” werden alle Neuerungen beschrieben, und es gibt viele davon. In diesem Artikel wird die Update-Prozedur so detailliert wie möglich erklärt.

” werden alle Neuerungen beschrieben, und es gibt viele davon. In diesem Artikel wird die Update-Prozedur so detailliert wie möglich erklärt.

Ein weiteres Release des Betriebssystems steht bevor Gaia R80.40. Vor einigen Wochen startete das Early Access-Programm, das den Zugang zur Testversion des Distributors ermöglicht. Wie gewohnt veröffentlichen wir Informationen über die Neuerungen und heben die Punkte hervor, die aus unserer Sicht am interessantesten sind. Vorab kann ich sagen, dass die Neuerungen tatsächlich signifikant sind. Daher sollte man sich auf das baldige Update vorbereiten. Zuvor haben wir bereits einen Artikel veröffentlicht darüber, wie man dies durchführt (zusätzliche Informationen können Sie hierher wenden). Kommen wir zum Thema…

Was gibt's Neues

Hier betrachten wir die offiziell angekündigten Neuerungen. Die Informationen stammen von der Website Check Mates (offizielle Community von Check Point). Gestatten Sie mir, dass ich diesen Text nicht übersetze, da das Publikum von Habr das zulässt. Stattdessen werde ich meine Kommentare im folgenden Abschnitt hinterlassen.

1. IoT-Sicherheit. Neue Funktionen, die das Internet der Dinge betreffen

  • Erfassen Sie IoT-Geräte und Verkehrsdaten von zertifizierten IoT-Entdeckungs-Engines (aktuell unterstützt Medigate, CyberMDX, Cynerio, Claroty, Indegy, SAM und Armis).
  • Konfigurieren Sie eine neue, spezifische Policy-Schicht für IoT in der Richtlinienverwaltung.
  • Konfigurieren und verwalten Sie Sicherheitsregeln, die auf den Attributen der IoT-Geräte basieren.

2. TLS-InspektionHTTP/2:

  • HTTP/2 ist eine Aktualisierung des HTTP-Protokolls. Das Update bietet Verbesserungen in Bezug auf Geschwindigkeit, Effizienz und Sicherheit, was zu einer besseren Benutzererfahrung führt.
  • Die Sicherheits-Gateway-Lösungen von Check Point unterstützen jetzt HTTP/2 und profitieren von besserer Geschwindigkeit und Effizienz, während sie vollständige Sicherheit mit allen Threat Prevention- und Access Control-Blades sowie neuen Schutzmaßnahmen für das HTTP/2-Protokoll bieten.
  • Unterstützung für sowohl unverschlüsselten als auch SSL-verschlüsselten Verkehr und ist vollständig in HTTPS/TLS integriert.
  • Inspektionsfähigkeiten.

TLS-Inspektionsschicht. Neuigkeiten zur HTTPS-Inspektion:

  • Eine neue Richtlinenschicht in der SmartConsole, die der TLS-Inspektion gewidmet ist.
  • Verschiedene TLS-Inspektionsschichten können in unterschiedlichen Richtlinienpaketen verwendet werden.
  • Teilen einer TLS-Inspektionsschicht über mehrere Richtlinienpakete.
  • API für TLS-Operationen.

3. Bedrohungsprävention

  • Gesamteffizienzsteigerung für Prozesse der Bedrohungsprävention und Updates.
  • Automatische Updates für die Threat Extraction Engine.
  • Dynamische, Domain- und aktualisierbare Objekte können jetzt in Richtlinien für Bedrohungsprävention und TLS-Inspektion verwendet werden. Aktualisierbare Objekte sind Netzwerkobjekte, die einen externen Dienst oder eine bekannte dynamische Liste von IP-Adressen repräsentieren, zum Beispiel — Office365 / Google / Azure / AWS-IP-Adressen und Geoobjekte.
  • Antivirus verwendet nun SHA-1- und SHA-256-Bedrohungsindikationen, um Dateien basierend auf ihren Hashes zu blockieren. Importieren Sie die neuen Indikatoren aus der Ansicht der Bedrohungsindikatoren in der SmartConsole oder der Custom Intelligence Feed CLI.
  • Antivirus und SandBlast Threat Emulation unterstützen jetzt die Inspektion von E-Mail-Verkehr über das POP3-Protokoll sowie eine verbesserte Inspektion von E-Mail-Verkehr über das IMAP-Protokoll.
  • Antivirus und SandBlast Threat Emulation verwenden jetzt die neu eingeführte SSH-Inspektionsfunktion, um Dateien zu inspizieren, die über die Protokolle SCP und SFTP übertragen werden.
  • Die Anti-Viren- und SandBlast-Bedrohungsemulation bietet jetzt eine verbesserte Unterstützung für SMBv3-Überprüfungen (3.0, 3.0.2, 3.1.1), einschließlich der Überprüfung von Mehrkanalverbindungen. Check Point ist jetzt der einzige Anbieter, der die Überprüfung von Dateiübertragungen über mehrere Kanäle unterstützt (eine Funktion, die standardmäßig in allen Windows-Umgebungen aktiv ist). Dies ermöglicht es Kunden, sicher zu arbeiten und gleichzeitig diese leistungssteigernde Funktion zu nutzen.

4. Identitätsbewusstsein

  • Unterstützung für die Integration von Captive Portal mit SAML 2.0 und Drittanbieter-Identitätsanbietern.
  • Unterstützung für einen Identitätsbroker für skalierbares und granuläres Teilen von Identitätsinformationen zwischen PDPs sowie das Teilen über Domänen hinweg.
  • Verbesserungen des Terminal-Server-Agenten für bessere Skalierbarkeit und Kompatibilität.

5. IPsec VPN

  • Konfigurieren Sie verschiedene VPN-Verschlüsselungsdomänen auf einem Sicherheits-Gateway, das Mitglied mehrerer VPN-Gemeinschaften ist. Dies bietet:
  • Verbesserter Datenschutz — Interne Netzwerke werden nicht in den IKE-Protokollverhandlungen offengelegt.
  • Verbesserte Sicherheit und Granularität — Geben Sie an, welche Netzwerke in einer bestimmten VPN-Gemeinschaft zugänglich sind.
  • Verbesserte Interoperabilität — Vereinfachte routebasierte VPN-Definitionen (empfohlen, wenn Sie mit einer leeren VPN-Verschlüsselungsdomäne arbeiten).
  • Erstellen und nahtlos mit einer großen VPN-Umgebung (LSV) arbeiten, unterstützt durch LSV-Profile.

6. URL-Filterung

  • Verbesserte Skalierbarkeit und Widerstandsfähigkeit.
  • Erweiterte Fehlerbehebungsfähigkeiten.

7. NAT

  • Erweitertes NAT-Portzuweisungsverfahren — Auf Sicherheits-Gateways mit 6 oder mehr CoreXL-Firewall-Instanzen verwenden alle Instanzen denselben Pool von NAT-Ports, was die Portnutzung und -wiederverwendung optimiert.
  • Überwachung der NAT-Portnutzung in CPView und mit SNMP.

8. Voice over IP (VoIP)Mehrere CoreXL-Firewall-Instanzen verwalten das SIP-Protokoll zur Leistungssteigerung.

9. Remote Access VPNVerwenden Sie ein Maschinenzertifikat, um zwischen Unternehmens- und Nicht-Unternehmensressourcen zu unterscheiden und eine Richtlinie festzulegen, die die Nutzung von Unternehmensressourcen ausschließlich vorschreibt. Die Durchsetzung kann vor der Anmeldung (nur Geräteauthentifizierung) oder nach der Anmeldung (Geräte- und Benutzerauthentifizierung) erfolgen.

10. Mobiler Zugangsportal-AgentErweiterte Endgerätesicherheit auf Anfrage innerhalb des Mobilen Zugangsportal-Agenten zur Unterstützung aller gängigen Webbrowser. Für weitere Informationen siehe sk113410.

11. CoreXL und Multi-Queue

  • Unterstützung für die automatische Zuweisung von CoreXL SNDs und Firewall-Instanzen, die keinen Neustart des Sicherheitsgateways erfordert.
  • Verbesserte Nutzererfahrung ohne zusätzliche Konfiguration — Das Sicherheitsgateway ändert automatisch die Anzahl der CoreXL SNDs und Firewall-Instanzen sowie die Multi-Queue-Konfiguration basierend auf der aktuellen Netzwerkbelastung.

12. Clustering

  • Unterstützung des Cluster Control Protocols im Unicast-Modus, wodurch die Notwendigkeit für CCP entfällt.

Broadcast- oder Multicast-Modi:

  • Die Verschlüsselung des Cluster Control Protocols ist jetzt standardmäßig aktiviert.
  • Neuer ClusterXL-Modus - Aktiv/Aktiv, der Cluster-Mitglieder an verschiedenen geografischen Standorten unterstützt, die sich in verschiedenen Subnetzen mit unterschiedlichen IP-Adressen befinden.
  • Unterstützung für ClusterXL-Cluster-Mitglieder, die unterschiedliche Softwareversionen ausführen.
  • Die Notwendigkeit für MAC Magic-Konfiguration wurde beseitigt, wenn mehrere Cluster mit demselben Subnetz verbunden sind.

13. VSX

  • Unterstützung für das VSX-Upgrade mit CPUSE im Gaia-Portal.
  • Unterstützung für den aktiven Upgrade-Modus in VSLS.
  • Unterstützung für CPView-statistische Berichte für jedes virtuelle System.

14. Zero TouchEin einfacher Plug & Play-Installationsprozess für den Einbau eines Geräts — ohne die Notwendigkeit technischer Fachkenntnisse und ohne Verbindung mit dem Gerät für die erste Konfiguration.

15. Gaia REST APIDie Gaia REST API bietet einen neuen Weg, um Informationen zu lesen und an Server zu senden, die das Gaia-Betriebssystem ausführen. Siehe sk143612.

16. Erweitertes Routing

  • Verbesserungen bei OSPF und BGP ermöglichen das Zurücksetzen und Neustarten des OSPF-Nachbarn für jede CoreXL-Firewall-Instanz, ohne den gerouteten Daemon neu starten zu müssen.
  • Verbesserung der Routenaktualisierung für eine verbesserte Handhabung von BGP-Routinginkonsistenzen.

17. Neue Kernel-Funktionen

  • Aktualisierter Linux-Kernel
  • Neues Partitionierungssystem (gpt):
  • Unterstützt physische/logische Laufwerke mit mehr als 2 TB
  • Schnelleres Dateisystem (xfs)
  • Unterstützt größere Systemspeicher (bis zu 48 TB getestet)
  • Leistungsverbesserungen im Zusammenhang mit I/O
  • Multi-Queue:
  • Vollständige Gaia Clish-Unterstützung für Multi-Queue-Befehle
  • Automatische Konfiguration „aktiviert von Anfang an“
  • SMB v2/3-Mount-Unterstützung im Mobile Access Blade
  • Hinzugefügt NFSv4 (Client) Unterstützung (NFS v4.2 ist die standardmäßig verwendete NFS-Version)
  • Unterstützung neuer Systemtools zur Fehlersuche, Überwachung und Konfiguration des Systems

18. CloudGuard Controller

  • Leistungsverbesserungen für Verbindungen zu externen Rechenzentren.
  • Integration mit VMware NSX-T.
  • Unterstützung zusätzlicher API-Befehle zum Erstellen und Bearbeiten von Rechenzentrumsserverobjekten.

19. Multi-Domain-Server

  • Sichern und Wiederherstellen eines einzelnen Domainverwaltungservers auf einem Multi-Domain-Server.
  • Migrieren eines Domainverwaltungservers auf einem Multi-Domain-Server zu einem anderen Multi-Domain-Sicherheitsmanagement.
  • Migrieren eines Sicherheitsmanagementservers, um auf einem Multi-Domain-Server ein Domainverwaltungserver zu werden.
  • Migrieren eines Domainverwaltungservers zu einem Sicherheitsmanagementserver.
  • Eine Domain auf einem Multi-Domain-Server oder einen Sicherheitsmanagementserver auf eine frühere Revision zurücksetzen, um weitere Bearbeitungen vorzunehmen.

20. SmartTasks und API

  • Neue Authentifizierungsmethode für die Management-API, die einen automatisch generierten API-Schlüssel verwendet.
  • Neue Management-API-Befehle zum Erstellen von Clusterobjekten.
  • Zentrale Bereitstellung des Jumbo Hotfix-Ansammlers und Hotfixes von SmartConsole oder per API, um mehrere Sicherheits-Gateways und Cluster parallel zu installieren oder zu aktualisieren.
  • SmartTasks – Konfigurieren von automatischen Skripten oder HTTPS-Anfragen, die durch Administratoraufgaben wie das Veröffentlichen einer Sitzung oder das Installieren einer Richtlinie ausgelöst werden.

21. BereitstellungZentrale Bereitstellung des Jumbo Hotfix-Ansammlers und Hotfixes von SmartConsole oder per API, um mehrere Sicherheits-Gateways und Cluster parallel zu installieren oder zu aktualisieren.

22. SmartEventTeilen Sie SmartView-Ansichten und Berichte mit anderen Administratoren.

23. ProtokollexporterProtokolle exportieren, die nach Feldwerten gefiltert sind.

24. Endpunktsicherheit

  • Unterstützung für BitLocker-Verschlüsselung für die vollständige Festplattencodierung.
  • Unterstützung für Zertifikate von externen Zertifizierungsstellen für den Endpunktsicherheitsclient
  • Authentifizierung und Kommunikation mit dem Endpunktsicherheitsmanagementserver.
  • Unterstützung für die dynamische Größe von Endpunktsicherheitsclientpaketen basierend auf den ausgewählten
  • Funktionen für die Bereitstellung.
  • Die Richtlinie kann jetzt das Niveau der Benachrichtigungen für Endbenutzer steuern.
  • Unterstützung für persistente VDI-Umgebungen in der Endpunktrichtlinienverwaltung.

Was uns am meisten gefallen hat (basierend auf den Anforderungen der Kunden)

Wie Sie sehen, gibt es viele Neuerungen. Aber für uns als Systemintegratoren, gibt es einige sehr interessante Punkte (die auch für unsere Kunden von Interesse sind). Unsere Top 10:

  1. Endlich gibt es eine umfassende Unterstützung für IoT-Geräte. Es wird zunehmend schwierig, ein Unternehmen zu finden, das keine solchen Geräte hat.
  2. Die TLS-Inspektion wurde jetzt in eine separate Schicht (Layer) verschoben. Das ist viel praktischer als bisher (in 80.30). Es ist nicht mehr nötig, das alte Legacy-Dashboard zu starten. Außerdem können nun in der HTTPS-Inspektionspolitik aktualisierbare Objekte verwendet werden, wie Dienste von Office365, Google, Azure, AWS und mehr. Das ist sehr praktisch, wenn Ausnahmen eingerichtet werden müssen. Allerdings gibt es immer noch keine Unterstützung für TLS 1.3. Offenbar wird das im nächsten Hotfix nachgeholt.
  3. Signifikante Änderungen für Anti-Virus und SandBlast. Jetzt können Protokolle wie SCP, SFTP und SMBv3 überprüft werden (übrigens kann niemand sonst dieses Multikanalprotokoll prüfen).
  4. Es gibt viele Verbesserungen für Site-to-Site VPN. Jetzt können mehrere VPN-Domains auf einem Gateway eingerichtet werden, das zu mehreren VPN-Communities gehört. Das ist sehr praktisch und deutlich sicherer. Zudem hat Check Point endlich das Route Based VPN wieder aufgegriffen und die Stabilität sowie Kompatibilität etwas verbessert.
  5. Eine sehr gefragte Funktion für entfernte Benutzer ist verfügbar. Jetzt können nicht nur die Benutzer, sondern auch die Geräte, von denen sie sich verbinden, authentifiziert werden. Beispielsweise möchten wir VPN-Verbindungen nur von Unternehmensgeräten zulassen. Dies geschieht natürlich mithilfe von Zertifikaten. Zudem ist es jetzt möglich, automatisch (SMB v2/3) Dateifreigaben für entfernte Benutzer mit einem VPN-Client zu mounten.
  6. Es gibt viele Änderungen im Clusterbetrieb. Eine der interessantesten ist jedoch die Möglichkeit, dass Cluster funktionieren, bei denen die Gateways unterschiedliche Versionen von Gaia haben. Das ist praktisch, insbesondere bei geplanten Updates.
  7. Die Funktionalitäten von Zero Touch wurden verbessert. Nützlich für diejenigen, die häufig "kleine" Gateways installieren (z. B. für Geldautomaten).
  8. Für Logs wird jetzt ein Speicher von bis zu 48 TB unterstützt.
  9. Sie können Ihre SmartEvent-Dashboards mit anderen Administratoren teilen.
  10. Log Exporter ermöglicht jetzt eine Vorfilterung der gesendeten Nachrichten nach erforderlichen Feldern. Das heißt, nur die notwendigen Logs und Ereignisse gelangen zu Ihren SIEM-Systemen.

Aktualisierung

Viele denken vielleicht schon über ein Update nach. Es ist jedoch nicht nötig, sich zu beeilen. Zunächst sollte Version 80.40 die allgemeine Verfügbarkeit erreichen. Aber selbst danach sollten Sie nicht sofort aktualisieren. Warten Sie besser mindestens auf den ersten Hotfix.
Viele arbeiten möglicherweise immer noch mit älteren Versionen. Ich kann sagen, dass es mindestens an der Zeit ist (und sogar nötig), auf 80.30 zu aktualisieren. Dies ist bereits ein stabiles und bewährtes System!

Sie können sich auch unseren öffentlichen Kanälen anschließen (Telegram, Facebook, VK, TS Solution Blog), wo Sie neue Materialien zu Check Point und anderen Sicherheitsprodukten verfolgen können.

Nur registrierte Benutzer können an der Umfrage teilnehmen. Bitte melden Sie sich an.Sind Sie an Contour interessiert?

Welche Version von Gaia verwenden Sie?

  • R77.10
  • R77.30
  • R80.10
  • R80.20
  • R80.30
  • Andere

13 Benutzer haben abgestimmt. 6 Benutzer haben sich enthalten.

Quelle: habr.com

Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server 🔥 Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server | ProHoster