Category Archives: Uncategorised

Checkpoint jednak (jeszcze) nie migruje do SHA-256

work-in-progress-CC BY-SA 2.0-kevandotorg-on-flickr
CC BY-SA 2.0 https://www.flickr.com/photos/kevandotorg/

Można się było tego spodziewać. O planach Checkpointa dotyczących migracji z SHA-1 do SHA-256 pisałem tutaj. Mój klient otrzymał poprawki na czas na 99% urządzeń, pozostały 1% przejawiał problemy natury filozoficznej (nie poddam się aktualizacji i co mi zrobisz) bądź technicznej (w dniu aktualizacji dysk zdechł). Najwidoczniej jednak znaleźli się użytkownicy, którzy pokpili sprawę. w związku z czym Checkpoint migrację certyfikatów musiał odłożyć w czasie. Póki co do lutego 2016. Żródło: aktualna treść SK103839

“To proactively enhance the security of our online update services, Check Point is planning to gradually migrate its SHA-1 based certificates to SHA-256 based certificates during February 2016.”

sk103839 czyli Checkpoint migruje do SHA-256. Tysiące hotfixów czekają.

SHA-1 jest passe, piszą uczeni. Mniejsze i większe serwisy migrują z SHA-1 do SHA-2. Aktualizacja certyfikatów zainstalowanych na serwerach to relatywnie proste zadanie. Problem pojawia się wtedy, kiedy oprogramowanie klienckie również wymaga aktualizacji. Na przykład kilka tysięcy firewalli, które do pobrania i/lub weryfikacji aktualizacji oprogramowania, baz danych sygnatur antywirusowych, IPS, kategorii URL i innych muszą mieć możliwość weryfikacji danych zawartych w certyfikacie.

Problem nie jest wyimaginowany, Checkpoint opublikował artykuł sk103839: Check Point update and online services migration to SHA-256 based certificates, w którym przyznaje, że nawet najnowsza dostępna wersja oprogramowania  (R77.20) wymaga instalacji poprawki.

CC BY-NC-ND 2.0 yuankuei (Flickr)
CC BY-NC-ND 2.0 yuankuei (Flickr)

Na pierwszy ogień idzie klient, który zaplanował upgrade oprogramowania do R77.20 wraz z aktualizacją Jumbo Hotfix Accumulator. Jumbo hotfix dla R77.20 od wersji Take 77 zawiera również poprawki dotyczące obsługi algorytmów z rodziny SHA-2.

Kilka tysięcy  aktualizacji – do zrobienia teraz, a rezultaty zobaczymy dopiero w październiku, po faktycznej migracji certyfikatów na serwerach Checkpointa.

Nowy serwer – nowe rozdanie?

Serwer - zbliżenie
CC BY 2.0 www.cwcs.co.uk

Szukanie najbardziej aktualnej kopii zapasowej i instalowanie narzędzi do przywrócenia stanu poprzedniego zajęło mi znacznie więcej czasu niż sama czynność odzyskania danych. Kilka ostatnich wpisów, które były dość pracochłonne, straciłem, a odtwarzanie ich z notatek / głowy mnie nie interesuje.

Lekcja: zwiększyć częstotliwość robienia kopii zapasowej.

Na pocieszenie: operator wstawił nowy, szybszy serwer, z większym dyskiem, w cenie starego. Ale w sieci dalej mają bałagan, może kiedyś zbiorę się do opisania, co widzi lokalny IDS.