BolеFa dos anys, vam escriure que tots els administradors de Check Point tard o d'hora s'enfronten al problema d'actualitzar a una versió nova. En aquest es va descriure una actualització de la versió R77.30 a R80.10. Per cert, el gener de 2020, R77.30 es va convertir en una versió certificada de FSTEC. No obstant això, ha canviat molt a Check Point en dos anys. A l'article "” descriu totes les innovacions, de les quals n'hi ha moltes. Aquest article descriurà el procediment d'actualització amb el màxim de detall possible.
Com sabeu, hi ha 2 opcions per implementar Check Point: Autònom i Distribuït, és a dir, sense un servidor de gestió dedicat i amb un de dedicat. L'opció Distribuïda és molt recomanable per diversos motius:
es minimitza la càrrega dels recursos de la passarel·la;
No cal programar una finestra de manteniment per treballar al servidor de gestió;
funcionament adequat de SmartEvent, ja que és poc probable que funcioni en la versió independent;
És molt recomanable crear un clúster de passarel·les a la configuració distribuïda.
Tenint en compte tots els avantatges de la configuració distribuïda, considerarem actualitzar el servidor de gestió i la passarel·la de seguretat per separat.
Actualització del servidor de gestió de seguretat (SMS).
Hi ha dues maneres d'actualitzar els SMS:
mitjançant CPUSE (mitjançant el portal Gaia)
utilitzant les eines de migració (es requereix una instal·lació neta - instal·lació nova)
Els col·legues de Check Point no recomanen l'actualització mitjançant CPUSE, ja que no actualitzarà la versió i el nucli del vostre sistema de fitxers. Tanmateix, aquest mètode no requereix migració de polítiques i és molt més ràpid i senzill que el segon mètode.
El mètode recomanat és una instal·lació neta i una migració de polítiques mitjançant Eines de migració. A més del nou sistema de fitxers i el nucli del sistema operatiu, sovint passa que la base de dades d'SMS s'obstrueix i una instal·lació neta en aquest sentit és una solució excel·lent per augmentar la velocitat al servidor.
1) El primer pas de qualsevol actualització és crear còpies de seguretat i instantànies. Si teniu un servidor de gestió físic, s'hauria de fer una còpia de seguretat des de la interfície web del portal Gaia. Aneu a la pestanya Manteniment > Còpia de seguretat del sistema > Còpia de seguretat. A continuació, especifiqueu la ubicació per desar la còpia de seguretat. Pot ser un servidor SCP, FTP, TFTP o localment al dispositiu, però després haureu de carregar aquesta còpia de seguretat a un servidor o ordinador més endavant.
Figura 1. Creació d'una còpia de seguretat al Gaia Portal
2) A continuació, hauríeu de fer una instantània a la pestanya Manteniment → Gestió d'instantànies → Nou. La diferència entre les còpies de seguretat i les instantànies és que les instantànies emmagatzemen més informació, incloses totes les correccions instal·lades. Tanmateix, és millor fer les dues coses.
Si el vostre servidor de gestió està instal·lat com a màquina virtual, es recomana fer una còpia de seguretat de la màquina virtual mitjançant les eines d'hipervisor integrades. Simplement és més ràpid i més fiable.
Figura 2. Creació d'una instantània al Gaia Portal
3) Deseu la configuració del dispositiu des del Gaia Portal. Podeu fer una captura de pantalla de totes les pestanyes de configuració que es troben al Gaia Portal o introduir l'ordre des de Clish desar la configuració. A continuació, porteu el fitxer al vostre PC mitjançant WinSCP o un altre client.
Figura 3. Desar la configuració en un fitxer de text)
Nota: si WinSCP no us permet connectar-vos, canvieu l'intèrpret d'ordres de l'usuari a /bin/bash a la interfície web de la pestanya Usuaris o introduint l'ordre chsh –s /bin/bash.
Actualització amb CPUSE
4) Els 3 primers passos són obligatoris per a qualsevol opció d'actualització. Si decidiu fer una ruta d'actualització més senzilla, aneu a la pestanya a la interfície web Actualitzacions (CPUSE) > Estat i accions > Versions principals > Check Point R80.40 Gaia Fresh Install and Upgrade. Feu clic amb el botó dret sobre aquesta actualització i seleccioneu Verificador. El procés de verificació s'iniciarà durant uns minuts, després dels quals veureu un missatge que us informa que el dispositiu es pot actualitzar. Si veieu errors, s'han de corregir.
Figura 4. Actualització mitjançant CPUSE
5) Actualitzeu a la darrera versió de CDT (Eina de desplegament central): una utilitat que s'executa al servidor de gestió i us permet instal·lar actualitzacions, paquets de servei, gestionar còpies de seguretat, instantànies, scripts i molt més. Una versió CDT obsoleta pot causar problemes amb l'actualització. Podeu descarregar CDT a .
6) Després de col·locar l'arxiu descarregat a SMS en qualsevol directori mitjançant WinSCP, connecteu-vos mitjançant SSH a SMS i entreu al mode expert. Permeteu-me que us recordi que l'usuari de WinSCP ha de tenir un shell / Bin / bash!
7) Introduïu les ordres:
cd /somepathtoCDT/
tar -zxvf .tgz
rpm -Uhv —force CPcdt-00-00.i386.rpm
Figura 5. Instal·lació de l'eina de desplegament central (CDT)
8) El següent pas és instal·lar la imatge R80.40. Feu clic dret a actualització download, llavors Install. Tingueu en compte que l'actualització trigarà entre 20 i 30 minuts i el servidor de gestió no estarà disponible durant un temps. Per tant, té sentit acordar una finestra de servei.
9) Es guarden totes les llicències i polítiques de seguretat, així que a continuació n'has de baixar-ne una de nova .
10) Connecteu-vos a la nova SmartConsole de SMS i configureu polítiques de seguretat. Botó Política d'instal·lació a l'extrem superior esquerre.
11) El vostre SMS s'ha actualitzat, llavors hauríeu d'instal·lar l'última correcció. A la pestanya Actualitzacions (CPUSE) > Estat i accions > Correccions feu clic al botó dret del ratolí Verificador, llavors Instal·la Actualització. El dispositiu es reiniciarà després d'instal·lar l'actualització.
Figura 6. Instal·lació del darrer hotfix mitjançant CPUSE
Actualització amb eines de migració
4) En primer lloc, també hauríeu d'actualitzar a la darrera versió de CDT - punts 5, 6, 7 de la secció "Actualitza amb CPUSE".
5) Instal·leu el paquet d'eines de migració necessari per migrar les polítiques des del servidor de gestió. Segons això podeu trobar Eines de migració per a les versions: R80.20, R80.20 M1, R80.20 M2, R80.30, R80.40. Hauríeu de descarregar les eines de migració de la versió al qual voleu actualitzar, i no la que tens ara! En el nostre cas és R80.40.
6) A continuació, a la interfície web de SMS, aneu a la pestanya Actualitzacions (CPUSE) > Estat i accions > Importa paquet > Navega > Seleccioneu el fitxer baixat > Importa.
Figura 7. Importació d'eines de migració
7) Des del mode expert en SMS, comproveu que el paquet d'eines de migració estigui instal·lat mitjançant l'ordre (la sortida de l'ordre ha de coincidir amb el número del nom de l'arxiu d'eines de migració):
cpprod_util CPPROD_GetValue CPupgrade-tools-R80.40 BuildNumber 1
Figura 8. Verificació de la instal·lació de les eines de migració
8) Aneu a la carpeta $FWDIR/scripts del servidor de gestió:
cd $FWDIR/scripts
9) Executeu el verificador previ a l'actualització mitjançant l'ordre (si hi ha errors, corregiu-los abans de seguir passos):
./migrate_server verifica -v R80.40
Nota: si veieu un error "No s'ha pogut recuperar el paquet d'eines d'actualització", però heu comprovat que l'arxiu s'ha importat correctament (vegeu el punt 4), utilitzeu l'ordre:
./migrate_server verifica -v R80.40 -skip_upgrade_tools_check
Figura 9. Execució de l'script de verificació
10) Exporteu polítiques de seguretat mitjançant l'ordre:
./migrate_server export -v R80.40 / / .tgz
Figura 10. Exportació d'una política de seguretat
Nota: si veieu un error "No s'ha pogut recuperar el paquet d'eines d'actualització", però heu comprovat que l'arxiu s'ha importat correctament (pas 7), utilitzeu l'ordre:
./migrate_server export -skip_upgrade_tools_check -v R80.40 / / .tgz
11) Calculeu la suma hash MD5 i deseu la sortida de l'ordre:
md5sum / / .tgz
Figura 11. Càlcul de la suma hash MD5
12) Mitjançant WinSCP, moveu aquest fitxer al vostre ordinador.
13) Introduïu l'ordre df-h i estalvieu-vos el percentatge de directoris en funció de l'espai ocupat.
Figura 12. Percentatge de directoris per SMS
14.1) En cas de tenir un SMS real
14.1.1) Utilitzar es crea una unitat flash USB d'arrencada amb una imatge .
14.1.2) Recomano preparar almenys 2 unitats flash d'arrencada, ja que passa que la unitat flash no sempre és llegible.
14.1.3) Com a administrador del vostre ordinador, executeu ISOmorphic.exe. Al pas 1, seleccioneu la imatge baixada de Gaia R80.40, al pas 4 la unitat flaix. Canviar els punts 2 i 3 No cal!
Figura 13. Creació d'una unitat flash USB d'arrencada
14.1.4) Seleccioneu un element "Instal·la automàticament sense confirmació" i és important especificar el model del vostre servidor de gestió. En el cas dels SMS, hauríeu de seleccionar la línia 3 o 4.
Figura 14. Selecció d'un model de dispositiu per crear una unitat flash USB d'arrencada
14.1.5) A continuació, apagueu la línia ascendent, inseriu la unitat flaix al port USB, connecteu el cable de la consola mitjançant el port COM al dispositiu i activeu els SMS. El procés d'instal·lació es fa automàticament. Adreça IP predeterminada - 192.168.1.1/24i informació d'inici de sessió administrador / administrador.
14.1.6) El següent pas és connectar-se a la interfície web del portal Gaia (adreça per defecte ), on passeu per la inicialització del dispositiu. Durant la inicialització, bàsicament, premeu A continuació, perquè gairebé tots els paràmetres es poden canviar en el futur. Tanmateix, podeu canviar immediatament l'adreça IP, la configuració de DNS i el nom d'amfitrió.
14.2) En cas de tenir un SMS virtual
14.2.1) En cap cas s'ha de suprimir l'SMS antic, crear una màquina virtual nova amb els mateixos recursos (CPU, RAM, HDD) i la mateixa adreça IP. Per cert, podeu afegir RAM i HDD, ja que la versió R80.40 és una mica més exigent. Per evitar conflictes d'adreces IP, desactiveu l'SMS antic i comenceu a instal·lar-ne un de nou.
14.2.2) Durant la instal·lació de Gaia, configureu l'adreça IP actual i seleccioneu un directori / root quantitat d'espai adequada. El percentatge de directoris que teniu hauria de ser aproximadament sobreviure, utilitzeu la sortida df-h.
15) En el moment d'escollir el tipus d'instal·lació "Tipus d'instal·lació" trieu la primera opció, ja que el més probable és que no tingueu MDS (Multi-Domain Server). Si MDS, aleshores heu gestionat molts dominis de diferents entitats SMS al mateix temps. En aquest cas, hauríeu de seleccionar el segon element.
Figura 15. Selecció del tipus d'instal·lació de Gaia
16) El punt més important que no es pot corregir sense reinstal·lar és l'elecció de l'entitat. Hauria de triar Gestió de la seguretat i premeu Next. Tota la resta és per defecte.
Figura 16. Selecció d'un tipus d'entitat en instal·lar Gaia
17) Un cop el dispositiu es reiniciï, connecteu-vos a la interfície web utilitzant o una adreça IP diferent si l'has canviat.
18) Transferiu la configuració de les captures de pantalla a totes les pestanyes del portal Gaia en què s'hagi configurat alguna cosa, o executeu l'ordre des de clish configuració de càrrega .txt. Aquest fitxer de configuració primer s'ha de penjar a SMS.
Nota: A causa del fet que el sistema operatiu és nou, WinSCP no us permetrà connectar-vos com a administrador, canviar l'intèrpret d'ordres de l'usuari a /bin/bash ni a la interfície web de la pestanya Usuaris ni introduint l'ordre. chsh –s /bin/bash o crear un usuari nou.
19) Carregueu el fitxer amb les polítiques exportades des del servidor de gestió antic a qualsevol directori. A continuació, aneu a la consola en mode expert i comproveu que la quantitat de hash MD5 coincideixi amb l'anterior. En cas contrari, l'exportació s'hauria de tornar a fer:
md5sum / / .tgz
20) Repetiu el pas 6 i instal·leu les eines d'actualització al nou SMS a Gaia Portal a la pestanya Actualitzacions (CPUSE) > Estat i accions.
21) Introduïu l'ordre en mode expert:
./migrate_server import -v R80.40 -skip_upgrade_tools_check / / .tgz
Figura 17. Importació d'una política de seguretat a un SMS nou
22) Habilita els serveis amb l'ordre cpstart.
23) Baixeu-ne un de nou i connectar-se al servidor de gestió. Anar a Menú > Gestiona llicències i paquets (SmartUpdate) i comproveu que encara teniu la llicència.
Figura 18. Comprovació de les llicències instal·lades
24) Establiu la política de seguretat a la passarel·la o al clúster - Política d'instal·lació.
Actualització de la passarel·la de seguretat (SG).
La passarel·la de seguretat es pot actualitzar mitjançant CPUSE, igual que el servidor de gestió, o instal·lar-se de nou - instal·lació nova. Des de la meva experiència, en el 99% dels casos, tothom torna a instal·lar Security Gateway a causa del fet que triga gairebé el mateix temps que l'actualització mitjançant CPUSE, però obteniu un sistema operatiu net i actualitzat sense errors.
Per analogia amb els SMS, primer heu de crear una còpia de seguretat i una instantània, i també desar la configuració del Gaia Portal. Consulteu els punts 1, 2 i 3 de l'apartat "Actualització del servidor de gestió de seguretat".
Actualització amb CPUSE
Actualitzar la passarel·la de seguretat mitjançant CPUSE és exactament el mateix que actualitzar el servidor de gestió de seguretat, per tant, consulteu l'inici de l'article.
Punt important: l'actualització de SG requereix reiniciar! Per tant, actualitzeu-lo durant la finestra de manteniment. Si teniu un clúster, actualitzeu primer el node passiu, després canvieu de rol i actualitzeu l'altre node. En el cas d'un clúster, es poden evitar finestres de manteniment.
Instal·lació d'una nova versió del sistema operatiu a Security Gateway
1.1) En cas de tenir un SG real
1.1.1) Utilitzar es crea una unitat flash USB d'arrencada amb una imatge . La imatge és la mateixa que a l'SMS, però el procediment per crear una unitat flash d'arrencada sembla una mica diferent.
1.1.2) Recomano preparar almenys 2 unitats flash d'arrencada, ja que passa que la unitat flash no sempre és llegible.
1.1.3) Com a administrador del vostre ordinador, executeu ISOmorphic.exe. Al pas 1, seleccioneu la imatge baixada de Gaia R80.40, al pas 4 la unitat flaix. Canviar els punts 2 i 3 No cal!
Figura 19. Creació d'una unitat flash USB d'arrencada
1.1.4) Seleccioneu un element "Instal·la automàticament sense confirmació", i és important que indiqueu el model de la vostra passarel·la de seguretat: línies 2 o 3. Si es tracta d'un sandbox físic (SandBlast Appliance), seleccioneu la línia 5.
Figura 20. Selecció d'un model de dispositiu per crear una unitat flash USB d'arrencada
1.1.5) A continuació, apagueu la línia ascendent, inseriu la unitat flaix al port USB, connecteu el cable de la consola mitjançant el port COM al dispositiu i engegueu la passarel·la. El procés d'instal·lació es fa automàticament. Adreça IP predeterminada - 192.168.1.1/24i informació d'inici de sessió administrador / administrador. Primer hauries d'actualitzar node passiu, després instal·leu-hi una política, canvieu de rol i actualitzeu un altre node. El més probable és que necessiteu una finestra de servei.
1.1.6) El següent pas és connectar-se a la interfície web del Gaia Portal, on es fa la primera inicialització del dispositiu. Durant la inicialització, bàsicament premeu A continuació, perquè gairebé tots els paràmetres es poden canviar en el futur. Tanmateix, podeu canviar immediatament l'adreça IP, la configuració de DNS i el nom d'amfitrió.
1.2) En cas de tenir un SG virtual
1.2.1) Crear una màquina virtual nova amb els mateixos recursos (CPU, RAM, HDD) o més, ja que la versió R80.40 és una mica més exigent. Per evitar un conflicte d'adreces IP, apagueu la passarel·la antiga i comenceu a instal·lar-ne una de nova amb la mateixa adreça IP. El SG antic es pot suprimir de manera segura, ja que no hi ha res valuós, perquè totes les coses més importants, la política de seguretat, es troben al servidor de gestió.
1.2.2) Durant la instal·lació del sistema operatiu, configureu l'adreça IP actual i seleccioneu un directori / root quantitat d'espai adequada.
3) Connecteu-vos a la passarel·la mitjançant el port HTTPS i comenceu el procés d'inicialització. En el moment d'escollir el tipus d'instal·lació "Tipus d'instal·lació" seleccioneu la primera opció - Security Gateway i/o Security Management.
Figura 21. Selecció del tipus d'instal·lació de Gaia
4) El punt més important és l'elecció de l'entitat (Productes). Hauria de triar Passarel·la de seguretat i, si teniu un clúster, marqueu la casella "La unitat és una part d'un clúster, escriviu: ClusterXL". Si teniu un clúster VRRP, trieu aquest tipus, però és poc probable.
Figura 22. Selecció d'un tipus d'entitat en instal·lar Gaia
5) En el pas següent, configureu la contrasenya única SIC per establir confiança amb el servidor de gestió. Amb aquesta contrasenya, es genera un certificat i el servidor de gestió es comunicarà amb la passarel·la a través d'un canal de comunicació xifrat. Marca de verificació "Connecteu-vos a la vostra gestió com a servei" s'ha de configurar si el servidor de gestió es troba al núvol. Fa poc hem escrit sobre això i el còmode i senzill que és el servidor de gestió del núvol.
Figura 23. Creació del SIC
6) Inicieu el procés d'inicialització a la pestanya següent. Tan bon punt es reiniciï el dispositiu, connecteu-vos a la interfície web i transferiu la configuració de les captures de pantalla a totes les pestanyes del portal Gaia en què s'hagi configurat alguna cosa, o executeu l'ordre des de clish configuració de càrrega .txt. Aquest fitxer de configuració primer s'ha de carregar a la passarel·la de seguretat.
Nota: A causa del fet que el sistema operatiu és nou, WinSCP no us permetrà connectar-vos com a administrador, canviar l'intèrpret d'ordres de l'usuari a /bin/bash ni a la interfície web de la pestanya Usuaris ni introduint l'ordre. chsh –s /bin/bash o creeu un usuari nou amb aquest shell.
7) Obert i aneu a l'objecte Security Gateway que acabeu de reinstal·lar. Obriu la pestanya Propietats generals > Comunicació > Restablir SIC i introduïu la contrasenya especificada al pas 5.
Figura 24: Establiment de confiança amb la nova passarel·la de seguretat
8) La versió Gaia de l'objecte hauria de canviar, si no canvia, canvieu-la manualment. A continuació, instal·leu la política a la passarel·la.
9) A Gaia Portal, aneu a la pestanya Actualitzacions (CPUSE) > Estat i accions > Correccions i instal·leu l'últim hotfix. El dispositiu entrarà reiniciar durant la instal·lació!
10) En el cas d'un clúster, canvieu els rols dels nodes i feu els mateixos passos per a un altre node.
Conclusió
He intentat fer la guia més clara i completa per actualitzar de la versió R80.20/R80.30 a l'actual R80.40, ja que han canviat moltes coses. Versió ja ha aparegut en mode de demostració, però el procediment d'actualització segueix sent més o menys idèntic. Guiat pel funcionari des de Check Point, podeu esbrinar tots els detalls vosaltres mateixos.
Per qualsevol dubte podeu contactar amb nosaltres. Estarem encantats d'ajudar-vos amb les actualitzacions i els casos més complexos com a part del nostre suport tècnic . També al nostre és possible demanar una auditoria de la configuració de Check Point o deixar-la gratuïta per un cas tècnic.
. Estigueu atents (, , , , ).
Font: www.habr.com
