Большой обзор Check Point GAIA R82. Статья 2
Приветствуем вас на портале TS University!
Во второй части обзора мы с вами продолжим рассматривать нововведения операционной системы Check Point GAIA R82.
Во второй части обзора мы с вами продолжим рассматривать нововведения операционной системы Check Point GAIA R82.
Улучшенные возможности Threat Prevention
В новом релизе большой акцент был сделан на безопасности DNS.
Ему посвящен целый раздел в настройках Threat Prevention:
Ему посвящен целый раздел в настройках Threat Prevention:
В этом разделе мы можем активировать обнаружение следующих угроз:
- Доменных имен, сгенерированных с использованием Domain Generation Algorithm, которые в основном используются для C&C communication;
- DNS туннелирование. Это один из вариантов атаки, который кодирует данные других программ в DNS-запросах и ответах;
- Атаки NXNS. Функция определяет, соответствуют ли ответы DNS поведению, связанному с атакой NXNS;
- Обращения к недавно созданным доменам. Созданные домены классифицируются в зависимости от времени, прошедшего с момента первой регистрации у регистратора домена и запроса этого домена пользователем. Домены считаются новыми, если время, прошедшее с момента их первого создания до получения DNS-запроса к ним составляет 14 дней или меньше;
- DoH (DNS over HTTPS) — шифрование DNS-трафика. Для корректной работы необходимо активировать HTTPS-инспекцию.
Dynamic Policy Layer
В релизе был анонсирован уровень политик, управляемый API, который позволит вносить динамические изменения в политику безопасности непосредственно на самом шлюзе без участия сервера управления.
Identity Awareness. PDP-Only mode
Также анонсирована возможность активации режима «PDP-Only» на шлюзах Indentity Awareness.
В крупных архитектурах шлюзы Indentity Awareness могут использоваться только для сбора identity-данных и их шаринга.
Для этих задач вполне достаточно процесса PDP на шлюзе. Но по умолчанию на шлюзе также активируется и процесс PEP, который требует дополнительных ресурсов.
Режим «PDP-Only» помогает исправить такое поведение. Протестировать этот функционал вы можете уже на версии R81.20. Подробности можно узнать в sk181605
В крупных архитектурах шлюзы Indentity Awareness могут использоваться только для сбора identity-данных и их шаринга.
Для этих задач вполне достаточно процесса PDP на шлюзе. Но по умолчанию на шлюзе также активируется и процесс PEP, который требует дополнительных ресурсов.
Режим «PDP-Only» помогает исправить такое поведение. Протестировать этот функционал вы можете уже на версии R81.20. Подробности можно узнать в sk181605
Remote Access VPN, Mobile Access
В новой версии шлюз поддерживает IKEv2 для подключения RA VPN клиентов – с версии E87.70 и выше для Windows, с версии E87.80 и выше для macOS.
Настройки Mobile Access из старого дашборда переехали в SmartConsole:
Настройки Mobile Access из старого дашборда переехали в SmartConsole:
Появляется возможность управлять Capsule Workspace из отдельного раздела:
Хотя для Capsule Workspace объявлен End Of Sale, но в настройках профиля для данного продукта можно заметить новые интересные пункты: DLP, Harmony Mobile и т. д.
Tools and Utilities
Добавлен новый инструмент для траблшутинга прохождения трафика — Connview. Он позволяет отобразить подробную информацию о connections. К примеру, на скриншотах отображена информация о подключении к Rutube:
Апгрейднут инструмент fw up_execute. Он позволяет в явном виде отобразить прохождение трафика по вашей Access Control и NAT политике. Инструмент будет полезен при траблшутинге неявных проблем с дропом трафика приложений.
На данном скриншоте, к примеру, мы можем увидеть подробную информацию, почему доступ ко Вконтакте был заблокирован:
На данном скриншоте, к примеру, мы можем увидеть подробную информацию, почему доступ ко Вконтакте был заблокирован:
А на этом скриншоте представлена подробная информация по выполненным операциям NAT при доступе к публичному ресурсу:
Quantum Security Management
Появилась возможность указать в объекте LDAP Account Unit имя LDAP-сервера и CA-сертификат при настройке интеграции с Active Directory.
- Данная настройка помогает избежать ситуации, когда при активном LDAPS без вашего ведома на контроллере домена был заменен сертификат, из-за чего ломалась интеграция с Active Directory.
- В новой версии функционал Central Deployment расширен. Теперь прямо из SmartConsole можно не только установить, но и удалить Jumbo Hotfix Accumulators. Также расширен пул продуктов, которые можно обновить с помощью Central Deployment;
- Анонсирована поддержка Quantum Maestro и Quantum Spark Appliances для блейда Compliance.
On-Prem Endpoint Policy Management
Client optimization for Windows servers. Появляется возможность оптимизировать работу агентов Harmony Endpoint для серверов Windows с ролью Exchange, Active Directory и т. д., путем ручного назначения ролей в правилах:
Run Diagnostics. Появилась возможность использовать новую push-операцию.
Она позволяет получить отчет о производительности клиента, включая информацию по предлагаемым исключениям, которые могут повысить производительность:
Она позволяет получить отчет о производительности клиента, включая информацию по предлагаемым исключениям, которые могут повысить производительность:
Заключение
Подытожим: версия R82 на данный момент находится в early availability, и что по итогу будет в конечном релизе, нам пока неизвестно.
Но уже на этой стадии мы видим огромное количество положительных изменений и нововведений для большого количества продуктов CheckPoint.
Среди главных улучшений, перечисленных в данной статье особенно стоит отметить расширенные возможности в области предотвращения угроз (Threat Prevention), включая защиту DNS.
Для специалистов, работающих с продуктом, особенно полезными будут новые инструменты для диагностики трафика и дальнейшего траблшутинга.
До встречи на TS Universiry!
Авторы статьи: Сергей Дудин и Феодор Жемчужников, Системные инженеры в TS Solution
Но уже на этой стадии мы видим огромное количество положительных изменений и нововведений для большого количества продуктов CheckPoint.
Среди главных улучшений, перечисленных в данной статье особенно стоит отметить расширенные возможности в области предотвращения угроз (Threat Prevention), включая защиту DNS.
Для специалистов, работающих с продуктом, особенно полезными будут новые инструменты для диагностики трафика и дальнейшего траблшутинга.
До встречи на TS Universiry!
Авторы статьи: Сергей Дудин и Феодор Жемчужников, Системные инженеры в TS Solution