BolеDue anni fa abbiamo scritto che ogni amministratore di Check Point prima o poi affronta il problema dell'aggiornamento a una nuova versione. In questo è stato descritto un aggiornamento dalla versione R77.30 alla R80.10. A proposito, nel gennaio 2020, R77.30 è diventata una versione certificata di FSTEC. Tuttavia, molto è cambiato al Check Point in 2 anni. Nell'articolo "" descrive tutte le innovazioni, di cui ce ne sono molte. Questo articolo descriverà la procedura di aggiornamento nel modo più dettagliato possibile.
Come sai, ci sono 2 opzioni per implementare Check Point: Standalone e Distribuito, cioè senza server di gestione dedicato e con uno dedicato. L'opzione Distribuita è altamente consigliata per diversi motivi:
-
il carico sulle risorse del gateway è ridotto al minimo;
-
Non è necessario pianificare una finestra di manutenzione per lavorare sul server di gestione;
-
funzionamento adeguato di SmartEvent, poiché difficilmente funzionerà nella versione Standalone;
-
Si consiglia vivamente di creare un cluster di gateway nella configurazione distribuita.
Considerati tutti i vantaggi della configurazione distribuita, prenderemo in considerazione l'aggiornamento del server di gestione e del gateway di sicurezza separatamente.
Aggiornamento del server di gestione della sicurezza (SMS).
Esistono 2 modi per aggiornare gli SMS:
-
tramite CPUSE (tramite Gaia Portal)
-
utilizzando gli strumenti di migrazione (è richiesta un'installazione pulita - nuova installazione)
L'aggiornamento tramite CPUSE non è consigliato dai colleghi di Check Point poiché non aggiornerà la versione del file system e il kernel. Tuttavia, questo metodo non richiede la migrazione delle policy ed è molto più rapido e semplice rispetto al secondo metodo.
Il metodo consigliato è un'installazione pulita e la migrazione delle policy utilizzando gli Strumenti di migrazione. Oltre al nuovo file system e al kernel del sistema operativo, capita spesso che il database degli SMS si intasi e un'installazione pulita in questo senso è un'ottima soluzione per aumentare la velocità del server.
1) Il primo passo in qualsiasi aggiornamento è creare backup e istantanee. Se disponi di un server di gestione fisico, è necessario eseguire un backup dall'interfaccia web di Gaia Portal. Vai alla scheda Manutenzione > Backup del sistema > Backup. Successivamente, specifichi la posizione in cui salvare il backup. Può trattarsi di un server SCP, FTP, TFTP o localmente sul dispositivo, ma in seguito dovrai caricare questo backup su un server o un computer.
Figura 1. Creazione di un backup in Gaia Portal
2) Successivamente dovresti scattare un'istantanea nella scheda Manutenzione → Gestione istantanee → Nuovo. La differenza tra backup e snapshot è che negli snapshot vengono archiviate più informazioni, inclusi tutti gli hotfix installati. Tuttavia, è meglio fare entrambe le cose.
Se il server di gestione è installato come macchina virtuale, si consiglia di eseguire un backup della macchina virtuale utilizzando gli strumenti dell'hypervisor integrati. È semplicemente più veloce e più affidabile.
Figura 2. Creazione di uno snapshot in Gaia Portal
3) Salvare la configurazione del dispositivo da Gaia Portal. Puoi eseguire lo screenshot di tutte le schede delle impostazioni presenti in Gaia Portal o inserire il comando da Clish salvare la configurazione. Successivamente, porta il file sul tuo PC utilizzando WinSCP o un altro client.
Figura 3. Salvataggio della configurazione in un file di testo)
Nota: se WinSCP non ti consente di connetterti, cambia la shell utente in /bin/bash nell'interfaccia web nella scheda Utenti o inserendo il comando chsh –s /bin/bash.
Aggiornamento con CPUSE
4) I primi 3 passaggi sono obbligatori per qualsiasi opzione di aggiornamento. Se decidi di seguire un percorso di aggiornamento più semplice, nell'interfaccia web vai alla scheda Aggiornamenti (CPUSE) > Stato e azioni > Versioni principali > Check Point R80.40 Gaia Fresh Installazione e aggiornamento. Fare clic con il tasto destro su questo aggiornamento e selezionare Verificatore. Il processo di verifica inizierà per alcuni minuti, dopodiché vedrai un messaggio che informa che il dispositivo può essere aggiornato. Se vedi errori, devono essere corretti.
Figura 4. Aggiornamento tramite CPUSE
5) Aggiornamento all'ultima versione di CDT (Central Deployment Tool): un'utilità che viene eseguita sul server di gestione e consente di installare aggiornamenti, service pack, gestire backup, istantanee, script e molto altro. Una versione CDT obsoleta può causare problemi con l'aggiornamento. Puoi scaricare CDT su .
6) Dopo aver posizionato l'archivio scaricato su SMS in qualsiasi directory tramite WinSCP, connettersi tramite SSH a SMS ed entrare in modalità esperto. Lascia che ti ricordi che l'utente WinSCP deve avere una shell / bin / bash!
7) Immettere i comandi:
cd /qualchepercorsoCDT/
tar -zxvf .tgz
giri/min -Uhv —forza CPCdt-00-00.i386.rpm
Figura 5. Installazione del Central Deployment Tool (CDT)
8) Il passo successivo è installare l'immagine R80.40. Fare clic con il tasto destro su aggiorna Scaricare, poi Installa. Tieni presente che l'aggiornamento richiederà 20-30 minuti e il server di gestione non sarà disponibile per un po' di tempo. Pertanto è opportuno concordare una finestra di servizio.
9) Tutte le licenze e le politiche di sicurezza vengono salvate, quindi successivamente dovresti scaricarne una nuova .
10) Connettersi via SMS alla nuova SmartConsole e impostare le policy di sicurezza. Pulsante Installa politica nell'angolo in alto a sinistra.
11) Il tuo SMS è stato aggiornato, quindi dovresti installare l'ultimo hotfix. Nella scheda Aggiornamenti (CPUSE) > Stato e azioni > Hotfix fare clic con il pulsante destro del mouse Verifier, lo giuro Installa aggiornamento. Il dispositivo si riavvierà automaticamente dopo aver installato l'aggiornamento.
Figura 6. Installazione dell'ultimo hotfix tramite CPUSE
Aggiornamento con strumenti di migrazione
4) Innanzitutto dovresti aggiornare anche all'ultima versione di CDT - punti 5, 6, 7 della sezione "Aggiorna utilizzando CPUSE."
5) Installare il pacchetto Strumenti di migrazione richiesto per migrare le policy dal server di gestione. Secondo questo puoi trovare gli strumenti di migrazione per le versioni: R80.20, R80.20 M1, R80.20 M2, R80.30, R80.40. Dovresti scaricare gli strumenti di migrazione della versione a cui desideri aggiornare, e non quello che hai adesso! Nel nostro caso è R80.40.
6) Successivamente nell'interfaccia web SMS vai alla scheda Aggiornamenti (CPUSE) > Stato e azioni > Importa pacchetto > Sfoglia > Seleziona il file scaricato > Importa.
Figura 7. Importazione degli strumenti di migrazione
7) Dalla modalità esperto su SMS, verificare che il pacchetto Migration Tools sia installato utilizzando il comando (l'output del comando deve corrispondere al numero nel nome dell'archivio Migration Tools):
cpprod_util CPPROD_GetValue CPupgrade-tools-R80.40 BuildNumber 1
Figura 8. Verifica dell'installazione degli strumenti di migrazione
8) Andare alla cartella $FWDIR/scripts sul server di gestione:
cd $FWDIR/script
9) Eseguire il verificatore pre-aggiornamento utilizzando il comando (se sono presenti errori, correggerli prima di ulteriori passaggi):
./migrate_server verificare -v R80.40
Nota: se vedi un errore "Impossibile recuperare il pacchetto degli strumenti di aggiornamento", ma hai verificato che l'archivio sia stato importato correttamente (vedi punto 4), utilizza il comando:
./migrate_server verify -v R80.40 -skip_upgrade_tools_check
Figura 9. Esecuzione dello script di verifica
10) Esporta le policy di sicurezza utilizzando il comando:
./migrate_server esportazione -v R80.40 / / .tgz
Figura 10. Esportazione di una politica di sicurezza
Nota: se vedi un errore "Impossibile recuperare il pacchetto degli strumenti di aggiornamento", ma hai verificato che l'archivio sia stato importato correttamente (passaggio 7), utilizza il comando:
./migrate_server export -skip_upgrade_tools_check -v R80.40 / / .tgz
11) Calcola la somma dell'hash MD5 e salva l'output del comando:
somma md5 / / .tgz
Figura 11. Calcolo della somma hash MD5
12) Usando WinSCP, sposta questo file sul tuo computer.
13) Immettere il comando df -h e risparmia la percentuale di directory in base allo spazio occupato.
Figura 12. Percentuale di directory per SMS
14.1) Nel caso in cui tu abbia un vero SMS
14.1.1) Utilizzo viene creata un'unità flash USB avviabile con un'immagine .
14.1.2) Consiglio di preparare almeno 2 unità flash avviabili, poiché capita che l'unità flash non sia sempre leggibile.
14.1.3) Come amministratore del tuo computer, esegui ISOmorphic.exe. Nel passaggio 1 seleziona l'immagine scaricata di Gaia R80.40, nel passaggio 4 la chiavetta USB. Modificare i punti 2 e 3 no!
Figura 13. Creazione di un'unità flash USB avviabile
14.1.4) Selezionare un elemento “Installa automaticamente senza conferma” ed è importante specificare il modello del proprio server di gestione. Nel caso degli SMS, selezionare la riga 3 o 4.
Figura 14. Selezione di un modello di dispositivo per creare un'unità flash USB avviabile
14.1.5) Successivamente, si spegne la upline, si inserisce la chiavetta USB nella porta USB, si collega il cavo della console tramite la porta COM al dispositivo e si abilitano gli SMS. Il processo di installazione avviene automaticamente. Indirizzo IP predefinito - 192.168.1.1/24e le informazioni di accesso admin / admin.
14.1.6) Il passo successivo è connettersi all'interfaccia web su Gaia Portal (indirizzo predefinito ), dove si passa all'inizializzazione del dispositivo. Durante l'inizializzazione in pratica si preme Il prossimo, perché quasi tutte le impostazioni possono essere modificate in futuro. Tuttavia, puoi modificare immediatamente l'indirizzo IP, le impostazioni DNS e il nome host.
14.2) Nel caso in cui tu abbia SMS virtuali
14.2.1) In nessun caso eliminare il vecchio SMS; creare una nuova macchina virtuale con le stesse risorse (CPU, RAM, HDD) e lo stesso indirizzo IP. Ad ogni modo, potete aggiungere RAM e HDD, dato che la versione R80.40 è un po' più impegnativa. Per evitare conflitti di indirizzi IP, disattiva il vecchio SMS e inizia a installarne uno nuovo.
14.2.2) Durante l'installazione di Gaia, configurare l'indirizzo IP corrente e selezionare una directory / Root quantità di spazio adeguata. La percentuale di directory che hai dovrebbe essere approssimativa Salva, usa l'output df -h.
15) Al momento della scelta del tipo di installazione “Tipo di installazione” scegli la prima opzione, poiché molto probabilmente non disponi di MDS (Multi-Domain Server). Se MDS, hai gestito molti domini di diverse entità SMS contemporaneamente. In questo caso, dovresti selezionare la seconda opzione.
Figura 15. Selezione del tipo di installazione Gaia
16) Il punto più importante che non può essere corretto senza reinstallare è la scelta dell'entità. Dovrebbe scegliere Gestione della sicurezza e premere Avanti. Tutto il resto è predefinito.
Figura 16. Selezione di un tipo di entità durante l'installazione di Gaia
17) Una volta riavviato il dispositivo, connettersi all'interfaccia web utilizzando o un indirizzo IP diverso se lo hai modificato.
18) Trasferisci le impostazioni dagli screenshot a tutte le schede di Gaia Portal in cui è stato configurato qualcosa, oppure esegui il comando da clish caricare la configurazione .TXT. Questo file di configurazione deve prima essere caricato su SMS.
Nota: Dato che il sistema operativo è nuovo, WinSCP non ti consentirà di connetterti come amministratore, modificare la shell utente in /bin/bash nell'interfaccia web nella scheda Utenti o inserendo il comando chsh –s /bin/bash o creare un nuovo utente.
19) Caricare il file con le policy esportate dal vecchio server di gestione in qualsiasi directory. Andate quindi sulla console in modalità esperto e verificate che la quantità di hash MD5 corrisponda a quella precedente. Altrimenti, l'esportazione dovrebbe essere ripetuta:
md5sum / / .tgz
20) Ripeti il passaggio 6 e installa gli Strumenti di aggiornamento sul nuovo SMS in Gaia Portal nella scheda Aggiornamenti (CPUSE) > Stato e azioni.
21) Immettere il comando in modalità esperto:
./migrate_server import -v R80.40 -skip_upgrade_tools_check / / .tgz
Figura 17. Importazione di una politica di sicurezza in un nuovo SMS
22) Abilita i servizi con il comando cpstart.
23) Scaricane uno nuovo e connettersi al server di gestione. Vai a Menu > Gestisci licenze e pacchetti (SmartUpdate) e controlla di avere ancora la patente.
Figura 18. Controllo delle licenze installate
24) Imposta la politica di sicurezza sul gateway o sul cluster - Installa politica.
Aggiornamento del gateway di sicurezza (SG).
Il Security Gateway può essere aggiornato tramite CPUSE, proprio come il server di gestione, o installato nuovamente - nuova installazione. Dalla mia esperienza, nel 99% dei casi, tutti reinstallano Security Gateway perché impiega quasi lo stesso tempo dell'aggiornamento tramite CPUSE, ma ottieni un sistema operativo pulito e aggiornato senza bug.
Per analogia con gli SMS, devi prima creare un backup e uno snapshot, nonché salvare le impostazioni da Gaia Portal. Fare riferimento ai punti 1, 2 e 3 della sezione "Aggiornamento del server di gestione della sicurezza".
Aggiornamento con CPUSE
L'aggiornamento del Security Gateway tramite CPUSE è esattamente uguale all'aggiornamento del Security Management Server, quindi fare riferimento all'inizio dell'articolo.
Punto importante: è richiesto l'aggiornamento SG riavvio! Pertanto, aggiornare durante la finestra di manutenzione. Se disponi di un cluster, aggiorna prima il nodo passivo, quindi cambia i ruoli e aggiorna l'altro nodo. Nel caso di un cluster è possibile evitare le finestre di manutenzione.
Installazione di una nuova versione del sistema operativo su Security Gateway
1.1) Nel caso in cui tu abbia un vero SG
1.1.1) Utilizzo viene creata un'unità flash USB avviabile con un'immagine . L'immagine è la stessa degli SMS, ma la procedura per creare un'unità flash avviabile sembra leggermente diversa.
1.1.2) Consiglio di preparare almeno 2 unità flash avviabili, poiché capita che l'unità flash non sia sempre leggibile.
1.1.3) Come amministratore del tuo computer, esegui ISOmorphic.exe. Nel passaggio 1 seleziona l'immagine scaricata di Gaia R80.40, nel passaggio 4 la chiavetta USB. Modificare i punti 2 e 3 no!
Figura 19. Creazione di un'unità flash USB avviabile
1.1.4) Selezionare un elemento “Installa automaticamente senza conferma”, ed è importante indicare il modello del tuo Security Gateway - righe 2 o 3. Se si tratta di un sandbox fisico (SandBlast Appliance), seleziona la riga 5.
Figura 20. Selezione di un modello di dispositivo per creare un'unità flash USB avviabile
1.1.5) Successivamente, si spegne l'upline, si inserisce la chiavetta USB nella porta USB, si collega il cavo della console tramite la porta COM al dispositivo e si accende il gateway. Il processo di installazione avviene automaticamente. Indirizzo IP predefinito - 192.168.1.1/24e le informazioni di accesso admin / admin. Dovresti aggiornare prima nodo passivo, quindi installa una policy su di esso, cambia i ruoli e quindi aggiorna un altro nodo. Molto probabilmente avrai bisogno di una finestra di manutenzione.
1.1.6) Il passo successivo è collegarsi all'interfaccia web su Gaia Portal, dove si effettuerà la prima inizializzazione del dispositivo. Durante l'inizializzazione in pratica si preme Il prossimo, perché quasi tutte le impostazioni possono essere modificate in futuro. Tuttavia, puoi modificare immediatamente l'indirizzo IP, le impostazioni DNS e il nome host.
1.2) Nel caso in cui tu abbia un SG virtuale
1.2.1) Creare una nuova macchina virtuale con le stesse risorse (CPU, RAM, HDD) o più, poiché la versione R80.40 è un po' più impegnativa. Per evitare conflitti di indirizzi IP, disattivare il vecchio gateway e iniziare a installarne uno nuovo con lo stesso indirizzo IP. Il vecchio SG può essere cancellato in sicurezza, poiché non contiene nulla di prezioso, perché tutte le cose più importanti - la politica di sicurezza - si trovano sul server di gestione.
1.2.2) Durante l'installazione del sistema operativo, configurare l'indirizzo IP corrente e selezionare una directory / Root quantità di spazio adeguata.
3) Connettersi al gateway tramite la porta HTTPS e iniziare il processo di inizializzazione. Al momento della scelta del tipo di installazione “Tipo di installazione” selezionare la prima opzione: Security Gateway e/o Security Management.
Figura 21. Selezione del tipo di installazione Gaia
4) Il punto più importante è la scelta dell'entità (Prodotti). Dovrebbe scegliere Gateway di sicurezza e, se hai un cluster, seleziona la casella "L'unità fa parte di un cluster, digitare: ClusterXL". Se disponi di un cluster VRRP, scegli questo tipo, ma è improbabile.
Figura 22. Selezione di un tipo di entità durante l'installazione di Gaia
5) Nel passaggio successivo, impostare la password monouso SIC per stabilire la fiducia con il server di gestione. Utilizzando questa password, viene generato un certificato e il server di gestione comunicherà con il gateway su un canale di comunicazione crittografato. Segno di spunta “Connettiti al tuo Management as a Service” dovrebbe essere impostato se il server di gestione si trova nel cloud. Ne abbiamo appena scritto di recente e quanto sia comodo e semplice il server di gestione cloud.
Figura 23. Creazione del SIC
6) Avviare il processo di inizializzazione nella scheda successiva. Non appena il dispositivo si riavvia, collegati all'interfaccia web e trasferisci le impostazioni dagli screenshot a tutte le schede di Gaia Portal in cui è stato configurato qualcosa, oppure esegui il comando da clish caricare la configurazione .TXT. Questo file di configurazione deve prima essere caricato sul gateway di sicurezza.
Nota: Dato che il sistema operativo è nuovo, WinSCP non ti consentirà di connetterti come amministratore, modificare la shell utente in /bin/bash nell'interfaccia web nella scheda Utenti o inserendo il comando chsh –s /bin/bash o crea un nuovo utente con questa shell.
7) Apri e vai nell'oggetto Security Gateway che hai appena reinstallato. Apri la scheda Proprietà generali > Comunicazione > Reimposta SIC e inserire la password specificata al punto 5.
Figura 24: stabilire un rapporto di fiducia con il nuovo gateway di sicurezza
8) La versione Gaia dell'oggetto dovrebbe cambiare, se non cambia, cambiala manualmente. Quindi installare la policy sul gateway.
9) In Gaia Portal, vai alla scheda Aggiornamenti (CPUSE) > Stato e azioni > Hotfix e installare l'aggiornamento rapido più recente. Il dispositivo entrerà in reset durante l'installazione!
10) In caso di cluster, cambiare i ruoli dei nodi e fare gli stessi passi per un altro nodo.
conclusione
Ho cercato di realizzare la guida più chiara ed esaustiva per l'aggiornamento dalla versione R80.20/R80.30 all'attuale R80.40, poiché sono cambiate molte cose. Versione è già apparso in modalità demo, ma la procedura di aggiornamento rimane più o meno identica. Guidato dal funzionario da Check Point, puoi capire tu stesso tutti i dettagli.
Per qualsiasi domanda potete contattarci. Saremo lieti di aiutarvi con gli aggiornamenti e i casi più complessi come parte del nostro supporto tecnico . Anche sul ns è possibile ordinare un audit delle impostazioni del Check Point o lasciarlo libero per un caso tecnico.
. Rimani sintonizzato (, , , , ).
Fonte: habr.com