BolеDui anni fà, avemu scrittu chì ogni amministratore di Check Point prima o poi face u prublema di l'aghjurnamentu à una nova versione. In questu un aghjurnamentu da a versione R77.30 à R80.10 hè statu descrittu. Per via, in ghjennaghju 2020, R77.30 hè diventatu una versione certificata di FSTEC. Tuttavia, assai hè cambiatu in Check Point in 2 anni. In l'articulu ""Descrive tutte l'innuvazioni, di quale ci sò assai. Questu articulu descriverà a prucedura di aghjurnamentu in u più dettagliu pussibule.
Comu sapete, ci sò 2 opzioni per implementà u Check Point: Standalone è Distributed, vale à dì, senza un servitore di gestione dedicatu è cun un dedicatu. L'opzione Distributed hè altamente cunsigliata per parechje motivi:
a carica nantu à e risorse di a porta hè minimizzata;
Ùn avete bisognu di pianificà una finestra di mantenimentu per travaglià in u servitore di gestione;
funziunamentu adattatu di SmartEvent, postu chì hè improbabile di travaglià in a versione Standalone;
Hè assai cunsigliatu di custruisce un cluster di gateway in a cunfigurazione Distribuita.
Dati tutti i benefizii di a cunfigurazione Distribuita, cunsideremu l'aghjurnamentu di u servitore di gestione è a porta di sicurezza per separatamente.
Actualizazione di u Servitore di Gestione di Sicurezza (SMS).
Ci hè 2 modi per aghjurnà SMS:
via CPUSE (via Gaia Portal)
utilizendu Strumenti di Migrazione (installazione pulita necessaria - installazione fresca)
L'aghjurnà cù CPUSE ùn hè micca cunsigliatu da i culleghi di Check Point perchè ùn aghjurnà micca a vostra versione di u sistema di fugliale è u kernel. In ogni casu, stu metudu ùn hà micca bisognu di migrazione di pulitiche è hè assai più veloce è simplice di u sicondu metudu.
Una installazione pulita è a migrazione di e pulitiche cù Strumenti di Migrazione hè u metudu cunsigliatu. In più di u novu sistema di schedarii è u kernel OS, spessu succede chì a basa di dati SMS s'imbulighja, è una stallazione pulita in questu sensu hè una suluzione eccellente per aghjunghje velocità à u servitore.
1) U primu passu in ogni aghjurnamentu hè di creà backups è snapshots. Se tenete un servitore di gestione fisicu, allora una copia di salvezza deve esse fatta da l'interfaccia web Gaia Portal. Andà à a tabulazione Mantenimentu> Backup di u Sistema> Backup. Dopu, specificate u locu per salvà a copia di salvezza. Questu pò esse un servitore SCP, FTP, TFTP, o in u locu nantu à u dispusitivu, ma dopu vi tuccherà à cullà sta copia di salvezza in un servitore o urdinatore dopu.
Figura 1. Crea una copia di salvezza in Gaia Portal
2) Dopu duvete piglià una foto in a tabulazione Mantenimentu → Gestione Snapshot → Novu. A diffarenza trà backups è snapshots hè chì i snapshots guardanu più infurmazione, cumprese tutti i hotfixes installati. Tuttavia, hè megliu à fà tramindui.
Se u vostru servitore di gestione hè stallatu cum'è una macchina virtuale, allora hè cunsigliatu per fà una copia di salvezza di a macchina virtuale utilizendu l'arnesi di ipervisore integrati. Hè simplicemente più veloce è più affidabile.
Figura 2. Crià una snapshot in Gaia Portal
3) Salvà a cunfigurazione di u dispusitivu da Gaia Portal. Pudete screenshot tutte e tabulazioni di paràmetri chì sò in Gaia Portal, o entre u cumandamentu da Clish salvà a cunfigurazione. Dopu, pigliate u schedariu à u vostru PC cù WinSCP o un altru cliente.
Figura 3. Salvà a cunfigurazione in un schedariu di testu)
Vita: se WinSCP ùn vi permette micca di cunnette, cambiate a cunchiglia d'utilizatore à /bin/bash sia in l'interfaccia web in a tabulazione Users, sia inserendu u cumandamentu. chsh -s /bin/bash.
Aghjurnà cù CPUSE
4) I primi 3 passi sò obbligatori per ogni opzione di aghjurnamentu. Se decide di piglià una strada di aghjurnamentu più simplice, allora in l'interfaccia web andate à a tabulazione Upgrades (CPUSE) > Status and Actions > Major Versions > Check Point R80.40 Gaia Fresh Install and Upgrade. Cliccate cù u dirittu nantu à questa aghjurnazione è selezziunate Verificatore. U prucessu di verification hà da principià per uni pochi di minuti, dopu chì vi vede un missaghju chì u dispusitivu pò esse aghjurnata. Se vede l'errore, deve esse currettu.
Figura 4. Update via CPUSE
5) Aggiornamentu à l'ultima versione di CDT (Central Deployment Tool) - una utilità chì corre nantu à u servitore di gestione è vi permette di installà l'aghjurnamenti, pacchetti di serviziu, gestisce backups, snapshots, scripts è assai di più. Una versione CDT fora di data pò causà prublemi cù l'aghjurnamentu. Pudete scaricà CDT à .
6) Dopu avè postu l'archiviu telecaricatu in SMS in ogni repertoriu via WinSCP, cunnette via SSH à SMS è entre in u modu espertu. Lasciami ricurdà chì l'utilizatore WinSCP deve avè una cunchiglia / bin / bash!
7) Inserite i cumandamenti:
cd /somepathtoCDT/
tar -zxvf .tgz
rpm -Uhv - forza CPcdt-00-00.i386.rpm
Figura 5. Installazione di u Strumentu Centrale di Deployment (CDT)
8) U prossimu passu hè di stallà l'imagine R80.40. Cliccate drittu nantu à l'aghjurnamentu Download, dopu Installa. Tenite in mente chì l'aghjurnamentu duverà 20-30 minuti è u servitore di gestione ùn serà micca dispunibule per qualchì tempu. Dunque, hè sensu d'accordu nantu à una finestra di serviziu.
9) Tutte e licenze è e pulitiche di sicurezza sò salvate, cusì dopu avete da scaricà una nova .
10) Cunnettete à SMS nova SmartConsole è stabilisce e pulitiche di sicurità. Pulsante Stallà a pulitica in l'angulu in alto à manca.
11) U vostru SMS hè statu aghjurnatu, allora duvete installà l'ultimu hotfix. In a tabulazione Upgrades (CPUSE) > Status and Actions > Hotfixes cliccate nant'à u buttone dritta surci Verificatore, allura Installa Actualizazione. U dispusitivu hà da reboot stessu dopu a stallazione di l'aghjurnamentu.
Figura 6. Installazione di l'ultimu hotfix via CPUSE
Aghjurnà cù Strumenti di Migrazione
4) Prima, duvete ancu aghjurnà à l'ultima versione di CDT - punti 5, 6, 7 da a sezione "Aggiorna cù CPUSE".
5) Installa u pacchettu di Strumenti di Migrazione necessariu per migrà e pulitiche da u servitore di gestione. Sicondu questu pudete truvà Strumenti di Migrazione per e versioni: R80.20, R80.20 M1, R80.20 M2, R80.30, R80.40. Duvete scaricà Strumenti di Migrazione di a versione à quale vulete aghjurnà, è micca quellu chì avete avà ! In u nostru casu hè R80.40.
6) Next in l 'interfaccia web SMS vai à a tabulazione Upgrades (CPUSE) > Status and Actions > Import Package > Browse > Select the downloaded file > Import.
Figura 7. Importazione di Strumenti di Migrazione
7) Da u modu espertu in SMS, verificate chì u pacchettu di Migration Tools hè stallatu cù u cumandimu (l'output di u cumandamentu deve currisponde à u numeru in u nome di l'archiviu di Migration Tools):
cpprod_util CPPROD_GetValue CPupgrade-tools-R80.40 BuildNumber 1
Figura 8. Verificà a stallazione di Migration Tools
8) Andate à u cartulare $FWDIR/scripts nantu à u servitore di gestione:
cd $FWDIR/scripts
9) Eseguite u verificatore di pre-aghjurnamentu utilizendu u cumandimu (se ci sò errori, correggete prima di più passi):
./migrate_server verificate -v R80.40
Vita: si vede un errore "Fiascatu à ricuperà u pacchettu di l'Upgrade Tools", ma avete verificatu chì l'archiviu hè statu impurtatu cù successu (vede u puntu 4), utilizate u cumandimu:
./migrate_server verify -v R80.40 -skip_upgrade_tools_check
Figura 9. Esecuzione di u script di verificazione
10) Esporta pulitiche di sicurità usendu u cumandimu:
./migrate_server export -v R80.40 / / .tgz
Figura 10. Esporta una pulitica di sicurità
Vita: si vede un errore "Fiascatu à ricuperà u pacchettu di l'Upgrade Tools", ma avete verificatu chì l'archiviu hè statu impurtatu cù successu (passu 7), utilizate u cumandimu:
./migrate_server export -skip_upgrade_tools_check -v R80.40 / / .tgz
11) Calculate a somma hash MD5 è salvate l'output di u cumandimu:
md5sum / / .tgz
Figura 11. Calculating MD5 hash sum
12) Utilizendu WinSCP, move stu schedariu à u vostru urdinatore.
13) Entre in u cumandimu df -h è salvà u percentualità di cartulari basatu annantu à u spaziu occupatu.
Figura 12. Percentuale di cartulari per SMS
14.1) In casu avete un veru SMS
14.1.1) Utilizà una unità flash USB bootable cù una maghjina hè creata .
14.1.2) I ricumandemu di preparà almenu 2 unità flash bootable, postu chì succede chì u flash drive ùn hè micca sempre leggibile.
14.1.3) Cum'è amministratore in u vostru urdinatore, eseguite ISOmorphic.exe. In u passu 1, selezziunate l'imaghjini telecaricati di Gaia R80.40, in u passu 4 u flash drive. Cambia i punti 2 è 3 Nisun bisognu!
Figura 13. Crià una unità flash USB bootable
14.1.4) Selezziunà un articulu "Installa automaticamente senza cunferma" è hè impurtante di specificà u mudellu di u vostru servitore di gestione. In u casu di SMS, duvete selezziunate a linea 3 o 4.
Figura 14. Selezziunà un mudellu di dispusitivu per creà una unità flash USB bootable
14.1.5) In seguitu, disattivà u upline, inserisci u flash drive in u portu USB, cunnette u cable di cunsola via u portu COM à u dispusitivu è attivate l'SMS. U prucessu di stallazione succede automaticamente. Indirizzu IP predeterminatu - 192.168.1.1/24, è infurmazione di login amministratore / amministratore.
14.1.6) U prossimu passu hè di cunnette à l'interfaccia web in Gaia Portal (indirizzu predeterminatu ), induve vai per l'inizializazione di u dispositivu. Durante l'inizializazione, in fondu, pressu Propriu, perchè quasi tutti i paràmetri ponu esse cambiati in u futuru. Tuttavia, pudete cambià immediatamente l'indirizzu IP, i paràmetri DNS è u nome d'ospite.
14.2) In casu avete SMS virtuale
14.2.1) In nisuna circustanza ùn deve sguassate u vechju SMS creà una nova macchina virtuale cù i stessi risorse (CPU, RAM, HDD) è u stessu indirizzu IP. In modu, pudete aghjunghje RAM è HDD, postu chì a versione R80.40 hè un pocu più esigenti. Per evità i cunflitti di l'indirizzu IP, disattivate u vechju SMS è cuminciate à installà un novu.
14.2.2) Durante a stallazione di Gaia, cunfigurà l'indirizzu IP attuale è selezziunate un repertoriu / root quantità adatta di spaziu. U percentuale di cartulari chì avete deve esse apprussimatamente sopravvive, aduprà output df -h.
15) À u mumentu di sceglie u tipu di stallazione "Tipu di installazione" sceglite a prima opzione, postu chì u più prubabile ùn avete micca MDS (Multi-Domain Server). Se MDS, allora avete gestitu parechji domini da diverse entità SMS à u stessu tempu. In stu casu, vi tocca à sceglie a seconda opzione.
Figura 15. Selezziunà u tipu di stallazione Gaia
16) U puntu più impurtante chì ùn pò esse currettu senza reinstalling hè a scelta di l'entità. Deve sceglie Gestione di a Sicurezza è cliccate Next. Tuttu u restu hè per difettu.
Figura 16. Selezziunà un tipu d'entità quandu installate Gaia
17) Una volta u dispusitivu reboots, cunnette vi à l 'interfaccia web usendu o un altru indirizzu IP se l'avete cambiatu.
18) Trasferisce i paràmetri da i screenshots à tutte e tabulazioni di u Portale Gaia in quale qualcosa hè stata cunfigurata, o eseguite u cumandimu da clish cunfigurazione di carica .txt. Stu schedariu di cunfigurazione deve esse prima caricatu in SMS.
Vita: A causa di u fattu chì u SO hè novu, WinSCP ùn vi permetterà micca di cunnette cum'è amministratore, cambià a cunchiglia di l'utilizatore à /bin/bash sia in l'interfaccia web in a tabulazione Users, sia inserendu u cumandamentu. chsh -s /bin/bash o creà un novu utilizatore.
19) Caricate u schedariu cù e pulitiche esportate da u vechju servitore di gestione à qualsiasi repertoriu. Allora andate à a cunsola in modu espertu è verificate chì a quantità di hash MD5 currisponde à u precedente. Altrimenti, l'esportazione deve esse fatta di novu:
md5sum / / .tgz
20) Repetite u passu 6 è installate l'Upgrade Tools nantu à u novu SMS in Gaia Portal in a tabulazione Upgrades (CPUSE)> Status and Actions.
21) Inserite u cumandamentu in modu espertu:
./migrate_server import -v R80.40 -skip_upgrade_tools_check / / .tgz
Figura 17. Importazione di una pulitica di sicurità à un novu SMS
22) Habilita i servizii cù u cumandamentu cpstart.
23) Scaricate un novu è cunnette à u servitore di gestione. Andà à Menu > Gestisce licenze è pacchetti (SmartUpdate) è verificate chì avete sempre a vostra licenza.
Figura 18. Verificate licenze installate
24) Stabilite a pulitica di sicurità nantu à u gateway o cluster - Stallà a pulitica.
Actualizazione di u Gateway di Sicurezza (SG).
U Gateway di Sicurezza pò esse aghjurnatu via CPUSE, cum'è u servitore di gestione, o installatu di novu - installazione fresca. Da a mo sperienza, in u 99% di i casi, ognunu reinstalle Security Gateway per u fattu chì ci vole quasi u stessu tempu cum'è l'aghjurnamentu via CPUSE, ma avete un OS pulitu, aghjurnatu senza bug.
Per analogia cù l'SMS, prima avete bisognu di creà una copia di salvezza è snapshot, è ancu salvà i paràmetri da Gaia Portal. Vede i punti 1, 2 è 3 in a sezione "Aggiornamentu di u Servitore di Gestione di Sicurezza".
Aghjurnà cù CPUSE
L'aghjurnamentu di u Gateway di Sicurezza via CPUSE hè esattamente u listessu cum'è l'aghjurnà u Servitore di Gestione di Sicurezza, per quessa, fate un riferimentu à u principiu di l'articulu.
Puntu impurtante: l'aghjurnamentu di SG richiede riavvia! Dunque, aghjurnà durante a finestra di mantenimentu. Se tenete un cluster, aghjurnà u node passivu prima, dopu cambiate roli è aghjurnà l'altru node. In u casu di un cluster, i finestri di mantenimentu ponu esse evitati.
Installazione di una nova versione di u sistema operativu nantu à Security Gateway
1.1) In casu avete un veru SG
1.1.1) Utilizà una unità flash USB bootable cù una maghjina hè creata . L'imaghjini hè listessa cum'è in SMS, ma a prucedura per creà una unità flash bootable pare un pocu sfarente.
1.1.2) I ricumandemu di preparà almenu 2 unità flash bootable, postu chì succede chì u flash drive ùn hè micca sempre leggibile.
1.1.3) Cum'è amministratore in u vostru urdinatore, eseguite ISOmorphic.exe. In u passu 1, selezziunate l'imaghjini telecaricati di Gaia R80.40, in u passu 4 u flash drive. Cambia i punti 2 è 3 Nisun bisognu!
Figura 19. Crià una unità flash USB bootable
1.1.4) Selezziunà un articulu "Installa automaticamente senza cunferma", è hè impurtante indicà u mudellu di u vostru Gateway di Sicurezza - linee 2 o 3. Se questu hè un sandbox fisicu (SandBlast Appliance), selezziunate a linea 5.
Figura 20. Selezziunà un mudellu di dispusitivu per creà una unità flash USB bootable
1.1.5) In seguitu, disattivà u upline, inserisci u flash drive in u portu USB, cunnette u cable di cunsola via u portu COM à u dispusitivu è accende u gateway. U prucessu di stallazione succede automaticamente. Indirizzu IP predeterminatu - 192.168.1.1/24, è infurmazione di login amministratore / amministratore. Duvete aghjurnà prima nodu passivu, dopu installate una pulitica nantu à questu, cambiate roli è dopu aghjurnà un altru node. Probabilmente avete bisognu di una finestra di mantenimentu.
1.1.6) U prossimu passu hè di cunnette à l'interfaccia web in Gaia Portal, induve si passa per a prima inizializazione di u dispusitivu. Durante l'inizializazione, in fondu, pressu Propriu, perchè quasi tutti i paràmetri ponu esse cambiati in u futuru. Tuttavia, pudete cambià immediatamente l'indirizzu IP, i paràmetri DNS è u nome d'ospite.
1.2) In casu avete un SG virtuale
1.2.1) Crea una nova macchina virtuale cù i stessi risorse (CPU, RAM, HDD) o più, postu chì a versione R80.40 hè un pocu più esigenti. Per evità un cunflittu di l'indirizzi IP, disattiveghjanu u vechju gateway è cuminciate à installà un novu cù u stessu indirizzu IP. U vechju SG pò esse sguassatu in modu sicuru, postu chì ùn ci hè nunda di valore, perchè tutte e cose più impurtanti - a pulitica di sicurità - sò situate in u servitore di gestione.
1.2.2) Durante a stallazione di u SO, cunfigurà l'indirizzu IP attuale è selezziunate un cartulare / root quantità adatta di spaziu.
3) Cunnettete à a porta via u portu HTTPS è principià u prucessu di inizializazione. À u tempu di sceglie u tipu di stallazione "Tipu di installazione" sceglite a prima opzione - Security Gateway è / o Security Management.
Figura 21. Selezziunà u tipu di stallazione Gaia
4) U puntu più impurtante hè a scelta di l'entità (Prodotti). Deve sceglie Passeru di Sicurezza è, se avete un cluster, verificate a casella "L'unità hè una parte di un cluster, tipu: ClusterXL". Sì avete un cluster VRRP, allora sceglite stu tipu, ma hè improbabile.
Figura 22. Selezziunà un tipu d'entità quandu installate Gaia
5) In u prossimu passu, stabilisce a password SIC una volta per stabilisce a fiducia cù u servitore di gestione. Utilizendu sta password, un certificatu hè generatu, è u servitore di gestione cumunicarà cù a porta nantu à un canale di cumunicazione criptatu. Marca di cuntrollu "Connettate à a vostra gestione cum'è serviziu" deve esse stabilitu se u servitore di gestione hè situatu in u nuvulu. Recentemente avemu scrittu annantu à questu è quantu faciule è simplice hè u servitore di gestione di nuvola.
Figura 23. Creazione di SIC
6) Cumincià u prucessu di inizializazione nantu à a tabulazione dopu. Appena u dispusitivu si riavvia, cunnetta à l'interfaccia web è trasferisce i paràmetri da i screenshots à tutte e tabulazioni Gaia Portal in quale qualcosa hè stata cunfigurata, o eseguite u cumandimu da clish. cunfigurazione di carica .txt. Stu schedariu di cunfigurazione deve esse prima caricatu à a porta di sicurità.
Vita: A causa di u fattu chì u SO hè novu, WinSCP ùn vi permetterà micca di cunnette cum'è amministratore, cambià a cunchiglia di l'utilizatore à /bin/bash sia in l'interfaccia web in a tabulazione Users, sia inserendu u cumandamentu. chsh -s /bin/bash o creanu un novu utilizatore cù questa cunchiglia.
7) Apertura è andate in l'ughjettu Security Gateway chì avete appena reinstallatu. Aprite a tabulazione Pruprietà generale> Comunicazione> Reset SIC è inserite a password specificata in u passu 5.
Figura 24: Stabbilimentu di a fiducia cù a nova porta di sicurità
8) A versione Gaia di l'ughjettu deve cambià, s'ellu ùn hè micca cambiatu, cambia manualmente. Allora installate a pulitica nantu à a porta.
9) In Gaia Portal, andate à a tabulazione Upgrades (CPUSE) > Status and Actions > Hotfixes è stallà l'ultime hotfix. U dispusitivu entrerà in riavvia durante l'installazione!
10) In casu di un cluster, cambiate i roli di i nodi è fate i stessi passi per un altru node.
cunchiusioni
Aghju pruvatu à fà a guida più chjara è cumpleta per l'aghjurnamentu da a versione R80.20/R80.30 à l'attuale R80.40, postu chì assai hà cambiatu. Versione hè digià apparsu in modu demo, ma a prucedura di aghjurnamentu ferma più o menu identica. Guidata da l'ufficiale da u Check Point, pudete capisce tutti i dettagli.
Per ogni quistione pudete cuntattateci. Seremu felici di aiutà cù l'aghjurnamenti è i casi più cumplessi cum'è parte di u nostru supportu tecnicu . Ancu nantu à u nostru hè pussibule di urdinà un auditu di i paràmetri di u Check Point o lascià liberu per un casu tecnicu.
. Restate sintonizzati (, , , , ).
Source: www.habr.com
