde der Technische Leiter der ESC, Danny Jung, zum Check Point CheckMates Champion des Jahres geehrt. Ausgezeichnet wurde sein Code Hub Beitrag “One-liner for Address Spoofing Troubleshooting“.
Wie bereits 2018 erhielt Danny Jung zusammen mit der Ehrung eine Einladung ins Check Point Headquarter in Tel Aviv und wurde auch für 2020 wieder als Sprecher auf der IT-Security-Konferenz “Check Point Experience” CPX360 2020 in Wien nominiert.
Herzlichen Glückwunsch!
Die Check Point Experience 2020 findet vom 4.-6. Februar 2020 erneut in der Messe Wien in Österreich statt.
Anmeldung zur CPX 2020
150 € Frühbucherrabatt bis zum 30. November 2019!
Nach dem Hauptevent (Eventbroschüre) bietet Check Point am 7. Februar 2020 wieder seine begehrten und stets schnell ausgebuchten technischen CPX-Trainings an.
Training I
R80.40 Hands-on
Training II
R80.40 Automation
Training III
R80.40 Sandblast
Training IV
CloudGuard Iaas/Saas/Dome9
Training V
High-end platform (Maestro /64K)
Training VI
Hacking 101
Training VII
Advanced Cyber Range
Unsere Technik wird sich auch zur CPX 2020 wieder vor Ort über die neuesten Sicherheitstrends informieren, Best-Practices & How-To’s in den technischen Sessions verfolgen und Erfahrungen mit den Technikern des Check Point R&D Teams (Research & Development) austauschen.
Wir freuen uns darauf!
Back to top