BolеDua tahun lalu, kami menulis bahwa setiap administrator Check Point cepat atau lambat menghadapi masalah memperbarui ke versi baru. Di dalam peningkatan dari versi R77.30 ke R80.10 telah dijelaskan. Omong-omong, pada Januari 2020, R77.30 menjadi versi bersertifikat FSTEC. Namun, banyak yang berubah di Check Point dalam 2 tahun. Di dalam artikel "” menjelaskan semua inovasi yang ada banyak. Artikel ini akan menjelaskan prosedur pembaruan sedetail mungkin.
Seperti yang Anda ketahui, ada 2 opsi untuk mengimplementasikan Check Point: Standalone dan Distributed, yaitu tanpa server manajemen khusus dan dengan server khusus. Opsi Terdistribusi sangat disarankan karena beberapa alasan:
-
beban pada sumber daya gateway diminimalkan;
-
Anda tidak perlu menjadwalkan masa pemeliharaan agar berfungsi di server manajemen;
-
pengoperasian SmartEvent yang memadai, karena kemungkinan besar tidak akan berfungsi dalam versi Standalone;
-
Sangat disarankan untuk membangun cluster gateway dalam konfigurasi Terdistribusi.
Mengingat semua manfaat konfigurasi Terdistribusi, kami akan mempertimbangkan untuk meningkatkan server manajemen dan gateway keamanan secara terpisah.
Pembaruan Server Manajemen Keamanan (SMS).
Ada 2 cara untuk mengupdate SMS:
-
melalui CPUSE (melalui Portal Gaia)
-
menggunakan Alat Migrasi (diperlukan instalasi bersih - instalasi baru)
Memperbarui menggunakan CPUSE tidak disarankan oleh rekan Check Point karena tidak akan memperbarui versi sistem file dan kernel Anda. Namun, metode ini tidak memerlukan migrasi kebijakan dan jauh lebih cepat dan sederhana dibandingkan metode kedua.
Instalasi bersih dan migrasi kebijakan menggunakan Alat Migrasi adalah metode yang disarankan. Selain sistem file dan kernel OS baru, sering kali database SMS tersumbat, dan instalasi yang bersih dalam hal ini adalah solusi terbaik untuk menambah kecepatan server.
1) Langkah pertama dalam pembaruan apa pun adalah membuat cadangan dan snapshot. Jika Anda memiliki server manajemen fisik, cadangan harus dibuat dari antarmuka web Portal Gaia. Buka tabnya Pemeliharaan > Pencadangan Sistem > Pencadangan. Selanjutnya, Anda menentukan lokasi untuk menyimpan cadangan. Ini bisa berupa server SCP, FTP, TFTP, atau secara lokal di perangkat, tetapi Anda harus mengunggah cadangan ini ke server atau komputer nanti.
Gambar 1. Membuat cadangan di Gaia Portal
2) Selanjutnya Anda harus mengambil snapshot di tab Pemeliharaan → Manajemen Snapshot → Baru. Perbedaan antara cadangan dan rekam jepret adalah rekam jepret menyimpan lebih banyak informasi, termasuk semua perbaikan terbaru yang diinstal. Namun, lebih baik melakukan keduanya.
Jika server manajemen Anda diinstal sebagai mesin virtual, disarankan untuk membuat cadangan mesin virtual menggunakan alat hypervisor bawaan. Ini lebih cepat dan lebih dapat diandalkan.
Gambar 2. Membuat snapshot di Gaia Portal
3) Simpan konfigurasi perangkat dari Gaia Portal. Anda bisa screenshot semua tab pengaturan yang ada di Gaia Portal, atau memasukkan perintah dari Clish simpan konfigurasi. Selanjutnya, bawa file tersebut ke PC Anda menggunakan WinSCP atau klien lain.
Gambar 3. Menyimpan konfigurasi ke file teks)
Catatan: jika WinSCP tidak mengizinkan Anda untuk terhubung, ubah shell pengguna menjadi /bin/bash baik di antarmuka web di tab Pengguna, atau dengan memasukkan perintah chsh –s /bin/bash.
Memperbarui dengan CPUSE
4) 3 langkah pertama wajib untuk setiap opsi pembaruan. Jika Anda memutuskan untuk mengambil jalur pembaruan yang lebih sederhana, maka di antarmuka web, buka tab Peningkatan (CPUSE) > Status dan Tindakan > Versi Utama > Titik Periksa R80.40 Gaia Fresh Instal dan Tingkatkan. Klik kanan pada pembaruan ini dan pilih Pemverifikasi. Proses verifikasi akan dimulai selama beberapa menit, setelah itu Anda akan melihat pesan bahwa perangkat dapat diperbarui. Jika Anda melihat kesalahan, kesalahan tersebut perlu diperbaiki.
Gambar 4. Update melalui CPUSE
5) Perbarui ke versi terbaru CDT (Central Deployment Tool) - utilitas yang berjalan di server manajemen dan memungkinkan Anda menginstal pembaruan, paket layanan, mengelola cadangan, snapshot, skrip, dan banyak lagi. Versi CDT yang kedaluwarsa dapat menyebabkan masalah pada pembaruan. Anda dapat mengunduh CDT di .
6) Setelah menempatkan arsip yang diunduh pada SMS di direktori mana pun melalui WinSCP, sambungkan melalui SSH ke SMS dan masuk ke mode ahli. Izinkan saya mengingatkan Anda bahwa pengguna WinSCP harus memiliki shell / bin / bash!
7) Masukkan perintah:
cd /somepathtoCDT/
tar -zxvf .tgz
rpm -Uhv —memaksa CPcdt-00-00.i386.rpm
Gambar 5. Menginstal Central Deployment Tool (CDT)
8) Langkah selanjutnya adalah menginstal image R80.40. Klik kanan pada pembaruan Unduh, lalu Menginstal. Ingatlah bahwa pembaruan akan memakan waktu 20-30 menit dan server manajemen tidak akan tersedia selama beberapa waktu. Oleh karena itu, masuk akal untuk menyetujui jendela layanan.
9) Semua lisensi dan kebijakan keamanan disimpan, jadi selanjutnya Anda harus mengunduh yang baru .
10) Hubungkan ke SMS SmartConsole baru dan tetapkan kebijakan keamanan. Tombol Instal Kebijakan di pojok kiri atas.
11) SMS Anda telah diperbarui, maka Anda harus menginstal perbaikan terbaru terbaru. Di tab Peningkatan (CPUSE) > Status dan Tindakan > Perbaikan terbaru klik pada tombol kanan mouse Verifikator, lalu Memasang pembaharuan. Perangkat akan reboot sendiri setelah menginstal pembaruan.
Gambar 6. Menginstal hotfix terbaru melalui CPUSE
Memperbarui dengan Alat Migrasi
4) Pertama, Anda juga harus memperbarui CDT ke versi terbaru - poin 5, 6, 7 dari bagian “Perbarui menggunakan CPUSE.”
5) Instal paket Alat Migrasi yang diperlukan untuk memigrasikan kebijakan dari server manajemen. Menurut Ini Anda dapat menemukan Alat Migrasi untuk versi: R80.20, R80.20 M1, R80.20 M2, R80.30, R80.40. Anda harus mengunduh Alat Migrasi versinya yang ingin Anda perbarui, dan bukan yang Anda miliki sekarang! Dalam kasus kami itu adalah R80.40.
6) Selanjutnya di antarmuka web SMS, buka tab Peningkatan (CPUSE) > Status dan Tindakan > Impor Paket > Telusuri > Pilih file yang diunduh > Impor.
Gambar 7. Mengimpor Alat Migrasi
7) Dari mode ahli di SMS, periksa apakah paket Alat Migrasi telah diinstal menggunakan perintah (output perintah harus sesuai dengan nomor pada nama arsip Alat Migrasi):
cpprod_util CPPROD_GetValue CPupgrade-tools-R80.40 BuildNumber 1
Gambar 8. Memverifikasi instalasi Alat Migrasi
8) Buka folder $FWDIR/scripts di server manajemen:
cd $FWDIR/skrip
9) Jalankan verifikator pra-peningkatan menggunakan perintah (jika ada kesalahan, perbaiki sebelum langkah selanjutnya):
./migrate_server verifikasi -v R80.40
Catatan: jika Anda melihat kesalahan “Gagal mengambil paket Alat Peningkatan”, tetapi Anda sudah memeriksa bahwa arsip berhasil diimpor (lihat poin 4), gunakan perintah:
./migrate_server verifikasi -v R80.40 -skip_upgrade_tools_check
Gambar 9. Menjalankan skrip verifikasi
10) Ekspor kebijakan keamanan menggunakan perintah:
./migrate_server ekspor -v R80.40 / / .tgz
Gambar 10. Mengekspor kebijakan keamanan
Catatan: jika Anda melihat kesalahan “Gagal mengambil paket Alat Peningkatan”, tetapi Anda sudah memeriksa bahwa arsip berhasil diimpor (langkah 7), gunakan perintah:
./migrate_server ekspor -skip_upgrade_tools_check -v R80.40 / / .tgz
11) Hitung jumlah hash MD5 dan simpan output dari perintah:
md5sum / / .tgz
Gambar 11. Menghitung jumlah hash MD5
12) Menggunakan WinSCP, pindahkan file ini ke komputer Anda.
13) Masukkan perintah df -h dan hemat persentase direktori berdasarkan ruang yang ditempati.
Gambar 12. Persentase direktori per SMS
14.1) Jika Anda memiliki SMS asli
14.1.1) Menggunakan flash drive USB yang dapat di-boot dengan gambar telah dibuat .
14.1.2) Saya sarankan menyiapkan minimal 2 flash drive yang dapat di-boot, karena kebetulan flash drive tersebut tidak selalu dapat dibaca.
14.1.3) Sebagai administrator di komputer Anda, jalankan ISOmorfik.exe. Pada langkah 1, pilih gambar Gaia R80.40 yang diunduh, pada langkah 4 flash drive. Ubah poin 2 dan 3 jangan!
Gambar 13. Membuat flash drive USB yang dapat di-boot
14.1.4) Pilih item “Instal secara otomatis tanpa konfirmasi” dan penting untuk menentukan model server manajemen Anda. Dalam hal SMS, Anda harus memilih jalur 3 atau 4.
Gambar 14. Memilih model perangkat untuk membuat flash drive USB yang dapat di-boot
14.1.5) Selanjutnya matikan upline, masukkan flashdisk ke port USB, sambungkan kabel konsol melalui port COM ke perangkat dan aktifkan SMS. Proses instalasi terjadi secara otomatis. Alamat IP bawaan - 192.168.1.1/24, dan informasi masuk pengurus / admin.
14.1.6) Langkah selanjutnya adalah menyambung ke antarmuka web di Gaia Portal (alamat default ), tempat Anda melakukan inisialisasi perangkat. Selama inisialisasi pada dasarnya Anda menekan Selanjutnya, karena hampir semua pengaturan dapat diubah di kemudian hari. Namun, Anda dapat langsung mengubah alamat IP, pengaturan DNS, dan nama host.
14.2) Jika Anda memiliki SMS virtual
14.2.1) Dalam situasi apa pun Anda tidak boleh menghapus SMS lama; buat mesin virtual baru dengan sumber daya yang sama (CPU, RAM, HDD) dan alamat IP yang sama. Omong-omong, Anda dapat menambahkan RAM dan HDD, karena versi R80.40 sedikit lebih menuntut. Untuk menghindari konflik alamat IP, matikan SMS lama dan mulai instal yang baru.
14.2.2) Selama instalasi Gaia, konfigurasikan alamat IP saat ini dan pilih direktori / Root jumlah ruang yang cukup. Persentase direktori yang Anda miliki harus kira-kira bertahan hidup, gunakan keluaran df -h.
15) Pada saat memilih jenis instalasi “Jenis Instalasi” pilih opsi pertama, karena kemungkinan besar Anda tidak memiliki MDS (Multi-Domain Server). Jika MDS, maka Anda mengelola banyak domain dari entitas SMS berbeda secara bersamaan. Dalam hal ini, Anda harus memilih opsi kedua.
Gambar 15. Memilih jenis instalasi Gaia
16) Poin terpenting yang tidak dapat diperbaiki tanpa menginstal ulang adalah pilihan entitas. Harus memilih Manajemen keamanan dan klik Next. Segala sesuatu yang lain adalah secara default.
Gambar 16. Memilih tipe entitas saat menginstal Gaia
17) Setelah perangkat di-boot ulang, sambungkan ke antarmuka web menggunakan atau alamat IP yang berbeda jika Anda mengubahnya.
18) Transfer pengaturan dari tangkapan layar ke semua tab Gaia Portal di mana sesuatu telah dikonfigurasi, atau jalankan perintah dari clish konfigurasi beban .txt. File konfigurasi ini harus diupload terlebih dahulu ke SMS.
Catatan: Karena OS ini baru, WinSCP tidak akan mengizinkan Anda untuk terhubung sebagai administrator, ubah shell pengguna menjadi /bin/bash baik di antarmuka web di tab Pengguna, atau dengan memasukkan perintah chsh –s /bin/bash atau buat pengguna baru.
19) Unggah file dengan kebijakan yang diekspor dari server manajemen lama ke direktori mana pun. Lalu buka konsol dalam mode ahli dan periksa apakah jumlah hash MD5 cocok dengan yang sebelumnya. Jika tidak, ekspor harus dilakukan lagi:
md5sum / / .tgz
20) Ulangi langkah 6 dan instal Alat Peningkatan pada SMS baru di Portal Gaia di tab Peningkatan (CPUSE) > Status dan Tindakan.
21) Masukkan perintah dalam mode ahli:
./migrate_server impor -v R80.40 -skip_upgrade_tools_check / / .tgz
Gambar 17. Mengimpor kebijakan keamanan ke SMS baru
22) Aktifkan layanan dengan perintah cpstart.
23) Unduh yang baru dan terhubung ke server manajemen. Pergi ke Menu > Kelola Lisensi dan Paket (SmartUpdate) dan periksa apakah Anda masih memiliki lisensi Anda.
Gambar 18. Pengecekan lisensi yang terpasang
24) Tetapkan kebijakan keamanan pada gateway atau cluster - Instal Kebijakan.
Pembaruan Gerbang Keamanan (SG).
Gerbang Keamanan dapat diperbarui melalui CPUSE, seperti server manajemen, atau diinstal ulang - instalasi baru. Dari pengalaman saya, dalam 99% kasus, semua orang menginstal ulang Security Gateway karena waktu yang dibutuhkan hampir sama dengan memperbarui melalui CPUSE, tetapi Anda mendapatkan OS yang bersih dan diperbarui tanpa bug.
Mirip dengan SMS, pertama-tama Anda perlu membuat cadangan dan snapshot, serta menyimpan pengaturan dari Gaia Portal. Lihat poin 1, 2 dan 3 di bagian "Pembaruan Server Manajemen Keamanan".
Memperbarui dengan CPUSE
Memperbarui Security Gateway melalui CPUSE sama persis dengan memperbarui Server Manajemen Keamanan, jadi silakan merujuk ke awal artikel.
Poin penting: Pembaruan SG memerlukan reboot! Oleh karena itu, perbarui selama masa pemeliharaan. Jika Anda memiliki cluster, tingkatkan node pasif terlebih dahulu, lalu ganti peran dan tingkatkan node lainnya. Dalam kasus cluster, jendela pemeliharaan dapat dihindari.
Menginstal versi OS baru di Security Gateway
1.1) Jika Anda memiliki SG asli
1.1.1) Menggunakan flash drive USB yang dapat di-boot dengan gambar telah dibuat . Gambarnya sama seperti di SMS, tetapi prosedur untuk membuat flash drive yang dapat di-boot terlihat sedikit berbeda.
1.1.2) Saya sarankan menyiapkan minimal 2 flash drive yang dapat di-boot, karena kebetulan flash drive tersebut tidak selalu dapat dibaca.
1.1.3) Sebagai administrator di komputer Anda, jalankan ISOmorfik.exe. Pada langkah 1, pilih gambar Gaia R80.40 yang diunduh, pada langkah 4 flash drive. Ubah poin 2 dan 3 jangan!
Gambar 19. Membuat flash drive USB yang dapat di-boot
1.1.4) Pilih item “Instal secara otomatis tanpa konfirmasi”, dan penting untuk menunjukkan model Gerbang Keamanan Anda - baris 2 atau 3. Jika ini adalah kotak pasir fisik (SandBlast Appliance), pilih baris 5.
Gambar 20. Memilih model perangkat untuk membuat flash drive USB yang dapat di-boot
1.1.5) Selanjutnya matikan upline, masukkan flashdisk ke port USB, sambungkan kabel konsol melalui port COM ke perangkat dan hidupkan gateway. Proses instalasi terjadi secara otomatis. Alamat IP bawaan - 192.168.1.1/24, dan informasi masuk pengurus / admin. Anda harus memperbarui terlebih dahulu simpul pasif, lalu instal kebijakan di dalamnya, ganti peran, lalu perbarui node lain. Kemungkinan besar Anda memerlukan jendela pemeliharaan.
1.1.6) Langkah selanjutnya adalah menyambung ke antarmuka web di Portal Gaia, tempat Anda melakukan inisialisasi pertama perangkat. Selama inisialisasi pada dasarnya Anda menekan Selanjutnya, karena hampir semua pengaturan dapat diubah di kemudian hari. Namun, Anda dapat langsung mengubah alamat IP, pengaturan DNS, dan nama host.
1.2) Jika Anda memiliki SG virtual
1.2.1) Buat mesin virtual baru dengan sumber daya yang sama (CPU, RAM, HDD) atau lebih, karena versi R80.40 sedikit lebih menuntut. Untuk menghindari konflik alamat IP, matikan gateway lama dan mulai instal yang baru dengan alamat IP yang sama. SG lama dapat dihapus dengan aman, karena tidak ada yang berharga di dalamnya, karena semua hal terpenting - kebijakan keamanan - ada di server manajemen.
1.2.2) Selama instalasi OS, konfigurasikan alamat IP saat ini dan pilih direktori / Root jumlah ruang yang cukup.
3) Hubungkan ke gateway melalui port HTTPS dan mulai proses inisialisasi. Pada saat memilih jenis instalasi “Jenis Instalasi” pilih opsi pertama - Gerbang Keamanan dan/atau Manajemen Keamanan.
Gambar 21. Memilih jenis instalasi Gaia
4) Poin terpenting adalah pemilihan entitas (Produk). Harus memilih Gerbang Keamanan dan, jika Anda memiliki cluster, centang kotaknya “Unit adalah bagian dari cluster, ketik: ClusterXL”. Jika Anda memiliki cluster VRRP, maka pilihlah jenis ini, tetapi kecil kemungkinannya.
Gambar 22. Memilih tipe entitas saat menginstal Gaia
5) Pada langkah selanjutnya, atur kata sandi satu kali SIC untuk membangun kepercayaan dengan server manajemen. Dengan menggunakan kata sandi ini, sertifikat dibuat, dan server manajemen akan berkomunikasi dengan gateway melalui saluran komunikasi terenkripsi. Tanda cek “Hubungkan ke Manajemen Anda sebagai Layanan” harus diatur jika server manajemen berlokasi di cloud. Kami baru saja menulis tentang ini dan betapa nyaman dan sederhananya server manajemen cloud.
Gambar 23. Pembuatan SIC
6) Mulai proses inisialisasi pada tab berikutnya. Segera setelah perangkat reboot, sambungkan ke antarmuka web dan transfer pengaturan dari tangkapan layar ke semua tab Portal Gaia tempat sesuatu telah dikonfigurasi, atau jalankan perintah dari clish konfigurasi beban .txt. File konfigurasi ini harus diunggah terlebih dahulu ke gateway keamanan.
Catatan: Karena OS ini baru, WinSCP tidak akan mengizinkan Anda untuk terhubung sebagai administrator, ubah shell pengguna menjadi /bin/bash baik di antarmuka web di tab Pengguna, atau dengan memasukkan perintah chsh –s /bin/bash atau buat pengguna baru dengan shell ini.
7) Buka dan masuk ke objek Security Gateway yang baru saja Anda instal ulang. Buka tabnya Properti Umum > Komunikasi > Reset SIC dan masukkan kata sandi yang ditentukan pada langkah 5.
Gambar 24: Membangun kepercayaan dengan gateway keamanan baru
8) Objek versi Gaia harus diubah, jika tidak berubah maka ubah secara manual. Kemudian instal kebijakan di gateway.
9) Di Portal Gaia, buka tab Peningkatan (CPUSE) > Status dan Tindakan > Perbaikan terbaru dan instal perbaikan terbaru terbaru. Perangkat akan masuk reboot selama instalasi!
10) Dalam kasus cluster, ubah peran node dan lakukan langkah yang sama untuk node lainnya.
Kesimpulan
Saya mencoba membuat panduan paling jelas dan komprehensif untuk upgrade dari versi R80.20/R80.30 ke R80.40 saat ini, karena banyak yang berubah. Versi: kapan telah muncul dalam mode demo, tetapi prosedur pembaruannya kurang lebih sama. Dipandu oleh pejabat tersebut dari Check Point, Anda dapat mengetahui sendiri semua detailnya.
Untuk pertanyaan apa pun Anda dapat menghubungi kami. Kami akan dengan senang hati membantu pembaruan dan kasus paling rumit sebagai bagian dari dukungan teknis kami . Juga di kami dimungkinkan untuk memesan audit pengaturan Check Point atau membiarkannya gratis untuk kasus teknis.
. Pantau terus (, , , , ).
Sumber: www.habr.com