BolеKét éve írtunk arról, hogy minden Check Point rendszergazda előbb-utóbb szembesül azzal, hogy új verzióra kell frissítenie. Ebben az R77.30-as verzióról R80.10-re való frissítést ismertették. Egyébként 2020 januárjában az R77.30 az FSTEC tanúsított változata lett. A Check Pointon azonban sok minden változott 2 év alatt. A cikkben "” írja le az összes újítást, amelyekből sok van. Ez a cikk a lehető legrészletesebben leírja a frissítési eljárást.
Mint tudják, 2 lehetőség van a Check Point megvalósítására: önálló és elosztott, azaz dedikált felügyeleti szerver nélkül és dedikált szerverrel. Az Elosztott opció több okból is erősen ajánlott:
-
az átjáró erőforrásainak terhelése minimálisra csökken;
-
Nem kell karbantartási időszakot ütemeznie a felügyeleti kiszolgálón való működéshez;
-
a SmartEvent megfelelő működése, mivel nem valószínű, hogy önálló verzióban működik;
-
Erősen ajánlott egy átjárófürt felépítése az elosztott konfigurációban.
Tekintettel az elosztott konfiguráció minden előnyére, megfontoljuk a felügyeleti kiszolgáló és a biztonsági átjáró külön frissítését.
A Security Management Server (SMS) frissítése
Az SMS frissítésének két módja van:
-
a CPUSE-n keresztül (a Gaia portálon keresztül)
-
Migration Tools használatával (tiszta telepítés szükséges - friss telepítés)
A CPUSE használatával történő frissítést a Check Point munkatársai nem javasolják, mivel az nem frissíti a fájlrendszer verzióját és a kernelt. Ez a módszer azonban nem igényli a szabályzatok migrációját, és sokkal gyorsabb és egyszerűbb, mint a második módszer.
Az ajánlott módszer a tiszta telepítés és a házirendek áttelepítése a Migration Tools segítségével. Az új fájlrendszer és az operációs rendszer kernel mellett gyakran előfordul, hogy az SMS-adatbázis eltömődik, és a tiszta telepítés ebből a szempontból kiváló megoldás a szerver gyorsítására.
1) Minden frissítés első lépése biztonsági másolatok és pillanatképek létrehozása. Ha rendelkezik fizikai felügyeleti szerverrel, akkor a Gaia Portal webes felületéről kell biztonsági másolatot készíteni. Menjen a lapra Karbantartás > Rendszer biztonsági mentése > Biztonsági mentés. Ezután adja meg a mentés helyét. Ez lehet SCP-, FTP-, TFTP-szerver vagy helyileg az eszközön, de később ezt a biztonsági másolatot fel kell töltenie egy szerverre vagy számítógépre.
1. ábra: Biztonsági másolat készítése a Gaia Portalban
2) Ezután készítsen egy pillanatképet a lapon Karbantartás → Pillanatképkezelés → Új. A biztonsági mentések és a pillanatképek közötti különbség az, hogy a pillanatképek több információt tárolnak, beleértve az összes telepített gyorsjavítást. Jobb azonban mindkettőt megtenni.
Ha a felügyeleti kiszolgáló virtuális gépként van telepítve, akkor ajánlott biztonsági másolatot készíteni a virtuális gépről a beépített hypervisor eszközök segítségével. Egyszerűen gyorsabb és megbízhatóbb.
2. ábra Pillanatkép készítése a Gaia Portalban
3) Mentse el az eszköz konfigurációját a Gaia portálról. Képernyőképet készíthet a Gaia Portal összes beállítási lapjáról, vagy beírhatja a parancsot a Clish alkalmazásból konfiguráció mentése. Ezután vigye a fájlt a számítógépére a WinSCP vagy egy másik kliens segítségével.
3. ábra Konfiguráció mentése szöveges fájlba)
Megjegyzés: ha a WinSCP nem teszi lehetővé a csatlakozást, módosítsa a felhasználói shell-t /bin/bash-re akár a webes felületen a Felhasználók lapon, akár a parancs beírásával chsh –s /bin/bash.
Frissítés CPUSE-val
4) Az első 3 lépés kötelező minden frissítési lehetőség esetén. Ha úgy dönt, hogy egy egyszerűbb frissítési utat választ, akkor a webes felületen lépjen a fülre Frissítések (CPUSE) > Állapot és műveletek > Főbb verziók > Check Point R80.40 Gaia Friss telepítés és frissítés. Kattintson a jobb gombbal erre a frissítésre, és válassza ki Ellenőrző. Az ellenőrzési folyamat néhány percig elindul, majd megjelenik egy üzenet, hogy az eszköz frissíthető. Ha hibákat lát, azokat ki kell javítani.
4. ábra Frissítés CPUSE-n keresztül
5) Frissítsen a CDT (Central Deployment Tool) legújabb verziójára – egy segédprogram, amely a felügyeleti kiszolgálón fut, és lehetővé teszi frissítések, szervizcsomagok telepítését, biztonsági mentések, pillanatképek, szkriptek és még sok más kezelését. Az elavult CDT-verzió problémákat okozhat a frissítéssel. A CDT letölthető a címről .
6) Miután a letöltött archívumot elhelyezte az SMS-ben bármely könyvtárban WinSCP-n keresztül, csatlakozzon SSH-n keresztül az SMS-hez, és lépjen be szakértői módba. Hadd emlékeztesselek arra, hogy a WinSCP felhasználónak rendelkeznie kell egy parancsértelmezővel / bin / bash!
7) Írja be a parancsokat:
cd /somepathtoCDT/
tar -zxvf .tgz
ford./perc -Uhv – erő CPcdt-00-00.i386.rpm
5. ábra: A központi telepítési eszköz (CDT) telepítése
8) A következő lépés az R80.40 lemezkép telepítése. Kattintson jobb gombbal a frissítésre Letöltés, majd Telepítése. Ne feledje, hogy a frissítés 20-30 percet vesz igénybe, és a felügyeleti szerver egy ideig nem lesz elérhető. Ezért van értelme megállapodni egy szolgáltatási ablakban.
9) Minden licenc és biztonsági szabályzat mentésre kerül, ezért legközelebb töltsön le egy újat .
10) Csatlakozzon az új SmartConsole SMS-hez, és állítsa be a biztonsági házirendeket. Gomb Telepítse a házirendet a bal felső sarokban.
11) Az SMS frissítése megtörtént, akkor telepítenie kell a legújabb gyorsjavítást. A lapon Frissítések (CPUSE) > Állapot és műveletek > Gyorsjavítások kattintson a jobb egérgombbal hitelesítő, akkor Telepítse a frissítést. A frissítés telepítése után az eszköz újraindul.
6. ábra: A legújabb gyorsjavítás telepítése CPUSE-n keresztül
Frissítés a Migration Tools segítségével
4) Először is frissítenie kell a CDT legújabb verziójára – a szakasz 5., 6., 7. pontja "Frissítés a CPUSE használatával."
5) Telepítse a Migration Tools csomagot, amely a házirendek felügyeleti kiszolgálóról történő áttelepítéséhez szükséges. Ennek megfelelően Migrációs eszközöket talál a következő verziókhoz: R80.20, R80.20 M1, R80.20 M2, R80.30, R80.40. Le kell töltenie a Migration Tools verzióját amelyre frissíteni szeretne, és nem a mostani! A mi esetünkben 80.40 RUB.
6) Következő lépésként az SMS webes felületén lépjen a fülre Frissítések (CPUSE) > Állapot és műveletek > Csomag importálása > Tallózás > Válassza ki a letöltött fájlt > Importálás.
7. ábra Migrációs eszközök importálása
7) SMS szakértői módban ellenőrizze, hogy a Migration Tools csomag telepítve van-e a paranccsal (a parancs kimenetének meg kell egyeznie a Migration Tools archívum nevében szereplő számmal):
cpprod_util CPPROD_GetValue CPupgrade-tools-R80.40 BuildNumber 1
8. ábra: A Migration Tools telepítésének ellenőrzése
8) Lépjen a $FWDIR/scripts mappába a felügyeleti kiszolgálón:
cd $FWDIR/scripts
9) Futtassa a frissítés előtti ellenőrzőt a paranccsal (ha hibák vannak, javítsa ki azokat a további lépések előtt):
./migrate_server verify -v R80.40
Megjegyzés: ha hibát lát „Nem sikerült lekérni a Frissítőeszközök csomagot”, de ellenőrizte, hogy az archívum importálása sikeresen megtörtént (lásd a 4. pontot), használja a következő parancsot:
./migrate_server verify -v R80.40 -skip_upgrade_tools_check
9. ábra: Az ellenőrző szkript futtatása
10) Exportálja a biztonsági házirendeket a következő paranccsal:
./migrate_server export -v R80.40 / / .tgz
10. ábra Biztonsági szabályzat exportálása
Megjegyzés: ha hibát lát „Nem sikerült lekérni a Frissítőeszközök csomagot”, de ellenőrizte, hogy az archívum importálása sikeresen megtörtént (7. lépés), használja a következő parancsot:
./migrate_server export -skip_upgrade_tools_check -v R80.40 / / .tgz
11) Számítsa ki az MD5 hash összegét, és mentse el a parancs kimenetét:
md5sum / / .tgz
11. ábra: MD5 hash összeg kiszámítása
12) WinSCP segítségével vigye át ezt a fájlt a számítógépére.
13) Írja be a parancsot df-h és mentse meg magának a könyvtárak százalékos arányát az elfoglalt hely alapján.
12. ábra A telefonkönyvek százalékos aránya SMS-enként
14.1) Ha valódi SMS-e van
14.1.1) Használata rendszerindító USB flash meghajtó jön létre képpel .
14.1.2) Javasoljuk, hogy készítsen elő legalább 2 indítható pendrive-ot, mert előfordul, hogy a pendrive nem mindig olvasható.
14.1.3) Rendszergazdaként futtassa a számítógépen ISOmorphic.exe. Az 1. lépésben válassza ki a Gaia R80.40 letöltött képét, a 4. lépésben pedig a flash meghajtót. Módosítsa a 2. és 3. pontot ne!
13. ábra Indító USB flash meghajtó létrehozása
14.1.4) Válasszon ki egy elemet "Automatikus telepítés megerősítés nélkül" és fontos megadni a felügyeleti szerver modelljét. SMS esetén a 3. vagy 4. sort kell választani.
14. ábra: Eszközmodell kiválasztása rendszerindító USB flash meghajtó létrehozásához
14.1.5) Ezután kapcsolja ki a felső vonalat, helyezze be a flash meghajtót az USB portba, csatlakoztassa a konzol kábelét a COM porton keresztül az eszközhöz, és engedélyezze az SMS-t. A telepítési folyamat automatikusan megtörténik. Alapértelmezett IP-cím - 192.168.1.1/24, és a bejelentkezési adatok admin / admin.
14.1.6) A következő lépés a Gaia portál webes felületéhez való csatlakozás (alapértelmezett cím ), ahol az eszköz inicializálásán megy keresztül. Az inicializálás során alapvetően meg kell nyomni Ezután mert szinte minden beállítás módosítható a jövőben. Az IP-címet, a DNS-beállításokat és a gazdagépnevet azonban azonnal megváltoztathatja.
14.2) Ha van virtuális SMS-e
14.2.1) Semmi esetre se törölje a régi SMS-t, hozzon létre egy új virtuális gépet ugyanazokkal az erőforrásokkal (CPU, RAM, HDD) és ugyanazzal az IP-címmel. Egyébként RAM-ot és HDD-t is adhatunk hozzá, hiszen az R80.40-es verzió kicsit igényesebb. Az IP-cím ütközések elkerülése érdekében kapcsolja ki a régi SMS-t, és kezdje el az új telepítését.
14.2.2) A Gaia telepítése során konfigurálja az aktuális IP-címet, és válasszon ki egy könyvtárat / Root megfelelő mennyiségű hely. A címtárak százalékos aránya hozzávetőlegesen kell, hogy legyen túlélni, használja a kimenetet df-h.
15) A telepítés típusának kiválasztása pillanatában "Telepítés típusa" válassza az első lehetőséget, mivel valószínűleg nincs MDS-je (Multi-Domain Server). Ha MDS, akkor egyszerre több tartományt kezelt különböző SMS-entitásokból. Ebben az esetben válassza ki a második elemet.
15. ábra Gaia telepítési típusának kiválasztása
16) A legfontosabb pont, amely nem javítható újratelepítés nélkül, az az entitás kiválasztása. Választani kellene Biztonsági menedzsment és kattintson a gombra Következő. Minden más alapértelmezés szerint.
16. ábra Entitástípus kiválasztása a Gaia telepítésekor
17) Miután az eszköz újraindul, csatlakozzon a webes felülethez a használatával vagy másik IP-címet, ha megváltoztatta.
18) Vigye át a beállításokat a képernyőképekből a Gaia Portal összes olyan lapjára, amelyen valami be van állítva, vagy futtassa a parancsot a clish-ből terhelési konfiguráció .txt. Ezt a konfigurációs fájlt először fel kell tölteni az SMS-be.
Megjegyzés: Mivel az operációs rendszer új, a WinSCP nem engedi meg, hogy rendszergazdaként csatlakozzon, a felhasználói shell-t /bin/bash-re módosítsa sem a webes felületen a Felhasználók lapon, sem a parancs beírásával. chsh –s /bin/bash vagy hozzon létre egy új felhasználót.
19) Töltse fel a fájlt az exportált házirendekkel a régi felügyeleti kiszolgálóról bármely könyvtárba. Ezután lépjen a konzolra szakértői módban, és ellenőrizze, hogy az MD5 hash mennyisége megegyezik-e az előzővel. Ellenkező esetben az exportálást meg kell ismételni:
md5sum / / .tgz
20) Ismételje meg a 6. lépést, és telepítse a Frissítő eszközöket az új SMS-re a Gaia Portal lapon. Frissítések (CPUSE) > Állapot és műveletek.
21) Adja meg a parancsot szakértői módban:
./migrate_server import -v R80.40 -skip_upgrade_tools_check / / .tgz
17. ábra Biztonsági szabályzat importálása új SMS-be
22) Engedélyezze a szolgáltatásokat a paranccsal cpstart.
23) Töltsön le egy újat és csatlakozzon a felügyeleti szerverhez. Menj Menü > Licencek és csomagok kezelése (SmartUpdate) és ellenőrizze, hogy megvan-e még a jogosítványa.
18. ábra Telepített licencek ellenőrzése
24) Állítsa be a biztonsági házirendet az átjárón vagy a fürtön - Telepítse a házirendet.
Biztonsági átjáró (SG) frissítése
A Security Gateway frissíthető a CPUSE-n keresztül, akárcsak a felügyeleti szerver, vagy újra telepíthető - friss telepítés. Tapasztalataim szerint az esetek 99%-ában mindenki újratelepíti a Security Gateway-t amiatt, hogy szinte ugyanannyi időt vesz igénybe, mint a CPUSE-n keresztüli frissítés, de tiszta, frissített operációs rendszert kapsz, hibák nélkül.
Az SMS-hez hasonlóan először biztonsági másolatot és pillanatképet kell készítenie, valamint el kell mentenie a beállításokat a Gaia Portalról. Lásd a szakasz 1., 2. és 3. pontját "Security Management Server frissítés".
Frissítés CPUSE-val
A Security Gateway CPUSE-n keresztüli frissítése pontosan ugyanaz, mint a Security Management Server frissítése, ezért kérjük, olvassa el a cikk elejét.
Fontos pont: SG frissítés szükséges újraindítás! Ezért frissítse a karbantartási időszak alatt. Ha van fürtje, először frissítse a passzív csomópontot, majd váltson szerepet, és frissítse a másik csomópontot. Klaszter esetén a karbantartási ablakok elkerülhetők.
Új operációs rendszer verzió telepítése a Security Gateway-en
1.1) Abban az esetben, ha valódi SG-je van
1.1.1) Használata rendszerindító USB flash meghajtó jön létre képpel . A kép ugyanaz, mint az SMS-ben, de a rendszerindító flash meghajtó létrehozásának eljárása kicsit másképp néz ki.
1.1.2) Javasoljuk, hogy készítsen elő legalább 2 indítható pendrive-ot, mert előfordul, hogy a pendrive nem mindig olvasható.
1.1.3) Rendszergazdaként futtassa a számítógépen ISOmorphic.exe. Az 1. lépésben válassza ki a Gaia R80.40 letöltött képét, a 4. lépésben pedig a flash meghajtót. Módosítsa a 2. és 3. pontot ne!
19. ábra Indító USB flash meghajtó létrehozása
1.1.4) Válasszon ki egy elemet "Automatikus telepítés megerősítés nélkül", és fontos feltüntetni a biztonsági átjáró modelljét - 2. vagy 3. sor. Ha ez egy fizikai homokozó (SandBlast Appliance), akkor válassza az 5. sort.
20. ábra: Eszközmodell kiválasztása rendszerindító USB flash meghajtó létrehozásához
1.1.5) Ezután kapcsolja ki a felső vonalat, helyezze be a flash meghajtót az USB portba, csatlakoztassa a konzol kábelét a COM porton keresztül az eszközhöz, és bekapcsolja az átjárót. A telepítési folyamat automatikusan megtörténik. Alapértelmezett IP-cím - 192.168.1.1/24, és a bejelentkezési adatok admin / admin. Először frissítenie kell passzív csomópont, majd telepítsen rá egy házirendet, váltson szerepet, majd frissítsen egy másik csomópontot. Valószínűleg szüksége lesz egy karbantartási ablakra.
1.1.6) A következő lépés a Gaia portál webes felületéhez való csatlakozás, ahol végig kell menni az eszköz első inicializálásán. Az inicializálás során alapvetően meg kell nyomni Ezután mert szinte minden beállítás módosítható a jövőben. Az IP-címet, a DNS-beállításokat és a gazdagépnevet azonban azonnal megváltoztathatja.
1.2) Ha van virtuális SG-je
1.2.1) Hozzon létre egy új virtuális gépet ugyanazokkal az erőforrásokkal (CPU, RAM, HDD) vagy több, mivel az R80.40-es verzió egy kicsit igényesebb. Az IP-címek ütközésének elkerülése érdekében kapcsolja ki a régi átjárót, és kezdjen el egy újat telepíteni ugyanazzal az IP-címmel. A régi SG nyugodtan törölhető, mivel nincs rajta semmi értékes, mert minden fontos dolog - a biztonsági szabályzat - a felügyeleti szerveren található.
1.2.2) Az operációs rendszer telepítése során konfigurálja az aktuális IP-címet, és válasszon ki egy könyvtárat / Root megfelelő mennyiségű hely.
3) Csatlakozzon az átjáróhoz a HTTPS-porton keresztül, és kezdje meg az inicializálási folyamatot. A telepítés típusának kiválasztásakor "Telepítés típusa" válassza az első lehetőséget – Biztonsági átjáró és/vagy Biztonságkezelés.
21. ábra Gaia telepítési típusának kiválasztása
4) A legfontosabb szempont az entitás (Termékek) kiválasztása. Választani kellene Biztonsági átjáró és ha van fürtje, jelölje be a négyzetet „Az egység egy fürt része, típusa: ClusterXL”. Ha van VRRP-fürtje, válassza ezt a típust, de ez nem valószínű.
22. ábra Entitástípus kiválasztása a Gaia telepítésekor
5) A következő lépésben állítsa be az egyszeri SIC jelszót a felügyeleti kiszolgálóval való bizalom kialakításához. Ezzel a jelszóval egy tanúsítvány jön létre, és a felügyeleti kiszolgáló egy titkosított kommunikációs csatornán keresztül kommunikál az átjáróval. Pipa „Kapcsolódás a menedzsmenthez szolgáltatásként” be kell állítani, ha a felügyeleti szerver a felhőben található. Nemrég írtunk erről és mennyire kényelmes és egyszerű a felhőkezelő szerver.
23. ábra SIC létrehozása
6) Indítsa el az inicializálási folyamatot a következő lapon. Amint az eszköz újraindul, csatlakozzon a webes felülethez, és vigye át a beállításokat a képernyőképekről a Gaia Portal összes olyan lapjára, ahol valami be van állítva, vagy futtassa a parancsot a clish-ből. terhelési konfiguráció .txt. Ezt a konfigurációs fájlt először fel kell tölteni a biztonsági átjáróra.
Megjegyzés: Mivel az operációs rendszer új, a WinSCP nem engedi meg, hogy rendszergazdaként csatlakozzon, a felhasználói shell-t /bin/bash-re módosítsa sem a webes felületen a Felhasználók lapon, sem a parancs beírásával. chsh –s /bin/bash vagy hozzon létre egy új felhasználót ezzel a shellvel.
7) Nyissa meg és lépjen be az imént újratelepített Security Gateway objektumba. Nyissa meg a lapot Általános tulajdonságok > Kommunikáció > SIC visszaállítása és írja be az 5. lépésben megadott jelszót.
24. ábra: A bizalom megteremtése az új biztonsági átjáróval
8) Az objektum Gaia verziójának meg kell változnia, ha nem változik, akkor módosítsa manuálisan. Ezután telepítse a házirendet az átjáróra.
9) A Gaia portálon lépjen a lapra Frissítések (CPUSE) > Állapot és műveletek > Gyorsjavítások és telepítse a legújabb gyorsjavítást. A készülék bemegy indítsa újra telepítés során!
10) Klaszter esetén változtassa meg a csomópontok szerepét, és végezze el ugyanezeket a lépéseket egy másik csomópontnál.
Következtetés
Igyekeztem a legvilágosabb és legátfogóbb útmutatót készíteni az R80.20/R80.30 verzióról a jelenlegi R80.40-re való frissítéshez, mivel sok minden megváltozott. Változat már megjelent demó módban, de a frissítési eljárás többé-kevésbé változatlan marad. A tisztviselő vezetésével a Check Pointból minden részletet maga is kitalálhat.
Bármilyen kérdés esetén forduljon hozzánk. Szívesen segítünk a legbonyolultabb frissítésekben és ügyekben technikai támogatásunk részeként . A miénk is a Check Point beállításainak auditálása megrendelhető vagy ingyenesen hagyható műszaki esethez.
. Maradjon velünk (, , , , ).
Forrás: will.com