Aktuelles aus unserer Technik  -  Q2 / 2018

Seit Check Point auf der Check Point Experience 2017 R80.10 zum Magnum Opus seiner bisherigen Entwicklung erklärt hat und im August 2017 bereits R77.20 auslief, steht für viele Kunden die R80.10 Migration samt Konsolidierung & Optimierung der Security Policy an. Wir setzen diese Projekte erfahren & kundenspezifisch um.

techblog.esc.de

Tag: Check Point

Check Point bietet seinen Kunden ab sofort eine zentrale Statusübersicht über alle seine Cloud Services und Websites an.

https://status.checkpoint.com

Die Statusübersicht informiert über die jeweils aktuelle Verfügbarkeit und bietet Details zur Betriebszeit samt vergangenen Ereignissen. Zudem kann man sich Status-Benachrichtigungen auch direkt per E-Mail zusenden lassen bzw. den zugehörigen RSS-Feed oder Atom-Feed abonnieren.

Was für ein Jahresbeginn mit der hochbrisanten Meldung zur Prozessor-Sicherheitslücke in Intel, AMD und ARM CPUs (CVE-2017-5705.. CVE-2017-5712).

Für alle Check Point Kunden hat Check Point mit sk121938 eine Entwarnung veröffentlicht.

Check Point Produkte sind NICHT betroffen!

Bzgl. der von Sicherheitsforschern vorgestellten Angriffsszenarien “Meltdown” und “Spectre” hat Check Point mit sk122205 eine Stellungnahme veröffentlicht.
Wir empfehlen allen Kunden die Check Point IPS Protection zum Schutz vor Meltdown/Spectre Angriffen zu aktivieren.

Danke Check Point!

Das Check Point EA-Team (Early Availability) hat angekündigt, dass die gerade erst im Mai 2017 veröffentlichte R80.10 GA-Version (General Availability) Anfang 2018 noch einmal durch ein komplett neues Build ersetzt wird.

Gleichzeitig arbeitet das Check Point EA-Team an einer weiteren Version von R80.10 auf Basis eines neueren Linux-Kernels (3.10) und an der Veröffentlichung von R80.20.

Wir sind gespannt, was das neue Jahr bringt und wünschen allen Kunden ein frohes Weihnachtsfest 2017 und einen guten Rutsch ins neue Jahr 2018!


Update vom 18. Januar 2018

Check Point hat das R80.10 GA-Replacement veröffentlicht.

Check Point hat für seine SmartConsole R80.10 das neue Build 013 am 18. Dezember 2017 veröffentlicht, welches das bisherige Build 005 ersetzt.

Resolved Issues

ID Symptoms
SmartConsole – General Availability – Build 013
PMTR-521 Opening group containing a very large number (>1000) of objects takes a long time.
PMTR-774 Cannot import regulation from R77.x to R80.10 by XML file.
TPM-343 For IP Fragments settings, maximum number of packets is limited to 200 instead of infinite.
SMCAPP-210 Sporadic crashes when viewing the details of various tasks in SmartConsole.
SmartConsole – General Availability – Build 005
CIS-276 Filtered data in rulebase objects’ pickers are not highlighted and not shown correctly when scrolling.
In network group editor, when clicking on new item, the IP address column is not shown correctly when scrolling over filtered data.
CIS-277 Cannot enter a string that is longer than 255 characters in URL list of Application/Site editor.
PMTR-89 Allowed Peer Gateway is set to any after migrate import.
PMTR-361 Clicking “Connect to Domain Server” in Domain Management view sometimes connects to a server on a different Multi-Domain Management server.
When adding a Multi-Domain Management server, the new server is always added at the right-most column.
PMTR-462 Users with read-only permissions for security rules cannot use “copy rule image” or “copy rule UID” options.
PMTR-483 Enhancement: Improved ability of “Get interfaces” on the Topology page of the Gateway Properties to retrieve interfaces only, without the existing topology.
Refer to sk118518.
SmartConsole – General Availability – Build 001
PMTR-98 Translated Source column with “Original” object wrongly has a Hide NAT option.

Check Point hat soeben seine Endpoint Security Suite in der neuen Version E80.71 (Windows | Mac OS) veröffentlicht.

Wir haben unsere Downloads-Übersicht entsprechend aktualisiert.

Release Notes – E80.71 Remote Access Clients

Neuerungen

  • Unterstützung für das Microsoft Windows 10 Fall Creators Update (Version 1709)
  • In-place OS Upgrade Support für Aktualisierungen des Betriebssystems mit Festplattenverschlüsselung, d.h. bei Nutzung des Full Disk Encryption Blades (sk120667)

UserCheck

  • Unterstützung für Bildschirme mit Ultra HD Auflösung

Full Disk Encryption

  • XTS-AES 128/256-bit Verschlüsselung für BIOS Systeme
  • Möglichkeit zur Änderung der Verschlüsselung von AES-CBC zu XTS-AES mit direkter Neuverschlüsselung für UEFI-basierte Systeme

SandBlast Agent

  • Anti-Exploit – Schutz gegen Angriffe auf Webbrowser und Microsoft Office Exploits. (sk121793)
  • Neue Version der SandBlast Web Extension, welche in Google Chrome und Internet Explorer 11 nun standardmäßig aktiviert ist

Media Encryption & Port Protection

  • CryptoCore 4.0 Support – ermöglicht schnellere Verschlüsselungen und bietet ein neues Passwort-Schema zum besseren Passwortschutz

Remote Access VPN

  • Machine Authentication – Möglichkeit für Remote Access Clients sich mit einem Machine Certificate aus dem Windows System Store zu authentifizieren (sk121173)
  • Device Guard Support – die Remote Access Client Software kann nun auf einem Microsoft Windows PC mit aktiviertem Device Guard installiert werden
  • High DPI Support – Unterstützung für Bildschirme mit hoher Auflösung

Die kommende Check Point Experience 2018 CPX360 findet vom 23.-25. Januar 2018 wieder in Barcelona, Spanien statt.

Check Point bietet noch bis 14. November 2017 einen Frühbucherrabatt bei der Reservierung an.

Anmeldung

Agenda

 

Erstmals nachgelagert zum Hauptevent bietet Check Point am 26. Janaur 2018 wieder seine begehrten und stets schnell ausgebuchten technischen Trainings an.

CPX Trainings
Automating and Orchestrating your security network with Check Point R80.10
Hacking 101: introducing the main cyber-attack techniques
Tutorial: Building your new cyber security architecture
Deep Dive into Check Point’s SandBlast product family
Be an Technical Expert of Check Point’s R80.10 software release
Securing your cloud workloads with Check Point
Preventing mobile cyber security attacks with Check Point mobile security

Unsere Technik wird sich auch nächstes Jahr wieder vor Ort über die neuesten Sicherheitstrends informieren, Best-Practices & How-To’s in den technischen Sessions verfolgen und Erfahrungen mit den Technikern des Check Point R&D Teams (Research & Development) austauschen. Besonders interessant sind immer auch die technischen Hands-On Angebote zum Austesten der neuen Versionen und Software Blades.

Wir freuen uns darauf!

Check Point hat zur soeben bekannt gewordenen WPA2-Schwachstelle namens Key Reinstallation Attacks – “KRACK” bereits eine Entwarnung für seine eigene Produktpalette in sk120938 veröffentlicht. Weitere Informationen folgen.

Diese in Zusammenarbeit verschiedener Sicherheitsforscher gefundene WiFi-Schwachstelle im fast überall verwendeten WPA2-Sicherheitsprotokoll erlaubt es einem Angreifer, mittels einer Man-in-the-Middle Attacke als WiFi Access Point für den Client zu agieren und so Zugriff auf alle übertragenen Daten zu erhalten. Das ermöglicht Angreifern, Schadcode in die übertragenen Daten einzuschleusen, HTTPS-Verbindungen zu unterbrechen und vieles mehr.

Check Point SMB Appliances mit WiFi-Funktionalität (600, 700, 1100, 1400 Appliances) sind von der WiFi-Schwachstelle nicht betroffen, da die Appliances als reine WiFi Access Points agieren. Sich verbindende WiFi-Clients sollten Empfehlungen der verwendeten Betriebssystem-Hersteller folgen und entsprechende Updates zeitnah einspielen.

Danke Check Point!

KRACK Website: https://www.krackattacks.com
KRACK Demo: https://www.krackattacks.com/#demo

Aufgrund der akuten Bedrohung durch Zero-Day Angriffe wird Sandboxing zur Emulierung und Abwehr bisher unbekannter Schadsoftware ein immer wichtiger werdender Bestandteil moderner IT-Sicherheitsinfrastrukturen. Das Verfahren der Software-Emulation (bei Check Point: Sandblast) bringt jedoch gerade durch die für die Emulation benötigte Zeit auch Nachteile mit sich. So müssen Anwender ggf. länger auf Downloads warten oder erhalten ihre Dateien am Ende nicht bzw. werden nicht ausreichend über den Download-Fortschritt informiert. Hierzu hat Check Point eine Lösung entwickelt!

Check Point’s neuer Sandblast Agent beinhaltet ein Browser-Plugin (Chrome Web Store, Firefox, IE), welches dem Problem der fehlenden Benutzerinteraktion Abhilfe schafft. Das Browser-Plugin kann lokal, über die Windows Gruppenrichtlinien (GPO), oder am Besten über ein, ggf. bereits vorhandenes, Check Point EndPoint Policy Management konfiguriert werden.

[ Datasheet | Knowledgebase Artikel ]
 

Was ist Check Point SandBlast Agent für Webbrowser?

Hierbei handelt es sich um eine Erweiterung bzw. ein Plugin für Webbrowser, die proaktiv vor Zero-Day Malware und Folgen von Social Engineering Angriffen, welche Anwender zum Aufruf schädlicher Websites veranlassen, schützt.

Folgende Sicherheitsfunktionen sind im SandBlast Agent für Webbrowser enthalten:

A. Real-Time Zero-Day Schutz für Web-Downloads

  • Threat Extraction schützt vor Gefahren bei Datei-Downloads durch direkte Bereitstellung einer Dateikopie, welche um potentiell schädliche Inhalte bereinigt wurde. Gleichzeitig kann die Original-Datei Threat Emulation zur Überprüfung in einer Sandbox zugeführt werden.
  • Threat Emulation überprüft Dateien bereits auf dem CPU-Level sowie innerhalb der Betriebssystem-Umgebung in einer Sandbox um unbekannte Malware und Zero-Day Angriffe zu erkennen und zu blockieren.

B. Zero Phishing

  • Real-time / Echtzeit Schutz vor neuen und unbekannten Phishing Websites schützt Anwender vor erweiterten Phishing-Angriffen und damit vor dem Verlust von vertraulichen Daten und Informationen. Sobald ein Anwender auf ein Eingabefeld klickt, startet Zero Phishing verschiedene statische, heuristische und computergestützte Analysen der Website-Attribute – URL, TLD, IP Adresse, etc.
  • Schützt Logindaten und Firmen-Passwörter vor Verwendung auf externen Websites sowie vor Wiederverwendung gem. der jeweiligen Firmenrichtlinie. Generiert eine Warnmeldung für den Anwendung samt Logeintrag.

Bei Downloads informiert das Browser-Plugin den Anwender über die Emulation und ist auch bei Verwendung von Check Point Threat Extraction in der Lage dem Anwender eine Vorabversion des Dokumentes ohne aktive Inhalte bereitzustellen. Die Originaldatei kann nach der Emulation vom Anwender angefordert werden. Auch Zero-Phishing wird unterstützt und schützt den Anwender davor Logindaten auf Phishing-Sites oder Firmenlogins auf externen Websites einzugeben.


Der SandBlast Agent erfordert keine spezifische Anti-Virus Software, kann jedoch mit Check Point’s eigener Anti-Malware wie auch AV-Lösungen anderer Hersteller zusammenarbeiten. Auf technischer Ebener beinhaltet der Check Point Sandblast Agent folgende Endpoint Komponenten:

1. SandBlast Agent (integriert Threat Emulation/Extraction im Endpoint)
2. Threat Forensics (sendet Event-Informationen an das Endpoint Management zur Erstellung eines Threat Forensic Reports)
3. Anti-Bot (integriert Check Point AntiBot im Endpoint)


Konfiguration des Sandblast Agents:

Log-Eintrag einer durch den Sandblast Agent ausgelösten Emulation:

Blockierte Website in Folge der Emulation:

Check Point stellt verschiedene Methoden zur VPN-Einwahl für Remote Access Nutzer zur Verfügung. Nachfolgend stellen wir die Top 10 der bei unseren Kunden beliebtesten Remote Access VPN Methoden vor.

1. Endpoint Security VPN
(Standalone Clients: E80.70 für Microsoft Windows; E80.64 für Apple MacOS)

2. Endpoint Security (Homepage)
(Thin Client, E80.70 Client für Windows 64 bit / 32 bit; E80.64 für Apple MacOS)

3. Mobile Access SSL-VPN Portal

4. SSL Network Extender (SNX) – Clientless SSL-VPN (Installationsanleitung für Linux)

5. Capsule Connect für Apple iPhones und iPads (sk69540) – baut eine vollständige VPN-Verbindung (Layer 3) auf

6. Android Capsule VPN für Android basierte Mobilgeräte (sk84141) – baut eine vollständige VPN-Verbindung (Layer 3) auf

7. Capsule Workspace (Apple iTunes Store, Google Play Store) – SSL-VPN basierter Zugriff auf Mobile Access Inhalte

8. Nativer L2TP Client auf Apple iPhone / iPad bzw. Android Mobilgeräten

9. Microsoft Windows Check Point Mobile VPN plugin (Windows 8.1, Windows 10)

10. SMB Appliance basiertes Remote Access VPN (nur UTM-1 Edge) oder Site-to-Site VPN (700 / 1400 Appliance)

Check Point hat eine Übersicht zu allen Advanced Technical Reference Guides (ATRG) veröffentlicht. ATRGs sind technische Dokumente, welche sehr detaillierte Verfahren zur Analyse und Troubleshooting spezifischer Szenarien und Konfigurationen beschreiben. Unsere Experten nutzten auch ATRGs daher regelmäßig um unseren Kunden technische Lösungen professionell und herstellerkonform anbieten zu können.

Aktuell stellt Check Point 36 ATRGs zu nachfolgenden Themen zur Verfügung.

SK # Beschreibung Aktualisiert

sk101556

ATRG: 60000 / 40000 Security System

23-Aug-2017

sk104577

ATRG: Mobile Access Blade

23-Aug-2017

sk104760

ATRG: VPN Core

25-Jun-2017

sk107157

ATRG: Security Acceleration Module (SAM) card

21-Jul-2017

sk108600

VPN Site-to-Site with 3rd party

22-Aug-2017

sk108955

ATRG: Capsule Workspace

18-Jul-2017

sk109139

How to configure Site-to-Site VPN between Locally Managed 600/700/1100/1200R/1400 appliance and Centrally Managed Security Gateway using certificates

25-Mai-2016

sk109699

ATRG: Mail Transfer Agent (MTA)

03-Sep-2017

sk111060

ATRG: vSEC for VMware NSX

23-Jul-2017

sk111082

60000 / 40000 Appliances – Troubleshooting Hardware Issues

01-Mai-2017

sk111626

ATRG: SmartProvisioning

21-Aug-2016

sk112249

Best Practices – Application Control

03-Sep-2017

sk112693

ATRG: FDE E80.64 and above

13-Jul-2017

sk112858

ATRG: Gaia Embedded Appliances

27-Jun-2017

sk114806

ATRG: Threat Emulation

05-Sep-2017

sk117474

How to troubleshoot upgrades of SMB device over SmartProvisioning

22-Mai-2017

sk119715

ATRG: Content Awareness (CTNT)

17-Aug-2017

sk120256

ATRG: Compliance Blade (R80.10 and above)

05-Sep-2017

sk73660

ATRG: Data Loss Prevention (DLP)

30-Jul-2017

sk86441

ATRG: Identity Awareness

07-Aug-2017

sk88020

ATRG: R75.20 URL Filtering

27-Okt-2016

sk90242

ATRG: Full Disk Encryption E80.40

27-Jun-2017

sk90284

ATRG: Media Encryption E80.40

10-Aug-2015

sk92264

ATRG: Anti-Bot and Anti-Virus

29-Aug-2017

sk92368

ATRG: IPv6

06-Jul-2017

sk92743

ATRG: URL Filtering

17-Aug-2017

sk92769

ATRG: SmartLog

29-Aug-2017

sk92861

ATRG: Compliance Blade (Pre-R80.10)

05-Sep-2017

sk93306

ATRG: ClusterXL

09-Aug-2017

sk93768

ATRG: WebCheck

10-Aug-2015

sk93970

ATRG: SmartEvent

19-Dez-2016

sk95193

ATRG: IPS

03-Aug-2017

sk95329

ATRG: Multi-Domain Security Management

08-Aug-2017

sk95369

ATRG: VoIP

29-Jun-2017

sk98722

ATRG: SecureXL

21-Jul-2017

sk98737

ATRG: CoreXL

21-Jul-2017

Danke Check Point!