BolеHai dous anos, escribimos que todos os administradores de Check Point se enfrontan tarde ou cedo ao problema de actualizar a unha nova versión. Neste describiuse unha actualización da versión R77.30 a R80.10. Por certo, en xaneiro de 2020, R77.30 converteuse nunha versión certificada de FSTEC. Non obstante, moito cambiou en Check Point en 2 anos. No artigo “” describe todas as novidades, das que hai moitas. Este artigo describirá o procedemento de actualización co maior detalle posible.
Como sabedes, hai 2 opcións para implementar Check Point: Autónomo e Distribuído, é dicir, sen un servidor de xestión dedicado e cun dedicado. A opción Distribuída é moi recomendable por varias razóns:
-
minimízase a carga dos recursos da pasarela;
-
Non tes que programar unha ventá de mantemento para traballar no servidor de xestión;
-
funcionamento adecuado de SmartEvent, xa que é pouco probable que funcione na versión Standalone;
-
É moi recomendable construír un clúster de pasarelas na configuración Distribuída.
Dadas todas as vantaxes da configuración distribuída, consideraremos actualizar o servidor de xestión e a pasarela de seguranza por separado.
Actualización do servidor de xestión de seguridade (SMS).
Hai 2 formas de actualizar SMS:
-
vía CPUSE (vía Gaia Portal)
-
usando ferramentas de migración (requírese unha instalación limpa - instalación nova)
Os compañeiros de Check Point non recomendan a actualización mediante CPUSE xa que non actualizará a versión do teu sistema de ficheiros e o núcleo. Non obstante, este método non require migración de políticas e é moito máis rápido e sinxelo que o segundo método.
O método recomendado é unha instalación limpa e unha migración de políticas mediante Ferramentas de migración. Ademais do novo sistema de ficheiros e kernel do sistema operativo, adoita ocorrer que a base de datos de SMS se atasca, e unha instalación limpa neste sentido é unha excelente solución para engadir velocidade ao servidor.
1) O primeiro paso en calquera actualización é crear copias de seguridade e instantáneas. Se tes un servidor de xestión físico, debes facer unha copia de seguridade desde a interface web do portal Gaia. Vaia á pestana Mantemento > Copia de seguranza do sistema > Copia de seguranza. A continuación, especifica a localización para gardar a copia de seguridade. Este pode ser un servidor SCP, FTP, TFTP ou localmente no dispositivo, pero despois terás que cargar esta copia de seguranza nun servidor ou ordenador.
Figura 1. Creación dunha copia de seguridade en Gaia Portal
2) A continuación, debes facer unha instantánea na pestana Mantemento → Xestión de instantáneas → Novo. A diferenza entre as copias de seguridade e as instantáneas é que as instantáneas almacenan máis información, incluíndo todas as correccións instaladas. Non obstante, é mellor facer as dúas cousas.
Se o servidor de xestión está instalado como unha máquina virtual, recoméndase facer unha copia de seguridade da máquina virtual mediante as ferramentas integradas do hipervisor. Simplemente é máis rápido e fiable.
Figura 2. Creando unha instantánea en Gaia Portal
3) Garda a configuración do dispositivo desde Gaia Portal. Podes facer unha captura de pantalla de todas as pestanas de configuración que hai en Gaia Portal ou introducir o comando desde Clish gardar a configuración. A continuación, leva o ficheiro ao teu PC usando WinSCP ou outro cliente.
Figura 3. Gardar a configuración nun ficheiro de texto)
Nota: se WinSCP non che permite conectarte, cambia o shell do usuario a /bin/bash na interface web da pestana Usuarios ou ingresando o comando chsh –s /bin/bash.
Actualizando con CPUSE
4) Os 3 primeiros pasos son obrigatorios para calquera opción de actualización. Se decides tomar un camiño de actualización máis sinxelo, vai á pestana na interface web Actualizacións (CPUSE) > Estado e accións > Versións principais > Check Point R80.40 Gaia Fresh Install and Upgrade. Fai clic co botón dereito nesta actualización e selecciona Verificador. O proceso de verificación comezará durante uns minutos, despois dos cales verá unha mensaxe de que se pode actualizar o dispositivo. Se ves erros, hai que corrixilos.
Figura 4. Actualización mediante CPUSE
5) Actualización á última versión de CDT (Ferramenta de implementación central): unha utilidade que se executa no servidor de xestión e que permite instalar actualizacións, service packs, xestionar copias de seguridade, instantáneas, scripts e moito máis. Unha versión CDT desactualizada pode causar problemas coa actualización. Podes descargar CDT en .
6) Despois de colocar o arquivo descargado en SMS en calquera directorio a través de WinSCP, conéctese mediante SSH a SMS e ingrese ao modo experto. Permíteme lembrarche que o usuario de WinSCP debe ter un shell / bin / bash!
7) Introduza os comandos:
cd /somepathtoCDT/
tar -zxvf .tgz
rpm -Uhv —forza CPcdt-00-00.i386.rpm
Figura 5. Instalación da Central Deployment Tool (CDT)
8) O seguinte paso é instalar a imaxe R80.40. Fai clic co botón dereito en actualizar Descargar, entón Instalar. Teña en conta que a actualización levará entre 20 e 30 minutos e que o servidor de xestión non estará dispoñible durante algún tempo. Polo tanto, ten sentido acordar unha xanela de servizo.
9) Gárdanse todas as licenzas e políticas de seguridade, polo que a continuación debes descargar unha nova .
10) Conéctate á nova SmartConsole de SMS e establece políticas de seguridade. Botón Política de instalación na esquina superior esquerda.
11) Actualizouse a túa SMS, entón deberías instalar a última revisión. Na pestana Actualizacións (CPUSE) > Estado e accións > Correccións prema no botón dereito do rato Verificador, entón Instalar Actualización. O dispositivo reiniciarase despois de instalar a actualización.
Figura 6. Instalación da última revisión mediante CPUSE
Actualización con ferramentas de migración
4) En primeiro lugar, tamén debe actualizar a versión máis recente de CDT - puntos 5, 6, 7 da sección "Actualizar usando CPUSE".
5) Instale o paquete de ferramentas de migración necesario para migrar políticas desde o servidor de xestión. Segundo isto podes atopar Ferramentas de migración para as versións: R80.20, R80.20 M1, R80.20 M2, R80.30, R80.40. Debería descargar as ferramentas de migración da versión ao que quere actualizar, e non a que tes agora! No noso caso é de R80.40.
6) A continuación, na interface web de SMS vai á pestana Actualizacións (CPUSE) > Estado e accións > Importar paquete > Explorar > Seleccione o ficheiro descargado > Importar.
Figura 7. Importación de ferramentas de migración
7) Desde o modo experto en SMS, comprobe que o paquete de ferramentas de migración está instalado mediante o comando (a saída do comando debe coincidir co número do nome do arquivo de ferramentas de migración):
cpprod_util CPPROD_GetValue CPupgrade-tools-R80.40 Número de compilación 1
Figura 8. Verificación da instalación de Ferramentas de Migración
8) Vaia ao cartafol $FWDIR/scripts no servidor de xestión:
cd $FWDIR/scripts
9) Execute o verificador previo á actualización mediante o comando (se hai erros, corríxaos antes de seguir os pasos):
./migrate_server verifica -v R80.40
Nota: se ves un erro "Produciuse un erro ao recuperar o paquete de ferramentas de actualización", pero comprobou que o arquivo foi importado correctamente (consulte o punto 4), use o comando:
./migrate_server verify -v R80.40 -skip_upgrade_tools_check
Figura 9. Execución do script de verificación
10) Exportar políticas de seguranza usando o comando:
./migrate_server export -v R80.40 / / .tgz
Figura 10. Exportación dunha política de seguridade
Nota: se ves un erro "Produciuse un erro ao recuperar o paquete de ferramentas de actualización", pero comprobou que o arquivo foi importado correctamente (paso 7), use o comando:
./migrate_server export -skip_upgrade_tools_check -v R80.40 / / .tgz
11) Calcula a suma hash MD5 e garda a saída do comando:
suma md5 / / .tgz
Figura 11. Cálculo da suma hash MD5
12) Usando WinSCP, move este ficheiro ao teu ordenador.
13) Introduza o comando df -h e aforrache a porcentaxe de directorios en función do espazo ocupado.
Figura 12. Porcentaxe de directorios por SMS
14.1) No caso de ter un SMS real
14.1.1) Utilizando créase unha unidade flash USB de arranque cunha imaxe .
14.1.2) Recomendo preparar polo menos 2 unidades flash de arranque, xa que ocorre que a unidade flash non sempre é lexible.
14.1.3) Como administrador do teu ordenador, executa ISOmorphic.exe. No paso 1, seleccione a imaxe descargada de Gaia R80.40, no paso 4 a unidade flash. Cambiar os puntos 2 e 3 sen necesidade!
Figura 13. Creación dunha unidade flash USB de arranque
14.1.4) Seleccione un elemento "Instalar automaticamente sen confirmación" e é importante especificar o modelo do seu servidor de xestión. No caso de SMS, debes seleccionar a liña 3 ou 4.
Figura 14. Selección dun modelo de dispositivo para crear unha unidade flash USB de arranque
14.1.5) A continuación, desactiva a liña ascendente, introduce a unidade flash no porto USB, conecta o cable da consola a través do porto COM ao dispositivo e activa o SMS. O proceso de instalación ocorre automaticamente. Enderezo IP predeterminado - 192.168.1.1/24e información de inicio de sesión administrador / administrador.
14.1.6) O seguinte paso é conectarse á interface web en Gaia Portal (enderezo predeterminado ), onde pasa pola inicialización do dispositivo. Durante a inicialización, basicamente preme Logo, porque case todas as opcións pódense cambiar no futuro. Non obstante, pode cambiar inmediatamente o enderezo IP, a configuración de DNS e o nome de host.
14.2) No caso de que teñas SMS virtual
14.2.1) En ningún caso debes eliminar a SMS antiga; crea unha nova máquina virtual cos mesmos recursos (CPU, RAM, HDD) e co mesmo enderezo IP. Por certo, podes engadir memoria RAM e disco duro, xa que a versión R80.40 é un pouco máis esixente. Para evitar conflitos de enderezos IP, desactiva o SMS antigo e comeza a instalar un novo.
14.2.2) Durante a instalación de Gaia, configure o enderezo IP actual e seleccione un directorio / root cantidade adecuada de espazo. A porcentaxe de directorios que tes debería ser aproximadamente sobrevivir, use a saída df -h.
15) No momento de escoller o tipo de instalación "Tipo de instalación" escolle a primeira opción, xa que o máis probable é que non teña MDS (Multi-Domain Server). Se MDS, xestionaches moitos dominios de diferentes entidades SMS ao mesmo tempo. Neste caso, debes seleccionar a segunda opción.
Figura 15. Selección do tipo de instalación de Gaia
16) O punto máis importante que non se pode corrixir sen reinstalar é a elección da entidade. Debería escoller Xestión de seguridade e prema Avanzar. Todo o demais é por defecto.
Figura 16. Selección dun tipo de entidade ao instalar Gaia
17) Unha vez que o dispositivo se reinicie, conéctese á interface web usando ou un enderezo IP diferente se o cambiou.
18) Transfire a configuración das capturas de pantalla a todas as pestanas do portal de Gaia nas que se configurou algo ou executa o comando desde clicish configuración de carga .txt. Este ficheiro de configuración debe cargarse primeiro en SMS.
Nota: Debido ao feito de que o sistema operativo é novo, WinSCP non che permitirá conectarte como administrador, cambiar o shell do usuario a /bin/bash nin na interface web da pestana Usuarios nin ingresando o comando chsh –s /bin/bash ou crear un novo usuario.
19) Cargue o ficheiro coas políticas exportadas desde o antigo servidor de xestión a calquera directorio. A continuación, vai á consola en modo experto e comprobe que a cantidade de hash MD5 coincide coa anterior. En caso contrario, a exportación debería realizarse de novo:
md5sum / / .tgz
20) Repita o paso 6 e instale Ferramentas de actualización na nova SMS no portal Gaia na pestana Actualizacións (CPUSE) > Estado e accións.
21) Introduza o comando en modo experto:
./migrate_server import -v R80.40 -skip_upgrade_tools_check / / .tgz
Figura 17. Importar unha política de seguranza a un novo SMS
22) Activa os servizos co comando cpstart.
23) Descarga un novo e conéctese ao servidor de xestión. Ir a Menú > Xestionar licenzas e paquetes (SmartUpdate) e comproba que aínda tes a túa licenza.
Figura 18. Comprobación das licenzas instaladas
24) Establece a política de seguranza na pasarela ou no clúster - Política de instalación.
Actualización de Security Gateway (SG).
A pasarela de seguranza pódese actualizar mediante CPUSE, igual que o servidor de xestión, ou instalarse de novo - instalación nova. Segundo a miña experiencia, no 99% dos casos, todo o mundo reinstala Security Gateway debido ao feito de que leva case o mesmo tempo que a actualización mediante CPUSE, pero obtén un sistema operativo limpo e actualizado sen erros.
Por analoxía con SMS, primeiro cómpre crear unha copia de seguridade e unha instantánea, ademais de gardar a configuración desde Gaia Portal. Consulte os puntos 1, 2 e 3 do apartado "Actualización do servidor de xestión de seguridade".
Actualizando con CPUSE
Actualizar a Pasarela de Seguridade mediante CPUSE é exactamente o mesmo que actualizar o Servidor de Xestión de Seguridade, polo que consulta o inicio do artigo.
Punto importante: a actualización de SG require reiniciar! Polo tanto, actualízase durante a xanela de mantemento. Se tes un clúster, actualiza primeiro o nodo pasivo, despois cambia os roles e actualiza o outro nodo. No caso dun clúster, pódense evitar ventás de mantemento.
Instalando unha nova versión do SO en Security Gateway
1.1) No caso de que teñas un SG real
1.1.1) Utilizando créase unha unidade flash USB de arranque cunha imaxe . A imaxe é a mesma que en SMS, pero o procedemento para crear unha unidade flash de arranque parece un pouco diferente.
1.1.2) Recomendo preparar polo menos 2 unidades flash de arranque, xa que ocorre que a unidade flash non sempre é lexible.
1.1.3) Como administrador do teu ordenador, executa ISOmorphic.exe. No paso 1, seleccione a imaxe descargada de Gaia R80.40, no paso 4 a unidade flash. Cambiar os puntos 2 e 3 sen necesidade!
Figura 19. Creación dunha unidade flash USB de arranque
1.1.4) Seleccione un elemento "Instalar automaticamente sen confirmación", e é importante indicar o modelo da súa pasarela de seguranza: liñas 2 ou 3. Se se trata dun sandbox físico (Appliance SandBlast), seleccione a liña 5.
Figura 20. Selección dun modelo de dispositivo para crear unha unidade flash USB de arranque
1.1.5) A continuación, desactiva a liña ascendente, introduce a unidade flash no porto USB, conecta o cable da consola a través do porto COM ao dispositivo e acende a pasarela. O proceso de instalación ocorre automaticamente. Enderezo IP predeterminado - 192.168.1.1/24e información de inicio de sesión administrador / administrador. Deberías actualizar primeiro nodo pasivo, a continuación, instale unha política nela, cambie os roles e, a continuación, actualice outro nodo. Probablemente necesites unha xanela de servizo.
1.1.6) O seguinte paso é conectarse á interface web de Gaia Portal, onde se realiza a primeira inicialización do dispositivo. Durante a inicialización, basicamente preme Logo, porque case todas as opcións pódense cambiar no futuro. Non obstante, pode cambiar inmediatamente o enderezo IP, a configuración de DNS e o nome de host.
1.2) No caso de ter un SG virtual
1.2.1) Crea unha nova máquina virtual cos mesmos recursos (CPU, RAM, HDD) ou máis, xa que a versión R80.40 é un pouco máis esixente. Para evitar un conflito de enderezos IP, desactiva a pasarela antiga e comeza a instalar unha nova co mesmo enderezo IP. O antigo SG pódese eliminar con seguridade, xa que non ten nada valioso nel, porque todas as cousas máis importantes - a política de seguridade - están situadas no servidor de xestión.
1.2.2) Durante a instalación do SO, configure o enderezo IP actual e seleccione un directorio / root cantidade adecuada de espazo.
3) Conéctese á pasarela a través do porto HTTPS e comece o proceso de inicialización. No momento de escoller o tipo de instalación "Tipo de instalación" seleccione a primeira opción - Pasarela de seguranza e/ou Xestión de seguridade.
Figura 21. Selección do tipo de instalación de Gaia
4) O punto máis importante é a elección da entidade (Produtos). Debería escoller Pasarela de seguridade e, se tes un clúster, marca a caixa "A unidade é parte dun clúster, escriba: ClusterXL". Se tes un clúster VRRP, escolle este tipo, pero é pouco probable.
Figura 22. Selección dun tipo de entidade ao instalar Gaia
5) No seguinte paso, configure o contrasinal único SIC para establecer a confianza co servidor de xestión. Usando este contrasinal, xérase un certificado e o servidor de xestión comunicarase coa pasarela a través dunha canle de comunicación cifrada. Marca de verificación "Conéctate coa túa xestión como servizo" debe configurarse se o servidor de xestión está situado na nube. Recentemente escribimos sobre isto e o cómodo e sinxelo que é o servidor de xestión na nube.
Figura 23. Creación do SIC
6) Inicie o proceso de inicialización na seguinte pestana. En canto se reinicie o dispositivo, conéctese á interface web e transfire a configuración das capturas de pantalla a todas as pestanas do portal de Gaia nas que se configurou algo ou executa o comando desde clich configuración de carga .txt. Este ficheiro de configuración debe cargarse primeiro na pasarela de seguranza.
Nota: Debido ao feito de que o sistema operativo é novo, WinSCP non che permitirá conectarte como administrador, cambiar o shell do usuario a /bin/bash nin na interface web da pestana Usuarios nin ingresando o comando chsh –s /bin/bash ou crear un novo usuario con este shell.
7) Aberto e vai ao obxecto Security Gateway que acabas de reinstalar. Abre a pestana Propiedades xerais > Comunicación > Restablecer SIC e introduza o contrasinal especificado no paso 5.
Figura 24: Establecemento de confianza coa nova pasarela de seguranza
8) A versión Gaia do obxecto debería cambiar, se non cambia, cámbiao manualmente. A continuación, instale a política na pasarela.
9) En Gaia Portal, vai á pestana Actualizacións (CPUSE) > Estado e accións > Correccións e instale o hotfix máis recente. O dispositivo entrará reiniciar durante a instalación!
10) No caso dun clúster, cambie os papeis dos nodos e faga os mesmos pasos para outro nodo.
Conclusión
Tentei facer a guía máis clara e completa para actualizar da versión R80.20/R80.30 á actual R80.40, xa que moito cambiou. Versión xa apareceu no modo de demostración, pero o procedemento de actualización segue sendo máis ou menos idéntico. Guiado polo funcionario desde Check Point, pode descubrir todos os detalles vostede mesmo.
Para calquera dúbida podes contactar connosco. Estaremos encantados de axudarlles coas actualizacións e os casos máis complexos como parte do noso soporte técnico . Tamén no noso é posible solicitar unha auditoría da configuración de Check Point ou deixala libre para un caso técnico.
. Estade atentos (, , , , ).
Fonte: www.habr.com