R80.40, Check Point’s neuester Release, wurde im Januar 2020 publiziert und nun stellen sich viele Security-Verantwortliche und Administratoren die Frage, ob es jetzt schon sinnvoll wäre, auf diese Version zu migrieren.

Für alle, die nur wenig Zeit haben, hier meine Antwort: Ja, aber erst im Sommer. Für alle anderen, die etwas lernen wollen, die ausführliche Antwort 🙂

Bei so einem Titel könnte ich nun alle 100 neuen Features einzeln aufzählen und kommentieren, aber ich denke dies ist nicht wirklich zielführend. Jeder muss jeweils für sich selber entscheiden, welche neuen Features in seinem Setup welchen Stellenwert haben. Deshalb beschränke ich mich auf den grundsätzlichen Ablauf bzw. Entscheid bei einem neuen Release. Hier natürlich im speziellen zu Check Point R80.40.

Immer wieder steht man vor derselben Frage. Der Hersteller hat eine neue Version veröffentlicht und dann muss man sich entscheiden, ob man diesen schon einsetzen möchte oder ob man es noch wagen kann, ein paar Wochen oder Monate zuzuwarten. Schlussendlich muss das Upgrade irgendwann doch durchgeführt werden.

Aus meiner Sicht sollte man für die eigene Entscheidungsfindung diverse Faktoren berücksichtigen:

    • Was ist der aktuelle Stand?
    • Was für Ziele sind vorhanden?
    • Empfehlungen

Was ist der aktuelle Stand?

Bevor man startet, ist es wichtig zu wissen, welche Version aktuell eingesetzt wird. Ist dies ein alter oder ein noch aktueller Release? Vielleicht ist hierzu eine Konsultation der Check Point Upgrade Map notwendig. Hier sieht man relativ schnell wie alt der eingesetzte Release ist und ob ein direkter Upgrade auf die aktuelle R80.40 Version möglich ist.

Quelle: Check Point, downloads.checkpoint.com/dc/download.htm?ID=18761, abgerufen am 07.05.2020

Auch ist es wichtig festzustellen, ob der aktuell eingesetze Release stabil läuft, dann ist ein Upgrade vielleicht nicht so prickelnd (Stichwort: «never change a running system»). Zudem sollte man auch überprüfen, wie lange der aktuelle Release noch von Check Point supported wird. Dazu besucht man am besten mal die Check Points End of Sales/End of Support Webseite.


Major und Minor

Check Point unterscheidet zwischen Major und Minor Software Versionen. Z.B. sind R77.30 und R80.20 sogenannte Major- und R80.30 sowie R80.40 sind Minor-Versionen. Check Point versucht die Major Versionen während einer vierjährigen Periode zu Supporten. Die Minor Versionen werden nicht länger unterstützt als «ihre» Major Version.

Quelle: Check Point, www.checkpoint.com/support-services/support-life-cycle-policy/#software-support, abgerufen am 07.05.2020

Vielleicht ist die Backward Compatibility Map noch erwähnenswert. Hier sieht man, ob man mit dem neuen Management die alten Gateways weiterhin noch «managen» kann. Dies könnte während einer längeren Upgrade-Übergangsphase eventuell von Bedeutung sein.

Quelle: Check Point, downloads.checkpoint.com/dc/download.htm?ID=24179, abgerufen am 07.05.2020

Nun komme ich zum nächsten Punkt:


Was ist das Ziel?

Was möchte man eigentlich genau erreichen? Auf diese Frage gibt’s natürlich verschiedene Antworten, jedoch können da auch diverse gleichzeitig zutreffen:

    • Möchte man sich vor einem «End of Support» Status durch ein rasches Upgrade auf eine supportete Version «retten»?
      Natürlich möchte man nicht während eines Supportfalls zu hören bekommen, dass man zuerst ein Upgrade auf eine aktuelle Version machen muss.
    • Wurde ein externes oder internes Audit durchgeführt?
      Auch äussere Einflüsse können bei einem Upgrade-Entscheid eine wichtige Rolle spielen. Vielleicht befolgt der CISO gewisse Weisungen oder Regulatorien (GDPR/PCI Compliance usw.).
    • Die (eigene) Reputation aufrecht erhalten?
      Das Unternehmen und/oder der Mitarbeiter hat eine gewisses Ansehen in den Medien, bei den Kunden und Partnern, die man/er aufrechterhalten will.
    • Neue Vulnerabilities?
      Im schlimmsten Fall hat die aktuell eingesetzte Version eine Schwachstelle und nur ein «Not»-Upgrade kann diese zuverlässig «stopfen».
    • Möchte man stets die neuesten Features ausprobieren bzw. implementieren?
      Etwa aus Neugierde oder weil man nur so die aktuellen Anforderungen (z.B. HTTPS/2, TLS 1.3 usw.) implementieren kann?
    • Neue Hardware/Firmware/Treiber?

Neue Hardware wird meist nur vom aktuellsten Release unterstützt, so dass der Einsatz dieses zwingend wird.

  • Vielleicht ist aber auch einfach der aktuell eingesetzte Release fehlerhaft oder «buggy»?

Es gibt viele Gründe für ein Upgrade und meistens liefert die neue Version mehr Features und eine bessere Performance. Einen Überblick verschafft man sich am besten hier:


Empfehlungen

Ohne sich gross mit der ganzen Materie zu befassen, kann man sich auch auf Empfehlungen, durch Check Point oder den Support-Partner verlassen.

Check Point empfiehlt (Check Point Releases Terminology) aktuell (Mai 2020) weiterhin die stabile Version R80.30 mit dem letzten Jumbo Hotfix Accumulator. R80.40 ist zurzeit nur für Kunden mit Interesse an den neusten Features empfohlen.


Upgrade

Hat man sich schlussendlich für ein Upgrade entschieden, dann empfehle ich einen Besuch der Check Point Release Map Seite:

Quelle: Check Point, supportcenter.checkpoint.com/supportcenter/portal?eventSubmit_doGoviewsolutiondetails=&solutionid=sk152052, abgerufen am 07.05.2020

Hier ist kurz und bündig aufgelistet, welche Haupt-Features jeder Release hat und wo man die Version runterladen kann sowie welcher Jumbo Hotfix empfohlen ist.

Mit dem neuen Upgrade/Download Wizard kann man bequem die aktuelle Version angeben sowie die Zielversion und man erhält die korrekten Upgradedateien:

Quelle: Check Point, supportcenter.checkpoint.com/supportcenter/portal?eventSubmit_doShowupgradewizard, abgerufen am 07.05.2020

Aber was ist jetzt ein Jumbo Hotfix?

Release bleibt bei Check Point stets in der GA (General Availability) Version vorhanden, d.h. er wird nicht mehr verändert. Natürlich wird er hinter den Kulissen weiterentwickelt und gewisse Bugs werden mit Hotfixes ausgemerzt. Diese einzelnen Hotfixes werden für «early adopters» zu Ongoing Jumbos zusammengefasst. Sobald Check Point ein Jumbo empfiehlt, wird er als General Availability (GA) Jumbo Hotfix Accumulator bezeichnet. Siehe auch Jumbo Hotfix Accumulator FAQ.

Für R80.40 findet man die Informationen zum empfohlenen «Jumbo» hier R80.40 (R80_40_jumbo_hf). Es empfiehlt sich, die gefixten Bugs zu überfliegen.


Schlussendlich hier meine persönliche Empfehlung

Ich selber habe die Erfahrung gemacht, dass eine zu rasche Migration meist diverse Probleme nach sich zieht. Somit empfehle ich jedem abzuwarten bis die «schlimmsten» Bugs durch einen General Availability (GA) Jumbo Hotfix Accumulator ausgemerzt wurden. Meist dauert dies etwa ein halbes Jahr bis nach dem ursprünglichen Release. Mit R80.40 wäre somit dieser Sommer ein guter Zeitpunkt für eine Migration, die man jetzt schon planen kann.


Links

AVANTEC’s Versions-Empfehlungen: www.avantec.ch/support/#versionen