BolеIl y a deux ans, nous écrivions que chaque administrateur de Check Point était tôt ou tard confronté au problème de la mise à jour vers une nouvelle version. Dans ce une mise à niveau de la version R77.30 vers R80.10 a été décrite. À propos, en janvier 2020, R77.30 est devenu une version certifiée du FSTEC. Cependant, beaucoup de choses ont changé chez Check Point en 2 ans. Dans l'article "» décrit toutes les innovations, qui sont nombreuses. Cet article décrira la procédure de mise à jour de manière aussi détaillée que possible.
Comme vous le savez, il existe 2 options pour implémenter Check Point : autonome et distribué, c'est-à-dire sans serveur de gestion dédié et avec un serveur dédié. L'option Distribué est fortement recommandée pour plusieurs raisons :
-
la charge sur les ressources de la passerelle est minimisée ;
-
Vous n'avez pas besoin de planifier une fenêtre de maintenance pour travailler sur le serveur de gestion ;
-
fonctionnement adéquat de SmartEvent, car il est peu probable qu'il fonctionne dans la version autonome ;
-
Il est fortement recommandé de créer un cluster de passerelles dans la configuration distribuée.
Compte tenu de tous les avantages de la configuration distribuée, nous envisagerons de mettre à niveau le serveur de gestion et la passerelle de sécurité séparément.
Mise à jour du serveur de gestion de la sécurité (SMS)
Il existe 2 manières de mettre à jour SMS :
-
via CPUSE (via le portail Gaia)
-
à l'aide des outils de migration (installation propre requise - nouvelle installation)
La mise à jour à l'aide de CPUSE n'est pas recommandée par les collègues de Check Point car elle ne mettra pas à jour la version de votre système de fichiers et votre noyau. Cependant, cette méthode ne nécessite pas de migration de politiques et est beaucoup plus rapide et simple que la seconde méthode.
Une nouvelle installation et une migration des stratégies à l’aide des outils de migration sont la méthode recommandée. En plus du nouveau système de fichiers et du noyau du système d'exploitation, il arrive souvent que la base de données SMS soit obstruée, et une installation propre à cet égard est une excellente solution pour ajouter de la vitesse au serveur.
1) La première étape de toute mise à jour consiste à créer des sauvegardes et des instantanés. Si vous disposez d'un serveur de gestion physique, une sauvegarde doit être effectuée à partir de l'interface Web du portail Gaia. Allez dans l'onglet Maintenance > Sauvegarde du système > Sauvegarde. Ensuite, vous spécifiez l'emplacement où enregistrer la sauvegarde. Il peut s'agir d'un serveur SCP, FTP, TFTP ou localement sur l'appareil, mais vous devrez ensuite télécharger cette sauvegarde sur un serveur ou un ordinateur ultérieurement.
Figure 1. Création d'une sauvegarde dans Gaia Portal
2) Ensuite, vous devez prendre un instantané dans l'onglet Maintenance → Gestion des instantanés → Nouveau. La différence entre les sauvegardes et les instantanés réside dans le fait que les instantanés stockent davantage d'informations, notamment tous les correctifs installés. Cependant, il vaut mieux faire les deux.
Si votre serveur de gestion est installé en tant que machine virtuelle, il est alors recommandé de faire une sauvegarde de la machine virtuelle à l'aide des outils d'hyperviseur intégrés. C'est tout simplement plus rapide et plus fiable.
Figure 2. Création d'un instantané dans le portail Gaia
3) Enregistrez la configuration de l'appareil depuis le portail Gaia. Vous pouvez capturer tous les onglets de paramètres du portail Gaia ou saisir la commande depuis Clish. enregistrer la configuration. Ensuite, transférez le fichier sur votre PC à l'aide de WinSCP ou d'un autre client.
Figure 3. Enregistrement de la configuration dans un fichier texte)
Noter: si WinSCP ne vous permet pas de vous connecter, remplacez le shell utilisateur par /bin/bash soit dans l'interface Web dans l'onglet Utilisateurs, soit en entrant la commande chsh –s /bin/bash.
Mise à jour avec CPUSE
4) Les 3 premières étapes sont obligatoires pour toute option de mise à jour. Si vous décidez d'emprunter un chemin de mise à jour plus simple, dans l'interface Web, accédez à l'onglet Mises à niveau (CPUSE) > État et actions > Versions majeures > Check Point R80.40 Gaia Fresh Installation et mise à niveau. Faites un clic droit sur cette mise à jour et sélectionnez Vérificateur. Le processus de vérification démarrera pendant quelques minutes, après quoi vous verrez un message indiquant que l'appareil peut être mis à jour. Si vous voyez des erreurs, elles doivent être corrigées.
Figure 4. Mise à jour via CPUSE
5) Mise à jour vers la dernière version de CDT (Central Deployment Tool) - un utilitaire qui s'exécute sur le serveur de gestion et vous permet d'installer des mises à jour, des service packs, de gérer des sauvegardes, des instantanés, des scripts et bien plus encore. Une version CDT obsolète peut entraîner des problèmes de mise à jour. Vous pouvez télécharger CDT sur .
6) Après avoir placé l'archive téléchargée sur SMS dans n'importe quel répertoire via WinSCP, connectez-vous via SSH à SMS et passez en mode expert. Je vous rappelle que l'utilisateur WinSCP doit disposer d'un shell / bin / bash!
7) Entrez les commandes :
cd /un chemin vers CDT/
tar-zxvf .tgz
rpm -Uhv —forcer CPcdt-00-00.i386.rpm
Figure 5. Installation de l'outil de déploiement central (CDT)
8) L'étape suivante consiste à installer l'image R80.40. Clic droit sur mise à jour Télécharger, puis Installer. Gardez à l'esprit que la mise à jour prendra 20 à 30 minutes et que le serveur de gestion sera indisponible pendant un certain temps. Il est donc logique de convenir d’une fenêtre de service.
9) Toutes les licences et politiques de sécurité sont enregistrées, vous devez donc ensuite en télécharger une nouvelle. .
10) Connectez-vous à la nouvelle SmartConsole SMS et définissez des politiques de sécurité. Bouton Politique d'installation dans le coin supérieur gauche.
11) Votre SMS a été mis à jour, vous devez ensuite installer le dernier correctif. Dans l'onglet Mises à niveau (CPUSE) > État et actions > Correctifs cliquez sur le bouton droit de la souris Vérificateurpuis Installer la mise à jour. L'appareil redémarrera après avoir installé la mise à jour.
Figure 6. Installation du dernier correctif via CPUSE
Mise à jour avec les outils de migration
4) Tout d'abord, vous devez également mettre à jour vers la dernière version de CDT - points 5, 6, 7 de la section "Mettre à jour à l'aide de CPUSE."
5) Installez le package d'outils de migration requis pour migrer les politiques à partir du serveur de gestion. Selon ce vous pouvez trouver des outils de migration pour les versions : R80.20, R80.20 M1, R80.20 M2, R80.30, R80.40. Vous devez télécharger les outils de migration de la version vers lequel vous souhaitez mettre à jour, et pas celui que vous avez actuellement ! Dans notre cas, c'est R80.40.
6) Ensuite, dans l'interface Web SMS, allez dans l'onglet Mises à niveau (CPUSE) > État et actions > Importer le package > Parcourir > Sélectionnez le fichier téléchargé > Importer.
Figure 7. Importation d'outils de migration
7) Depuis le mode expert sur SMS, vérifiez que le package Migration Tools est installé à l'aide de la commande (le résultat de la commande doit correspondre au numéro indiqué dans le nom de l'archive Migration Tools) :
cpprod_util CPPROD_GetValue CPupgrade-tools-R80.40 BuildNumber 1
Figure 8. Vérification de l'installation des outils de migration
8) Accédez au dossier $FWDIR/scripts sur le serveur de gestion :
cd $FWDIR/scripts
9) Exécutez le vérificateur de pré-mise à niveau à l'aide de la commande (s'il y a des erreurs, corrigez-les avant les étapes suivantes) :
./migrate_server verify -v R80.40
Noter: si vous voyez une erreur "Échec de la récupération du package des outils de mise à niveau", mais vous avez vérifié que l'importation de l'archive a réussi (voir point 4), utilisez la commande :
./migrate_server verify -v R80.40 -skip_upgrade_tools_check
Figure 9. Exécution du script de vérification
10) Exportez les politiques de sécurité à l'aide de la commande :
./migrate_server export -v R80.40 / / .tgz
Figure 10. Exportation d'une politique de sécurité
Noter: si vous voyez une erreur "Échec de la récupération du package des outils de mise à niveau", mais vous avez vérifié que l'archive a bien été importée (étape 7), utilisez la commande :
./migrate_server export -skip_upgrade_tools_check -v R80.40 / / .tgz
11) Calculez la somme de hachage MD5 et enregistrez le résultat de la commande :
somme md5 / / .tgz
Figure 11. Calcul de la somme de hachage MD5
12) À l'aide de WinSCP, déplacez ce fichier sur votre ordinateur.
13) Entrez la commande df -h et économisez le pourcentage de répertoires en fonction de l'espace occupé.
Figure 12. Pourcentage d'annuaires par SMS
14.1) Au cas où vous auriez un vrai SMS
14.1.1) Utilisation une clé USB amorçable avec une image est créée .
14.1.2) Je recommande de préparer au moins 2 clés USB bootables, car il arrive que la clé USB ne soit pas toujours lisible.
14.1.3) En tant qu'administrateur sur votre ordinateur, exécutez ISOmorphic.exe. À l'étape 1, sélectionnez l'image téléchargée de Gaia R80.40, à l'étape 4 la clé USB. Changer les points 2 et 3 ne pas!
Figure 13. Création d'une clé USB amorçable
14.1.4) Sélectionnez un élément "Installer automatiquement sans confirmation" et il est important de préciser le modèle de votre serveur de gestion. Dans le cas des SMS, vous devez sélectionner la ligne 3 ou 4.
Figure 14. Sélection d'un modèle de périphérique pour créer une clé USB amorçable
14.1.5) Ensuite, vous désactivez la ligne ascendante, insérez la clé USB dans le port USB, connectez le câble de la console via le port COM à l'appareil et activez les SMS. Le processus d'installation se déroule automatiquement. Adresse IP par défaut - 192.168.1.1/24, et informations de connexion administrateur / administrateur.
14.1.6) L'étape suivante consiste à se connecter à l'interface web sur Gaia Portal (adresse par défaut ), où vous passez par l'initialisation de l'appareil. Pendant l'initialisation, vous appuyez essentiellement sur Ensuite, car presque tous les paramètres peuvent être modifiés à l'avenir. Cependant, vous pouvez immédiatement modifier l'adresse IP, les paramètres DNS et le nom d'hôte.
14.2) Si vous avez des SMS virtuels
14.2.1) Vous ne devez en aucun cas supprimer l'ancien SMS ; créer une nouvelle machine virtuelle avec les mêmes ressources (CPU, RAM, HDD) et la même adresse IP. D'ailleurs, vous pouvez ajouter de la RAM et du disque dur, puisque la version R80.40 est un peu plus gourmande. Pour éviter les conflits d'adresses IP, désactivez l'ancien SMS et commencez à en installer un nouveau.
14.2.2) Lors de l'installation de Gaia, configurez l'adresse IP actuelle et sélectionnez un répertoire / Root quantité d'espace adéquate. Le pourcentage de répertoires dont vous disposez devrait être d'environ survivre, utiliser la sortie df -h.
15) Au moment de choisir le type d'installation « Type d'installation » choisissez la première option, car vous n'avez probablement pas de MDS (Multi-Domain Server). Si vous êtes MDS, vous gérez simultanément plusieurs domaines de différentes entités SMS. Dans ce cas, vous devez sélectionner le deuxième élément.
Figure 15. Sélection du type d'installation de Gaia
16) Le point le plus important qui ne peut être corrigé sans réinstaller est le choix de l'entité. Devrait choisir Gestion de la sécurité et cliquez sur Suivant. Tout le reste est par défaut.
Figure 16. Sélection d'un type d'entité lors de l'installation de Gaia
17) Une fois l'appareil redémarré, connectez-vous à l'interface Web en utilisant ou une adresse IP différente si vous l'avez modifiée.
18) Transférez les paramètres des captures d'écran vers tous les onglets du portail Gaia dans lesquels quelque chose a été configuré, ou exécutez la commande depuis clish configuration de charge .SMS. Ce fichier de configuration doit d'abord être téléchargé sur SMS.
Noter: En raison du fait que le système d'exploitation est nouveau, WinSCP ne vous permettra pas de vous connecter en tant qu'administrateur, de changer le shell utilisateur en /bin/bash soit dans l'interface Web dans l'onglet Utilisateurs, soit en entrant la commande chsh –s /bin/bash ou créez un nouvel utilisateur.
19) Téléchargez le fichier avec les politiques exportées de l'ancien serveur de gestion vers n'importe quel répertoire. Rendez-vous ensuite sur la console en mode expert et vérifiez que le montant du hachage MD5 correspond au précédent. Sinon, il faudra refaire l'export :
md5sum / / .tgz
20) Répétez l'étape 6 et installez les outils de mise à niveau sur le nouveau SMS dans le portail Gaia dans l'onglet Mises à niveau (CPUSE) > Statut et actions.
21) Saisissez la commande en mode expert :
./migrate_server import -v R80.40 -skip_upgrade_tools_check / / .tgz
Figure 17. Importation d'une politique de sécurité dans un nouveau SMS
22) Activez les services avec la commande cpstart.
23) Téléchargez-en un nouveau et connectez-vous au serveur de gestion. Aller à Menu > Gérer les licences et les packages (SmartUpdate) et vérifiez que vous avez toujours votre permis.
Figure 18. Vérification des licences installées
24) Définissez la politique de sécurité sur la passerelle ou le cluster - Politique d'installation.
Mise à jour de la passerelle de sécurité (SG)
La passerelle de sécurité peut être mise à jour via CPUSE, tout comme le serveur de gestion, ou réinstallée - nouvelle installation. D'après mon expérience, dans 99% des cas, tout le monde réinstalle Security Gateway car cela prend presque le même temps que la mise à jour via CPUSE, mais vous obtenez un système d'exploitation propre et mis à jour sans bugs.
Par analogie avec SMS, vous devez d'abord créer une sauvegarde et un instantané, puis enregistrer les paramètres du portail Gaia. Se référer aux points 1, 2 et 3 de la section "Mise à jour du serveur de gestion de la sécurité".
Mise à jour avec CPUSE
La mise à jour de Security Gateway via CPUSE est exactement la même chose que la mise à jour de Security Management Server, veuillez donc vous référer au début de l'article.
Point important : la mise à jour SG nécessite redémarrer! Par conséquent, mettez à jour pendant la fenêtre de maintenance. Si vous disposez d'un cluster, mettez d'abord à niveau le nœud passif, puis changez de rôle et mettez à niveau l'autre nœud. Dans le cas d'un cluster, les fenêtres de maintenance peuvent être évitées.
Installation d'une nouvelle version du système d'exploitation sur Security Gateway
1.1) Si vous possédez un vrai SG
1.1.1) Utilisation une clé USB amorçable avec une image est créée . L'image est la même que sur SMS, mais la procédure de création d'une clé USB amorçable est un peu différente.
1.1.2) Je recommande de préparer au moins 2 clés USB bootables, car il arrive que la clé USB ne soit pas toujours lisible.
1.1.3) En tant qu'administrateur sur votre ordinateur, exécutez ISOmorphic.exe. À l'étape 1, sélectionnez l'image téléchargée de Gaia R80.40, à l'étape 4 la clé USB. Changer les points 2 et 3 ne pas!
Figure 19. Création d'une clé USB amorçable
1.1.4) Sélectionnez un élément "Installer automatiquement sans confirmation", et il est important d'indiquer le modèle de votre Security Gateway - lignes 2 ou 3. S'il s'agit d'un sandbox physique (SandBlast Appliance), alors sélectionnez la ligne 5.
Figure 20. Sélection d'un modèle de périphérique pour créer une clé USB amorçable
1.1.5) Ensuite, vous éteignez la ligne ascendante, insérez la clé USB dans le port USB, connectez le câble de la console via le port COM à l'appareil et allumez la passerelle. Le processus d'installation se déroule automatiquement. Adresse IP par défaut - 192.168.1.1/24, et informations de connexion administrateur / administrateur. Vous devriez d'abord mettre à jour nœud passif, puis installez une stratégie dessus, changez de rôle, puis mettez à jour un autre nœud. Vous aurez probablement besoin d’une fenêtre de service.
1.1.6) L'étape suivante consiste à vous connecter à l'interface Web du portail Gaia, où vous effectuez la première initialisation de l'appareil. Pendant l'initialisation, vous appuyez essentiellement sur Ensuite, car presque tous les paramètres peuvent être modifiés à l'avenir. Cependant, vous pouvez immédiatement modifier l'adresse IP, les paramètres DNS et le nom d'hôte.
1.2) Dans le cas où vous disposez d'un SG virtuel
1.2.1) Créer une nouvelle machine virtuelle avec les mêmes ressources (CPU, RAM, HDD) ou plus, puisque la version R80.40 est un peu plus gourmande. Pour éviter un conflit d'adresses IP, désactivez l'ancienne passerelle et commencez à en installer une nouvelle avec la même adresse IP. L'ancien SG peut être supprimé en toute sécurité, car il n'a rien de précieux, car toutes les choses les plus importantes - la politique de sécurité - se trouvent sur le serveur de gestion.
1.2.2) Lors de l'installation du système d'exploitation, configurez l'adresse IP actuelle et sélectionnez un répertoire / Root quantité d'espace adéquate.
3) Connectez-vous à la passerelle via le port HTTPS et lancez le processus d'initialisation. Au moment du choix du type d'installation « Type d'installation » sélectionnez la première option - Security Gateway et/ou Security Management.
Figure 21. Sélection du type d'installation de Gaia
4) Le point le plus important est le choix de l'entité (Produits). Devrait choisir Passerelle de sécurité et, si vous avez un cluster, cochez la case "L'unité fait partie d'un cluster, tapez : ClusterXL". Si vous disposez d'un cluster VRRP, choisissez ce type, mais c'est peu probable.
Figure 22. Sélection d'un type d'entité lors de l'installation de Gaia
5) À l'étape suivante, définissez le mot de passe à usage unique SIC pour établir la confiance avec le serveur de gestion. À l'aide de ce mot de passe, un certificat est généré et le serveur de gestion communiquera avec la passerelle via un canal de communication crypté. Coche « Connectez-vous à votre Management as a Service » doit être défini si le serveur de gestion est situé dans le cloud. Nous avons récemment écrit à ce sujet et à quel point le serveur de gestion cloud est pratique et simple.
Figure 23. Création du SIC
6) Démarrez le processus d'initialisation sur l'onglet suivant. Dès que l'appareil redémarre, connectez-vous à l'interface Web et transférez les paramètres des captures d'écran vers tous les onglets du portail Gaia dans lesquels quelque chose a été configuré, ou exécutez la commande depuis clish configuration de charge .SMS. Ce fichier de configuration doit d'abord être téléchargé sur la passerelle de sécurité.
Noter: En raison du fait que le système d'exploitation est nouveau, WinSCP ne vous permettra pas de vous connecter en tant qu'administrateur, de changer le shell utilisateur en /bin/bash soit dans l'interface Web dans l'onglet Utilisateurs, soit en entrant la commande chsh –s /bin/bash ou créez un nouvel utilisateur avec ce shell.
7) Ouvert et accédez à l'objet Security Gateway que vous venez de réinstaller. Ouvrez l'onglet Propriétés générales > Communication > Réinitialiser SIC et entrez le mot de passe spécifié à l'étape 5.
Figure 24 : Établir la confiance avec la nouvelle passerelle de sécurité
8) La version Gaia de l'objet doit changer, si elle ne change pas, modifiez-la manuellement. Installez ensuite la stratégie sur la passerelle.
9) Dans Gaia Portal, allez dans l'onglet Mises à niveau (CPUSE) > État et actions > Correctifs et installez le dernier correctif. L'appareil entrera en redémarrer pendant l'installation!
10) Dans le cas d'un cluster, modifiez les rôles des nœuds et effectuez les mêmes étapes pour un autre nœud.
Conclusion
J'ai essayé de créer le guide le plus clair et le plus complet pour la mise à niveau de la version R80.20/R80.30 vers la R80.40 actuellement actuelle, car beaucoup de choses ont changé. Version est déjà apparu en mode démo, mais la procédure de mise à jour reste plus ou moins identique. Guidé par le fonctionnaire depuis Check Point, vous pouvez comprendre vous-même tous les détails.
Pour toute question vous pouvez nous contacter. Nous serons heureux de vous aider avec les mises à jour et les cas les plus complexes dans le cadre de notre support technique . Également sur notre il est possible de commander un audit des paramètres de Check Point ou de le laisser gratuit pour un cas technique.
. Restez à l'écoute (, , , , ).
Source: habr.com