Aktuelles aus unserer Technik  -  Q1 / 2024

Seit Check Point im Juli 2023 R81.20 zum Magnum Opus seiner bisherigen Entwicklung erklärt hat und im April 2024 bereits R80.40 ausläuft, steht für viele Kunden die R81.20 Migration samt Konsolidierung & Optimierung der Security Policy an. Wir setzen diese Projekte erfahren & kundenspezifisch um.

techblog.esc.de

Tag: Update

Zur Apache-Schwachstelle in der Java Logging-Bibliothek “Log4j” ( CVE-2021-4428, ..) hat Check Point im Knowledgebase Artikel sk176865 sowie Blog-Eintrag mitgeteilt, dass Check Point von der Schwachstelle nicht betroffen ist. IPS Protections zum Schutz betroffener Systeme stehen bereit. Ergänzend dazu können auch SNORT Regeln zum Schutz vor Log4j importiert werden. Mittels HTTPS Inspection kann die Schwachstelle auch in verschlüsselten Verbindungen abgesichert werden.

Check Point ist nicht betroffen.
IPS Protections zum Schutz betroffener Systeme stehen bereit.

Zusätzlich kann mittels Blockierung von Tor Exit-Nodes sowie dynamischer IP-Blocklisten ( sk103154 ) eine weitere Absicherung vor schadhaften Zugriffen erreicht werden. Bei der Konfiguration unterstützen Sie unsere Experten gern!

Nachlese: BSI Warnung, Heise Artikel

1100-specs-klein

Im Oktober 2015 veröffentlichte Check Point für seine 1100 Appliances zwei neue Firmware-Versionen: Embedded GAiA R75.20 HFA 71 und R77.20 HFA 11.

Wie angekündigt wird Check Point zur Verbesserung der Sicherheit einen Wechsel von SHA1- auf SHA256-Zertifikate vornehmen. Um auch danach wichtige Dienste wie zum Beispiel Anti-Spam-, Anti-Bot-, Anti-Virus- und Lizenzupdates weiter nutzen zu können, empfehlen wir unseren Kunden dringend die Firmware aller 1100 Appliances zu aktualisieren.

R75.20 HFA 71 enthält gegenüber seinen Vorgängerversionen Verbesserungen bezüglich Anti-Spam, Wifi-Hotspot und Reporting.

R77.20 HFA 11 basiert im Vergleich zum langjährig entwickelten R75.20 Release auf der noch relativ neuen R77.20 Engine und sollte daher nur eingesetzt werden, wenn Funktionen benötigt werden, die erst mit diesem Release verfügbar sind (neue Anti-Virus und Anti-Bot Engines, URL Filtering für HTTPS, SSL Inspection (bei zentraler Verwaltung), Identity Sharing Options, erweiterte VPN Funktionalitäten sowie SCADA-Protokolle zum steuern technischer Prozesse). Zur zentralen Verwaltung von 1100 Appliances mit neuer R77.20 Embedded GAiA Firmware muss auf dem Firewall Management (SmartCenter) zwingend R77.30 mit Add-On installiert sein!

Nützliche Links:
Check Point 1100 Appliance – FAQ

Wie Check Point in seinem aktuellen Product Alert zu sk103839 mitteilt, werden in wenigen Monaten sämtliche Online Services auf SHA-256 Zertifikate umgestellt. Dies geschieht zur Verbesserung der Sicherheit.

Alle Check Point Versionen bis einschließlich R77.20 benötigen daher umgehend den sk103839 Hotfix, da diese die neuen SHA-256 Zertifikate nicht ohne Aktualisierung verarbeiten können und damit sonst keine Online-Updates mehr für IPS, Threat Emulation, Threat Prevention, Application Control, URL Filtering, HTTPS Inspection, Endpoint Security, CPUSE, SmartUpdate Lizenzen & Contracts laden können!

ACHTUNG! Wer noch nicht mindestens auf R75.20 aktualisiert hat, muss jetzt spätestens aktualisieren, da der Hotfix nur für unterstützte Check Point Versionen ab R75.20 angeboten wird!

Auch im Check Point UserCenter wird die Warnmeldung aufgrund der Kritikalität nun als Erstes angezeigt.

Der sk103839 Hotfix ist auf ALLEN Check Point Systemen einzuspielen! Ebenfalls steht für die zentrale Check Point Verwaltung eine aktualisierte Version der Check Point SmartConsole inkl. SmartDashboard zur Verfügung.

Wie Check Point bereits vorab in seinem öffentlichen Releases Plan ankündigte, steht seit dem gestrigen Abend endlich das Stabilitätsupdate R77.10 für sein aktuelles Major Release R77 zur Verfügung.

Auch die aktualisierte Release map hat eine wesentliche Überarbeitung erfahren und enthält nun deutlich mehr Informationen sowie ein neues Layout.

Check Point R77.10 – Release map
Check Point R77.10 – Upgrade map
Check Point R77.10 – Backward Compatibility map

Die wichtigsten Neuerungen von R77.10 sind:
– Verbesserungen und Korrekturen in Check Point’s GAiA Betriebssystem
– Mobile Access support für IPv6, VSX, Push Notifications, Remote Wipe etc.
– Integriertes Appliance Hardware Diagnostic Tool (sk97251)
– Dead Peer Detection (DPD) Support für VPNs
– CoreXL + SecureXL + QoS können nun auch zusammen eingesetzt werden

Eine vollständige Übersicht der umfangreichen Verbesserungen und Korrekturen finden sich in sk97620. Die Known Limitations listet sk97619 auf.

Aufgrund der umfangreichen Liste behobener Fehler, inkl. diverser Memory Leaks, empfehlen wir allen Check Point Kunden auch bzgl. eines besseren Herstellersupports umgehend das Stabilitätsupdate R77.10 einzuspielen.

Check Point hat vor zwei Wochen sein erstes Update (R75.30) für das aktuelle Major Release R75.20 veröffentlich. Hierbei handelt es sich um ein reines Hotfixing-Release, welches Funktionen aus Vorgängerversionen verbessert. Entsprechend lang gestaltet sich die Liste der sog. “Resolved Issues“. Nachzulesen im Knowledgebase Artikel sk66286. Allein acht Memory Leaks werden geschlossen. Da lag es nahe das Update umgehend in unserem Testlab zu testen und die neue SmartConsole R75.30 herunterzuladen. Wir haben in unserem Testlab keine Probleme mit dem Update feststellen können und empfehlen es damit unseren Kunden zum Einsatz. Beim Einspielen gibt es natürlich wieder einiges zu beachten, was wir mit unserem erfahrenen Supportteam herstellerkonform, sicher und kundenspezifisch umsetzen werden.

Was hat sich geändert?
Das Wording. War früher bei Check Point von HFAs (Hotfix Akkumulatoren) die Rede, heißen die neuen Hotfix-Bundle nun einfach Updates. Damit ändert sich auch die Angabe der Version. Beispielsweise wird das HFA_70 für NGX (R65) als Check Point NGX (R65) HFA_70 ausgeschrieben. Die neuen Updates werden einfach nach dem Punkt des Major Releases angegeben. Fast. R75.30 ist eben kein Update für R75 sondern ausschließlich für R75.20, da dies das letzte Major Release war. Wen das verwirrt, dem hilft Check Point immerhin mit der bereits für R75.30 aktualisierten Upgrade Map.