Geekly articles weekly

Kontrollpunkt Gaia R80.40. Was wird neu sein?



Die nächste Version des Betriebssystems Gaia R80.40 steht vor der Tür . Vor einigen Wochen wurde das Early Access-Programm gestartet , mit dem Sie Zugriff erhalten, um die Distribution zu testen. Wir veröffentlichen wie gewohnt Informationen darüber, was neu sein wird, und heben auch die Punkte hervor, die aus unserer Sicht am interessantesten sind. Mit Blick auf die Zukunft kann ich sagen, dass die Innovationen wirklich bedeutsam sind. Daher lohnt es sich, sich auf ein frühzeitiges Update vorzubereiten. Wir haben zuvor einen Artikel dazu veröffentlicht (für weitere Informationen klicken Sie bitte hier ). Kommen wir zum Thema ...

Was ist neu?


Betrachten Sie hier die offiziell angekündigten Innovationen. Informationen stammen von der Check Mates- Website (offizielle Check Point-Community). Mit Ihrer Erlaubnis werde ich diesen Text nicht übersetzen, da das Publikum dies zulässt. Stattdessen werde ich meine Kommentare im nächsten Kapitel hinterlassen.

1. IoT-Sicherheit. Neue Funktionen, die sich auf das Internet der Dinge beziehen
  • Sammeln Sie IoT-Geräte und Verkehrsattribute von zertifizierten IoT-Discovery-Engines (unterstützt derzeit Medigate, CyberMDX, Cynerio, Claroty, Indegy, SAM und Armis).
  • Konfigurieren Sie eine neue IoT-dedizierte Richtlinienebene in der Richtlinienverwaltung.
  • Konfigurieren und verwalten Sie Sicherheitsregeln, die auf den Attributen der IoT-Geräte basieren.


2. TLS-Inspektion
HTTP / 2:

  • HTTP / 2 ist eine Aktualisierung des HTTP-Protokolls. Das Update bietet Verbesserungen in Bezug auf Geschwindigkeit, Effizienz und Sicherheit sowie Ergebnisse mit einer besseren Benutzererfahrung.
  • Das Security Gateway von Check Point unterstützt jetzt HTTP / 2 und bietet eine bessere Geschwindigkeit und Effizienz bei voller Sicherheit mit allen Blades für Bedrohungsprävention und Zugriffskontrolle sowie neuen Schutzfunktionen für das HTTP / 2-Protokoll.
  • Die Unterstützung gilt sowohl für klaren als auch für SSL-verschlüsselten Datenverkehr und ist vollständig in HTTPS / TLS integriert
  • Inspektionsmöglichkeiten.

TLS-Inspektionsschicht . Innovationen bei der HTTPS-Inspektion:

  • Eine neue Richtlinienebene in SmartConsole für die TLS-Inspektion.
  • Verschiedene TLS-Inspektionsebenen können in verschiedenen Richtlinienpaketen verwendet werden.
  • Freigabe einer TLS-Inspektionsschicht über mehrere Richtlinienpakete hinweg.
  • API für TLS-Operationen.


3. Prävention von Bedrohungen
  • Gesamteffizienzsteigerung für Bedrohungspräventionsprozesse und -aktualisierungen.
  • Automatische Updates der Threat Extraction Engine.
  • Dynamische, Domänen- und aktualisierbare Objekte können jetzt in Richtlinien zur Bedrohungsprävention und TLS-Inspektion verwendet werden. Aktualisierbare Objekte sind Netzwerkobjekte, die einen externen Dienst oder eine bekannte dynamische Liste von IP-Adressen darstellen, z. B. Office365 / Google / Azure / AWS-IP-Adressen und Geo-Objekte.
  • Anti-Virus verwendet jetzt SHA-1- und SHA-256-Bedrohungsanzeigen, um Dateien basierend auf ihren Hashes zu blockieren. Importieren Sie die neuen Indikatoren aus der Ansicht SmartConsole Threat Indicators oder der CLI Custom Intelligence Feed.
  • Anti-Virus- und SandBlast-Bedrohungsemulation unterstützen jetzt die Überprüfung des E-Mail-Verkehrs über das POP3-Protokoll sowie eine verbesserte Überprüfung des E-Mail-Verkehrs über das IMAP-Protokoll.
  • Anti-Virus- und SandBlast-Bedrohungsemulation verwenden jetzt die neu eingeführte SSH-Überprüfungsfunktion, um Dateien zu überprüfen, die über die SCP- und SFTP-Protokolle übertragen wurden.
  • Anti-Virus- und SandBlast-Bedrohungsemulation bieten jetzt eine verbesserte Unterstützung für die SMBv3-Inspektion (3.0, 3.0.2, 3.1.1), einschließlich der Inspektion von Mehrkanalverbindungen. Check Point ist jetzt der einzige Anbieter, der die Überprüfung einer Dateiübertragung über mehrere Kanäle unterstützt (eine Funktion, die in allen Windows-Umgebungen standardmäßig aktiviert ist). Auf diese Weise können Kunden sicher bleiben, während sie mit dieser leistungssteigernden Funktion arbeiten.


4. Identitätsbewusstsein
  • Unterstützung für die Integration von Captive Portal in SAML 2.0 und Identitätsanbieter von Drittanbietern.
  • Unterstützung für Identity Broker für die skalierbare und detaillierte gemeinsame Nutzung von Identitätsinformationen zwischen PDPs sowie für die domänenübergreifende gemeinsame Nutzung.
  • Verbesserungen am Terminal Server Agent für bessere Skalierung und Kompatibilität.


5. IPsec VPN
  • Konfigurieren Sie verschiedene VPN-Verschlüsselungsdomänen auf einem Sicherheitsgateway, das Mitglied mehrerer VPN-Communitys ist. Dies bietet:
  • Verbesserte Privatsphäre - Interne Netzwerke werden in IKE-Protokollverhandlungen nicht offengelegt.
  • Verbesserte Sicherheit und Granularität - Geben Sie an, auf welche Netzwerke in einer bestimmten VPN-Community zugegriffen werden kann.
  • Verbesserte Interoperabilität - Vereinfachte routenbasierte VPN-Definitionen (empfohlen, wenn Sie mit einer leeren VPN-Verschlüsselungsdomäne arbeiten).
  • Erstellen und arbeiten Sie mithilfe von LSV-Profilen nahtlos mit einer Large Scale VPN (LSV) -Umgebung.


6. URL-Filterung
  • Verbesserte Skalierbarkeit und Ausfallsicherheit.
  • Erweiterte Funktionen zur Fehlerbehebung.


7. NAT
  • Erweiterter Mechanismus zur Zuweisung von NAT-Ports - Auf Sicherheitsgateways mit 6 oder mehr CoreXL-Firewall-Instanzen verwenden alle Instanzen denselben Pool von NAT-Ports, wodurch die Portauslastung und -wiederverwendung optimiert wird.
  • Überwachung der NAT-Portauslastung in CPView und mit SNMP.


8. Voice over IP (VoIP)
Mehrere CoreXL-Firewall-Instanzen verarbeiten das SIP-Protokoll, um die Leistung zu verbessern.

9. RAS-VPN
Verwenden Sie das Maschinenzertifikat, um zwischen Unternehmens- und Nicht-Unternehmensressourcen zu unterscheiden und eine Richtlinie festzulegen, die nur die Verwendung von Unternehmensressourcen erzwingt. Die Durchsetzung kann vor der Anmeldung (nur Geräteauthentifizierung) oder nach der Anmeldung (Geräte- und Benutzerauthentifizierung) erfolgen.

10. Mobile Access Portal Agent
Verbesserte Endpoint Security on Demand im Mobile Access Portal Agent zur Unterstützung aller gängigen Webbrowser. Weitere Informationen finden Sie unter sk113410.

11. CoreXL und Multi-Queue
  • Unterstützung für die automatische Zuweisung von CoreXL-SNDs und Firewall-Instanzen, für die kein Neustart des Security Gateway erforderlich ist.
  • Verbesserte sofort einsatzbereite Erfahrung - Security Gateway ändert automatisch die Anzahl der CoreXL-SNDs und Firewall-Instanzen sowie die Konfiguration mit mehreren Warteschlangen basierend auf der aktuellen Verkehrslast.


12. Clustering
  • Unterstützung für das Cluster Control Protocol im Unicast-Modus, sodass keine CCP erforderlich ist

Broadcast- oder Multicast-Modi:
  • Die Cluster Control Protocol-Verschlüsselung ist jetzt standardmäßig aktiviert.
  • Neuer ClusterXL-Modus -Aktiv / Aktiv, der Cluster-Mitglieder an verschiedenen geografischen Standorten unterstützt, die sich in verschiedenen Subnetzen befinden und unterschiedliche IP-Adressen haben.
  • Unterstützung für ClusterXL-Cluster-Mitglieder, auf denen verschiedene Softwareversionen ausgeführt werden.
  • Die MAC Magic-Konfiguration ist nicht mehr erforderlich, wenn mehrere Cluster mit demselben Subnetz verbunden sind.


13. VSX
  • Unterstützung für VSX-Upgrade mit CPUSE in Gaia Portal.
  • Unterstützung für den Active Up-Modus in VSLS.
  • Unterstützung für statistische CPView-Berichte für jedes virtuelle System


14. Zero Touch
Ein einfacher Plug & Play-Einrichtungsprozess für die Installation einer Appliance - ohne dass technisches Fachwissen erforderlich ist und für die Erstkonfiguration eine Verbindung zur Appliance hergestellt werden muss.

15. Gaia REST API
Die Gaia REST-API bietet eine neue Möglichkeit zum Lesen und Senden von Informationen an Server, auf denen das Gaia-Betriebssystem ausgeführt wird. Siehe sk143612.

16. Erweitertes Routing
  • Verbesserungen an OSPF und BGP ermöglichen das Zurücksetzen und Neustarten von OSPF nebeneinander für jede CoreXL-Firewall-Instanz, ohne dass der geroutete Daemon neu gestartet werden muss.
  • Verbesserte Routenaktualisierung für eine verbesserte Behandlung von BGP-Routing-Inkonsistenzen.


17. Neue Kernel-Funktionen
  • Aktualisierter Linux-Kernel
  • Neues Partitionierungssystem (gpt):
  • Unterstützt mehr als 2 TB physische / logische Laufwerke
  • Schnelleres Dateisystem (xfs)
  • Unterstützung größerer Systemspeicher (bis zu 48 TB getestet)
  • Leistungsverbesserungen im Zusammenhang mit E / A.
  • Multi-Queue:
  • Volle Gaia Clish-Unterstützung für Multi-Queue-Befehle
  • Automatische Konfiguration "Standardmäßig aktiviert"
  • Unterstützung für SMB v2 / 3-Mount im Mobile Access Blade
  • Unterstützung für NFSv4 (Client) hinzugefügt (NFS v4.2 ist die standardmäßig verwendete NFS-Version).
  • Unterstützung neuer Systemtools zum Debuggen, Überwachen und Konfigurieren des Systems


18. CloudGuard Controller
  • Leistungsverbesserungen für Verbindungen zu externen Rechenzentren.
  • Integration mit VMware NSX-T.
  • Unterstützung für zusätzliche API-Befehle zum Erstellen und Bearbeiten von Data Center Server-Objekten.


19. Multi-Domain-Server
  • Sichern und Wiederherstellen eines einzelnen Domänenverwaltungsservers auf einem Server mit mehreren Domänen.
  • Migrieren Sie einen Domänenverwaltungsserver auf einem Multi-Domain-Server zu einem anderen Multi-Domain-Sicherheitsmanagement.
  • Migrieren Sie einen Sicherheitsverwaltungsserver zu einem Domänenverwaltungsserver auf einem Server mit mehreren Domänen.
  • Migrieren Sie einen Domänenverwaltungsserver zu einem Sicherheitsverwaltungsserver.
  • Setzen Sie eine Domäne auf einem Server mit mehreren Domänen oder einem Sicherheitsverwaltungsserver zur weiteren Bearbeitung auf eine vorherige Version zurück.


20. SmartTasks und API
  • Neue Management-API-Authentifizierungsmethode, die einen automatisch generierten API-Schlüssel verwendet.
  • Neue Management-API-Befehle zum Erstellen von Clusterobjekten.
  • Durch die zentrale Bereitstellung von Jumbo Hotfix Accumulator und Hotfixes von SmartConsole oder mit einer API können mehrere Sicherheitsgateways und -cluster parallel installiert oder aktualisiert werden.
  • SmartTasks - Konfigurieren Sie automatische Skripts oder HTTPS-Anforderungen, die durch Administratoraufgaben ausgelöst werden, z. B. das Veröffentlichen einer Sitzung oder das Installieren einer Richtlinie.


21. Bereitstellung
Durch die zentrale Bereitstellung von Jumbo Hotfix Accumulator und Hotfixes von SmartConsole oder mit einer API können mehrere Sicherheitsgateways und -cluster parallel installiert oder aktualisiert werden.

22. SmartEvent
Teilen Sie SmartView-Ansichten und -Berichte mit anderen Administratoren.

23. Log Exporter
Exportieren Sie Protokolle, die nach Feldwerten gefiltert sind.

24. Endpunktsicherheit
  • Unterstützung für BitLocker-Verschlüsselung für vollständige Festplattenverschlüsselung.
  • Unterstützung für externe Zertifikate der Zertifizierungsstelle für den Endpoint Security-Client
  • Authentifizierung und Kommunikation mit dem Endpoint Security Management Server.
  • Unterstützung für die dynamische Größe von Endpoint Security Client-Paketen basierend auf den ausgewählten
  • Funktionen für die Bereitstellung.
  • Die Richtlinie kann jetzt die Benachrichtigungsstufe für Endbenutzer steuern.
  • Unterstützung für persistente VDI-Umgebung in Endpoint Policy Management.


Was uns am besten gefallen hat (basierend auf Kundenaufgaben)


Wie Sie sehen, gibt es viele Innovationen. Für uns als Systemintegrator gibt es jedoch einige sehr interessante Punkte (die auch für unsere Kunden von Interesse sind). Unsere Top 10:

  1. Endlich kam die volle Unterstützung für IoT-Geräte. Es ist schon ziemlich schwierig, ein Unternehmen zu treffen, das solche Geräte nicht hätte.
  2. Die TLS-Inspektion befindet sich jetzt in einer separaten Ebene (Ebene). Es ist viel bequemer als jetzt (um 80.30 Uhr). Sie müssen das alte Legasy-Dashboard nicht mehr ausführen. Außerdem können Sie jetzt in der HTTPS-Überprüfungsrichtlinie aktualisierbare Objekte wie Office365, Google, Azure, AWS usw. verwenden. Dies ist sehr praktisch, wenn Sie Ausnahmen konfigurieren müssen. Es gibt jedoch noch keine Unterstützung für tls 1.3. Anscheinend mit dem folgenden Hotfix „aufholen“.
  3. Wesentliche Änderungen für Anti-Virus und SandBlast. Jetzt können Sie Protokolle wie SCP, SFTP und SMBv3 überprüfen (dieses Mehrkanalprotokoll kann übrigens niemand mehr überprüfen).
  4. Viele Verbesserungen im Zusammenhang mit Site-to-Site-VPN. Jetzt können Sie mehrere VPN-Domänen auf dem Gateway konfigurieren, das aus mehreren VPN-Communitys besteht. Es ist sehr bequem und viel sicherer. Darüber hinaus erinnerte sich Check Point schließlich an Route Based VPN und verbesserte seine Stabilität / Kompatibilität geringfügig.
  5. Eine sehr beliebte Funktion ist für Remote-Benutzer erschienen. Jetzt können Sie nicht nur den Benutzer authentifizieren, sondern auch das Gerät, von dem aus er eine Verbindung herstellt. Beispielsweise möchten wir VPN-Verbindungen nur von Unternehmensgeräten aus zulassen. Dies geschieht natürlich mit Hilfe von Zertifikaten. Es ist auch möglich geworden, Dateibälle für Remotebenutzer mit einem VPN-Client automatisch (SMB v2 / 3) bereitzustellen.
  6. Viele Änderungen im Betrieb des Clusters. Aber vielleicht eines der interessantesten ist die Fähigkeit, einen Cluster zu betreiben, in dem die Gateways unterschiedliche Versionen von Gaia haben. Dies ist praktisch für ein geplantes Upgrade.
  7. Verbesserte Funktionen von Zero Touch. Eine nützliche Sache für diejenigen, die häufig "kleine" Gateways installieren (zum Beispiel für Geldautomaten).
  8. Für Protokolle wird jetzt Speicher mit bis zu 48 TB unterstützt.
  9. Sie können Ihre SmartEvent-Dashboards mit anderen Administratoren „fummeln“.
  10. Mit Log Exporter können Sie gesendete Nachrichten jetzt nach Feldern vorfiltern. Das heißt, Nur die erforderlichen Protokolle und Ereignisse werden an Ihre SIEM-Systeme übergeben

Update


Vielleicht denken viele bereits über eine Aktualisierung nach. Beeil dich nicht. Zu Beginn sollte Version 80.40 unter Allgemeine Verfügbarkeit verfügbar sein. Aber auch danach lohnt es sich nicht, sofort zu aktualisieren. Warten Sie besser mindestens auf den ersten Hotfix.
Vielleicht "sitzen" viele auf älteren Versionen. Ich kann sagen, dass zumindest ein Upgrade auf 80.30 bereits möglich (und sogar notwendig) ist. Dies ist ein stabiles und bewährtes System!

Sie können auch unsere Öffentlichkeit ( Telegramm , Facebook , VK , TS Solution Blog ) abonnieren, in der Sie die Entstehung neuer Materialien auf Check Point und anderen Sicherheitsprodukten überwachen können.

Source: https://habr.com/ru/post/de467723/

More articles:


All Articles