Ignorer la navigation
All Places > CheckMates en Français > Blog
1 2 Précédent Suivant

CheckMates en Français

16 billet(s)
Benoit Verove

Nouveau sizing tool

Publié par Benoit Verove Dec 5, 2018

Vous l'avez peut être vu, mais l'appliance sizing tool a été complètement refondu.

Le nouvel outil est... comme dire... très (trop ?) basique.

 

 

On a l'impression de simplement comparer des datasheets et ont disparus :

- La charge estimée (en l'absense de CPSizeme)

- Les capacités d'évolution

- Le choix granulaire des blades

 

Finalement, cela simplifie peut être le choix dans bien des cas...

 

Votre avis ?

Dans tout projet de changement de firewall, la migration de la base de règles est rarement une partie de plaisir...

Smartmove est un petit outil Check Point visant à faciliter la conversion d’une base de règles d’un firewall tiers en base de règles Check Point.

Comment ça marche ? C’est assez simple, utile, mais pas magique.

 

Actuellement, smartmove supporte :

  • Cisco ASA en v8.3 et plus
  • Juniper SRX (v12.1 et plus) et SSG (v6.3 ou plus)
  • Fortinet (v5 et plus)

Téléchargement ici

 

Ci-dessous un petit test avec une configuration ASA.

On exécute smartmove et on choisit le fichier de configuration ASA :

 

 

 

Ici, sur une cinquantaine de règles, on obtient en quelques secondes le résultat :

 

 

Et ça vaut quoi ? C’est plutôt pas mal.

Tout d’abord, jetons un œil aux « conversion issues »

On retrouve essentiellement des objets qui ont été définis dans l’ASA et qui correspondent à des objets prédéfini Check Point. Smartmove les a renommés.

 

 

 

Concernant la policy convertie, on va retrouver plusieurs inline layers qui correspondent à la philosophie ASA de règles par interfaces :

 

 

Pour créer règles et objets via l’API, le script adéquat :

 

 

Vous trouverez tous les détails dans la sk115416

 

Bonnes migrations !

Rapport Threat Intelligence - 1er octobre 2018

 

PRINCIPALES FAILLES ET ATTAQUES

  • Le détaillant de mode SHEIN a été victime d’une fuite de données majeure touchant environ 6,5 millions d'utilisateurs. Les pirates ont réussi à accéder aux informations personnelles de ses clients, notamment les adresses électroniques et les mots de passe chiffrés des clients ayant consulté la boutique en ligne.
  • Des chercheurs ont découvert une campagne d’extraction de cryptomonnaie monero exploitant les modules complémentaires de Kodi Media Player. Les logiciels malveillants diffusés en plusieurs étapes dans le cadre de cette campagne peuvent compromettre les plates-formes Windows et Linux, possèdent des fonctionnalités de contournement des protections, et ont déjà ciblé plus de 5 000 victimes.

Les blades Check Point Anti-Virus et Anti-Bot offrent une protection contre cette menace (Trojan.Win32.KodiMIner; Trojan.Linux.KodiMiner).

  • Facebook a été piraté et les données de 50 millions d'utilisateurs ont été exposées. Les pirates ont exploité une vulnérabilité zero-day dans la fonctionnalité « Afficher en tant que » pour dérober les jetons d'accès des utilisateurs et prendre le contrôle de leurs comptes.
  • Le Port de San Diego a subi une attaque de logiciel rançonneur, quelques jours après que le Port de Barcelone ait également été frappé par une cyberattaque. L'attaque a affecté le traitement des permis de stationnement et des demandes de consultation des dossiers, ainsi que d'autres opérations.
  • Des chercheurs ont identifié un nouveau logiciel malveillant sophistiqué appelé « LoJax », utilisé dans le cadre du premier rootkit UEFI (interface micrologicielle extensible unifiée). Le rootkit UEFI LoJax est utilisé par le tristement célèbre groupe de pirates russes Fancy Bear mêlé aux attaques ciblées contre des gouvernements des Balkans et d'Europe centrale et orientale. Il permet aux pirates de subsister sur les appareils ciblés et survit à une réinitialisation complète du disque dur.

Les blades Check Point Anti-Virus et Anti-Bot offrent une protection contre cette menace (Trojan.Win32.LoJax).

 

 VULNÉRABILITÉS ET CORRECTIFS

  • L’équipe Bitcoin Core a publié un correctif de sécurité adressant une vulnérabilité critique aux attaques DDoS dans le logiciel du portefeuille Bitcoin Core. Cette vulnérabilité permettrait à des pirates d’entraîner le plantage de nœuds Bitcoin Core et, dans le pire des cas, de stopper totalement le fonctionnement du système de blockchain en coordonnant une attaque via des extracteurs de bitcoin.
  • Une nouvelle vulnérabilité de débordement d'entier appelée « Mutagen Astronomy » a été découverte dans le noyau Linux, affectant les distributions Red Hat, CentOS et Debian. Cette vulnérabilité permettrait à un pirate non autorisé d’obtenir un accès superutilisateur sur le système ciblé.
  • Cisco a publié un correctif de sécurité adressant 25 vulnérabilités, dont 14 sont considérées comme étant critiques. La plupart sont des vulnérabilités à des dénis de service affectant les composants de ses produits IOS et IOS XE.

 

RAPPORTS ET MENACES

  • Des chercheurs de Check Point ont identifié un nouveau générateur en ligne surnommé « Gazorp», conçu pour générer des binaires de l’outil de vol de données Azorult , qui collecte des mots de passe, des informations de carte bancaire, des données liées aux cryptomonnaies, etc. Gazorp est hébergé sur le Dark Web et est proposé gratuitement. Il permet à quiconque de créer de nouveaux échantillons d’Azorult.

Les blades Check Point Anti-Virus et Anti-Bot offrent une protection contre cette menace (Trojan.Win32.Azorult).

  • Des chercheurs ont découvert que la nouvelle version du botnet « Hide N Sick» (HNS) vise des appareils Android. Le botnet HNS exploite la fonctionnalité Android Debug Bridge, permettant aux pirates d'exécuter à distance n'importe quelle commande avec des privilèges administrateur.
  • Des chercheurs ont découvert un botnet très sophistiqué pour objets connectés surnommé « Torii », ciblant un large éventail d'architectures, notamment ARM, MIPS, x86, x64, PowerPC et SuperH. Torii infecte les appareils dont la fonctionnalité Telnet est exposée en raison de mots de passe peu robustes, et dérobe les données des appareils compromis.
  • De nouvelles fonctionnalités dangereuses ont été découvertes dans VPNFilter, un botnet pour objets connectés très sophistiqué à plusieurs étapes, attribué au groupe russe Fancy Bear. Ces nouvelles fonctionnalités incluent la cartographie des réseaux, l’infection d’autres postes connectés aux appareils infectés, l'le masquage et le chiffrement du trafic malveillant, la création d'un réseau de proxies pouvant servir à masquer la source du trafic malveillant, etc.

Les blades Check Point IPS, Anti-Virus et Anti-Bot offrent une protection contre cette menace (IOT.Linux.VPNFilter, contournement de l'authentification sur routeur Netgear WNDR4700 (CVE 2013 3071), certificat malveillant auto-signé sur le client VPNFilter, exécution de commande non authentifiée sur Netgear DGN, exécution de code à distance sur NETGEAR DGN2200 (CVE-2017-5521), Trojan.UNIX.VPNFilter.*).

Les blades Check Point SandBlast, Anti-Virus et Anti-Bot offrent une protection contre cette menace (Trojan-Ransom.Win32.GandCrab).

Rapport Threat Intelligence - 24 septembre 2018

 

PRINCIPALES FAILLES ET ATTAQUES

  • Le Département d'État des États-Unis a été victime d'une fuite de données. La fuite était limitée à un système de messagerie électronique non classifié et a exposé les données personnelles des employés.
  • Un groupe de pirates inconnu à ce jour a compromis Click2Gov, une solution web payante développée par Superion, lors d’une campagne de collecte de données de paiement qui aurait débuté en octobre 2017. La manière dont les pirates ont compromis le serveur Click2Gov reste inconnue, mais les chercheurs estiment qu'une exploitation de vulnérabilité Oracle Web Logic pourrait avoir été utilisée.
  • Des chercheurs ont révélé que l’accès à environ 3 000 sites web piratés a été mis en vente sur un marché russophone du dark web.
  • Le groupe de pirates « Magecart » a compromis les services de sueno.co[.]uk, un détaillant en ligne basé au Royaume-Uni d’appareils électroménagers et de literie de luxe. Lors d’une autre attaque récente, le même groupe a compromis Newegg, un détaillant d'électronique grand public. Le groupe a créé un faux site web Newegg et a redirigé le processus de paiement du site d'origine vers son faux site en y injectant du code malveillant.
  • Le port de Barcelone a subi une cyberattaque qui a affecté certains de ses serveurs et systèmes, obligeant l’entreprise à lancer le plan d’urgence conçu spécifiquement pour ce type d’incident. L'incident n'a pas semblé affecter les activités du port en ce qui concerne le trafic maritime.
  • Des chercheurs ont averti que le logiciel espion Pegasus, qui infecte les appareils mobiles Android et iPhone, est actuellement utilisé par 36 opérateurs pour mener des campagnes de surveillance dans 45 pays. Le logiciel espion, créé et vendu par la société israélienne NSO Group, a été utilisé de par le passé par des gouvernements et des forces de police. Il ciblés également des organismes de défense des droits de l’homme.
  • La place de change de cryptomonnaie japonaise Zaif a annoncé avoir perdu 60 millions de dollars de fonds d’entreprises et d’utilisateurs lors d’un incident de sécurité survenu le 14 septembre.

 

VULNÉRABILITÉS ET CORRECTIFS

  • Adobe a publié des correctifs pour les versions Windows et macOS d'Acrobat et de Reader, dont l'une corrige une faille critique pouvant permettre l'exécution de code arbitraire.
  • Des chercheurs ont exposé une vulnérabilité critique dans les logiciels de NUUO, un fournisseur mondial d'équipements de vidéosurveillance, qui met en péril la sécurité des flux vidéo de plus de 100 marques de caméras et plus de 2 500 modèles de caméras.
  • Cisco a corrigé une vulnérabilité dans son logiciel de vidéosurveillance qui permettrait à un agresseur distant non authentifié d'exécuter des commandes arbitraires sur des systèmes ciblés.
  • Des chercheurs ont divulgué une vulnérabilité zero-day affectant toutes les versions de Windows, Microsoft n’ayant pas été en mesure de la corriger au bout d’un délai de 120 jours. La vulnérabilité se trouve dans le moteur de base de données Microsoft JET et permettrait à un agresseur d'exécuter du code sur les systèmes vulnérables, mais elle oblige la victime à ouvrir un fichier spécialement conçu ou consulter une page web illicite.

La blade Check Point IPS offre une protection contre cette menace (Exécution de code à distance dans le moteur de base de données Microsoft Jet).

  • Des chercheurs ont découvert une vulnérabilité critique d'escalade de privilèges dans certains ordinateurs de poche Android d’Honeywell, qui pourrait être exploitée par un agresseur pour obtenir des privilèges élevés. Les modèles concernés sont CT60, CN80, CT40, CK75, CN75, CT50, D75e, CN51 et EDA.

 

RAPPORTS ET MENACES

  • Une nouvelle forme de logiciel malveillant surnommé « Xbash » détecte s'il a infecté un serveur Linux ou Windows, et se comporte différemment sur chacun. Sur un serveur Linux, il chiffre les fichiers via une attaque de logiciel rançonneur, sans fournir de moyen de les déchiffrer même si la rançon est payée. Sous Windows, il exécute du code d’extraction de crypto-monnaie. Le logiciel malveillant se comporte également comme un ver. Il tente de se déplacer latéralement dans un réseau en recherchant les ports vulnérables et en menant une attaque de brute force pour découvrir des mots de passe vulnérables.
  • Europol a publié son rapport « Évaluation de la criminalité organisée sur Internet en 2018 », dans lequel il est indiqué que le nombre d’attaques de cryptojacking est en hausse, que les logiciels rançonneurs conservent la primauté, et « qu’en plus des attaques de criminels motivés par le gain », le nombre de cyberattaques « commanditées par des États » pourrait augmenter. Le rapport ajoute qu'il est devenu « de plus en plus difficile » de déterminer si une attaque provient d’un groupe « sophistiqué » de cybercriminalité organisée, d’un pirate sponsorisé par un État, ou d’un cybercriminel amateur.
  • Des chercheurs ont averti que les cybercriminels automatisent désormais le processus d'attaque par « credential stuffing » (utilisation de listes de noms d'utilisateurs et de mots de passe compilées à partir de fuites de données), à l’aide de botnets pour tenter de se connecter à plusieurs services en ligne. L'augmentation du nombre de ces attaques, en particulier contre le secteur financier, pourrait avoir un effet similaire à celui d'une attaque DDoS.

Rapport Threat Intelligence - 17 septembre 2018

 

PRINCIPALES FAILLES ET ATTAQUES

  • De récentes attaques ont ciblé le secteur des médias japonais. Menées par le groupe de pirates chinois « Stone Panda », appelé également APT 10, ces attaques utilisaient des emails spécifiquement adaptés aux cibles avec des lignes d’objet associées à des thèmes maritimes, diplomatiques et nord-coréens. Le corps des messages comprenait un mot de passe pour un document « protégé par mot de passe », invitant les victimes à ouvrir le document contenant la porte dérobée « UPPERCUT » du groupe.
  • Une nouvelle campagne du groupe OilRig a pris pour cible une entité gouvernementale du Moyen-Orient, dont le nom n’a pas été révélé. La campagne incluait des emails spécifiquement adaptés à la cible, avec un document Microsoft Word en pièce jointe contenant une macro chargée d'installer une nouvelle variante du logiciel malveillant « BONDUPDATER » du groupe.
  • Des chercheurs ont conclu que la fuite de données qui a touché British Airways était probablement l'œuvre de « MageCart », le groupe de pirates à l’origine de la fuite qui a touché TicketMaster en début d'année, car elle correspond au mode opératoire du groupe. Des chercheurs ont signalé que les pirates ont détourné un véritable fichier sur le site web de l’entreprise, en y ajoutant du code informatique malveillant chargé d’extraire toutes les données saisies dans le formulaire de paiement et les envoyer à un serveur distant situé en Roumanie.
  • Lors d’une autre campagne menée par « MageCart », le groupe a détourné le code informatique distribué aux clients de la société d’analyse web « Feedify », qui déclare servir plus de 4 000 clients. Les pirates ont injecté leur code malveillant dans une bibliothèque diffusée par le script Feedify sur les sites web des clients, compromettant ainsi des centaines de sites de commerce électronique.
  • L’aéroport de Bristol a apparemment été frappé par un logiciel rançonneur, causant des problèmes sur les écrans affichant les vols pendant deux jours et obligeant le personnel à recourir à des « processus manuels », à savoir des tableaux blancs et des marqueurs.
  • L'application de jeu d’argent EOSBet a été piraté, permettant ainsi aux agresseurs de dérober des jetons d'une valeur de 200 000 dollars. Selon l’entreprise, les pirates ont exploité un bug dans l'un de ses jeux, utilisant un faux hachage pour détourner les fonds transférés par EOSBet.

VULNÉRABILITÉS ET CORRECTIFS

  • Des chercheurs ont découvert une vulnérabilité zero-day dans les navigateurs Tor. La faille réside dans le plug-in de navigateur NoScript pré-installé dans Mozilla Firefox intégré au logiciel Tor, qui permet à un site web d'exécuter du code JavaScript malveillant sur les navigateurs des victimes afin d'identifier leur véritable adresse IP.
  • Microsoft a publié 17 correctifs critiques dans un lot de 61 nouveaux correctifs, traitant des problèmes dans Microsoft Windows, Edge, Internet Explorer, MS Office, ChakraCore, .NET Framework et autres.

La blade Check Point IPS offre une protection contre ces menaces (Exécution de code à distance dans Microsoft Windows (CVE-2018-8475), élévation de privilèges ALPC dans Microsoft Windows (CVE-2018-8440), corruption mémoire dans le lecteur Adobe Flash (APSB14-26: CVE-2014-8439)).

  • Adobe a publié 10 nouveaux correctifs pour Flash Player et ColdFusion, dont six sont considérés comme étant critiques.
  • Des chercheurs ont révélé que les navigateurs Safari sont toujours exposés à une vulnérabilité grave qui permettrait à des pirates d'usurper les adresses de sites web. Microsoft a corrigé le problème dans son navigateur Edge qui était également vulnérable.

RAPPORTS ET MENACES

  • Des chercheurs de Check Point ont révélé un nouveau logiciel malveillant sous forme de services (MaaS), « Black Rose Lucy », qui cible actuellement les téléphones Android en Russie. Le produit, apparemment développé par une équipe russophone, comprend un tableau de bord de contrôle à distance pour superviser le botnet composé des appareils des victimes et le code malveillant qui collecte les données des victimes. Il peut également installer des logiciels malveillants supplémentaires sur les appareils infectés.

Les clients de Check Point SandBlast Mobile sont protégés contre cette menace.

  • Une nouvelle variante du logiciel rançonneur Kraken a été découverte. Cette version se fait passer pour le programme antimalwares légitime SuperAntiSpyware afin d’amener les utilisateurs à l’installer. Les pirates ont eu accès au site web officiel du produit et y ont implanté le logiciel malveillant pour qu’il soit téléchargé.

Les blades Check Point Anti-Virus et Anti-Bot offrent une protection contre cette menace (Trojan-Ransom.MSIL.Kraken.A).

  • Un nouveau logiciel rançonneur a été découvert. Il se fait passer pour Locky et est programmé en Python, s’appelant à juste titre « Pylocky ». Le logiciel malveillant est diffusé via des emails de spam ciblant les pays européens, principalement la France.
  • Des chercheurs ont découvert un moyen pour un pirate de manipuler manuellement le micrologiciel d’un ordinateur portable dérobé afin d’acquérir les clés de chiffrement des disques durs chiffrés et d’autres informations personnelles, qu’on supposait jusqu’à présent ne pas être vulnérables à des attaques par redémarrage. Les chercheurs ont déclaré que tous les ordinateurs portables modernes sont vulnérables à cette méthode d’attaque.
  • Des chercheurs ont annoncé la réapparition de logiciels rançonneurs ciblés, par lesquels un pirate infecte une victime déjà compromise, plutôt que de recourir à des campagnes de spam à grande échelle.

Rapport Threat Intelligence - 10 septembre 2018

PRINCIPALES FAILLES ET ATTAQUES

  • Des chercheurs de Check Point ont découvert « Domestic Kitten», une campagne de surveillance ciblée en continu menée par des entités du gouvernement iranien. Grâce à l'utilisation d'applications mobiles, la campagne fournit de faux contenus pour inciter les victimes à télécharger des applications, qui contiennent en fait des logiciels espions collectant une grande quantité de détails confidentiels.

Les clients de Check Point SandBlast Mobile sont protégés contre cette menace.

  • Des chercheurs ont révélé une nouvelle campagne attribuée au groupe de pirates OilRig lié à l’Iran, visant une entité du gouvernement du Moyen-Orient. La campagne utilise une nouvelle variante du cheval de Troie OopsIE qui implémente de nouvelles fonctionnalités de contournement des protections, grâce notamment à la détection des antivirus et des machines virtuelles.

Les blades Check Point Anti-Virus et Anti-Bot offrent une protection contre cette menace (Trojan.Win32.OilRIG).

  • British Airways a été victime d'une importante fuite de données exposant les données personnelles de 380 000 clients. Les données dérobées comprennent les noms et adresses des clients, ainsi que des informations financières et des données de cartes bancaires utilisées pour réserver des vols.
  • Schneider Electric, l’entreprise d’énergie et d’automation, a révélé que les clés USB livrées avec les produits « Conext ComBox » et « Conext Battery Monitor » étaient infectées par des logiciels malveillants. Les clés USB ont probablement été exposées à un logiciel malveillant lors de leur fabrication dans les installations d'un fournisseur tiers.
  • L'extension chrome MEGA a été piratée et remplacée par une version malveillante dans la boutique en ligne. La version compromise dérobait des identifiants de connexion et des clés de cryptomonnaies. Lors de sa découverte, Google l'a retiré de sa boutique en ligne Chrome.
  • Un nouveau groupe de pirates surnommé « PowerPool» a mené une campagne malveillante ciblant plusieurs pays, dont l'Allemagne, le Chili, l'Inde et la Russie. Les logiciels malveillants diffusés lors de l'attaque exploitent une vulnérabilité zero-day révélée en août 2018.

Les blades Check Point SandBlast et Anti-Bot offrent une protection contre cette menace (Trojan.Win32.PowerPool).

VULNÉRABILITÉS ET CORRECTIFS

  • Plusieurs vulnérabilités ont été découvertes dans Opsview Monitor, un logiciel de surveillance informatique pour réseaux et applications. Les failles permettraient à un agresseur d’élever ses privilèges et d’exécuter du code à distance.
  • Un bug d'élévation de privilèges a été découvert dans les clients VPN populaires « NordVPN » et « ProtonVPN » utilisés pour configurer un tunnel sécurisé. Le bug permettrait à un agresseur de transmettre du code arbitraire au service et de l’exécuter avec les droits système sous Windows.

La blade Check Point IPS offre une protection contre cette menace (Exécution de code à distance Cisco Smart Install).

  • Cisco a publié un correctif de sécurité traitant 32 vulnérabilités, dont 3 sont considérées comme étant critiques, notamment la vulnérabilité d'exécution de code à distance dans Apache Struts déjà exploitée par le passé.

La blade Check Point IPS offre une protection contre cette menace (Exécution de code à distance dans Apache Struts, utilisation après libération dans Adobe Acrobat et Reader).

RAPPORTS ET MENACES

  • Des chercheurs ont noté l’utilisation du nouveau kit d’exploitation « Fallout » dans une campagne de publicités malveillantes distribuant le logiciel rançonneur GandCrab au Moyen-Orient. Fallout prend une empreinte du profil du navigateur de l'utilisateur et fournit des contenus malveillants lorsque le profil de l'utilisateur correspond à une cible intéressante.

Les blades Check Point SandBlast et IPS offrent une protection contre cette menace (Page d'atterrissage du kit d'exploitation de vulnérabilités Fallout).

  • Des chercheurs ont réussi à déchiffrer une clé RSA de 512 bits et ont révélé un nouveau logiciel malveillant exploitant une vulnérabilité zero-day dans Adobe Flash. Surnommé « Chainshot », le logiciel malveillant a été utilisé lors de multiples attaques ciblées pour activer le téléchargement du logiciel malveillant final dans le cadre d’une chaîne malveillante.

Avec Blink, nous vous proposons désormais de rendre le processus de configuration d'une appliance pour un Security Checkup encore plus rapide et facile ! Cette image Blink permet de déployer rapidement et facilement une passerelle en mode standalone (gateway + management). À la fin du déploiement, l'utilisateur a une passerelle opérationnelle, avec les hotfixs nécessaires, les blades activées, un environnement préconfiguré pour faire un Security Checkup et toutes les bases de signatures à jour.

 

Vous pouvez retrouver toutes ces infos et le mode opératoire sur la sk134733.

 

Bons Security Checkups !

SmartMove est un outil Check Point permettant de convertir la politique de sécurité d'une gateway d'un autre constructeur et la migrer vers une gateway Check Point.

Cet outil est disponible sur notre site support :

sk115416 - How to migrate a competitor's database to Check Point with SmartMove 

 

Pour ceux qui connaissaient déjà, sachez que maintenant l'outil prend en charge Fortinet, en plus de Cisco et Juniper.

Tous les détails dans le lien ci-dessus.

 

Bonne migration !

 

Dans ce guide, nous expliquons comment sélectionner le matériel approprié pour une expérience optimale.

 

Nous fournissons des conseils sur l'optimisation de votre environnement. 

 

Enfin, nous vous aidons à résoudre les souci de performances en cas de problème.

 

R80.10 Security Management - Performance Tuning Guide - Check Point Software Technologies 

 

Le saviez-vous ?

 

En tant qu'utilisateur CheckMates, vous avez la possibilité de vous former en ligne gratuitement et de passer des certifications sur les technologies suivantes :

  • CloudGuard IaaS (Public Cloud)
  • SandBlast (Sales & Technical)
  • SandBlast Mobile (Sales & Technical)

 

+ d'infos ici : Emerging Technologies Training and Certification Materials 

 

Profitez-en !

Si comme moi vous avez du mal à retenir toutes les commandes possibles et imaginables de FW Monitor, ce site va vous aider à générer les commandes : tcpdump101.com 

 

tcpdump101

Si vous activez la blade ThreatEmulation sur vos gateways en choisissant une émulation dans le Cloud Check Point, il est important de vérifier la bonne communication entre vos gateways et les infrastructures d'émulation.

 

Pour faire émuler les fichiers la gateway contacte "te.checkpoint.com". Il s'agit d'un alias qui renvoie vers les adresses des trois localisations d'émulation (Israel, US, Allemagne)

Exemple de résolution depuis Paris :

> te.checkpoint.com
Serveur :   UnKnown
Address:  192.168.3.7

Réponse ne faisant pas autorité :
Nom :    te.g03.checkpoint.com
Address:  217.68.8.76
Aliases:  te.checkpoint.com

 

 

Gaia embarque la commande "ab" qui permet de générer des connexions et restitue de précieuses statistiques. Appliqué à notre adresse te.checkpoint.com, voici ce que cela donne :

 

 

[Expert@GW1:0]# ab -k -n 1000 -c 1 https://te.checkpoint.com/tecloud/Ping
This is ApacheBench, Version 2.3 <$Revision$>
Copyright 1996 Adam Twiss, Zeus Technology Ltd, http://www.zeustech.net/
Licensed to The Apache Software Foundation, http://www.apache.org/

Benchmarking te.checkpoint.com (be patient)
Completed 100 requests
Completed 200 requests
Completed 300 requests
Completed 400 requests
Completed 500 requests
Completed 600 requests
Completed 700 requests
Completed 800 requests
Completed 900 requests
Completed 1000 requests
Finished 1000 requests


Server Software:        CPWS
Server Hostname:        te.checkpoint.com
Server Port:            443
SSL/TLS Protocol:       TLSv1.2,AES256-SHA256,2048,256
TLS Server Name:        te.checkpoint.com

Document Path:          /tecloud/Ping
Document Length:        4 bytes

Concurrency Level:      1
Time taken for tests:   122.339 seconds
Complete requests:      1000
Failed requests:        0
Keep-Alive requests:    991
Total transferred:      311543 bytes
HTML transferred:       4000 bytes
Requests per second:    8.17 [#/sec] (mean)
Time per request:       122.339 [ms] (mean)
Time per request:       122.339 [ms] (mean, across all concurrent requests)
Transfer rate:          2.49 [Kbytes/sec] received

Connection Times (ms)
              min  mean[+/-sd] median   max
Connect:        0    2  18.3      0     217
Processing:    75  121  25.3    119     503
Waiting:       56   89  21.5     87     468
Total:         75  122  31.5    119     503

Percentage of the requests served within a certain time (ms)
  50%    119
  66%    127
  75%    132
  80%    136
  90%    147
  95%    158
  98%    184
  99%    266
 100%    503 (longest request)

 

Bon tests !

Benoit Verove

R80.20 & Office 365

Publié par Benoit Verove Aug 3, 2018

Dans la foulée de nos premiers tests sur R80.20, voici une nouvelle fonctionnalité plutôt sympathique.
Dans une règle on peut désormais définir comme source ou destination des " services". Cela permet donc d'autoriser tout particulièrement les flux vers O365 sans avoir à se soucier de multiples IP changeantes.

 

Comme chez MAJJ, nous sommes très impatients, nous voulions tester cette version.

Deux bons vieux 4600 pour un cluster, une VM de management et c’est parti pour un petit lab R80.20 EA !

 

Coté installation, rien de particulier, on déroule comme en R80.10

 

 

Alors quoi de neuf ? Surtout pleins de petites choses qui peuvent changer la vie. Ci-dessous quelques fonctionnalités qui ont attiré notre attention.

 

 

Déchiffrement SSL : possibilité de déchiffrer le trafic et de le mirrorer vers un port pour analyse par un équipement tiers.

 

 

 

MTA : Si vous avez activé le MTA en R77.x et R80.10, vous avez surement constaté l’aspect un peu rudimentaire de sa gestion…

Nous avons désormais des views propres au monitoring du MTA. Plus besoin de commandes postfix pour connaitre le nombre de mails en queue

 

 

 

Clustering :

 

Une commande « cphaprob stat » avec un peu de détail sur les derniers événements

 

 

Mais surtout, un nouveau mode CCP : le mode unicast. Les paquets que s’échangent les membres du cluster sont à destination d’une IP réelle. Fini certaines galères liées au multicast ou le broadcast qui envahit le VLAN ! La preuve par tcpdump :

 

[Expert@GW1:0]# cphaconf set_ccp unicast

[Expert@GW1:0]# tcpdump port 8116

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode

listening on eth1, link-type EN10MB (Ethernet), capture size 96 bytes

14:46:17.892259 IP 0.0.0.0.cp-cluster > 192.168.20.212.cp-cluster: UDP, length 96

14:46:17.892968 IP 0.0.0.0.cp-cluster > 192.168.20.212.cp-cluster: UDP, length 1300

14:46:17.893288 IP 0.0.0.0.cp-cluster > 192.168.20.211.cp-cluster: UDP, length 40

 

[Expert@GW1:0]# cphaconf set_ccp multicast

[Expert@GW1:0]# tcpdump port 8116

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode

listening on eth1, link-type EN10MB (Ethernet), capture size 96 bytes

14:50:05.589049 IP 0.0.0.0.cp-cluster > 192.168.20.0.cp-cluster: UDP, length 50

14:50:05.592288 IP 0.0.0.0.cp-cluster > 192.168.20.0.cp-cluster: UDP, length 40

14:50:05.589804 IP 0.0.0.0.cp-cluster > 192.168.20.0.cp-cluster: UDP, length 1300

14:50:05.591364 IP 0.0.0.0.cp-cluster > 192.168.20.0.cp-cluster: UDP, length 1220

 

 

Pour finir cette première overview, une prise en compte de nombreux environnements cloud et SDN :

 

Vivement la GA !

Bonjour,

un grand nombre de formations portant sur la sécurité de manière générale, sur les techniques de hacking ou sur les produits Check Point, sont disponibles en ligne:  

Training & Certification | Check Point Software