BolеPřed dvěma lety jsme psali, že každý správce Check Point dříve nebo později čelí problému aktualizace na novou verzi. V tomhle byl popsán upgrade z verze R77.30 na R80.10. Mimochodem, v lednu 2020 se R77.30 stal certifikovanou verzí FSTEC. Na Check Point se však za 2 roky hodně změnilo. V článku "“ popisuje všechny novinky, kterých je mnoho. Tento článek bude popisovat postup aktualizace co nejpodrobněji.
Jak víte, existují 2 možnosti implementace Check Point: Standalone a Distributed, to znamená bez vyhrazeného serveru pro správu as vyhrazeným serverem. Možnost Distributed se důrazně doporučuje z několika důvodů:
-
zatížení prostředků brány je minimalizováno;
-
Pro práci na serveru pro správu nemusíte plánovat období údržby;
-
adekvátní provoz SmartEvent, protože je nepravděpodobné, že by fungoval v Standalone verzi;
-
Důrazně se doporučuje vytvořit cluster bran v konfiguraci Distributed.
Vzhledem ke všem výhodám distribuované konfigurace zvážíme upgrade serveru pro správu a bezpečnostní brány samostatně.
Aktualizace serveru pro správu zabezpečení (SMS).
Existují 2 způsoby aktualizace SMS:
-
přes CPUSE (přes Gaia Portal)
-
pomocí migračních nástrojů (vyžaduje čistou instalaci - čerstvá instalace)
Kolegové z Check Point nedoporučují aktualizaci pomocí CPUSE, protože neaktualizuje verzi systému souborů a jádro. Tato metoda však nevyžaduje migraci politik a je mnohem rychlejší a jednodušší než druhá metoda.
Doporučenou metodou je čistá instalace a migrace zásad pomocí nástrojů pro migraci. Kromě nového souborového systému a jádra OS se často stává, že se SMS databáze zanáší a čistá instalace je v tomto ohledu výborným řešením pro zvýšení rychlosti serveru.
1) Prvním krokem každé aktualizace je vytvoření záloh a snímků. Pokud máte fyzický server pro správu, zálohu je třeba provést z webového rozhraní portálu Gaia. Přejděte na kartu Údržba > Záloha systému > Záloha. Dále určíte umístění pro uložení zálohy. Může to být server SCP, FTP, TFTP nebo lokálně na zařízení, ale poté budete muset tuto zálohu nahrát na server nebo počítač později.
Obrázek 1. Vytvoření zálohy v portálu Gaia
2) Dále byste měli pořídit snímek na kartě Údržba → Správa snímků → Nový. Rozdíl mezi zálohami a snímky je v tom, že snímky ukládají více informací, včetně všech nainstalovaných oprav hotfix. Je však lepší udělat obojí.
Pokud je váš server pro správu nainstalován jako virtuální počítač, doporučuje se vytvořit zálohu virtuálního počítače pomocí vestavěných nástrojů hypervizoru. Je to prostě rychlejší a spolehlivější.
Obrázek 2. Vytvoření snímku v portálu Gaia
3) Uložte konfiguraci zařízení z portálu Gaia. Můžete pořídit screenshot všech záložek nastavení, které jsou v Gaia Portal, nebo zadat příkaz z Clishe uložit konfiguraci. Dále přeneste soubor do počítače pomocí WinSCP nebo jiného klienta.
Obrázek 3. Uložení konfigurace do textového souboru)
Poznámka: pokud vám WinSCP neumožňuje připojení, změňte uživatelský shell na /bin/bash buď ve webovém rozhraní v záložce Uživatelé, nebo zadáním příkazu chsh –s /bin/bash.
Aktualizace pomocí CPUSE
4) První 3 kroky jsou povinné pro každou možnost aktualizace. Pokud se rozhodnete pro jednodušší cestu aktualizace, přejděte ve webovém rozhraní na kartu Upgrady (CPUSE) > Stav a akce > Hlavní verze > Čerstvá instalace a aktualizace Check Point R80.40 Gaia. Klikněte pravým tlačítkem na tuto aktualizaci a vyberte Ověřovatel. Proces ověření se spustí na několik minut, poté se zobrazí zpráva, že zařízení lze aktualizovat. Pokud vidíte chyby, je třeba je opravit.
Obrázek 4. Aktualizace přes CPUSE
5) Aktualizace na nejnovější verzi CDT (Central Deployment Tool) - nástroj, který běží na management serveru a umožňuje instalovat aktualizace, servisní balíčky, spravovat zálohy, snímky, skripty a mnoho dalšího. Zastaralá verze CDT může způsobit problémy s aktualizací. CDT si můžete stáhnout na .
6) Po umístění stažený archiv na SMS do libovolného adresáře přes WinSCP se připojte přes SSH k SMS a přejděte do expertního režimu. Dovolte mi připomenout, že uživatel WinSCP musí mít shell / bin / bash!
7) Zadejte příkazy:
cd /somepathtoCDT/
tar -zxvf .tgz
rpm -Uhv —force CPcdt-00-00.i386.rpm
Obrázek 5. Instalace nástroje Central Deployment Tool (CDT)
8) Dalším krokem je instalace obrazu R80.40. Klikněte pravým tlačítkem na aktualizaci Stažení, pak Instalovat. Mějte na paměti, že aktualizace bude trvat 20–30 minut a server pro správu bude nějakou dobu nedostupný. Proto má smysl dohodnout se na servisním okně.
9) Všechny licence a zásady zabezpečení jsou uloženy, takže byste si měli stáhnout novou .
10) Připojte se k SMS nové SmartConsole a nastavte bezpečnostní zásady. Knoflík Instalovat zásady v levém horním rohu.
11) Vaše SMS byla aktualizována, pak byste měli nainstalovat nejnovější opravu hotfix. V záložce Upgrady (CPUSE) > Stav a akce > Opravy hotfix klikněte pravým tlačítkem myši Verifikátor, pak Instalovat aktualizace. Zařízení se po instalaci aktualizace samo restartuje.
Obrázek 6. Instalace nejnovější opravy hotfix přes CPUSE
Aktualizace pomocí nástrojů pro migraci
4) Nejprve byste také měli aktualizovat na nejnovější verzi CDT - body 5, 6, 7 ze sekce "Aktualizovat pomocí CPUSE."
5) Nainstalujte balíček Migration Tools potřebný k migraci zásad ze serveru pro správu. Podle tohoto můžete najít nástroje pro migraci pro verze: R80.20, R80.20 M1, R80.20 M2, R80.30, R80.40. Měli byste si stáhnout migrační nástroje dané verze na který chcete aktualizovat, a ne ten, který máte teď! V našem případě je to R80.40.
6) Dále ve webovém rozhraní SMS přejděte na záložku Upgrady (CPUSE) > Stav a akce > Importovat balíček > Procházet > Vyberte stažený soubor > Importovat.
Obrázek 7. Import migračních nástrojů
7) Z expertního režimu na SMS zkontrolujte, zda je pomocí příkazu nainstalován balíček Migration Tools (výstup příkazu musí odpovídat číslu v názvu archivu Migration Tools):
cpprod_util CPPROD_GetValue CPupgrade-tools-R80.40 BuildNumber 1
Obrázek 8. Ověření instalace nástrojů pro migraci
8) Přejděte do složky $FWDIR/scripts na serveru pro správu:
cd $FWDIR/scripts
9) Spusťte ověřovač před upgradem pomocí příkazu (pokud se vyskytnou chyby, opravte je před dalšími kroky):
./migrate_server ověřit -v R80.40
Poznámka: pokud vidíte chybu „Nepodařilo se načíst balíček nástrojů pro upgrade“, ale zkontrolovali jste, že byl archiv úspěšně importován (viz bod 4), použijte příkaz:
./migrate_server ověřit -v R80.40 -skip_upgrade_tools_check
Obrázek 9. Spuštění ověřovacího skriptu
10) Exportujte zásady zabezpečení pomocí příkazu:
./migrate_server export -v R80.40 / / .tgz
Obrázek 10. Export bezpečnostní politiky
Poznámka: pokud vidíte chybu „Nepodařilo se načíst balíček nástrojů pro upgrade“, ale zkontrolovali jste, že byl archiv úspěšně importován (krok 7), použijte příkaz:
./migrate_server export -skip_upgrade_tools_check -v R80.40 / / .tgz
11) Vypočítejte součet hash MD5 a uložte výstup příkazu:
md5součet / / .tgz
Obrázek 11. Výpočet MD5 hash součtu
12) Pomocí WinSCP přesuňte tento soubor do svého počítače.
13) Zadejte příkaz df -h a ušetříte si procento adresářů na základě obsazeného místa.
Obrázek 12. Procento adresářů na SMS
14.1) V případě, že máte skutečnou SMS
14.1.1) Použití vytvoří se zaváděcí USB flash disk s obrázkem .
14.1.2) Doporučuji připravit si alespoň 2 bootovací flash disky, protože se stává, že flash disk není vždy čitelný.
14.1.3) Jako správce na svém počítači spusťte ISOmorphic.exe. V kroku 1 vyberte stažený obrázek Gaia R80.40, v kroku 4 flash disk. Změňte body 2 a 3 ne!
Obrázek 13. Vytvoření spouštěcí jednotky USB flash
14.1.4) Vyberte položku „Nainstalovat automaticky bez potvrzení“ a je důležité určit model vašeho serveru pro správu. V případě SMS byste měli vybrat linku 3 nebo 4.
Obrázek 14. Výběr modelu zařízení pro vytvoření spouštěcí jednotky USB flash
14.1.5) Dále vypnete upline, vložíte flash disk do USB portu, připojíte konzolový kabel přes COM port k zařízení a povolíte SMS. Proces instalace probíhá automaticky. Výchozí IP adresa - 192.168.1.1/24a přihlašovací údaje admin / admin.
14.1.6) Dalším krokem je připojení k webovému rozhraní na Gaia Portal (výchozí adresa ), kde projdete inicializací zařízení. Během inicializace v podstatě stisknete Dále protože téměř všechna nastavení lze v budoucnu změnit. Můžete však okamžitě změnit IP adresu, nastavení DNS a název hostitele.
14.2) V případě, že máte virtuální SMS
14.2.1) Za žádných okolností nemažte starou SMS, vytvořte nový virtuální stroj se stejnými prostředky (CPU, RAM, HDD) a stejnou IP adresou. Mimochodem, můžete přidat RAM a HDD, protože verze R80.40 je trochu náročnější. Abyste předešli konfliktům IP adres, vypněte starou SMS a začněte instalovat novou.
14.2.2) Během instalace Gaia nakonfigurujte aktuální IP adresu a vyberte adresář / Root dostatečné množství prostoru. Procento adresářů, které máte, by mělo být přibližně přežít, použijte výstup df -h.
15) V okamžiku výběru typu instalace "Typ instalace" vyberte první možnost, protože s největší pravděpodobností nemáte MDS (Multi-Domain Server). Pokud MDS, pak jste spravovali mnoho domén z různých SMS subjektů současně. V tomto případě byste měli vybrat druhou položku.
Obrázek 15. Výběr typu instalace Gaia
16) Nejdůležitějším bodem, který nelze opravit bez přeinstalace, je výběr entity. Měl by si vybrat Správa zabezpečení a klikněte na Next. Vše ostatní je standardně.
Obrázek 16. Výběr typu entity při instalaci Gaia
17) Jakmile se zařízení restartuje, připojte se k webovému rozhraní pomocí nebo jinou IP adresu, pokud jste ji změnili.
18) Přeneste nastavení ze snímků obrazovky na všechny karty portálu Gaia, ve kterých bylo něco nakonfigurováno, nebo spusťte příkaz z clish konfigurace zatížení .txt. Tento konfigurační soubor je nutné nejprve nahrát do SMS.
Poznámka: Vzhledem k tomu, že je OS nový, WinSCP vám neumožní připojit se jako správce, změnit uživatelský shell na /bin/bash ani ve webovém rozhraní v záložce Uživatelé, ani zadáním příkazu chsh –s /bin/bash nebo vytvořte nového uživatele.
19) Nahrajte soubor s exportovanými politikami ze starého serveru pro správu do libovolného adresáře. Poté přejděte do konzole v expertním režimu a zkontrolujte, zda se hodnota hash MD5 shoduje s předchozí. V opačném případě by měl být export proveden znovu:
md5sum / / .tgz
20) Opakujte krok 6 a nainstalujte Upgrade Tools na novou SMS v Gaia Portal v záložce Upgrady (CPUSE) > Stav a akce.
21) Zadejte příkaz v expertním režimu:
./migrate_server import -v R80.40 -skip_upgrade_tools_check / / .tgz
Obrázek 17. Import bezpečnostní politiky do nové SMS
22) Pomocí příkazu povolte služby cpstart.
23) Stáhněte si nový a připojte se k serveru pro správu. Jít do Nabídka > Správa licencí a balíčků (SmartUpdate) a zkontrolujte, zda stále máte licenci.
Obrázek 18. Kontrola nainstalovaných licencí
24) Nastavte bezpečnostní politiku na bráně nebo clusteru - Instalovat zásady.
Aktualizace bezpečnostní brány (SG).
Security Gateway lze aktualizovat pomocí CPUSE, stejně jako server pro správu, nebo znovu nainstalovat - čerstvá instalace. Z mé zkušenosti v 99% případů každý přeinstaluje Security Gateway kvůli tomu, že to trvá skoro stejně dlouho jako aktualizace přes CPUSE, ale dostanete čistý aktualizovaný OS bez chyb.
Analogicky k SMS musíte nejprve vytvořit zálohu a snímek a také uložit nastavení z portálu Gaia. Viz body 1, 2 a 3 v části "Aktualizace serveru pro správu zabezpečení".
Aktualizace pomocí CPUSE
Aktualizace Security Gateway přes CPUSE je úplně stejná jako aktualizace Security Management Serveru, takže se prosím podívejte na začátek článku.
Důležitý bod: Vyžaduje aktualizaci SG restartuje se! Aktualizujte proto během období údržby. Pokud máte cluster, upgradujte nejprve pasivní uzel, poté přepněte role a upgradujte druhý uzel. V případě clusteru se lze vyhnout oknům údržby.
Instalace nové verze operačního systému na Security Gateway
1.1) V případě, že máte skutečný SG
1.1.1) Použití vytvoří se zaváděcí USB flash disk s obrázkem . Obrázek je stejný jako na SMS, ale postup pro vytvoření bootovací flashky vypadá trochu jinak.
1.1.2) Doporučuji připravit si alespoň 2 bootovací flash disky, protože se stává, že flash disk není vždy čitelný.
1.1.3) Jako správce na svém počítači spusťte ISOmorphic.exe. V kroku 1 vyberte stažený obrázek Gaia R80.40, v kroku 4 flash disk. Změňte body 2 a 3 ne!
Obrázek 19. Vytvoření spouštěcí jednotky USB flash
1.1.4) Vyberte položku "Nainstalovat automaticky bez potvrzení", a je důležité uvést model vaší bezpečnostní brány – řádky 2 nebo 3. Pokud se jedná o fyzickou karanténu (SandBlast Appliance), vyberte řádek 5.
Obrázek 20. Výběr modelu zařízení pro vytvoření spouštěcí jednotky USB flash
1.1.5) Dále vypnete upline, vložíte flash disk do USB portu, připojíte konzolový kabel přes COM port k zařízení a zapnete bránu. Proces instalace probíhá automaticky. Výchozí IP adresa - 192.168.1.1/24a přihlašovací údaje admin / admin. Nejprve byste měli aktualizovat pasivní uzel, poté na něj nainstalujte zásadu, přepněte role a poté aktualizujte další uzel. S největší pravděpodobností budete potřebovat okno údržby.
1.1.6) Dalším krokem je připojení k webovému rozhraní na Gaia Portal, kde projdete první inicializací zařízení. Během inicializace v podstatě stisknete Dále protože téměř všechna nastavení lze v budoucnu změnit. Můžete však okamžitě změnit IP adresu, nastavení DNS a název hostitele.
1.2) V případě, že máte virtuální SG
1.2.1) Vytvořte nový virtuální stroj se stejnými prostředky (CPU, RAM, HDD) nebo více, protože verze R80.40 je o něco náročnější. Abyste předešli konfliktu IP adres, vypněte starou bránu a začněte instalovat novou se stejnou IP adresou. Starý SG lze bezpečně smazat, protože na něm není nic cenného, protože všechny nejdůležitější věci - bezpečnostní politika - jsou umístěny na serveru pro správu.
1.2.2) Během instalace OS nakonfigurujte aktuální IP adresu a vyberte adresář / Root dostatečné množství prostoru.
3) Připojte se k bráně přes port HTTPS a spusťte proces inicializace. V době výběru typu instalace "Typ instalace" vyberte první možnost – Security Gateway a/nebo Security Management.
Obrázek 21. Výběr typu instalace Gaia
4) Nejdůležitějším bodem je výběr subjektu (Produktů). Měl by si vybrat Bezpečnostní brána a pokud máte cluster, zaškrtněte políčko „Jednotka je součástí clusteru, typ: ClusterXL“. Pokud máte cluster VRRP, pak zvolte tento typ, ale je to nepravděpodobné.
Obrázek 22. Výběr typu entity při instalaci Gaia
5) V dalším kroku nastavte jednorázové heslo SIC pro vytvoření důvěry se serverem pro správu. Pomocí tohoto hesla se vygeneruje certifikát a server pro správu bude komunikovat s bránou přes šifrovaný komunikační kanál. Značka zaškrtnutí „Připojení ke správě jako služba“ by měl být nastaven, pokud je server pro správu umístěn v cloudu. Nedávno jsme o tom psali a jak pohodlný a jednoduchý je server pro správu cloudu.
Obrázek 23. Vytvoření SIC
6) Spusťte proces inicializace na další kartě. Jakmile se zařízení restartuje, připojte se k webovému rozhraní a přeneste nastavení ze snímků obrazovky do všech záložek Gaia Portal, ve kterých bylo něco nakonfigurováno, nebo spusťte příkaz z clish konfigurace zatížení .txt. Tento konfigurační soubor je nutné nejprve nahrát do bezpečnostní brány.
Poznámka: Vzhledem k tomu, že je OS nový, WinSCP vám neumožní připojit se jako správce, změnit uživatelský shell na /bin/bash ani ve webovém rozhraní v záložce Uživatelé, ani zadáním příkazu chsh –s /bin/bash nebo vytvořte nového uživatele s tímto shellem.
7) Otevřeno a přejděte do objektu Security Gateway, který jste právě přeinstalovali. Otevřete kartu Obecné vlastnosti > Komunikace > Resetovat SIC a zadejte heslo uvedené v kroku 5.
Obrázek 24: Navázání důvěry s novou bezpečnostní bránou
8) Gaia verze objektu by se měla změnit, pokud se nezmění, změňte ji ručně. Poté nainstalujte zásady na bránu.
9) V portálu Gaia přejděte na kartu Upgrady (CPUSE) > Stav a akce > Opravy hotfix a nainstalujte nejnovější opravu hotfix. Zařízení půjde do restartujte počítač během instalace!
10) V případě clusteru změňte role uzlů a proveďte stejné kroky pro jiný uzel.
Závěr
Snažil jsem se udělat co nejpřehlednější a nejkomplexnější návod na upgrade z verze R80.20/R80.30 na aktuální R80.40, protože se toho hodně změnilo. Verze se již objevil v demo režimu, ale postup aktualizace zůstává víceméně stejný. Vedeno úředníkem z Check Point, můžete zjistit všechny podrobnosti sami.
V případě jakýchkoliv dotazů nás můžete kontaktovat. S těmi nejsložitějšími aktualizacemi a případy rádi pomůžeme v rámci naší technické podpory . Také na našem je možné si audit nastavení Check Point objednat nebo nechat zdarma pro technický případ.
. Zůstaňte naladěni (, , , , ).
Zdroj: www.habr.com