BolеTwee jaar geleden schreven we dat iedere Check Point-beheerder vroeg of laat te maken krijgt met het probleem van het updaten naar een nieuwe versie. In deze een upgrade van versie R77.30 naar R80.10 werd beschreven. Trouwens, in januari 2020 werd R77.30 een gecertificeerde versie van FSTEC. Er is echter in 2 jaar tijd veel veranderd bij Check Point. In het artikel "beschrijft alle innovaties, waarvan er veel zijn. In dit artikel wordt de updateprocedure zo gedetailleerd mogelijk beschreven.
Zoals u weet, zijn er 2 opties om Check Point te implementeren: Standalone en Distributed, dat wil zeggen zonder een speciale beheerserver en met een speciale beheerserver. De optie Gedistribueerd wordt om verschillende redenen ten zeerste aanbevolen:
-
de belasting van de gatewaybronnen wordt geminimaliseerd;
-
U hoeft geen onderhoudsvenster te plannen om op de beheerserver te kunnen werken;
-
adequate werking van SmartEvent, aangezien het onwaarschijnlijk is dat het in de Standalone-versie werkt;
-
Het wordt ten zeerste aanbevolen om een cluster van gateways te bouwen in de gedistribueerde configuratie.
Gezien alle voordelen van de gedistribueerde configuratie, zullen we overwegen om de beheerserver en de beveiligingsgateway afzonderlijk te upgraden.
Beveiligingsbeheerserver (SMS)-update
Er zijn 2 manieren om SMS te updaten:
-
via CPUSE (via Gaia Portal)
-
met behulp van migratietools (schone installatie vereist - verse installatie)
Updaten met behulp van CPUSE wordt niet aanbevolen door Check Point-collega's, omdat hierdoor de versie van uw bestandssysteem en de kernel niet worden bijgewerkt. Deze methode vereist echter geen migratie van beleid en is veel sneller en eenvoudiger dan de tweede methode.
Een schone installatie en migratie van beleid met behulp van Migratietools is de aanbevolen methode. Naast het nieuwe bestandssysteem en de OS-kernel komt het vaak voor dat de SMS-database verstopt raakt, en een schone installatie is in dit opzicht een uitstekende oplossing om snelheid aan de server toe te voegen.
1) De eerste stap bij elke update is het maken van back-ups en snapshots. Als u over een fysieke beheerserver beschikt, moet er een back-up worden gemaakt vanaf de Gaia Portal-webinterface. Ga naar het tabblad Onderhoud > Systeemback-up > Back-up. Vervolgens geeft u de locatie op waar de back-up moet worden opgeslagen. Dit kan een SCP-, FTP-, TFTP-server zijn, of lokaal op het apparaat, maar dan zul je deze back-up later naar een server of computer moeten uploaden.
Figuur 1. Een back-up maken in Gaia Portal
2) Vervolgens moet u een momentopname maken op het tabblad Onderhoud → Snapshotbeheer → Nieuw. Het verschil tussen back-ups en snapshots is dat snapshots meer informatie opslaan, inclusief alle geïnstalleerde hotfixes. Het is echter beter om beide te doen.
Als uw beheerserver als virtuele machine is geïnstalleerd, is het raadzaam een back-up van de virtuele machine te maken met behulp van de ingebouwde hypervisortools. Het is gewoon sneller en betrouwbaarder.
Figuur 2. Een momentopname maken in Gaia Portal
3) Sla de apparaatconfiguratie op vanuit Gaia Portal. U kunt een screenshot maken van alle instellingentabbladen in Gaia Portal, of de opdracht vanuit Clish invoeren sla configuratie op. Breng het bestand vervolgens naar uw pc met WinSCP of een andere client.
Figuur 3. De configuratie opslaan in een tekstbestand)
Noot: als WinSCP u niet toestaat verbinding te maken, wijzigt u de gebruikersshell in /bin/bash in de webinterface op het tabblad Gebruikers of door de opdracht in te voeren chsh –s /bin/bash .
Updaten met CPUSE
4) De eerste 3 stappen zijn verplicht voor elke update-optie. Als u besluit een eenvoudiger updatepad te volgen, ga dan in de webinterface naar het tabblad Upgrades (CPUSE) > Status en acties > Belangrijke versies > Check Point R80.40 Gaia Fresh Install en Upgrade. Klik met de rechtermuisknop op deze update en selecteer Verificateur. Het verificatieproces start enkele minuten, waarna u een bericht ziet dat het apparaat kan worden bijgewerkt. Als u fouten ziet, moeten deze worden gecorrigeerd.
Figuur 4. Update via CPUSE
5) Update naar de nieuwste versie van CDT (Central Deployment Tool) - een hulpprogramma dat op de beheerserver draait en waarmee u updates, servicepacks kunt installeren, back-ups, snapshots, scripts en nog veel meer kunt beheren. Een verouderde versie van CDT kan problemen met de update veroorzaken. U kunt CDT downloaden op .
6) Nadat u het gedownloade archief op SMS in een willekeurige map via WinSCP hebt geplaatst, maakt u via SSH verbinding met SMS en gaat u naar de expertmodus. Ik wil u eraan herinneren dat de WinSCP-gebruiker een shell moet hebben / bin / bash!
7) Voer de opdrachten in:
cd /eenpadnaarCDT/
tar -zxvf .tgz
rpm -Uhv —force CPcdt-00-00.i386.rpm
Figuur 5. De Central Deployment Tool (CDT) installeren
8) De volgende stap is het installeren van de R80.40-image. Klik met de rechtermuisknop op bijwerken Download, dan Installeren. Houd er rekening mee dat de update 20-30 minuten duurt en dat de beheerserver enige tijd niet beschikbaar zal zijn. Daarom is het zinvol om een servicevenster af te spreken.
9) Alle licenties en beveiligingsbeleid worden opgeslagen, dus download vervolgens een nieuwe .
10) Maak verbinding met SMS nieuwe SmartConsole en stel het beveiligingsbeleid in. Knop Beleid installeren in de linkerbovenhoek.
11) Uw SMS is bijgewerkt, dan moet u de nieuwste hotfix installeren. Op het tabblad Upgrades (CPUSE) > Status en acties > Hotfixes klik op de rechtermuisknop Verificateur, we zweren het Installeer update. Het apparaat zal zichzelf opnieuw opstarten nadat de update is geïnstalleerd.
Figuur 6. De nieuwste hotfix installeren via CPUSE
Updaten met migratietools
4) Ten eerste moet u ook updaten naar de nieuwste versie van CDT - punten 5, 6, 7 uit sectie "Update met behulp van CPUSE."
5) Installeer het Migration Tools-pakket dat nodig is om het beleid van de beheerserver te migreren. Volgens dit U kunt migratietools vinden voor de versies: R80.20, R80.20 M1, R80.20 M2, R80.30, R80.40. U moet Migration Tools van de versie downloaden waarnaar u wilt bijwerken, en niet degene die je nu hebt! In ons geval is het R80.40.
6) Ga vervolgens in de SMS-webinterface naar het tabblad Upgrades (CPUSE) > Status en acties > Pakket importeren > Bladeren > Selecteer het gedownloade bestand > Importeren.
Figuur 7. Migratietools importeren
7) Controleer vanuit de expertmodus op SMS of het Migration Tools-pakket is geïnstalleerd met behulp van de opdracht (de uitvoer van de opdracht moet overeenkomen met het nummer in de naam van het Migration Tools-archief):
cpprod_util CPPROD_GetValue CPupgrade-tools-R80.40 BuildNumber 1
Figuur 8. De installatie van migratietools verifiëren
8) Ga naar de map $FWDIR/scripts op de beheerserver:
cd $FWDIR/scripts
9) Voer de pre-upgradeverifier uit met behulp van de opdracht (als er fouten zijn, corrigeer deze dan voordat u verder gaat):
./migrate_server verificatie -v R80.40
Noot: als u een fout ziet “Kan het Upgrade Tools-pakket niet ophalen”, maar u heeft gecontroleerd of het archief succesvol is geïmporteerd (zie punt 4), gebruik dan het commando:
./migrate_server verifiëren -v R80.40 -skip_upgrade_tools_check
Figuur 9. Het verificatiescript uitvoeren
10) Exporteer beveiligingsbeleid met behulp van de opdracht:
./migrate_server export -v R80.40 //.tgz
Figuur 10. Een beveiligingsbeleid exporteren
Noot: als u een fout ziet “Kan het Upgrade Tools-pakket niet ophalen”, maar u heeft gecontroleerd of het archief succesvol is geïmporteerd (stap 7), gebruik dan de opdracht:
./migrate_server export -skip_upgrade_tools_check -v R80.40 //.tgz
11) Bereken de MD5-hashsom en sla de uitvoer van de opdracht op:
md5sum //.tgz
Figuur 11. MD5-hashsom berekenen
12) Verplaats dit bestand met behulp van WinSCP naar uw computer.
13) Voer de opdracht in df -h en bespaar uzelf het percentage mappen op basis van de ingenomen ruimte.
Figuur 12. Percentage telefoonboeken per sms
14.1) Voor het geval je een echte sms hebt
14.1.1) Gebruik er wordt een opstartbare USB-flashdrive met een image gemaakt .
14.1.2) Ik raad aan om minimaal 2 opstartbare flashdrives voor te bereiden, omdat het voorkomt dat de flashdrive niet altijd leesbaar is.
14.1.3) Voer als beheerder op uw computer uit ISOmorphic.exe. In stap 1 selecteert u de gedownloade afbeelding van Gaia R80.40, in stap 4 de flashdrive. Wijzig punt 2 en 3 Niet nodig!
Figuur 13. Een opstartbare USB-flashdrive maken
14.1.4) Selecteer een item “Automatisch installeren zonder bevestiging” en het is belangrijk om het model van uw beheerserver op te geven. In het geval van SMS selecteert u lijn 3 of 4.
Figuur 14. Een apparaatmodel selecteren om een opstartbare USB-flashdrive te maken
14.1.5) Vervolgens schakelt u de upline uit, plaatst u de flashdrive in de USB-poort, sluit u de consolekabel via de COM-poort aan op het apparaat en schakelt u SMS in. Het installatieproces gebeurt automatisch. Standaard IP-adres - 192.168.1.1/24en inloggegevens admin / admin.
14.1.6) De volgende stap is het verbinden met de webinterface op Gaia Portal (standaardadres ), waar u de initialisatie van het apparaat doorloopt. Tijdens de initialisatie drukt u in principe op Vervolgens omdat bijna alle instellingen in de toekomst kunnen worden gewijzigd. U kunt echter onmiddellijk het IP-adres, de DNS-instellingen en de hostnaam wijzigen.
14.2) Als u virtuele sms heeft
14.2.1) U mag in geen geval de oude SMS verwijderen; creëer een nieuwe virtuele machine met dezelfde bronnen (CPU, RAM, HDD) en hetzelfde IP-adres. Je kunt trouwens RAM en HDD toevoegen, aangezien de R80.40-versie iets veeleisender is. Om IP-adresconflicten te voorkomen, schakelt u de oude sms uit en begint u met het installeren van een nieuwe.
14.2.2) Configureer tijdens de installatie van Gaia het huidige IP-adres en selecteer een map / Root voldoende ruimte. Het percentage mappen dat u heeft, moet ongeveer zijn overleven, gebruik uitvoer df -h.
15) Op het moment dat u het type installatie kiest “Installatietype” kies de eerste optie, aangezien u hoogstwaarschijnlijk geen MDS (Multi-Domain Server) heeft. Als u MDS was, beheerde u tegelijkertijd veel domeinen van verschillende sms-entiteiten. In dit geval moet u de tweede optie selecteren.
Figuur 15. Gaia-installatietype selecteren
16) Het belangrijkste punt dat niet kan worden gecorrigeerd zonder opnieuw te installeren, is de keuze van de entiteit. Moet kiezen Veiligheidsmanagement en druk op Next. Al het andere is standaard.
Figuur 16. Een entiteitstype selecteren bij het installeren van Gaia
17) Zodra het apparaat opnieuw is opgestart, maakt u verbinding met de webinterface met behulp van of een ander IP-adres als u dit hebt gewijzigd.
18) Breng de instellingen van de schermafbeeldingen over naar alle Gaia Portal-tabbladen waarin iets is geconfigureerd, of voer de opdracht uit vanuit clish laad configuratie .txt. Dit configuratiebestand moet eerst naar SMS worden geüpload.
Noot: Vanwege het feit dat het besturingssysteem nieuw is, staat WinSCP u niet toe verbinding te maken als beheerder, de gebruikersshell te wijzigen in /bin/bash in de webinterface op het tabblad Gebruikers of door de opdracht in te voeren chsh –s /bin/bash of maak een nieuwe gebruiker aan.
19) Upload het bestand met geëxporteerd beleid van de oude beheerserver naar een willekeurige map. Ga vervolgens naar de console in de expertmodus en controleer of de MD5-hashhoeveelheid overeenkomt met de vorige. Anders moet de export opnieuw worden uitgevoerd:
md5sum //.tgz
20) Herhaal stap 6 en installeer Upgrade Tools op de nieuwe SMS in Gaia Portal op het tabblad Upgrades (CPUSE) > Status en acties.
21) Voer het commando in de expertmodus in:
./migrate_server import -v R80.40 -skip_upgrade_tools_check //.tgz
Figuur 17. Een beveiligingsbeleid importeren in een nieuw SMS-bericht
22) Schakel services in met de opdracht cpstart.
23) Download een nieuwe en maak verbinding met de beheerserver. Ga naar Menu > Licenties en pakketten beheren (SmartUpdate) en controleer of u uw licentie nog heeft.
Figuur 18. Geïnstalleerde licenties controleren
24) Stel het beveiligingsbeleid in op de gateway of het cluster - Beleid installeren.
Beveiligingsgateway (SG)-update
De Security Gateway kan net als de beheerserver via CPUSE worden bijgewerkt of opnieuw worden geïnstalleerd - verse installatie. Uit mijn ervaring blijkt dat in 99% van de gevallen iedereen Security Gateway opnieuw installeert vanwege het feit dat het bijna even lang duurt als het updaten via CPUSE, maar je krijgt een schoon, bijgewerkt besturingssysteem zonder bugs.
Naar analogie met SMS moet u eerst een back-up en snapshot maken en ook de instellingen van Gaia Portal opslaan. Zie punten 1, 2 en 3 in paragraaf "Security Management Server-update".
Updaten met CPUSE
Het updaten van de Security Gateway via CPUSE is precies hetzelfde als het updaten van de Security Management Server, dus raadpleeg het begin van het artikel.
Belangrijk punt: SG-update vereist herstart! Voer daarom een update uit tijdens de onderhoudsperiode. Als u een cluster heeft, upgrade dan eerst het passieve knooppunt, wissel vervolgens van rol en upgrade het andere knooppunt. In het geval van een cluster kunnen onderhoudsvensters worden vermeden.
Een nieuwe besturingssysteemversie installeren op Security Gateway
1.1) Als u een echte SG heeft
1.1.1) Gebruik er wordt een opstartbare USB-flashdrive met een image gemaakt . De afbeelding is hetzelfde als bij sms, maar de procedure voor het maken van een opstartbare flashdrive ziet er iets anders uit.
1.1.2) Ik raad aan om minimaal 2 opstartbare flashdrives voor te bereiden, omdat het voorkomt dat de flashdrive niet altijd leesbaar is.
1.1.3) Voer als beheerder op uw computer uit ISOmorphic.exe. In stap 1 selecteert u de gedownloade afbeelding van Gaia R80.40, in stap 4 de flashdrive. Wijzig punt 2 en 3 Niet nodig!
Figuur 19. Een opstartbare USB-flashdrive maken
1.1.4) Selecteer een item “Automatisch installeren zonder bevestiging”, en het is belangrijk om het model van uw Security Gateway aan te geven – regel 2 of 3. Als dit een fysieke sandbox is (SandBlast Appliance), selecteer dan regel 5.
Figuur 20. Een apparaatmodel selecteren om een opstartbare USB-flashdrive te maken
1.1.5) Vervolgens schakelt u de upline uit, plaatst u de flashdrive in de USB-poort, sluit u de consolekabel via de COM-poort aan op het apparaat en schakelt u de gateway in. Het installatieproces gebeurt automatisch. Standaard IP-adres - 192.168.1.1/24en inloggegevens admin / admin. U moet eerst updaten passief knooppunt, installeer er vervolgens een beleid op, wissel van rol en update vervolgens een ander knooppunt. U heeft waarschijnlijk een servicevenster nodig.
1.1.6) De volgende stap is het verbinden met de webinterface op Gaia Portal, waar u de eerste initialisatie van het apparaat doorloopt. Tijdens de initialisatie drukt u in principe op Vervolgens omdat bijna alle instellingen in de toekomst kunnen worden gewijzigd. U kunt echter onmiddellijk het IP-adres, de DNS-instellingen en de hostnaam wijzigen.
1.2) Als u een virtuele SG heeft
1.2.1) Creëer een nieuwe virtuele machine met dezelfde bronnen (CPU, RAM, HDD) of meer, aangezien de R80.40-versie iets veeleisender is. Om een conflict tussen IP-adressen te voorkomen, schakelt u de oude gateway uit en installeert u een nieuwe met hetzelfde IP-adres. De oude SG kan veilig worden verwijderd, omdat er niets waardevols op staat, omdat alle belangrijkste dingen - het beveiligingsbeleid - zich op de beheerserver bevinden.
1.2.2) Configureer tijdens de installatie van het besturingssysteem het huidige IP-adres en selecteer een map / Root voldoende ruimte.
3) Maak verbinding met de gateway via de HTTPS-poort en start het initialisatieproces. Bij het kiezen van het installatietype “Installatietype” selecteer de eerste optie - Security Gateway en/of Security Management.
Figuur 21. Gaia-installatietype selecteren
4) Het belangrijkste punt is de keuze van de entiteit (Producten). Moet kiezen Beveiligingsgateway en als u een cluster heeft, vinkt u het vakje aan “Unit is onderdeel van een cluster, type: ClusterXL”. Als u een VRRP-cluster heeft, kies dan dit type, maar dit is onwaarschijnlijk.
Figuur 22. Een entiteitstype selecteren bij het installeren van Gaia
5) Stel in de volgende stap het eenmalige SIC-wachtwoord in om een vertrouwensrelatie met de beheerserver tot stand te brengen. Met behulp van dit wachtwoord wordt een certificaat gegenereerd en communiceert de beheerserver met de gateway via een gecodeerd communicatiekanaal. Vinkje “Verbind met uw Management as a Service” moet worden ingesteld als de beheerserver zich in de cloud bevindt. Wij schreven hier onlangs over en hoe handig en eenvoudig de cloudbeheerserver is.
Figuur 23. Oprichting van SIC
6) Start het initialisatieproces op het volgende tabblad. Zodra het apparaat opnieuw opstart, maakt u verbinding met de webinterface en brengt u de instellingen van de schermafbeeldingen over naar alle Gaia Portal-tabbladen waarin iets is geconfigureerd, of voert u de opdracht uit vanuit clish laad configuratie .txt. Dit configuratiebestand moet eerst worden geüpload naar de beveiligingsgateway.
Noot: Vanwege het feit dat het besturingssysteem nieuw is, staat WinSCP u niet toe verbinding te maken als beheerder, de gebruikersshell te wijzigen in /bin/bash in de webinterface op het tabblad Gebruikers of door de opdracht in te voeren chsh –s /bin/bash of maak een nieuwe gebruiker aan met deze shell.
7) Vraag en ga naar het Security Gateway-object dat u zojuist opnieuw hebt geïnstalleerd. Open het tabblad Algemene eigenschappen > Communicatie > SIC resetten en voer het wachtwoord in dat is opgegeven in stap 5.
Afbeelding 24: Vertrouwen opbouwen met de nieuwe beveiligingsgateway
8) De Gaia-versie van het object zou moeten veranderen. Als dit niet verandert, verander het dan handmatig. Installeer vervolgens het beleid op de gateway.
9) Ga in Gaia Portal naar het tabblad Upgrades (CPUSE) > Status en acties > Hotfixes en installeer de nieuwste hotfix. Het apparaat gaat erin opnieuw opstarten Tijdens de installatie!
10) In het geval van een cluster wijzigt u de rollen van de knooppunten en voert u dezelfde stappen uit voor een ander knooppunt.
Conclusie
Ik heb geprobeerd de meest duidelijke en uitgebreide handleiding te maken voor het upgraden van versie R80.20/R80.30 naar de huidige R80.40, aangezien er veel is veranderd. Versie is al in demomodus verschenen, maar de updateprocedure blijft min of meer identiek. Begeleid door de ambtenaar vanuit Check Point kun je alle details zelf uitzoeken.
Voor eventuele vragen kunt u contact met ons opnemen. Wij helpen u graag bij de meest complexe updates en cases als onderdeel van onze technische ondersteuning . Ook op onze het is mogelijk om een audit van Check Point-instellingen te bestellen of deze gratis te laten voor een technisch geval.
. Blijf kijken (, , , , ).
Bron: www.habr.com