BolеPrije dvije godine pisali smo da se svaki Check Point administrator prije ili kasnije suoči s problemom ažuriranja na novu verziju. U ovom opisana je nadogradnja s verzije R77.30 na R80.10. Usput, u siječnju 2020. R77.30 postao je certificirana verzija FSTEC-a. Međutim, puno se toga promijenilo u Check Pointu u 2 godine. U članku “” opisuje sve novotarije kojih je mnogo. Ovaj će članak opisati postupak ažuriranja što je moguće detaljnije.
Kao što znate, postoje 2 opcije za implementaciju Check Pointa: Samostalna i Distribuirana, to jest, bez namjenskog poslužitelja za upravljanje i s namjenskim. Opcija Distribuirano toplo se preporučuje iz nekoliko razloga:
-
opterećenje resursa pristupnika je minimizirano;
-
Ne morate planirati period održavanja da biste radili na poslužitelju za upravljanje;
-
adekvatan rad SmartEventa, jer je malo vjerojatno da će raditi u samostalnoj verziji;
-
Toplo se preporučuje izgraditi klaster pristupnika u raspodijeljenoj konfiguraciji.
S obzirom na sve prednosti raspodijeljene konfiguracije, razmotrit ćemo nadogradnju poslužitelja za upravljanje i sigurnosnog pristupnika zasebno.
Ažuriranje poslužitelja za upravljanje sigurnošću (SMS).
Postoje 2 načina ažuriranja SMS-a:
-
putem CPUSE-a (putem Gaia portala)
-
pomoću alata za migraciju (potrebna je čista instalacija - svježu instalaciju)
Kolege iz Check Pointa ne preporučuju ažuriranje pomoću CPUSE-a jer neće ažurirati verziju vašeg datotečnog sustava i kernel. Međutim, ova metoda ne zahtijeva migraciju politika i puno je brža i jednostavnija od druge metode.
Preporučena metoda je čista instalacija i migracija pravila pomoću Alata za migraciju. Osim novog datotečnog sustava i jezgre OS-a, često se događa da se SMS baza začepi, a čista instalacija je u tom smislu odlično rješenje za povećanje brzine servera.
1) Prvi korak u svakom ažuriranju je stvaranje sigurnosnih kopija i snimaka. Ako imate fizički poslužitelj za upravljanje, sigurnosnu kopiju treba napraviti s web sučelja portala Gaia. Idi na karticu Održavanje > Sigurnosna kopija sustava > Sigurnosna kopija. Zatim odredite mjesto za spremanje sigurnosne kopije. To može biti SCP, FTP, TFTP poslužitelj ili lokalno na uređaju, ali tada ćete kasnije morati učitati ovu sigurnosnu kopiju na poslužitelj ili računalo.
Slika 1. Stvaranje sigurnosne kopije na portalu Gaia
2) Zatim biste trebali napraviti snimku na kartici Održavanje → Upravljanje snimkama → Novo. Razlika između sigurnosnih kopija i snimki je u tome što snimke pohranjuju više informacija, uključujući sve instalirane hitne popravke. Međutim, bolje je učiniti oboje.
Ako je vaš poslužitelj za upravljanje instaliran kao virtualni stroj, preporučuje se napraviti sigurnosnu kopiju virtualnog stroja pomoću ugrađenih alata hipervizora. Jednostavno je brži i pouzdaniji.
Slika 2. Stvaranje snimke u Gaia Portalu
3) Spremite konfiguraciju uređaja s portala Gaia. Možete napraviti snimku svih kartica postavki koje se nalaze na Gaia portalu ili unijeti naredbu iz Clisha spremi konfiguraciju . Zatim prenesite datoteku na svoje računalo koristeći WinSCP ili neki drugi klijent.
Slika 3. Spremanje konfiguracije u tekstualnu datoteku)
Primijetiti: ako vam WinSCP ne dopušta povezivanje, promijenite korisničku ljusku u /bin/bash ili u web sučelju na kartici Korisnici ili unosom naredbe chsh –s /bin/bash .
Ažuriranje s CPUSE-om
4) Prva 3 koraka obavezna su za bilo koju opciju ažuriranja. Ako se odlučite za jednostavniji put ažuriranja, tada u web sučelju idite na karticu Nadogradnje (CPUSE) > Status i radnje > Glavne verzije > Check Point R80.40 Gaia svježa instalacija i nadogradnja. Desnom tipkom miša kliknite ovo ažuriranje i odaberite Verifikator. Postupak provjere započet će nekoliko minuta, nakon čega ćete vidjeti poruku da se uređaj može ažurirati. Ako vidite pogreške, potrebno ih je ispraviti.
Slika 4. Ažuriranje putem CPUSE-a
5) Ažurirajte na najnoviju verziju CDT-a (Central Deployment Tool) - uslužnog programa koji radi na poslužitelju za upravljanje i omogućuje vam instaliranje ažuriranja, servisnih paketa, upravljanje sigurnosnim kopijama, snimkama, skriptama i još mnogo toga. Zastarjela verzija CDT-a može uzrokovati probleme s ažuriranjem. CDT možete preuzeti na .
6) Nakon postavljanja preuzete arhive na SMS u bilo kojem imeniku putem WinSCP-a, povežite se putem SSH-a na SMS i uđite u stručni način rada. Podsjećam vas da WinSCP korisnik mora imati ljusku / bin / bash!
7) Unesite naredbe:
cd /somepathtoCDT/
tar -zxvf .tgz
rpm -Uhv —sila CPcdt-00-00.i386.rpm
Slika 5. Instaliranje središnjeg alata za implementaciju (CDT)
8) Sljedeći korak je instaliranje R80.40 slike. Desni klik na update Preuzimanje, zatim Instaliraj. Imajte na umu da će ažuriranje trajati 20-30 minuta i da će poslužitelj za upravljanje neko vrijeme biti nedostupan. Stoga ima smisla dogovoriti servisni prozor.
9) Sve licence i sigurnosna pravila su spremljeni, pa biste trebali preuzeti novu .
10) Spojite se na SMS novu SmartConsole i postavite sigurnosna pravila. Dugme Pravila instalacije u gornjem lijevom kutu.
11) Vaš SMS je ažuriran, tada biste trebali instalirati najnoviji hitni popravak. U kartici Nadogradnje (CPUSE) > Status i radnje > Hitni popravci kliknite na desnu tipku miša verifikator, onda Instalirajte Ažuriranje. Uređaj će se sam ponovno pokrenuti nakon instaliranja ažuriranja.
Slika 6. Instaliranje najnovijeg hitnog popravka putem CPUSE-a
Ažuriranje pomoću alata za migraciju
4) Prvo, trebali biste također ažurirati na najnoviju verziju CDT-a - točke 5, 6, 7 iz odjeljka "Ažuriraj pomoću CPUSE-a."
5) Instalirajte paket alata za migraciju koji je potreban za migraciju pravila s poslužitelja za upravljanje. Prema tome možete pronaći alate za migraciju za verzije: R80.20, R80.20 M1, R80.20 M2, R80.30, R80.40. Trebali biste preuzeti alate za migraciju verzije na koji želite ažurirati, a ne ovaj koji sada imate! U našem slučaju to je R80.40.
6) Zatim u SMS web sučelju idite na karticu Nadogradnje (CPUSE) > Status i radnje > Uvezi paket > Pregledaj > Odaberite preuzetu datoteku > Uvezi.
Slika 7. Uvoz alata za migraciju
7) Iz stručnog načina rada na SMS-u provjerite je li instaliran paket alata za migraciju pomoću naredbe (izlaz naredbe mora odgovarati broju u nazivu arhive alata za migraciju):
cpprod_util CPPROD_GetValue CPupgrade-tools-R80.40 BuildNumber 1
Slika 8. Provjera instalacije alata za migraciju
8) Idite u mapu $FWDIR/scripts na poslužitelju za upravljanje:
cd $FWDIR/skripte
9) Pokrenite verifikator prije nadogradnje pomoću naredbe (ako postoje pogreške, ispravite ih prije daljnjih koraka):
./migrate_server verify -v R80.40
Primijetiti: ako vidite grešku "Nije uspjelo dohvaćanje paketa alata za nadogradnju", ali ste provjerili da je arhiva uspješno uvezena (vidi točku 4), upotrijebite naredbu:
./migrate_server verify -v R80.40 -skip_upgrade_tools_check
Slika 9. Pokretanje skripte za provjeru
10) Izvezite sigurnosne politike pomoću naredbe:
./migrate_server export -v R80.40 //.tgz
Slika 10. Izvoz sigurnosne politike
Primijetiti: ako vidite grešku "Nije uspjelo dohvaćanje paketa alata za nadogradnju", ali ste provjerili da je arhiva uspješno uvezena (korak 7), upotrijebite naredbu:
./migrate_server export -skip_upgrade_tools_check -v R80.40 //.tgz
11) Izračunajte MD5 hash zbroj i spremite izlaz naredbe:
md5sum //.tgz
Slika 11. Izračunavanje MD5 hash zbroja
12) Koristeći WinSCP, premjestite ovu datoteku na svoje računalo.
13) Unesite naredbu df-h i uštedite postotak imenika na temelju zauzetog prostora.
Slika 12. Postotak imenika po SMS-u
14.1) U slučaju da imate pravi SMS
14.1.1) Korištenje stvoren je USB flash pogon sa slikom za podizanje sustava .
14.1.2) Preporučujem da pripremite najmanje 2 flash pogona za pokretanje, jer se događa da flash pogon nije uvijek čitljiv.
14.1.3) Kao administrator na vašem računalu, pokrenite ISOmorphic.exe. U koraku 1 odaberite preuzetu sliku Gaia R80.40, u koraku 4 flash pogon. Promijenite točke 2 i 3 nema potrebe!
Slika 13. Stvaranje USB flash pogona za podizanje sustava
14.1.4) Odaberite stavku “Instaliraj automatski bez potvrde” i važno je navesti model vašeg poslužitelja za upravljanje. U slučaju SMS-a, trebate odabrati liniju 3 ili 4.
Slika 14. Odabir modela uređaja za stvaranje USB flash pogona za podizanje sustava
14.1.5) Zatim isključite upline, umetnite flash pogon u USB port, spojite kabel konzole preko COM porta na uređaj i omogućite SMS. Proces instalacije odvija se automatski. Zadana IP adresa - 192.168.1.1/24, i podatke za prijavu admin/admin.
14.1.6) Sljedeći korak je povezivanje s web sučeljem na portalu Gaia (zadana adresa ), gdje prolazite kroz inicijalizaciju uređaja. Tijekom inicijalizacije u osnovi pritisnete Dalje, jer se gotovo sve postavke mogu promijeniti u budućnosti. Međutim, možete odmah promijeniti IP adresu, DNS postavke i naziv hosta.
14.2) U slučaju da imate virtualni SMS
14.2.1) Ni pod kojim okolnostima ne smijete brisati stari SMS; kreirajte novi virtualni stroj s istim resursima (CPU, RAM, HDD) i istom IP adresom. Usput, možete dodati RAM i HDD, budući da je verzija R80.40 malo zahtjevnija. Kako biste izbjegli sukobe IP adresa, isključite stari SMS i počnite instalirati novi.
14.2.2) Tijekom instalacije Gaie, konfigurirajte trenutnu IP adresu i odaberite direktorij / Root odgovarajuću količinu prostora. Postotak imenika koji imate trebao bi biti otprilike preživjeti, koristi izlaz df-h.
15) U trenutku odabira vrste instalacije "Vrsta instalacije" odaberite prvu opciju, jer najvjerojatnije nemate MDS (Multi-Domain Server). Ako je MDS, tada ste upravljali mnogim domenama iz različitih SMS entiteta u isto vrijeme. U tom slučaju trebali biste odabrati drugu opciju.
Slika 15. Odabir tipa Gaia instalacije
16) Najvažnija točka koja se ne može ispraviti bez ponovne instalacije je izbor entiteta. Treba izabrati Upravljanje sigurnošću i kliknite Dalje. Sve ostalo je standardno.
Slika 16. Odabir tipa entiteta prilikom instaliranja Gaie
17) Nakon što se uređaj ponovno pokrene, spojite se na web sučelje pomoću ili drugu IP adresu ako ste je promijenili.
18) Prenesite postavke sa snimki zaslona na sve kartice Gaia Portala u kojima je nešto konfigurirano ili pokrenite naredbu iz clisha učitaj konfiguraciju .txt. Ovu konfiguracijsku datoteku prvo morate učitati u SMS.
Primijetiti: Zbog činjenice da je OS nov, WinSCP vam neće dopustiti da se povežete kao administrator, promijenite korisničku ljusku u /bin/bash bilo u web sučelju na kartici Korisnici ili unosom naredbe chsh –s /bin/bash ili stvoriti novog korisnika.
19) Učitajte datoteku s izvezenim pravilima sa starog poslužitelja za upravljanje u bilo koji direktorij. Zatim idite na konzolu u stručnom načinu rada i provjerite odgovara li iznos hashiranja MD5 prethodnom. U suprotnom, izvoz treba ponoviti:
md5zbroj //.tgz
20) Ponovite korak 6 i instalirajte alate za nadogradnju na novi SMS u Gaia portalu na kartici Nadogradnje (CPUSE) > Status i radnje.
21) Unesite naredbu u stručnom načinu rada:
./migrate_server import -v R80.40 -skip_upgrade_tools_check //.tgz
Slika 17. Uvoz sigurnosne politike u novi SMS
22) Omogućite usluge naredbom cpstart.
23) Preuzmite novi i spojite se na poslužitelj za upravljanje. Ići Izbornik > Upravljanje licencama i paketima (SmartUpdate) i provjerite imate li još uvijek svoju dozvolu.
Slika 18. Provjera instaliranih licenci
24) Postavite sigurnosnu politiku na pristupniku ili klasteru - Pravila instalacije.
Ažuriranje sigurnosnog pristupnika (SG).
Sigurnosni pristupnik se može ažurirati putem CPUSE-a, baš kao i poslužitelj za upravljanje, ili ponovno instalirati - svježu instalaciju. Iz mog iskustva, u 99% slučajeva svi ponovno instaliraju Security Gateway zbog činjenice da traje gotovo isto vrijeme kao i ažuriranje putem CPUSE-a, ali dobivate čisti, ažurirani OS bez grešaka.
Po analogiji sa SMS-om, prvo morate napraviti sigurnosnu kopiju i snimku, te također spremiti postavke s Gaia portala. Pogledajte točke 1, 2 i 3 u odjeljku "Ažuriranje poslužitelja za upravljanje sigurnošću".
Ažuriranje s CPUSE-om
Ažuriranje sigurnosnog pristupnika putem CPUSE-a potpuno je isto što i ažuriranje poslužitelja za upravljanje sigurnošću, stoga pogledajte početak članka.
Važna točka: SG ažuriranje zahtijeva ponovno pokretanje! Stoga ažurirajte tijekom razdoblja održavanja. Ako imate klaster, prvo nadogradite pasivni čvor, zatim zamijenite uloge i nadogradite drugi čvor. U slučaju klastera, prozori održavanja mogu se izbjeći.
Instaliranje nove verzije OS-a na Security Gateway
1.1) U slučaju da imate pravi SG
1.1.1) Korištenje stvoren je USB flash pogon sa slikom za podizanje sustava . Slika je ista kao na SMS-u, ali postupak za stvaranje flash pogona za pokretanje izgleda malo drugačije.
1.1.2) Preporučujem da pripremite najmanje 2 flash pogona za pokretanje, jer se događa da flash pogon nije uvijek čitljiv.
1.1.3) Kao administrator na vašem računalu, pokrenite ISOmorphic.exe. U koraku 1 odaberite preuzetu sliku Gaia R80.40, u koraku 4 flash pogon. Promijenite točke 2 i 3 nema potrebe!
Slika 19. Stvaranje USB flash pogona za podizanje sustava
1.1.4) Odaberite stavku "Instaliraj automatski bez potvrde", i važno je naznačiti model vašeg sigurnosnog pristupnika - linije 2 ili 3. Ako je ovo fizički sandbox (SandBlast Appliance), tada odaberite liniju 5.
Slika 20. Odabir modela uređaja za stvaranje USB flash pogona za podizanje sustava
1.1.5) Zatim isključite upline, umetnite flash pogon u USB port, spojite kabel konzole preko COM porta na uređaj i uključite gateway. Proces instalacije odvija se automatski. Zadana IP adresa - 192.168.1.1/24, i podatke za prijavu admin/admin. Prvo biste trebali ažurirati pasivni čvor, zatim instalirajte pravilo na njega, zamijenite uloge i ažurirajte drugi čvor. Najvjerojatnije će vam trebati servisni prozor.
1.1.6) Sljedeći korak je povezivanje s web sučeljem na portalu Gaia, gdje prolazite kroz prvu inicijalizaciju uređaja. Tijekom inicijalizacije u osnovi pritisnete Dalje, jer se gotovo sve postavke mogu promijeniti u budućnosti. Međutim, možete odmah promijeniti IP adresu, DNS postavke i naziv hosta.
1.2) U slučaju da imate virtualni SG
1.2.1) Napravite novi virtualni stroj s istim resursima (CPU, RAM, HDD) ili više, budući da je verzija R80.40 malo zahtjevnija. Kako biste izbjegli sukob IP adresa, isključite stari pristupnik i počnite instalirati novi s istom IP adresom. Stari SG se može sigurno obrisati, jer na njemu nema ničeg vrijednog, jer se sve najvažnije - sigurnosna politika - nalazi na serveru za upravljanje.
1.2.2) Tijekom instalacije OS-a, konfigurirajte trenutnu IP adresu i odaberite direktorij / Root odgovarajuću količinu prostora.
3) Povežite se s pristupnikom putem HTTPS priključka i započnite proces inicijalizacije. U trenutku odabira vrste instalacije "Vrsta instalacije" odaberite prvu opciju - Security Gateway i/ili Security Management.
Slika 21. Odabir tipa Gaia instalacije
4) Najvažnija točka je izbor entiteta (Proizvodi). Treba izabrati Sigurnosni pristupnik i, ako imate klaster, označite okvir “Jedinica je dio klastera, tip: ClusterXL”. Ako imate VRRP klaster, odaberite ovu vrstu, ali to je malo vjerojatno.
Slika 22. Odabir tipa entiteta prilikom instaliranja Gaie
5) U sljedećem koraku postavite SIC jednokratnu lozinku za uspostavljanje povjerenja s poslužiteljem za upravljanje. Pomoću ove lozinke generira se certifikat, a poslužitelj za upravljanje će komunicirati s pristupnikom preko šifriranog komunikacijskog kanala. Kvačica "Povežite se sa svojim upravljanjem kao uslugom" treba postaviti ako se poslužitelj za upravljanje nalazi u oblaku. Upravo smo nedavno pisali o tome i koliko je zgodan i jednostavan server za upravljanje oblakom.
Slika 23. Stvaranje SIC-a
6) Pokrenite proces inicijalizacije na sljedećoj kartici. Čim se uređaj ponovno pokrene, spojite se na web sučelje i prenesite postavke sa snimki zaslona na sve kartice Gaia Portala u kojima je nešto konfigurirano ili pokrenite naredbu iz clisha učitaj konfiguraciju .txt. Ovu konfiguracijsku datoteku prvo morate učitati na sigurnosni pristupnik.
Primijetiti: Zbog činjenice da je OS nov, WinSCP vam neće dopustiti da se povežete kao administrator, promijenite korisničku ljusku u /bin/bash bilo u web sučelju na kartici Korisnici ili unosom naredbe chsh –s /bin/bash ili kreirajte novog korisnika s ovom ljuskom.
7) Otvorite i idite u objekt sigurnosnog pristupnika koji ste upravo ponovno instalirali. Otvorite karticu Opća svojstva > Komunikacija > Reset SIC i unesite lozinku navedenu u koraku 5.
Slika 24: Uspostavljanje povjerenja s novim sigurnosnim pristupnikom
8) Gaia verzija objekta treba se promijeniti, ako se ne promijeni, promijenite je ručno. Zatim instalirajte politiku na gateway.
9) Na portalu Gaia idite na karticu Nadogradnje (CPUSE) > Status i radnje > Hitni popravci i instalirajte najnoviji hitni popravak. Uređaj će ući u ponovno podizanje sustava tijekom instalacije!
10) U slučaju klastera, promijenite uloge čvorova i učinite iste korake za drugi čvor.
Zaključak
Pokušao sam napraviti najjasniji i sveobuhvatniji vodič za nadogradnju s verzije R80.20/R80.30 na trenutni R80.40, budući da se puno toga promijenilo. Verzija se već pojavio u demo modu, ali postupak ažuriranja ostaje više-manje identičan. Vođen službenim od Check Pointa, možete sami otkriti sve detalje.
Za sva pitanja možete nas kontaktirati. Rado ćemo pomoći s najsloženijim ažuriranjima i slučajevima u sklopu naše tehničke podrške . Također na našem moguće je naručiti reviziju postavki Check Pointa ili je ostaviti besplatnom za tehnički slučaj.
. Pratite nas (, , , , ).
Izvor: www.habr.com