Geekly articles weekly

Punto de control Gaia R80.40. ¿Qué será nuevo?



La próxima versión del sistema operativo Gaia R80.40 se acerca . Hace unas semanas , se lanzó el programa Early Access , según el cual puede obtener acceso para probar la distribución. Nosotros, como de costumbre, publicamos información sobre lo que será nuevo, y también destacamos los puntos que son más interesantes desde nuestro punto de vista. Mirando hacia el futuro, puedo decir que las innovaciones son realmente significativas. Por lo tanto, vale la pena prepararse para un procedimiento de actualización temprana. Anteriormente publicamos un artículo sobre cómo hacerlo (para obtener más información, haga clic aquí ). Pasemos al tema ...

Que hay de nuevo


Considere las innovaciones anunciadas oficialmente aquí. Información tomada del sitio web de Check Mates (comunidad oficial de Check Point). Con su permiso, no traduciré este texto, ya que la audiencia lo permite. En cambio, dejaré mis comentarios en el próximo capítulo.

1. Seguridad de IoT. Nuevas características relacionadas con Internet de las cosas.
  • Recopile dispositivos IoT y atributos de tráfico de motores de descubrimiento IoT certificados (actualmente es compatible con Medigate, CyberMDX, Cynerio, Claroty, Indegy, SAM y Armis).
  • Configure una nueva capa de política dedicada de IoT en la gestión de políticas.
  • Configure y administre reglas de seguridad basadas en los atributos de los dispositivos IoT.


2. Inspección TLS
HTTP / 2:

  • HTTP / 2 es una actualización del protocolo HTTP. La actualización proporciona mejoras en velocidad, eficiencia y seguridad y resultados con una mejor experiencia de usuario.
  • La puerta de enlace de seguridad de Check Point ahora admite HTTP / 2 y se beneficia de una mayor velocidad y eficiencia al tiempo que obtiene una seguridad total, con todos los blades de prevención de amenazas y control de acceso, así como nuevas protecciones para el protocolo HTTP / 2.
  • El soporte es para tráfico claro y cifrado SSL y está completamente integrado con HTTPS / TLS
  • Capacidades de inspección.

Capa de inspección TLS . Innovaciones con respecto a la inspección HTTPS:

  • Una nueva capa de políticas en SmartConsole dedicada a la inspección TLS.
  • Se pueden usar diferentes capas de inspección de TLS en diferentes paquetes de políticas.
  • Compartir una capa de inspección TLS en varios paquetes de políticas.
  • API para operaciones TLS.


3. Prevención de amenazas
  • Mejora general de la eficiencia para los procesos y actualizaciones de Prevención de amenazas.
  • Actualizaciones automáticas del motor de extracción de amenazas.
  • Los objetos dinámicos, de dominio y actualizables ahora se pueden usar en las políticas de prevención de amenazas e inspección de TLS. Los objetos actualizables son objetos de red que representan un servicio externo o una lista dinámica conocida de direcciones IP, por ejemplo: direcciones IP de Office365 / Google / Azure / AWS y objetos Geo.
  • Anti-Virus ahora usa indicaciones de amenaza SHA-1 y SHA-256 para bloquear archivos en función de sus hashes. Importe los nuevos indicadores desde la vista de Indicadores de amenaza SmartConsole o la CLI de Feed de inteligencia personalizada.
  • Anti-Virus y SandBlast Threat Emulation ahora admiten la inspección del tráfico de correo electrónico a través del protocolo POP3, así como la inspección mejorada del tráfico de correo electrónico a través del protocolo IMAP.
  • Anti-Virus y SandBlast Threat Emulation ahora utilizan la nueva función de inspección SSH para inspeccionar los archivos transferidos a través de los protocolos SCP y SFTP.
  • Anti-Virus y SandBlast Threat Emulation ahora brindan un soporte mejorado para la inspección SMBv3 (3.0, 3.0.2, 3.1.1), que incluye la inspección de conexiones multicanal. Check Point es ahora el único proveedor que admite la inspección de una transferencia de archivos a través de múltiples canales (una función que está activada de manera predeterminada en todos los entornos de Windows). Esto permite a los clientes mantenerse seguros mientras trabajan con esta función de mejora del rendimiento.


4. Conciencia de identidad
  • Soporte para la integración del portal cautivo con SAML 2.0 y proveedores de identidad de terceros.
  • Compatibilidad con Identity Broker para el intercambio escalable y granular de información de identidad entre PDP, así como el intercambio entre dominios.
  • Mejoras al Agente de Terminal Server para una mejor escala y compatibilidad.


5. VPN IPsec
  • Configure diferentes dominios de encriptación VPN en un Security Gateway que sea miembro de múltiples comunidades VPN. Esto proporciona:
  • Privacidad mejorada: las redes internas no se divulgan en las negociaciones del protocolo IKE.
  • Mayor seguridad y granularidad: especifique qué redes son accesibles en una comunidad VPN específica.
  • Interoperabilidad mejorada: definiciones de VPN basadas en rutas simplificadas (recomendadas cuando trabaja con un dominio de cifrado de VPN vacío).
  • Cree y trabaje sin problemas con un entorno VPN de gran escala (LSV) con la ayuda de los perfiles LSV.


6. Filtrado de URL
  • Escalabilidad y resistencia mejoradas.
  • Capacidades ampliadas de solución de problemas.


7. NAT
  • Mecanismo de asignación de puertos NAT mejorado: en Security Gateways con 6 o más instancias de CoreXL Firewall, todas las instancias usan el mismo grupo de puertos NAT, lo que optimiza la utilización y reutilización de los puertos.
  • Monitorización de la utilización del puerto NAT en CPView y con SNMP.


8. Voz sobre IP (VoIP)
Varias instancias de CoreXL Firewall manejan el protocolo SIP para mejorar el rendimiento.

9. VPN de acceso remoto
Utilice el certificado de máquina para distinguir entre activos corporativos y no corporativos y para establecer una política que haga cumplir el uso de activos corporativos únicamente. La aplicación puede ser previa al inicio de sesión (solo autenticación de dispositivo) o posterior al inicio de sesión (autenticación de dispositivo y usuario).

10. Agente del portal de acceso móvil
Endpoint Security on Demand mejorado dentro del Agente de Mobile Access Portal para admitir todos los principales navegadores web. Para obtener más información, consulte sk113410.

11. CoreXL y Multi-Queue
  • Compatibilidad con la asignación automática de instancias de CoreXL SND y Firewall que no requiere un reinicio de Security Gateway.
  • Experiencia mejorada lista para usar: Security Gateway cambia automáticamente la cantidad de instancias de SND y cortafuegos de CoreXL y la configuración de múltiples colas en función de la carga de tráfico actual.


12. Agrupación
  • Compatibilidad con el protocolo de control de clúster en modo unidifusión que elimina la necesidad de CCP

Modos de difusión o multidifusión:
  • El cifrado del protocolo de control de clúster ahora está habilitado de forma predeterminada.
  • Nuevo modo ClusterXL: activo / activo, que admite miembros de clúster en diferentes ubicaciones geográficas que se encuentran en diferentes subredes y tienen diferentes direcciones IP.
  • Soporte para ClusterXL Cluster Members que ejecutan diferentes versiones de software.
  • Se eliminó la necesidad de la configuración de MAC Magic cuando varios grupos están conectados a la misma subred.


13. VSX
  • Soporte para la actualización de VSX con CPUSE en Gaia Portal.
  • Soporte para el modo Active Up en VSLS.
  • Soporte para informes estadísticos CPView para cada sistema virtual


14. Zero Touch
Un simple proceso de configuración Plug & Play para instalar un dispositivo, eliminando la necesidad de experiencia técnica y tener que conectarse al dispositivo para la configuración inicial.

15. API de REST de Gaia
Gaia REST API proporciona una nueva forma de leer y enviar información a los servidores que ejecutan el sistema operativo Gaia. Ver sk143612.

16. Enrutamiento avanzado
  • Las mejoras en OSPF y BGP permiten restablecer y reiniciar OSPF adyacente para cada instancia de CoreXL Firewall sin la necesidad de reiniciar el demonio enrutado.
  • Mejora de la actualización de ruta para mejorar el manejo de las inconsistencias de enrutamiento BGP.


17. Nuevas capacidades de kernel
  • Kernel de Linux actualizado
  • Nuevo sistema de particionamiento (gpt):
  • Admite unidades físicas / lógicas de más de 2 TB
  • Sistema de archivos más rápido (xfs)
  • Admite almacenamiento de sistema más grande (hasta 48 TB probado)
  • Mejoras de rendimiento relacionadas con E / S
  • Multi-Cola:
  • Soporte completo de Gaia Clish para comandos Multi-Queue
  • Configuración automática "activada por defecto"
  • Soporte de montaje SMB v2 / 3 en blade de acceso móvil
  • Se agregó compatibilidad con NFSv4 (cliente) (NFS v4.2 es la versión predeterminada de NFS utilizada)
  • Soporte de nuevas herramientas del sistema para depurar, monitorear y configurar el sistema.


18. Controlador CloudGuard
  • Mejoras de rendimiento para conexiones a centros de datos externos.
  • Integración con VMware NSX-T.
  • Soporte para comandos API adicionales para crear y editar objetos del servidor del centro de datos.


19. Servidor multidominio
  • Realice una copia de seguridad y restaure un servidor de administración de dominio individual en un servidor multidominio.
  • Migre un servidor de gestión de dominio en un servidor multidominio a una gestión de seguridad multidominio diferente.
  • Migre un servidor de administración de seguridad para convertirse en un servidor de administración de dominio en un servidor multidominio.
  • Migre un servidor de administración de dominio para convertirse en un servidor de administración de seguridad.
  • Revierta un dominio en un servidor multidominio o un servidor de gestión de seguridad a una revisión anterior para su posterior edición.


20. SmartTasks y API
  • Nuevo método de autenticación API de administración que utiliza una clave API generada automáticamente.
  • Nuevos comandos de API de administración para crear objetos de clúster.
  • La implementación central de Jumbo Hotfix Accumulator y Hotfix de SmartConsole o con una API permite instalar o actualizar múltiples puertas de enlace de seguridad y clústeres en paralelo.
  • SmartTasks: configure scripts automáticos o solicitudes HTTPS activadas por tareas de administrador, como publicar una sesión o instalar una política.


21. Despliegue
La implementación central de Jumbo Hotfix Accumulator y Hotfix de SmartConsole o con una API permite instalar o actualizar múltiples puertas de enlace de seguridad y clústeres en paralelo.

22. SmartEvent
Comparta vistas e informes de SmartView con otros administradores.

23. Exportador de registros
Exportar registros filtrados según los valores de campo.

24. Endpoint Security
  • Soporte para el cifrado de BitLocker para Full Disk Encryption.
  • Soporte para certificados externos de la Autoridad de certificación para el cliente de Endpoint Security
  • autenticación y comunicación con el servidor de Endpoint Security Management.
  • Soporte para el tamaño dinámico de los paquetes de Endpoint Security Client basados ​​en el seleccionado
  • características para la implementación.
  • La política ahora puede controlar el nivel de notificaciones a los usuarios finales.
  • Soporte para entorno VDI persistente en Endpoint Policy Management.


Lo que más nos gustó (basado en las tareas del cliente)


Como puede ver, hay muchas innovaciones. Pero para nosotros, como integradores de sistemas , hay algunos puntos muy interesantes (que también son de interés para nuestros clientes). Nuestro Top 10:

  1. Finalmente llegó el soporte completo para dispositivos IoT. Ya es bastante difícil encontrar una empresa que no tenga tales dispositivos.
  2. La inspección de TLS ahora está en una capa separada (Capa). Es mucho más conveniente que ahora (a 80.30). Ya no necesitas ejecutar el viejo Tablero de Legasy. Además, ahora en la política de inspección HTTPS puede usar objetos actualizables como Office365, Google, Azure, AWS, etc. Esto es muy conveniente cuando necesita configurar excepciones. Sin embargo, todavía no hay soporte para tls 1.3. Aparentemente "ponerse al día" con la siguiente revisión.
  3. Cambios significativos para Anti-Virus y SandBlast. Ahora puede verificar protocolos como SCP, SFTP y SMBv3 (por cierto, ya nadie puede verificar este protocolo multicanal).
  4. Muchas mejoras relacionadas con la VPN de sitio a sitio. Ahora puede configurar varios dominios VPN en la puerta de enlace, que consta de varias comunidades VPN. Es muy conveniente y mucho más seguro. Además, Check Point finalmente recordó la VPN basada en rutas y mejoró ligeramente su estabilidad / compatibilidad.
  5. Una característica muy popular ha aparecido para usuarios remotos. Ahora puede autenticar no solo el usuario, sino también el dispositivo desde el que se conecta. Por ejemplo, queremos permitir conexiones VPN solo desde dispositivos corporativos. Esto se hace, por supuesto, con la ayuda de certificados. También es posible montar automáticamente bolas de archivos (SMB v2 / 3) para usuarios remotos con un cliente VPN.
  6. Muchos cambios en el funcionamiento del clúster. Pero quizás uno de los más interesantes es la capacidad de operar un clúster, donde las puertas de enlace tienen diferentes versiones de Gaia. Esto es conveniente para una actualización planificada.
  7. Funciones mejoradas de Zero Touch. Una cosa útil para aquellos que a menudo instalan puertas de enlace "pequeñas" (por ejemplo, para cajeros automáticos).
  8. Para los registros, el almacenamiento ahora es compatible con hasta 48 TB.
  9. Puede "buscar" sus paneles de SmartEvent con otros administradores.
  10. Log Exporter ahora le permite filtrar previamente los mensajes enviados por campos. Es decir solo los registros y eventos necesarios se pasarán a sus sistemas SIEM

Actualización


Quizás muchos ya estén pensando en actualizarse. No te apresures. Para comenzar, la versión 80.40 debe ir a Disponibilidad general. Pero incluso después de eso, no vale la pena actualizarlo de inmediato. Es mejor esperar al menos la primera revisión.
Quizás muchos "se sientan" en versiones anteriores. Puedo decir que al menos ya es posible (e incluso necesario) actualizar a 80.30. ¡Este es un sistema estable y probado!

También puede suscribirse a nuestros públicos ( Telegram , Facebook , VK , Blog de soluciones de TS ), donde puede monitorear la aparición de nuevos materiales en Check Point y otros productos de seguridad.

Source: https://habr.com/ru/post/467723/

More articles:


All Articles