Более двух лет назад мы писали о том, что перед каждым администратором Check Point рано или поздно встает вопрос обновления на новую версию. В данной
Как известно, существует 2 варианта внедрения Check Point: Standalone и Distributed, то есть без выделенного сервера управления и с выделенным. Вариант Distributed является крайне рекомендованным по нескольким причинам:
-
минимизируется нагрузка на ресурсы шлюза;
-
можно не планировать окно для обслуживания, чтобы провести работы с сервером управления;
-
адекватная работа SmartEvent, так как в Standalone варианте едва ли он будет работать;
-
кластер из шлюзов крайне рекомендуется строить в Distributed конфигурацией.
Учитывая все преимущества Distributed конфигурации, мы рассмотрим обновление сервера управления и шлюза безопасности по отдельности.
Обновление Security Management Server (SMS)
Существует 2 способа обновления SMS:
-
с помощью CPUSE (через Gaia Portal)
-
с помощью Migration Tools (требуется чистая установка — fresh install)
Обновление с помощью CPUSE не рекомендуется коллегами из Check Point, так как у вас не обновится версия файловой системы и ядро. Однако данный способ не требует миграции политик и является намного более быстрым и простым, нежели второй способ.
Чистая установка и миграция политик с помощью Migration Tools — вот рекомендуемый метод. Помимо новых файловой системы и ядра ОС часто бывает, что база данных SMS “засоряется”, и чистая установка в этом плане — отличный выход, чтобы добавить скорости работы серверу.
1) Первым шагом при любом обновлении является создание бэкапов и снэпшотов. Если у вас имеется физический сервер управления, то бэкап следует сделать из веб-интерфейса Gaia Portal. Зайдите во вкладку Maintenance > System Backup > Backup. Далее вы указываете место сохранения бэкапа. Это может быть SCP, FTP, TFTP сервер или же локально на устройстве, однако тогда придется позже это бэкап скинуть на сервер или компьютер.
Рисунок 1. Создание бэкапа в Gaia Portal
2) Далее следует сделать снэпшот во вкладке Maintenance → Snapshot Management → New. Отличия бэкапов от снэпшотов заключается в том, что снэпшоты хранят в себе больше информации, в том числе все установленные хотфиксы. Тем не менее, лучше сделать и то, и то.
Если у вас сервер управления установлен в качестве виртуальной машины, то рекомендуется сделать бэкап виртуальной машины встроенными средствами гипервизора. Это попросту быстрее и надежнее.
Рисунок 2. Создание снэпшота в Gaia Portal
3) Сохранить конфигурацию устройства из Gaia Portal. Можно заскриншнотить все вкладки настроек, которые есть в Gaia Portal, либо же из Clish ввести команду save configuration <filename>. Далее следует файл с помощью WinSCP или другого клиента забрать к себе на ПК.
Рисунок 3. Сохранение конфигурации в текстовый файл)
Примечание: если WinSCP не дает подключиться, смените пользователю shell на /bin/bash либо в веб-интерфейсе во вкладке Users, либо введя команду chsh –s /bin/bash <username>.
Обновление с помощью CPUSE
4) Первые 3 шага являются обязательными для любого варианта обновления. Если же вы решили пойти по более простому пути обновления, то в веб-интерфейсе перейдите во вкладку Upgrades (CPUSE) > Status and Actions > Major Versions > Check Point R80.40 Gaia Fresh Install and Upgrade. Нажмите правой клавишей мыши на данное обновление и выберите Verifier. Запуститься процесс проверки на несколько минут, по истечении которых вы увидите сообщение, что устройство может быть обновлено. Если вы видите ошибки, их необходимо исправить.
Рисунок 4. Обновление через CPUSE
5) Обновите до последней версии CDT (Central Deployment Tool) — утилиту, которая запущена на сервере управления и позволяет устанавливать обновления, пакеты обновлений, управлять бэкапами, снэпшотами, скриптами и многим другим. Неактуальная версия CDT может привести к проблемам в обновлении. Скачать CDT можно по
6) Поместив скачанный архив на SMS в любую директорию через WinSCP, подключитесь по SSH к SMS и зайдите в экспертный режим. Напомню, что пользователь WinSCP должен иметь shell /bin/bash!
7) Введите команды:
cd /somepathtoCDT/
tar -zxvf <NameofCDTPackage>.tgz
rpm -Uhv —force CPcdt-00-00.i386.rpm
Рисунок 5. Установка Central Deployment Tool (CDT)
8) Следующим шагом является установка образа R80.40. Правой клавишей мыши на обновление Download, затем Install. Имейте в виду, что обновление занимает минут 20-30, и сервер управления будет недоступен какое-то время. Следовательно, имеет смысл согласовать окно для обслуживания.
9) Все лицензии и политики безопасности сохраняются, поэтому далее вам следует скачать новую
10) Подключитесь к SMS новой SmartConsole и установите политики безопасности. Кнопка Install Policy в левом верхнем углу.
11) Ваш SMS обновлён, далее следует установить самый последний хотфикс. Во вкладке Upgrades (CPUSE) > Status and Actions > Hotfixes нажмите на правую клавишу мыши Verifier, затем Install Update. Устройство само уйдет в перезагрузку после установки обновления.
Рисунок 6. Установка последнего хотфикса через CPUSE
Обновление с помощью Migration Tools
4) Для начала следует так же обновить до последней версии CDT — пункты 5, 6, 7 из раздела “Обновление с помощью CPUSE”.
5) Установите пакет Migration Tools необходимый для миграции политик с сервера управления. По данной
6) Далее в веб-интерфейсе SMS идем во вкладку Upgrades (CPUSE) > Status and Actions > Import Package > Browse > Выбираем скачанный файл > Import.
Рисунок 7. Импорт Migration Tools
7) Из экспертного режима на SMS проверьте, что пакет Migration Tools установлен с помощью команды (вывод команды должен совпадать с числом в названии архива Migration Tools):
cpprod_util CPPROD_GetValue CPupgrade-tools-R80.40 BuildNumber 1
Рисунок 8. Проверка установки Migration Tools
8) Перейдите в папку $FWDIR/scripts на сервере управления:
cd $FWDIR/scripts
9) Запустите pre-upgrade verifier (проверочный скрипт) с помощью команды (если есть ошибки, исправьте их перед дальнейшими шагами):
./migrate_server verify -v R80.40
Примечание: если видите ошибку “Failed to retrieve Upgrade Tools package”, но вы проверили, что архив успешно импортирован (см. пункт 4), используйте команду:
./migrate_server verify -v R80.40 -skip_upgrade_tools_check
Рисунок 9. Запуск скрипта проверки
10) Экспортируйте политики безопасности с помощью команды:
./migrate_server export -v R80.40 /<Full Path>/<Name of Exported File>.tgz
Рисунок 10. Экспорт политики безопасности
Примечание: если видите ошибку “Failed to retrieve Upgrade Tools package”, но вы проверили, что архив успешно импортирован (пункт 7), используйте команду:
./migrate_server export -skip_upgrade_tools_check -v R80.40 /<Full Path>/<Name of Exported File>.tgz
11) Посчитайте MD5 хэш-сумму и сохраните себе вывод команды:
md5sum /<Full Path>/<Name of Exported File>.tgz
Рисунок 11. Высчитывание MD5 хэш-суммы
12) С помощью WinSCP переместите данный файл к себе на компьютер.
13) Введите команду df -h и сохраните себе процентное соотношение директорий, исходя из занимаемого места.
Рисунок 12. Процентное соотношение директорий на SMS
14.1) В случае, если у вас реальный SMS
14.1.1) С помощью
14.1.2) Рекомендую подготовить минимум 2 загрузочные флешки, так как бывает, что не всегда читается флешка.
14.1.3) От имени администратора на компьютере запустите ISOmorphic.exe. В пункте 1 выбираете скачанный образ Gaia R80.40, в пункте 4 флешку. Пункты 2 и 3 изменять не надо!
Рисунок 13. Создание загрузочной флешки
14.1.4) Выбираете пункт “Install automatically without confirmation” и важно указать модель вашего сервера управления. В случае с SMS следует выбрать 3 или 4 строка.
Рисунок 14. Выбор модели устройства для создания загрузочной флешки
14.1.5) Далее вы выключаете аплайнс, вставляете флешку в USB порт, подключаетесь консольным кабелем через COM порт к устройству и включаете SMS. Процесс установки происходит сам собой. IP-адрес по умолчанию — 192.168.1.1/24, а данные для входа admin / admin.
14.1.6) Следующим шагом следует подключение к веб интерфейсу на Gaia Portal (адрес по умолчанию
14.2) В случае, если у вас виртуальный SMS
14.2.1) Ни в коем случае не следует удалять старый SMS, создайте новую виртуальную машину с такими же ресурсами (CPU, RAM, HDD) с тем же IP-адресом. Кстати, RAM и HDD можете добавить, так как версия R80.40 чуть более требовательна. Дабы не было конфликта IP-адресов, выключите старый SMS и начните установку нового.
14.2.2) Во время установки Gaia настройте актуальный IP-адрес и выделите под директорию /root адекватное количество места. Процентное соотношение директорий у вас должно примерно сохраниться, используйте вывод df -h.
15) На моменте выбора типа установки “Installation Type” выбирайте первый вариант, так как, скорее всего, у вас не MDS (Multi-Domain Server). Если MDS, то значит вы управляли многими доменами из под разных сущностей SMS одновременно. Выбирать в это случае следует второй пункт.
Рисунок 15.Выбор типа установки Gaia
16) Самый важный момент, который нельзя исправить без переустановки — выбор сущности. Следует выбрать Security Management и нажать Next. Далее все по умолчанию.
Рисунок 16. Выбор типа сущности при установке Gaia
17) Как только устройство перезагрузится, подключитесь к веб интерфейсу по
18) Перенесите настройки из скриншотов во все вкладки Gaia Portal, в которых что-то было настроено или же из clish выполните команду load configuration <filename>.txt. Данный файл конфига следует предварительно закинуть на SMS.
Примечание: ввиду того, что ОС новая, WinSCP не даст подключиться под админом, смените пользователю shell на /bin/bash либо в веб-интерфейсе во вкладке Users, либо введя команду chsh –s /bin/bash <username> или создайте нового пользователя.
19) Закиньте в любую директорию файл с экспортированными политиками со старого сервера управления. Затем зайдите в консоль к экспертный режим и проверьте, что MD5 хэш сумма совпадает с прежней. В противном случае экспорт следует делать заново:
md5sum /<Full Path>/<Name of Exported File>.tgz
20) Повторите пункт 6 и установите Upgrade Tools на новый SMS в Gaia Portal во вкладке Upgrades (CPUSE) > Status and Actions.
21) Введите команду в экспертном режиме:
./migrate_server import -v R80.40 -skip_upgrade_tools_check /<Full Path>/<Name of Exported File>.tgz
Рисунок 17. Импорт политики безопасности на новый SMS
22) Включите сервисы командой cpstart.
23) Скачайте новую
Рисунок 18. Проверка установленных лицензий
24) Установите политику безопасности на шлюз или кластер — Install Policy.
Обновление Security Gateway (SG)
Шлюз безопасности можно обновить через CPUSE, так же как и сервер управления, или установить заново — fresh install. Из моей практики в 99% случаев все заново устанавливают Security Gateway ввиду того, что это занимает практически столько же времени, как и обновление через CPUSE, однако вы получаете чистую обновленную ОС без багов.
По аналогии с SMS сперва требуется создать бэкап и снэпшот, а также сохранить настройки из Gaia Portal. Обратитесь к пунктам 1, 2 и 3 в разделе «Обновление Security Management Server».
Обновление с помощью CPUSE
Обновление Security Gateway через CPUSE происходит точно так же, как и обновление Security Management Server, поэтому, обратитесь в начало статьи.
Важный момент: обновление SG требует перезагрузки! Поэтому проводите обновление в окно для обслуживания. Если у вас кластер, обновите сначала пассивную ноду, затем переключите роли и обновите другую ноду. В случае с кластером окна для обслуживания можно избежать.
Установка новой версии ОС на Security Gateway
1.1) В случае, если у вас реальный SG
1.1.1) С помощью
1.1.2) Рекомендую подготовить минимум 2 загрузочные флешки, так как бывает, что не всегда читается флешка.
1.1.3) От имени администратора на компьютере запустите ISOmorphic.exe. В пункте 1 выбираете скачанный образ Gaia R80.40, в пункте 4 флешку. Пункты 2 и 3 изменять не надо!
Рисунок 19. Создание загрузочной флешки
1.1.4) Выбираете пункт “Install automatically without confirmation”, и важно указать модель вашего Security Gateway — строки 2 или 3. Если это физическая песочница (SandBlast Appliance), то выбираем строку 5.
Рисунок 20. Выбор модели устройства для создания загрузочной флешки
1.1.5) Далее вы выключаете аплайнс, вставляете флешку в USB порт, подключаетесь консольным кабелем через COM порт к устройству и включаете шлюз. Процесс установки происходит сам собой. IP-адрес по умолчанию — 192.168.1.1/24, а данные для входа admin / admin. Сперва следует обновлять пассивную ноду, затем установить на нее политику, переключить роли и потом обновить другую ноду. Скорее всего, понадобится окно для обслуживания.
1.1.6) Следующим шагом следует подключение к веб интерфейсу на Gaia Portal, где вы проходите первую инициализацию устройства. Во время инициализации вы в основном нажимаете Next, ибо почти все настройки можно поменять в будущем. Однако вы можете изменить сразу IP-адрес, настройки DNS и hostname.
1.2) В случае, если у вас виртуальный SG
1.2.1) Создайте новую виртуальную машину с такими же ресурсами (CPU, RAM, HDD) или больше, так как версия R80.40 чуть более требовательна. Дабы не было конфликта IP-адресов выключите старый шлюз и начните установку нового с тем же IP-адресом. Старый SG можно спокойно удалить, так как ничего ценного на нем нет, ибо все самое главное — политика безопасности — находится на сервере управления.
1.2.2) Во время установки ОС настройте актуальный IP-адрес и выделите под директорию /root адекватное количество места.
3) Подключитесь по HTTPS порту к шлюзу и начните процесс инициализации. На моменте выбора типа установки “Installation Type” выберите первый вариант — Security Gateway and/or Security Management.
Рисунок 21. Выбор типа установки Gaia
4) Важнейший момент — выбор сущности (Products). Следует выбрать Security Gateway и, если у вас кластер, поставить галочку “Unit is a part of a cluster, type: ClusterXL”. Если у вас кластер VRRP, то выберите такой тип, но это маловероятно.
Рисунок 22. Выбор типа сущности при установке Gaia
5) В следующем шаге задайте одноразовый пароль SIC для установления доверия с сервером управления. С помощью этого пароля генерируется сертификат, и по шифрованному каналу взаимодействия сервер управления будет общаться со шлюзом. Галочку “Connect to your Management as a Service” следует ставить, если сервер управления находится в облаке. Мы буквально недавно написали об этом
Рисунок 23. Создание SIC
6) Начните процесс инициализации на следующей вкладке. Как только устройство перезагрузится, подключитесь к веб интерфейсу и перенесите настройки из скриншотов во все вкладки Gaia Portal, в которых что-то было настроено или же из clish выполните команду load configuration <filename>.txt. Данный файл конфига следует предварительно закинуть на шлюз безопасности.
Примечание: ввиду того, что ОС новая, WinSCP не даст подключиться под админом, смените пользователю shell на /bin/bash либо в веб-интерфейсе во вкладке Users, либо введя команду chsh –s /bin/bash <username> или создайте нового пользователя с таким shell.
7) Откройте
Рисунок 24. Установка доверия с новым шлюзом безопасности
8) Версия Gaia у объекта должна смениться, если не изменится, то поменяйте ее руками. Затем установите политику на шлюз.
9) В Gaia Portal зайдите во вкладку Upgrades (CPUSE) > Status and Actions > Hotfixes и установите последний хотфикс. Устройство уйдет в перезагрузку во время установки!
10) В случае кластера, смените роли нод и проделайте те же шаги для другой ноды.
Заключение
Я постарался сделать максимально понятный и всеобъемлющий гайд по обновлению с версии R80.20/R80.30 до актуальной на данный момент R80.40, так как многое изменилось. Версия
По всем вопросам вы можете обращаться к нам. Мы будем рады помочь с самыми сложными обновлениями и кейсами в рамках нашей технической поддержки
Источник: habr.com