Die Gültigkeit des bei der ersten Installation eines Check Point Security Managements automatisch generierten Internal CA Zertifikats (ICA) beträgt 20 Jahre. Check Point Kunden schätzen die integrierte Certificate Authority (CA), da diese den Betrieb zertifikatbasierter VPNs und Authentifizierung sehr erleichtert.

Langjährigen Check Point Kunden zeigt die SmartConsole im Jahr vor Ablauf der ICA einen Warnhinweis an:

Hierbei ist proaktives Handeln gefragt, denn eine bereits abgelaufene ICA lässt sich nachträglich nicht mehr erneuern, sondern lediglich ersetzen. Dies kann erhebliche Ausfälle und Mehraufwand bedeuten, da dann zusätzlich alle von der abgelaufenen ICA abgeleiteten VPN- und Nutzerzertifikate ebenfalls ersetzt werden müssen.

Das genaue Ablaufdatum lässt sich in die SmartConsole über den Object Explorer auslesen:

Zur Erneuerung der ICA wird Fachpersonal benötigt.

In sk158096 beschreibt Check Point das genaue Verfahren zur Erneuerung der ICA auf der Expert-Kommandozeile (CLI) des Check Point Security Managements und stellt Skripte sowie CLI-Befehle für die verschiedenen Check Point Infrastrukturen bereit. Ferner sind spezielle Hinweise zu Hotfixständen, einer funktionalen Zeitsynchronisation uvm. zu beachten.

Achtung! Ersetzung der ICA ggf. erforderlich.

Das Verfahren zur Erneuerung der ICA übernimmt auch den ursprünglichen ICA Namen. Dieser ist jedoch oft nicht mehr aktuell oder muss zur Erfüllung folgender Anforderungen an ICA Namen ersetzt werden, um Supportverlust zu vermeiden.

• identisch zum Hostnamen des Security Managements (sk112914)
• identisch zum Objektnamen des Security Managements (sk164055)
• identisch zum /etc/hosts Eintrag (Admin Guide, sk42952)
• enthält keine reservierten Zeichen, -ketten (sk40179, sk169892)

Best Practice: ICA Name = Hostname = Objektname = /etc/hosts Eintrag

Zur Durchführung der ICA Erneuerung (ICA Renew) bzw. Ersetzung wird ein Wartungsfenster benötigt. Unsere erfahrenen Check Point Experten unterstützen Sie gern bei der Aktualisierung Ihrer Internal CA (ICA).

Sprechen Sie uns an.

Check Point hat am 21. November 2022 das neue Release R81.20 veröffentlicht.

Derzeit empfiehlt Check Point jedoch noch allen Kunden weiterhin R81.10 zu verwenden. Sobald mehr Erfahrungen mit der neuen Version R81.20 gemacht wurden, wird Check Point seine Empfehlung entsprechend anpassen.

R81.20 – Homepage | Infografik
R81.20 – Release Notes
R81.20 – Resolved Issues
R81.20 – Known Limitations
R81.20 – Jumbo Hotfixes | Compatibility
R81.20 – Scalable Platforms

Downloads

R81.20 – Release map
R81.20 – Upgrade & compatibility map
R81.20 – SmartConsole | Web | Portable | Automatic Updates | Online Help

Wichtigste Neuerungen von R81.20

• HyperFlow zur Beschleunigung großer Datenübertragungen
• Maestro Auto-Scaling und FastForward für mehr Geschwindigkeit
• Automatische Erkennung von IoT-Geräten im Netzwerk
• Deep-learning Threat Prevention
• Bessere Optimized Drop Unterstützung
• Neues Network Feed Objekt in SmartConsole
• SmartWorkflow (Vier-Augen-Prinzip)
• Neuer Linux Kernel, Bootloader und XFS Dateisystem
• Bessere VPN Performance und Stabilität
• SAML 2.0 (2FA) Support für SmartConsole Logins
• uvm.

Die in den OpenSSL Versionen 3.0.0 – 3.0.6 identifizierten Buffer Overflow Schwachstellen ( CVE-2022-3602, CVE-2022-378 ) hat Check Point im Knowledge Base Artikel sk180206 sowie Blog-Eintrag näher beschrieben. Am 30. Oktober gab es bereits eine entsprechende Ankündigung. Auch das BSI hat eine entsprechende Warnmeldung veröffentlicht.

Check Point ist nicht betroffen.
IPS Protection zum Schutz betroffener Systeme steht bereit.

Check Point ist von der Schwachstelle, bis auf AppSec, nicht betroffen.
Eine IPS Protection zum Schutz betroffener Systeme steht bereit. Ergänzend dazu können auch SNORT Regeln zum erweiterten Schutz importiert werden.

• Status of OpenSSL CVE’s – sk92447
• AppSec Data Sheet

Für Check Point R81.10 läuft aktuell beim BSI unter der Zertifizierungsnummer BSI-DSZ-CC-1207 eine Common Criteria EAL4+ Zertifizierung (BSI Übersicht).

Check Point hat bereits frühere Versionen vom BSI erfolgreich zertifizieren lassen.

Übersicht der Check Point Produktzertifikate.

Update vom 4. Januar 2023:
sk173465 – R81.10 Common Criteria EAL4+ Certification

Check Point hat die bisherige Dokumentation seiner Jumbo Hotfixes (JHF) überarbeitet und bietet die neue Dokumentation unter neuen URLs an:

• R81.10
• R81
• R80.40
• R80.30
• R80.20

Site-to-Site VPN-Tunnel lassen sich ab sofort auch direkt in der Check Point Expert-CLI von Check Point VPN-Gateways mit diesem Einzeiler übersichtlich darstellen:

Ergänzend steht auch eine SmartConsole Extension bereit, um Site-to-Site VPN-Tunnel direkt in der neuen Check Point Unified SmartConsole anzuzeigen.

Update vom 1.12.2022:
Der Einzeiler wurde zum Werzeug des Jahres 2022 nominiert.

Check Point veröffentlicht regelmäßig neue Jumbo Hotfix (JHF) Updates für unterstützte Versionen. Dabei wird zwischen General Availability (GA) und Ongoing JHF Takes unterschieden. Sobald ein JHF Take GA-Status erreicht hat, empfiehlt Check Point allen Kunden diese einzuspielen. Im Gaia WebUI und der SmartConsole wird das verfügbare Update entsprechend angezeigt.

Check Points Jumbo Hotfix Accumulator FAQ führt aus:

• When should you install the Jumbo Hotfix Accumulator?
  All Jumbo Hotfix Accumulator Takes include many important fixes, therefore Check Point recommends to install the latest Jumbo Hotfix Accumulator Take once it is declared as General Availability (GA).

Danke Check Point!

Achtung! Das BSI warnt (PDF) seit dem 15. März 2022 vor dem Einsatz von Kaspersky Produkten.

Kaspersky Kunden können zeitnah zu Check Point Endpoint Security wechseln. Check Point bietet Kaspersky-freie Endpoint Security Clients für alle Kunden an (sk178309).

Hierzu beraten wir Sie gern.

• Weiterführender CheckMates Artikel
• Nachlese bei Heise Security

Danke Check Point!

Im beginnenden Cyber War hat das BSI eine “erhöhte Bedrohungslage für Deutschland” festgestellt. Deutsche Sicherheitsbehörden sehen eine Zunahme von Cyberangriffen, wie auch bereits in den Medien berichtet wird. Es wird eine “Welle von Cyberangriffen” erwartet.

Daher besteht akuter Handlungsbedarf zur Prüfung und Stärkung der IT-Sicherheitssysteme. Hierfür bieten wir allen Kunden einen Security Quick-Check an.

Weiterführender Artikel in der CheckMates Community.

Inhalte des Security Quick-Checks:

• Prüfung Schutz vor Zero-Day Gefahren
• Prüfung Log- & Event Management
• Prüfung Update-Status
• Prüfung Schutz vor DDoS-Gefahren
• Prüfung E-Mail Security
• Prüfung Endpoint Security
• Prüfung Backup- & Restore Prozesse
• Prüfung DLP

Achtung! Microsoft sichert sein Windows Betriebssystem bzgl. der DCOM-Schwachstelle CVE-2021-06414 in Kürze weiter ab. Die beliebte Anbindung von Check Point Firewalls ans Microsoft Active Directory mittels AD Query wird damit spätestens ab März 2023 nicht mehr funktionieren, wie Check Point in sk176148 beschreibt.

Check Point empfiehlt den Wechsel auf, für größere Umgebungen ohnehin besser geeignete, Identity Collectors, noch besser im Zusammenspiel mit einem PDP Broker.

• Weiterführender CheckMates Artikel
• Reference Architecture & Best Practices
• Design Guideline für Maestro Kunden

Beispiel: Topologie mit Identity Collector & PDP Broker:

Sprechen Sie uns an. Wir beraten Sie gern!