BolеFor to år siden skrev vi, at alle Check Point-administratorer før eller siden står over for problemet med at opdatere til en ny version. Heri en opgradering fra version R77.30 til R80.10 blev beskrevet. I januar 2020 blev R77.30 i øvrigt en certificeret version af FSTEC. Meget har dog ændret sig hos Check Point på 2 år. I artiklen "” beskriver alle innovationerne, som der er mange af. Denne artikel vil beskrive opdateringsproceduren så detaljeret som muligt.
Der er som bekendt 2 muligheder for at implementere Check Point: Standalone og Distributed, det vil sige uden en dedikeret administrationsserver og med en dedikeret. Den distribuerede mulighed anbefales stærkt af flere grunde:
-
belastningen på gateway-ressourcerne minimeres;
-
Du behøver ikke at planlægge et vedligeholdelsesvindue for at arbejde på administrationsserveren;
-
passende drift af SmartEvent, da det er usandsynligt, at det fungerer i den selvstændige version;
-
Det anbefales stærkt at bygge en klynge af gateways i den distribuerede konfiguration.
I betragtning af alle fordelene ved den distribuerede konfiguration vil vi overveje at opgradere administrationsserveren og sikkerhedsgatewayen separat.
Security Management Server (SMS) opdatering
Der er 2 måder at opdatere SMS på:
-
via CPUSE (via Gaia Portal)
-
ved hjælp af migrationsværktøjer (ren installation påkrævet - frisk installation)
Opdatering ved hjælp af CPUSE anbefales ikke af Check Point-kolleger, da det ikke vil opdatere din filsystemversion og -kerne. Denne metode kræver dog ikke migrering af politikker og er meget hurtigere og enklere end den anden metode.
En ren installation og migrering af politikker ved hjælp af migrationsværktøjer er den anbefalede metode. Ud over det nye filsystem og OS-kerne sker det ofte, at SMS-databasen bliver tilstoppet, og en ren installation i denne henseende er en glimrende løsning til at tilføje hastighed til serveren.
1) Det første trin i enhver opdatering er at oprette sikkerhedskopier og snapshots. Hvis du har en fysisk administrationsserver, skal der laves en sikkerhedskopi fra Gaia Portals webgrænseflade. Gå til fanen Vedligeholdelse > Systemsikkerhedskopiering > Sikkerhedskopiering. Dernæst angiver du placeringen for at gemme sikkerhedskopien. Dette kan være en SCP-, FTP-, TFTP-server eller lokalt på enheden, men så skal du uploade denne backup til en server eller computer senere.
Figur 1. Oprettelse af en sikkerhedskopi i Gaia Portal
2) Dernæst skal du tage et øjebliksbillede i fanen Vedligeholdelse → Snapshot Management → Ny. Forskellen mellem sikkerhedskopier og snapshots er, at snapshots gemmer flere oplysninger, inklusive alle installerede hotfixes. Det er dog bedre at gøre begge dele.
Hvis din administrationsserver er installeret som en virtuel maskine, så anbefales det at tage backup af den virtuelle maskine ved hjælp af de indbyggede hypervisorværktøjer. Det er simpelthen hurtigere og mere pålideligt.
Figur 2. Oprettelse af et snapshot i Gaia Portal
3) Gem enhedskonfigurationen fra Gaia Portal. Du kan screenshotte alle indstillingsfanerne, der er i Gaia Portal, eller indtaste kommandoen fra Clish gemme konfiguration. Tag derefter filen til din pc ved hjælp af WinSCP eller en anden klient.
Figur 3. Gem konfigurationen til en tekstfil)
Bemærk: hvis WinSCP ikke tillader dig at oprette forbindelse, skal du ændre brugerskallen til /bin/bash enten i webgrænsefladen på fanen Brugere eller ved at indtaste kommandoen chsh –s /bin/bash.
Opdatering med CPUSE
4) De første 3 trin er obligatoriske for enhver opdateringsmulighed. Hvis du beslutter dig for at tage en enklere opdateringssti, skal du gå til fanen i webgrænsefladen Opgraderinger (CPUSE) > Status og handlinger > Større versioner > Check Point R80.40 Gaia Fresh Installation and Upgrade. Højreklik på denne opdatering og vælg Verifikator. Bekræftelsesprocessen starter i et par minutter, hvorefter du vil se en besked om, at enheden kan opdateres. Hvis du ser fejl, skal de rettes.
Figur 4. Opdatering via CPUSE
5) Opdater til den nyeste version af CDT (Central Deployment Tool) - et hjælpeprogram, der kører på administrationsserveren og giver dig mulighed for at installere opdateringer, servicepakker, administrere sikkerhedskopier, snapshots, scripts og meget mere. En forældet CDT-version kan forårsage problemer med opdateringen. Du kan downloade CDT på .
6) Efter at have placeret det downloadede arkiv på SMS i en hvilken som helst mappe via WinSCP, tilslut via SSH til SMS og gå ind i eksperttilstand. Lad mig minde dig om, at WinSCP-brugeren skal have en shell / bin / bash!
7) Indtast kommandoerne:
cd /somepathtoCDT/
tar -zxvf .tgz
rpm -Uhv —force CPcdt-00-00.i386.rpm
Figur 5. Installation af Central Deployment Tool (CDT)
8) Næste trin er at installere R80.40-billedet. Højreklik på opdatering download, derefter Installer. Husk, at opdateringen vil tage 20-30 minutter, og administrationsserveren vil være utilgængelig i nogen tid. Derfor giver det mening at aftale et servicevindue.
9) Alle licenser og sikkerhedspolitikker gemmes, så herefter skal du downloade en ny .
10) Opret forbindelse til SMS nye SmartConsole og indstil sikkerhedspolitikker. Knap Installationspolitik i øverste venstre hjørne.
11) Din SMS er blevet opdateret, så skal du installere det seneste hotfix. I fanen Opgraderinger (CPUSE) > Status og handlinger > Hotfixes klik på højre museknap verifikator, så Installer opdatering. Enheden genstarter sig selv efter installation af opdateringen.
Figur 6. Installation af det seneste hotfix via CPUSE
Opdatering med migrationsværktøjer
4) Først bør du også opdatere til den nyeste version af CDT - punkt 5, 6, 7 fra afsnittet "Opdater ved hjælp af CPUSE."
5) Installer Migration Tools-pakken, der kræves for at migrere politikker fra administrationsserveren. Ifølge denne du kan finde migrationsværktøjer til versioner: R80.20, R80.20 M1, R80.20 M2, R80.30, R80.40. Du bør downloade migrationsværktøjer af versionen som du vil opdatere til, og ikke den du har nu! I vores tilfælde er det 80.40 kr.
6) Gå derefter til fanen i SMS-webgrænsefladen Opgraderinger (CPUSE) > Status og handlinger > Importer pakke > Gennemse > Vælg den downloadede fil > Importer.
Figur 7. Import af migreringsværktøjer
7) Fra eksperttilstand på SMS skal du kontrollere, at Migration Tools-pakken er installeret ved hjælp af kommandoen (outputtet af kommandoen skal svare til nummeret i navnet på Migration Tools-arkivet):
cpprod_util CPPROD_GetValue CPupgrade-tools-R80.40 BuildNumber 1
Figur 8. Bekræftelse af installationen af migrationsværktøjer
8) Gå til mappen $FWDIR/scripts på administrationsserveren:
cd $FWDIR/scripts
9) Kør pre-upgrade verifier ved hjælp af kommandoen (hvis der er fejl, ret dem før yderligere trin):
./migrate_server verify -v R80.40
Bemærk: hvis du ser en fejl "Kunne ikke hente Upgrade Tools-pakken", men du har kontrolleret, at arkivet blev importeret korrekt (se punkt 4), skal du bruge kommandoen:
./migrate_server verify -v R80.40 -skip_upgrade_tools_check
Figur 9. Kørsel af verifikationsscriptet
10) Eksporter sikkerhedspolitikker ved hjælp af kommandoen:
./migrate_server eksport -v R80.40 / / .tgz
Figur 10. Eksport af en sikkerhedspolitik
Bemærk: hvis du ser en fejl "Kunne ikke hente Upgrade Tools-pakken", men du har kontrolleret, at arkivet blev importeret korrekt (trin 7), skal du bruge kommandoen:
./migrate_server eksport -skip_upgrade_tools_check -v R80.40 / / .tgz
11) Beregn MD5-hashsummen og gem outputtet fra kommandoen:
md5sum / / .tgz
Figur 11. Beregning af MD5 hash sum
12) Brug WinSCP til at flytte denne fil til din computer.
13) Indtast kommandoen df -h og spar dig selv for procentdelen af mapper baseret på den besatte plads.
Figur 12. Procent af telefonbøger pr. SMS
14.1) Hvis du har en rigtig SMS
14.1.1) Brug af et bootbart USB-flashdrev med et billede oprettes .
14.1.2) Jeg anbefaler at forberede mindst 2 bootbare flashdrev, da det sker, at flashdrevet ikke altid er læsbart.
14.1.3) Kør som administrator på din computer ISOmorphic.exe. I trin 1 skal du vælge det downloadede billede af Gaia R80.40, i trin 4 flashdrevet. Skift punkt 2 og 3 Intet behov!
Figur 13. Oprettelse af et bootbart USB-flashdrev
14.1.4) Vælg et element "Installer automatisk uden bekræftelse" og det er vigtigt at specificere modellen for din administrationsserver. Ved SMS skal du vælge linje 3 eller 4.
Figur 14. Valg af en enhedsmodel for at oprette et bootbart USB-flashdrev
14.1.5) Dernæst slukker du for upline, indsætter flashdrevet i USB-porten, tilslutter konsolkablet via COM-porten til enheden og aktiverer SMS. Installationsprocessen sker automatisk. Standard IP-adresse - 192.168.1.1/24og loginoplysninger admin / admin.
14.1.6) Det næste trin er at oprette forbindelse til webgrænsefladen på Gaia Portal (standardadresse ), hvor du gennemgår enhedsinitialisering. Under initialiseringen trykker du stort set Dernæst fordi næsten alle indstillinger kan ændres i fremtiden. Du kan dog straks ændre IP-adressen, DNS-indstillingerne og værtsnavnet.
14.2) Hvis du har virtuel SMS
14.2.1) Du må under ingen omstændigheder slette den gamle SMS; opret en ny virtuel maskine med de samme ressourcer (CPU, RAM, HDD) og den samme IP-adresse. I øvrigt kan du tilføje RAM og HDD, da R80.40-versionen er lidt mere krævende. For at undgå IP-adressekonflikter skal du slukke for den gamle SMS og begynde at installere en ny.
14.2.2) Under installationen af Gaia skal du konfigurere den aktuelle IP-adresse og vælge en mappe / Root tilstrækkelig plads. Procentdelen af mapper, du har, bør være ca overleve, brug output df -h.
15) På tidspunktet for valg af installationstype "Installationstype" vælg den første mulighed, da du højst sandsynligt ikke har MDS (Multi-Domain Server). Hvis MDS, så administrerede du mange domæner fra forskellige SMS-enheder på samme tid. I dette tilfælde skal du vælge det andet element.
Figur 15. Valg af Gaia installationstype
16) Det vigtigste punkt, der ikke kan rettes uden at geninstallere, er valget af enhed. Bør vælge Sikkerhedsstyring og klik Næste. Alt andet er som standard.
Figur 16. Valg af en enhedstype ved installation af Gaia
17) Når enheden genstarter, skal du oprette forbindelse til webgrænsefladen ved hjælp af eller en anden IP-adresse, hvis du har ændret den.
18) Overfør indstillingerne fra skærmbillederne til alle Gaia Portal-faner, hvor noget var konfigureret, eller kør kommandoen fra clish belastningskonfiguration .txt. Denne konfigurationsfil skal først uploades til SMS.
Bemærk: På grund af det faktum, at operativsystemet er nyt, vil WinSCP ikke tillade dig at oprette forbindelse som administrator, ændre brugerskallen til /bin/bash enten i webgrænsefladen på fanen Brugere eller ved at indtaste kommandoen chsh –s /bin/bash eller oprette en ny bruger.
19) Upload filen med eksporterede politikker fra den gamle administrationsserver til en hvilken som helst mappe. Gå derefter til konsollen i eksperttilstand og tjek, at MD5-hash-mængden matcher den forrige. Ellers skal eksporten udføres igen:
md5sum / / .tgz
20) Gentag trin 6 og installer Upgrade Tools på den nye SMS i Gaia Portal på fanen Opgraderinger (CPUSE) > Status og handlinger.
21) Indtast kommandoen i eksperttilstand:
./migrate_server import -v R80.40 -skip_upgrade_tools_check / / .tgz
Figur 17. Import af en sikkerhedspolitik til en ny SMS
22) Aktiver tjenester med kommandoen cpstart.
23) Download en ny og opret forbindelse til administrationsserveren. Gå til Menu > Administrer licenser og pakker (SmartUpdate) og kontroller, at du stadig har din licens.
Figur 18. Kontrol af installerede licenser
24) Indstil sikkerhedspolitikken på gatewayen eller klyngen - Installationspolitik.
Opdatering af sikkerhedsgateway (SG).
Sikkerhedsgatewayen kan opdateres via CPUSE, ligesom administrationsserveren, eller installeres igen - frisk installation. Fra min erfaring geninstallerer alle Security Gateway i 99% af tilfældene, fordi det tager næsten samme tid som opdatering via CPUSE, men du får et rent, opdateret OS uden fejl.
Analogt med SMS skal du først oprette en sikkerhedskopi og snapshot og også gemme indstillingerne fra Gaia Portal. Der henvises til punkt 1, 2 og 3 i afsnittet "Sikkerhedsstyringsserveropdatering".
Opdatering med CPUSE
Opdatering af Security Gateway via CPUSE er nøjagtig det samme som at opdatere Security Management Server, så se venligst begyndelsen af artiklen.
Vigtigt punkt: SG-opdatering kræver genstarter! Opdater derfor under vedligeholdelsesvinduet. Hvis du har en klynge, skal du først opgradere den passive node, derefter skifte roller og opgradere den anden node. I tilfælde af en klynge kan vedligeholdelsesvinduer undgås.
Installation af en ny OS-version på Security Gateway
1.1) Hvis du har en rigtig SG
1.1.1) Brug af et bootbart USB-flashdrev med et billede oprettes . Billedet er det samme som på SMS, men proceduren for at oprette et bootbart flashdrev ser lidt anderledes ud.
1.1.2) Jeg anbefaler at forberede mindst 2 bootbare flashdrev, da det sker, at flashdrevet ikke altid er læsbart.
1.1.3) Kør som administrator på din computer ISOmorphic.exe. I trin 1 skal du vælge det downloadede billede af Gaia R80.40, i trin 4 flashdrevet. Skift punkt 2 og 3 Intet behov!
Figur 19. Oprettelse af et bootbart USB-flashdrev
1.1.4) Vælg et element "Installer automatisk uden bekræftelse", og det er vigtigt at angive modellen af din Security Gateway - linje 2 eller 3. Hvis dette er en fysisk sandkasse (SandBlast Appliance), så vælg linje 5.
Figur 20. Valg af en enhedsmodel for at oprette et bootbart USB-flashdrev
1.1.5) Derefter slukker du for upline, indsætter flashdrevet i USB-porten, tilslutter konsolkablet via COM-porten til enheden og tænder for gatewayen. Installationsprocessen sker automatisk. Standard IP-adresse - 192.168.1.1/24og loginoplysninger admin / admin. Du bør opdatere først passiv node, installer derefter en politik på den, skift roller og opdater derefter en anden node. Du får højst sandsynligt brug for et servicevindue.
1.1.6) Næste trin er at oprette forbindelse til webgrænsefladen på Gaia Portal, hvor du gennemgår den første initialisering af enheden. Under initialiseringen trykker du stort set Dernæst fordi næsten alle indstillinger kan ændres i fremtiden. Du kan dog straks ændre IP-adressen, DNS-indstillingerne og værtsnavnet.
1.2) Hvis du har en virtuel SG
1.2.1) Opret en ny virtuel maskine med de samme ressourcer (CPU, RAM, HDD) eller mere, da R80.40-versionen er lidt mere krævende. For at undgå en konflikt mellem IP-adresser skal du slukke for den gamle gateway og begynde at installere en ny med samme IP-adresse. Den gamle SG kan sikkert slettes, da der ikke er noget værdifuldt på den, fordi alle de vigtigste ting - sikkerhedspolitikken - er placeret på administrationsserveren.
1.2.2) Under OS-installation skal du konfigurere den aktuelle IP-adresse og vælge en mappe / Root tilstrækkelig plads.
3) Opret forbindelse til gatewayen via HTTPS-porten og start initialiseringsprocessen. På tidspunktet for valg af installationstype "Installationstype" vælg den første mulighed - Security Gateway og/eller Security Management.
Figur 21. Valg af Gaia installationstype
4) Det vigtigste punkt er valget af enhed (Produkter). Bør vælge Sikkerhedsgateway og, hvis du har en klynge, skal du markere afkrydsningsfeltet "Enhed er en del af en klynge, type: ClusterXL". Hvis du har en VRRP-klynge, så vælg denne type, men det er usandsynligt.
Figur 22. Valg af en enhedstype ved installation af Gaia
5) I næste trin skal du indstille SIC-engangsadgangskoden for at etablere tillid til administrationsserveren. Ved hjælp af denne adgangskode genereres et certifikat, og administrationsserveren vil kommunikere med gatewayen via en krypteret kommunikationskanal. Afkrydsning "Opret forbindelse til din Management as a Service" skal indstilles, hvis administrationsserveren er placeret i skyen. Vi har for nylig skrevet om dette og hvor praktisk og enkel cloud management-serveren er.
Figur 23. Oprettelse af SIC
6) Start initialiseringsprocessen på den næste fane. Så snart enheden genstarter, skal du oprette forbindelse til webgrænsefladen og overføre indstillingerne fra skærmbillederne til alle Gaia Portal-faner, hvor noget blev konfigureret, eller køre kommandoen fra clish belastningskonfiguration .txt. Denne konfigurationsfil skal først uploades til sikkerhedsgatewayen.
Bemærk: På grund af det faktum, at operativsystemet er nyt, vil WinSCP ikke tillade dig at oprette forbindelse som administrator, ændre brugerskallen til /bin/bash enten i webgrænsefladen på fanen Brugere eller ved at indtaste kommandoen chsh –s /bin/bash eller opret en ny bruger med denne shell.
7) Åbn og gå ind i Security Gateway-objektet, du lige har geninstalleret. Åbn fanen Generelle egenskaber > Kommunikation > Nulstil SIC og indtast adgangskoden angivet i trin 5.
Figur 24: Etablering af tillid til den nye sikkerhedsgateway
8) Gaia-versionen af objektet skal ændres, hvis det ikke ændres, så skift det manuelt. Installer derefter politikken på gatewayen.
9) Gå til fanen i Gaia Portal Opgraderinger (CPUSE) > Status og handlinger > Hotfixes og installer det seneste hotfix. Enheden vil gå ind genstart under installationen!
10) I tilfælde af en klynge skal du ændre nodernes roller og udføre de samme trin for en anden node.
Konklusion
Jeg forsøgte at lave den mest klare og omfattende guide til opgradering fra version R80.20/R80.30 til den nuværende R80.40, da meget har ændret sig. Version er allerede dukket op i demo-tilstand, men opdateringsproceduren forbliver mere eller mindre identisk. Vejledt af embedsmanden fra Check Point kan du selv finde ud af alle detaljerne.
For eventuelle spørgsmål kan du kontakte os. Vi hjælper gerne med de mest komplekse opdateringer og sager som en del af vores tekniske support . Også på vores det er muligt at bestille en revision af Check Point-indstillinger eller lade det være gratis for en teknisk sag.
. Bliv hængende (, , , , ).
Kilde: www.habr.com