Check Point bietet ab R80.10 alle SmartConsole GUI-Clients zusätzlich zum normalen Windows-Installer auch in einer portablen Version an (sk116158).

Bei dieser werden alle Daten direkt im Verzeichnis der portablen SmartConsole verwaltet und nicht in die Registry von Windows geschrieben.

Das bietet den Vorteil, verschiedene Versionen der SmartConsole R80.x auf einem System parallel verwenden zu können.

Downloads
Portable SmartConsole R80.20
Portable SmartConsole R80.20 M1
Portable SmartConsole R80.10

Danke, Check Point!

Check Point hat für seine SmartConsole R80.10 das neue Build 013 am 18. Dezember 2017 veröffentlicht, welches das bisherige Build 005 ersetzt.

Resolved Issues

Check Point’s Firewall Security Policies lassen sich von Beginn an grafisch verwalten und sind damit besonders übersichtlich und intuitiv zu administrieren. Check Point’s Security Suite hat sich im Laufe der Zeit sehr vergrößert, ist seinem grundlegenden Administrations-Konzept jedoch stets treu geblieben. Diese Beständigkeit zeugt von der Qualität des zugrunde liegenden Ansatzes.

Policy Editor 4.1

Smart Dashboard R54

Smart Dashboard R55

Smart Dashboard R62

Smart Dashboard R65

Smart Dashboard R70

Smart Dashboard R77

Check Point Policy Editor, Smart Dashboard

Die Kernkomponenten Firewall-1 und VPN-1 ließen sich Anno 2000 mit dem Check Point Policy Editor bearbeiten.

Das Design reflektiert den Stil der Systeme auf denen es lief. Dieser Trend läßt sich auch in den darauf folgenden Versionen beobachten: Icons und Farben passen sich grob den jeweiligen Vorgaben von Windows an.

Mit stetig wachsendem Funktionsumfang wich der “Policy Editor” ab R5x der “Smart Console”, einem vereinheitlichten Framework zur Verwaltung und Visualisierung der Firewall mit dem “Smart Dashboard” als zentrales Werkzeug.

Die eindeutige farbliche Markierung verschiedener Regeln ist von Beginn an wichtig:

Policies im Policy Editor 4.1

Policies in R6x

Policies ab R76

Policies ab R80

Blade Technologie: Check Point SecurePlatform R70

Mit R70 brachte Check Point im März 2009 erstmals einen neuen Ansatz im Firewall-Bereich heraus: Die "Software Blade" Architektur. Dadurch ist es möglich, zur “normalen” Firewall zusätzliche Funktionen, sogenannte “Software Blades” (z.B. Intrusion Prevention System, Anti-Spam, Quality Of Service), hinzuzuschalten. Diese Software Blades beeinflussen sich nicht gegenseitig und können völlig unabhängig voneinander aktiviert und lizenziert werden.

Software Blade Übersicht

Eine aufgefrischte grafische Oberfläche zur zentralen Verwaltung der Firewall-Umgebung macht es einfach, eine einheitliche Firewall-Policy für die gesamte Firewall-Umgebung zu erstellen. Ebenfalls neu waren eine Mehrkernunterstützung (“CoreXL”) und das IPS-Blade.

Mit dem ersten Update, der Version R70.1, wurden ein SmartWorkflow Blade, ein Remote Deployment Tool und Link Aggregation zum Funktionsumfang der Check Point Software hinzugefügt.

Im Oktober 2010 brachte Check Point das nächste Major Release heraus, R71. Neu in dieser Version waren das Data Loss Prevention Blade sowie das SSL VPN Blade.

Mit R71.20 führte Check Point ein zentrales Management für Series 80 Appliances, Edge N Series und Embedded NGX 8.1 Gateways ein. Kurz darauf erblickte im Dezember 2010 Version R75 das Licht der Welt, in die alle Features der vorherigen Versionen integriert wurden. Zusätzlich wurden die Blades Identity Awareness, Application Control (mit integriertem Data Loss Prevention Blade) und Mobile Access hinzugefügt.

Neues Betriebssystem: GAiA

Seit R75.40 läuft GAiA, ein gehärtetes RHEL 5.2, als Basis für die verschiedenen Blades und die GUI. Es vereint seine vorhergehenden Plattformen IPSO und SPLAT. Das WebUI des GAiA Betriebssystems ist dem Vorgänger SPLAT in der Struktur relativ treu geblieben, der gewachsene Funktionsumfang läßt sich in den folgenden Screenshots gut ablesen. Der Name GAiA verweist auf Check Point’s Ansatz, alle sicherheitsrelevante Funktionalität unter einem Dach verfügbar zu machen.

Neue Optik: SmartConsole R76

Gegenüber Vorgängerversionen haben sich ab Smart Console R76 Icons, Anordnungen und Farben geändert. Zwar steigt der Funktionsumfang, jedoch haben sich Redundanz und Komplexität des UI erhöht. Die SMART Map verliert ihren prominenten Platz und muß über die globalen Einstellungen erst aktiviert werden, zudem kann sie (noch?) nicht mit IPv6 Objekten umgehen.

Gut gelungen ist die Menüleiste („Datei“, „Bearbeiten“, „Ansicht“, …). Sie ist in ein Platz sparendes Dropdown-Menü gewandert, nur oft benutzte Funktionen wie “Speichern”, “Policy installieren” und Links zu anderen Anwendungen der SmartConsole bleiben an der Stelle der Menüleiste. Das spart Platz für eine neu gestaltete Reihe Reiter zur Verwaltung des Gateways („Firewall“, „Application & URL Filtering“, „IPS“ oder „IPSec“). Diese ist nun prominenter und mit größeren Schaltflächen zu erreichen. Der Reiter „Willkommen“ ist in einen Übersichtsbildschirm verändert worden.

Die vormals im oberen linken Bereich befindliche Liste verschiedener Objekte hat sich in zwei neue Bereiche links unten und in eine Bodenleiste aufgeteilt. Im Bereich links unten sind die Objekte nach Typ geordnet (Check Point, Nodes, Networks, …), während in der unteren Leiste alle Objekte alphabetisch sortiert sind, was bei der Suche nach bestimmten Objekten helfen soll.

Die veränderten Icons an vielen Stellen lassen sich weiterhin gut voneinander unterscheiden und karikieren weiterhin gut, was sich hinter ihnen verbirgt. Zahlen, Grafiken und Farben der vielen anschaulichen Statistiken sind gleichbleibend gefällig für das Auge und schnell zu erfassen.

Leider ist die Smart Console nicht für vergrößerte Schrift optimiert und es kommt dann zu kleineren Anzeigefehlern. Hilfreich für die tägliche Arbeit als Firewall Administrator wären zudem Smart Dashboards in verschiedenen Farben, um geöffnete Sessions zu verschiedenen Kunden leicht unterscheiden zu können.

Konsolidiertes Security Management: R80

Wie bereits in unseren beiden Artikeln zu Check Point R80 beschrieben, integriert Check Point sämtliche SmartConsole Komponenten (SmartDashboard, SmartView Monitor, SmartLog, SmartUpdate etc.) zu einer einzigen SmartConsole.

Check Point kündigt R80 an!
Check Point R80 Security Management veröffentlicht!

Aufgrund der komplett neuen Entwicklung von R80 stehen zudem viele neue Möglichkeiten, Funktionen, Verbesserungen und Werkzeuge für die tägliche Firewall Security Administration zur Verfügung.

Danke Check Point!

Wir empfehlen unseren Kunden, in ihren Check Point Security Infrastrukturen durchgehend personalisierte Admin-Accounts zu verwenden. Jeder Admin sollte einen personalisierten Schreib- und einen weiteren Lese-Account verwenden. “Sicherheit muss gelebt werden” heißt es aus gutem Grund. Hier müssen die Admins die ersten sein, die dies nicht nur umsetzen, sondern auch vorleben!

Zusätzlich unterstützt die Check Point SmartConsole bereits seit R75.20 ein direktes Umschalten “on-the-fly” zwischen Lese- und Schreibmodus (siehe Statusleiste). Leider dauert dieser Vorgang oftmals länger als die SmartConsole manuell zu schließen und mit neuen Rechten wieder zu öffnen.

Jeder Admin sollte permanent nur im Lese-Modus arbeiten und lediglich für Änderungen kurzzeitig in den Schreibmodus wechseln. Andernfalls ist für alle anderen Admins und Wartungsprozesse die Check Point Objektdatenbank permanent gesperrt. Beim Login stößt man dann häufig auf folgende Meldung:

Da bei permanent eingeloggten ReadWrite-Admins auch keine automatisierten Backups des Firewall Managements angelegt werden können, muss eine skriptgesteuerte Lösung her, welche vor jedem Backup zunächst alle Admins ausloggt (Disconnect).

Check Point bietet hierfür das Tool “disconnect_client” an, welches auf dem Firewall Management nachinstalliert werden kann. Es läuft auf allen von Check Point unterstützten Betriebssystemen, inkl. GAiA.