BolеVor zwei Jahren haben wir geschrieben, dass jeder Check Point-Administrator früher oder später vor dem Problem steht, auf eine neue Version zu aktualisieren. In diesem Es wurde ein Upgrade von Version R77.30 auf R80.10 beschrieben. Übrigens wurde R2020 im Januar 77.30 eine zertifizierte Version von FSTEC. Allerdings hat sich am Check Point in 2 Jahren viel verändert. Im Artikel "“ beschreibt alle Innovationen, von denen es viele gibt. In diesem Artikel wird der Update-Vorgang so detailliert wie möglich beschrieben.
Wie Sie wissen, gibt es zwei Möglichkeiten, Check Point zu implementieren: Standalone und Distributed, also ohne dedizierten Verwaltungsserver und mit einem dedizierten. Die verteilte Option wird aus mehreren Gründen dringend empfohlen:
-
die Belastung der Gateway-Ressourcen wird minimiert;
-
Sie müssen kein Wartungsfenster einplanen, um am Verwaltungsserver arbeiten zu können.
-
ausreichender Betrieb von SmartEvent, da es in der Standalone-Version wahrscheinlich nicht funktioniert;
-
Es wird dringend empfohlen, einen Cluster von Gateways in der verteilten Konfiguration aufzubauen.
Angesichts aller Vorteile der verteilten Konfiguration werden wir ein separates Upgrade des Verwaltungsservers und des Sicherheitsgateways in Betracht ziehen.
Aktualisierung des Sicherheitsverwaltungsservers (SMS).
Es gibt zwei Möglichkeiten, SMS zu aktualisieren:
-
über CPUSE (über Gaia Portal)
-
Verwendung von Migrationstools (Neuinstallation erforderlich – Neuinstallation)
Die Aktualisierung mit CPUSE wird von Check Point-Kollegen nicht empfohlen, da dadurch Ihre Dateisystemversion und Ihr Kernel nicht aktualisiert werden. Diese Methode erfordert jedoch keine Migration von Richtlinien und ist viel schneller und einfacher als die zweite Methode.
Eine Neuinstallation und Migration von Richtlinien mithilfe von Migrationstools ist die empfohlene Methode. Zusätzlich zum neuen Dateisystem und Betriebssystemkernel kommt es häufig vor, dass die SMS-Datenbank verstopft wird, und eine Neuinstallation in dieser Hinsicht ist eine hervorragende Lösung, um die Geschwindigkeit des Servers zu erhöhen.
1) Der erste Schritt bei jedem Update besteht darin, Backups und Snapshots zu erstellen. Wenn Sie über einen physischen Verwaltungsserver verfügen, sollte eine Sicherung über die Weboberfläche des Gaia-Portals erstellt werden. Gehen Sie zur Registerkarte Wartung > Systemsicherung > Sicherung. Als Nächstes geben Sie den Speicherort für die Sicherung an. Dies kann ein SCP-, FTP-, TFTP-Server oder lokal auf dem Gerät sein, aber dann müssen Sie dieses Backup später auf einen Server oder Computer hochladen.
Abbildung 1. Erstellen eines Backups im Gaia-Portal
2) Als nächstes sollten Sie einen Schnappschuss im Tab machen Wartung → Snapshot-Management → Neu. Der Unterschied zwischen Backups und Snapshots besteht darin, dass Snapshots mehr Informationen speichern, einschließlich aller installierten Hotfixes. Es ist jedoch besser, beides zu tun.
Wenn Ihr Verwaltungsserver als virtuelle Maschine installiert ist, wird empfohlen, mithilfe der integrierten Hypervisor-Tools ein Backup der virtuellen Maschine zu erstellen. Es ist einfach schneller und zuverlässiger.
Abbildung 2. Erstellen eines Snapshots im Gaia-Portal
3) Speichern Sie die Gerätekonfiguration vom Gaia Portal. Sie können einen Screenshot aller Einstellungsregisterkarten im Gaia-Portal erstellen oder den Befehl über Clish eingeben Konfiguration speichern. Übertragen Sie die Datei anschließend mit WinSCP oder einem anderen Client auf Ihren PC.
Abbildung 3. Speichern der Konfiguration in einer Textdatei)
Beachten: Wenn WinSCP keine Verbindung zulässt, ändern Sie die Benutzer-Shell entweder in der Weboberfläche auf der Registerkarte „Benutzer“ oder durch Eingabe des Befehls in „/bin/bash“. chsh –s /bin/bash.
Aktualisierung mit CPUSE
4) Die ersten 3 Schritte sind für jede Update-Option obligatorisch. Wenn Sie sich für einen einfacheren Update-Weg entscheiden, gehen Sie in der Weboberfläche auf die Registerkarte Upgrades (CPUSE) > Status und Aktionen > Hauptversionen > Check Point R80.40 Gaia Fresh Install und Upgrade. Klicken Sie mit der rechten Maustaste auf dieses Update und wählen Sie es aus Prüfer. Der Verifizierungsprozess beginnt für einige Minuten. Anschließend wird eine Meldung angezeigt, dass das Gerät aktualisiert werden kann. Wenn Sie Fehler sehen, müssen diese korrigiert werden.
Abbildung 4. Update über CPUSE
5) Aktualisieren Sie auf die neueste Version von CDT (Central Deployment Tool) – einem Dienstprogramm, das auf dem Verwaltungsserver ausgeführt wird und Ihnen die Installation von Updates, Service Packs, die Verwaltung von Backups, Snapshots, Skripts und vieles mehr ermöglicht. Eine veraltete CDT-Version kann zu Problemen beim Update führen. Sie können CDT unter herunterladen .
6) Nachdem Sie das heruntergeladene Archiv auf SMS in einem beliebigen Verzeichnis über WinSCP abgelegt haben, verbinden Sie sich über SSH mit SMS und wechseln Sie in den Expertenmodus. Ich möchte Sie daran erinnern, dass der WinSCP-Benutzer über eine Shell verfügen muss / bin / bash!
7) Geben Sie die Befehle ein:
cd /somepathtoCDT/
tar -zxvf .tgz
rpm -Uhv – CPcdt-00-00.i386.rpm erzwingen
Abbildung 5. Installation des Central Deployment Tool (CDT)
8) Der nächste Schritt besteht darin, das R80.40-Image zu installieren. Klicken Sie mit der rechten Maustaste auf „Aktualisieren“. Herunterladen, dann Installieren. Beachten Sie, dass das Update 20 bis 30 Minuten dauern wird und der Verwaltungsserver einige Zeit nicht verfügbar sein wird. Daher ist es sinnvoll, ein Servicefenster zu vereinbaren.
9) Alle Lizenzen und Sicherheitsrichtlinien werden gespeichert. Als nächstes sollten Sie eine neue herunterladen .
10) Stellen Sie eine Verbindung zu SMS New SmartConsole her und legen Sie Sicherheitsrichtlinien fest. Taste Richtlinie installieren in der oberen linken Ecke.
11) Ihre SMS wurde aktualisiert, dann sollten Sie den neuesten Hotfix installieren. In der Registerkarte Upgrades (CPUSE) > Status und Aktionen > Hotfixes klicken Sie auf die rechte Maustaste VerifiziererDann Installiere Update. Nach der Installation des Updates führt das Gerät einen Neustart durch.
Abbildung 6. Installation des neuesten Hotfixes über CPUSE
Aktualisierung mit Migrationstools
4) Zunächst sollten Sie auch auf die neueste Version von CDT aktualisieren – Punkte 5, 6, 7 aus Abschnitt „Update mit CPUSE.“
5) Installieren Sie das Migration Tools-Paket, das zum Migrieren von Richtlinien vom Verwaltungsserver erforderlich ist. Demzufolge Sie finden Migrationstools für die Versionen: R80.20, R80.20 M1, R80.20 M2, R80.30, R80.40. Sie sollten die Migrationstools der jeweiligen Version herunterladen auf die Sie aktualisieren möchten, und nicht das, was Sie jetzt haben! In unserem Fall sind es R80.40.
6) Als nächstes gehen Sie in der SMS-Weboberfläche auf die Registerkarte Upgrades (CPUSE) > Status und Aktionen > Paket importieren > Durchsuchen > Heruntergeladene Datei auswählen > Importieren.
Abbildung 7. Migrationstools importieren
7) Überprüfen Sie im Expertenmodus von SMS, ob das Migration Tools-Paket mit dem Befehl installiert ist (die Ausgabe des Befehls muss mit der Nummer im Namen des Migration Tools-Archivs übereinstimmen):
cpprod_util CPPROD_GetValue CPupgrade-tools-R80.40 BuildNumber 1
Abbildung 8. Überprüfen der Installation der Migrationstools
8) Gehen Sie zum Ordner $FWDIR/scripts auf dem Verwaltungsserver:
cd $FWDIR/scripts
9) Führen Sie die Überprüfung vor dem Upgrade mit dem folgenden Befehl aus (falls Fehler auftreten, korrigieren Sie diese vor weiteren Schritten):
./migrate_server verify -v R80.40
Beachten: Wenn Sie einen Fehler sehen „Fehler beim Abrufen des Upgrade-Tools-Pakets“, aber Sie haben überprüft, dass das Archiv erfolgreich importiert wurde (siehe Punkt 4), verwenden Sie den Befehl:
./migrate_server verify -v R80.40 -skip_upgrade_tools_check
Abbildung 9. Ausführen des Verifizierungsskripts
10) Exportieren Sie Sicherheitsrichtlinien mit dem folgenden Befehl:
./migrate_server export -v R80.40 / / .tgz
Abbildung 10. Exportieren einer Sicherheitsrichtlinie
Beachten: Wenn Sie einen Fehler sehen „Fehler beim Abrufen des Upgrade-Tools-Pakets“, aber Sie haben überprüft, dass das Archiv erfolgreich importiert wurde (Schritt 7), verwenden Sie den Befehl:
./migrate_server export -skip_upgrade_tools_check -v R80.40 / / .tgz
11) Berechnen Sie die MD5-Hash-Summe und speichern Sie die Ausgabe des Befehls:
md5sum / / .tgz
Abbildung 11. Berechnung der MD5-Hash-Summe
12) Verschieben Sie diese Datei mit WinSCP auf Ihren Computer.
13) Geben Sie den Befehl ein df -h und sparen Sie sich den Prozentsatz der Verzeichnisse basierend auf dem belegten Speicherplatz.
Abbildung 12. Prozentsatz der Verzeichnisse pro SMS
14.1) Falls Sie eine echte SMS haben
14.1.1) Verwendung Es wird ein bootfähiger USB-Stick mit einem Image erstellt .
14.1.2) Ich empfehle, mindestens 2 bootfähige Flash-Laufwerke vorzubereiten, da es vorkommen kann, dass das Flash-Laufwerk nicht immer lesbar ist.
14.1.3) Als Administrator auf Ihrem Computer ausführen ISOmorphic.exe. Wählen Sie in Schritt 1 das heruntergeladene Image von Gaia R80.40 aus, in Schritt 4 das Flash-Laufwerk. Ändern Sie die Punkte 2 und 3 nicht nötig!
Abbildung 13. Erstellen eines bootfähigen USB-Flash-Laufwerks
14.1.4) Wählen Sie ein Element aus „Automatisch ohne Bestätigung installieren“ und es ist wichtig, das Modell Ihres Verwaltungsservers anzugeben. Bei SMS sollten Sie die Leitung 3 oder 4 wählen.
Abbildung 14. Auswählen eines Gerätemodells zum Erstellen eines bootfähigen USB-Flash-Laufwerks
14.1.5) Als nächstes schalten Sie die Upline aus, stecken das Flash-Laufwerk in den USB-Port, verbinden das Konsolenkabel über den COM-Port mit dem Gerät und aktivieren SMS. Der Installationsvorgang erfolgt automatisch. Standard-IP-Adresse – 192.168.1.1/24, und Anmeldeinformationen Administrator / Administrator.
14.1.6) Der nächste Schritt besteht darin, eine Verbindung zur Webschnittstelle im Gaia-Portal herzustellen (Standardadresse). ), wo Sie die Geräteinitialisierung durchführen. Während der Initialisierung drücken Sie grundsätzlich Nächstes denn fast alle Einstellungen können in Zukunft geändert werden. Sie können jedoch die IP-Adresse, die DNS-Einstellungen und den Hostnamen sofort ändern.
14.2) Falls Sie virtuelle SMS haben
14.2.1) Löschen Sie auf keinen Fall die alte SMS, sondern erstellen Sie eine neue virtuelle Maschine mit denselben Ressourcen (CPU, RAM, HDD) und derselben IP-Adresse. Man kann übrigens RAM und HDD hinzufügen, da die R80.40-Version etwas anspruchsvoller ist. Um IP-Adresskonflikte zu vermeiden, deaktivieren Sie die alte SMS und beginnen Sie mit der Installation einer neuen.
14.2.2) Konfigurieren Sie während der Installation von Gaia die aktuelle IP-Adresse und wählen Sie ein Verzeichnis aus / Root ausreichend Platz. Der Prozentsatz der Verzeichnisse, die Sie haben, sollte ungefähr sein Überleben, Ausgabe verwenden df -h.
15) Zum Zeitpunkt der Auswahl der Installationsart "Installationstyp" Wählen Sie die erste Option, da Sie höchstwahrscheinlich keinen MDS (Multi-Domain Server) haben. Bei MDS haben Sie viele Domänen von verschiedenen SMS-Entitäten gleichzeitig verwaltet. In diesem Fall sollten Sie die zweite Option wählen.
Abbildung 15. Auswahl des Gaia-Installationstyps
16) Der wichtigste Punkt, der ohne Neuinstallation nicht korrigiert werden kann, ist die Wahl der Entität. Sollte aussuchen Sicherheitsmanagement und drücken Sie Weiter. Alles andere ist Standard.
Abbildung 16. Auswahl eines Entitätstyps bei der Installation von Gaia
17) Stellen Sie nach dem Neustart des Geräts eine Verbindung zur Weboberfläche her oder eine andere IP-Adresse, wenn Sie diese geändert haben.
18) Übertragen Sie die Einstellungen aus den Screenshots auf alle Gaia-Portal-Registerkarten, in denen etwas konfiguriert wurde, oder führen Sie den Befehl aus clish aus Konfiguration laden .txt. Diese Konfigurationsdatei muss zunächst auf SMS hochgeladen werden.
Beachten: Aufgrund der Tatsache, dass das Betriebssystem neu ist, erlaubt Ihnen WinSCP nicht, eine Verbindung als Administrator herzustellen, die Benutzer-Shell entweder in der Weboberfläche auf der Registerkarte „Benutzer“ oder durch Eingabe des Befehls in /bin/bash zu ändern chsh –s /bin/bash oder einen neuen Benutzer erstellen.
19) Laden Sie die Datei mit den exportierten Richtlinien vom alten Verwaltungsserver in ein beliebiges Verzeichnis hoch. Gehen Sie dann im Expertenmodus zur Konsole und überprüfen Sie, ob die MD5-Hash-Menge mit der vorherigen übereinstimmt. Andernfalls sollte der Export erneut durchgeführt werden:
md5sum / / .tgz
20) Wiederholen Sie Schritt 6 und installieren Sie die Upgrade-Tools auf der neuen SMS im Gaia-Portal auf der Registerkarte Upgrades (CPUSE) > Status und Aktionen.
21) Geben Sie den Befehl im Expertenmodus ein:
./migrate_server import -v R80.40 -skip_upgrade_tools_check / / .tgz
Abbildung 17. Importieren einer Sicherheitsrichtlinie in eine neue SMS
22) Aktivieren Sie Dienste mit dem Befehl cpstart.
23) Laden Sie ein neues herunter und stellen Sie eine Verbindung zum Verwaltungsserver her. Gehe zu Menü > Lizenzen und Pakete verwalten (SmartUpdate) und prüfen Sie, ob Sie noch Ihren Führerschein haben.
Abbildung 18. Überprüfen der installierten Lizenzen
24) Legen Sie die Sicherheitsrichtlinie für das Gateway oder den Cluster fest. Richtlinie installieren.
Security Gateway (SG)-Update
Das Security Gateway kann, genau wie der Management Server, über CPUSE aktualisiert oder neu installiert werden - Neuinstallation. Meiner Erfahrung nach installiert jeder Security Gateway in 99 % der Fälle neu, da die Aktualisierung fast genauso lange dauert wie die Aktualisierung über CPUSE, Sie erhalten jedoch ein sauberes, aktualisiertes Betriebssystem ohne Fehler.
Analog zu SMS müssen Sie zunächst ein Backup und einen Snapshot erstellen und auch die Einstellungen aus dem Gaia-Portal speichern. Siehe Punkte 1, 2 und 3 im Abschnitt „Aktualisierung des Sicherheitsverwaltungsservers“.
Aktualisierung mit CPUSE
Das Aktualisieren des Security Gateway über CPUSE ist genau dasselbe wie das Aktualisieren des Security Management Servers. Lesen Sie daher bitte den Anfang des Artikels.
Wichtiger Punkt: SG-Update erforderlich neustarten! Aktualisieren Sie daher während des Wartungsfensters. Wenn Sie über einen Cluster verfügen, aktualisieren Sie zuerst den passiven Knoten, wechseln Sie dann die Rollen und aktualisieren Sie den anderen Knoten. Im Falle eines Clusters können Wartungsfenster vermieden werden.
Installieren einer neuen Betriebssystemversion auf Security Gateway
1.1) Falls Sie ein echtes SG haben
1.1.1) Verwendung Es wird ein bootfähiger USB-Stick mit einem Image erstellt . Das Bild ist das gleiche wie bei SMS, aber das Verfahren zum Erstellen eines bootfähigen Flash-Laufwerks sieht etwas anders aus.
1.1.2) Ich empfehle, mindestens 2 bootfähige Flash-Laufwerke vorzubereiten, da es vorkommen kann, dass das Flash-Laufwerk nicht immer lesbar ist.
1.1.3) Als Administrator auf Ihrem Computer ausführen ISOmorphic.exe. Wählen Sie in Schritt 1 das heruntergeladene Image von Gaia R80.40 aus, in Schritt 4 das Flash-Laufwerk. Ändern Sie die Punkte 2 und 3 nicht nötig!
Abbildung 19. Erstellen eines bootfähigen USB-Flash-Laufwerks
1.1.4) Wählen Sie ein Element aus „Automatisch ohne Bestätigung installieren“, und es ist wichtig, das Modell Ihres Sicherheits-Gateways anzugeben – Zeile 2 oder 3. Wenn es sich um eine physische Sandbox (SandBlast Appliance) handelt, wählen Sie Zeile 5 aus.
Abbildung 20. Auswählen eines Gerätemodells zum Erstellen eines bootfähigen USB-Flash-Laufwerks
1.1.5) Als nächstes schalten Sie die Upline aus, stecken das Flash-Laufwerk in den USB-Port, verbinden das Konsolenkabel über den COM-Port mit dem Gerät und schalten das Gateway ein. Der Installationsvorgang erfolgt automatisch. Standard-IP-Adresse – 192.168.1.1/24, und Anmeldeinformationen Administrator / Administrator. Sie sollten zuerst aktualisieren passiver Knoten, installieren Sie dann eine Richtlinie darauf, wechseln Sie die Rollen und aktualisieren Sie dann einen anderen Knoten. Sie benötigen höchstwahrscheinlich ein Servicefenster.
1.1.6) Der nächste Schritt besteht darin, sich mit der Weboberfläche des Gaia-Portals zu verbinden, wo Sie die erste Initialisierung des Geräts durchführen. Während der Initialisierung drücken Sie grundsätzlich Nächstes denn fast alle Einstellungen können in Zukunft geändert werden. Sie können jedoch die IP-Adresse, die DNS-Einstellungen und den Hostnamen sofort ändern.
1.2) Falls Sie eine virtuelle SG haben
1.2.1) Erstellen Sie eine neue virtuelle Maschine mit den gleichen Ressourcen (CPU, RAM, HDD) oder mehr, da die R80.40-Version etwas anspruchsvoller ist. Um einen Konflikt zwischen IP-Adressen zu vermeiden, schalten Sie das alte Gateway aus und beginnen Sie mit der Installation eines neuen mit derselben IP-Adresse. Das alte SG kann bedenkenlos gelöscht werden, da sich darauf nichts Wertvolles befindet, da sich alle wichtigen Dinge – die Sicherheitsrichtlinie – auf dem Verwaltungsserver befinden.
1.2.2) Konfigurieren Sie während der Betriebssysteminstallation die aktuelle IP-Adresse und wählen Sie ein Verzeichnis aus / Root ausreichend Platz.
3) Stellen Sie über den HTTPS-Port eine Verbindung zum Gateway her und beginnen Sie mit dem Initialisierungsprozess. Zum Zeitpunkt der Auswahl des Installationstyps "Installationstyp" Wählen Sie die erste Option – Security Gateway und/oder Security Management.
Abbildung 21. Auswahl des Gaia-Installationstyps
4) Der wichtigste Punkt ist die Wahl der Entität (Produkte). Sollte aussuchen Sicherheits-Gateway und wenn Sie einen Cluster haben, aktivieren Sie das Kontrollkästchen „Einheit ist Teil eines Clusters, Typ: ClusterXL“. Wenn Sie über einen VRRP-Cluster verfügen, wählen Sie diesen Typ, aber das ist unwahrscheinlich.
Abbildung 22. Auswahl eines Entitätstyps bei der Installation von Gaia
5) Legen Sie im nächsten Schritt das SIC-Einmalpasswort fest, um Vertrauen zum Verwaltungsserver herzustellen. Mit diesem Passwort wird ein Zertifikat generiert und der Verwaltungsserver kommuniziert über einen verschlüsselten Kommunikationskanal mit dem Gateway. Häkchen „Verbinden Sie sich mit Ihrem Management as a Service“ sollte eingestellt werden, wenn sich der Verwaltungsserver in der Cloud befindet. Wir haben erst kürzlich darüber geschrieben und wie bequem und einfach der Cloud-Management-Server ist.
Abbildung 23. Erstellung von SIC
6) Starten Sie den Initialisierungsprozess auf der nächsten Registerkarte. Sobald das Gerät neu startet, verbinden Sie sich mit der Weboberfläche und übertragen Sie die Einstellungen aus den Screenshots auf alle Gaia-Portal-Tabs, in denen etwas konfiguriert wurde, oder führen Sie den Befehl von clish aus Konfiguration laden .txt. Diese Konfigurationsdatei muss zunächst auf das Sicherheitsgateway hochgeladen werden.
Beachten: Aufgrund der Tatsache, dass das Betriebssystem neu ist, erlaubt Ihnen WinSCP nicht, eine Verbindung als Administrator herzustellen, die Benutzer-Shell entweder in der Weboberfläche auf der Registerkarte „Benutzer“ oder durch Eingabe des Befehls in /bin/bash zu ändern chsh –s /bin/bash oder erstellen Sie einen neuen Benutzer mit dieser Shell.
7) Öffnen und gehen Sie zu dem Security Gateway-Objekt, das Sie gerade neu installiert haben. Öffnen Sie die Registerkarte Allgemeine Eigenschaften > Kommunikation > SIC zurücksetzen und geben Sie das in Schritt 5 angegebene Passwort ein.
Abbildung 24: Vertrauensaufbau mit dem neuen Sicherheitsgateway
8) Die Gaia-Version des Objekts sollte sich ändern. Wenn sie sich nicht ändert, ändern Sie sie manuell. Anschließend installieren Sie die Richtlinie auf dem Gateway.
9) Gehen Sie im Gaia-Portal zur Registerkarte Upgrades (CPUSE) > Status und Aktionen > Hotfixes und installieren Sie den neuesten Hotfix. Das Gerät geht hinein neu starten Während der Installation!
10) Im Falle eines Clusters ändern Sie die Rollen der Knoten und führen Sie die gleichen Schritte für einen anderen Knoten durch.
Abschluss
Ich habe versucht, eine möglichst klare und umfassende Anleitung für das Upgrade von Version R80.20/R80.30 auf die aktuelle R80.40 zu erstellen, da sich viel geändert hat. Ausführung ist bereits im Demo-Modus erschienen, der Update-Vorgang bleibt jedoch mehr oder weniger identisch. Vom Beamten geführt Von Check Point aus können Sie alle Details selbst herausfinden.
Bei Fragen können Sie uns gerne kontaktieren. Gerne helfen wir Ihnen auch bei komplexesten Updates und Fällen im Rahmen unseres technischen Supports weiter . Auch auf unserem Es ist möglich, ein Audit der Check Point-Einstellungen zu bestellen oder es kostenlos zu lassen für einen technischen Fall.
. Bleiben Sie dran (, , , , ).
Source: habr.com