BolеTwee jaar geleden schreven we over het feit dat elke Check Point-beheerder vroeg of laat voor de vraag staat om te upgraden naar een nieuwe versie. In dit beschreef de update van versie R77.30 naar R80.10. Overigens werd R2020 in januari 77.30 een gecertificeerde versie van FSTEC. Er is echter de afgelopen twee jaar veel veranderd in Check Point. In het artikel ""beschrijft alle innovaties, waarvan er vele zijn. In dit artikel wordt de updateprocedure zo gedetailleerd mogelijk beschreven.
Zoals u weet, zijn er twee opties voor de implementatie van Check Point: Standalone en Distributed, d.w.z. zonder en met een dedicated beheerserver. De Distributed-optie wordt om verschillende redenen sterk aanbevolen:
de belasting van de gateway-bronnen wordt geminimaliseerd;
U hoeft geen onderhoudsvenster te plannen om werkzaamheden met de beheerserver uit te voeren;
adequate werking van SmartEvent, aangezien het onwaarschijnlijk is dat het in de Standalone-versie zal werken;
Het is sterk aan te raden om een cluster van gateways in een gedistribueerde configuratie te bouwen.
Gezien alle voordelen van de gedistribueerde configuratie, zullen we overwegen de beheerserver en beveiligingsgateway afzonderlijk te upgraden.
Update van Security Management Server (SMS)
Er zijn 2 manieren om SMS bij te werken:
met behulp van CPUSE (via Gaia Portal)
met behulp van migratietools (vereist een schone installatie - verse installatie)
Updaten met CPUSE wordt door collega's van Check Point afgeraden, omdat u dan geen bijgewerkte versie van het bestandssysteem en de kernel hebt. Deze methode vereist echter geen migratie van beleidsregels en is veel sneller en eenvoudiger dan de tweede methode.
Een schone installatie en beleidsmigratie met behulp van Migratietools is de aanbevolen methode. Naast het nieuwe bestandssysteem en de kernel van het besturingssysteem komt het vaak voor dat de SMS-database "verstopt" raakt. Een schone installatie is een uitstekende manier om de server te versnellen.
1) De eerste stap bij elke update is het maken van back-ups en snapshots. Als u een fysieke beheerserver hebt, moet de back-up worden gemaakt via de webinterface van Gaia Portal. Ga naar het tabblad Onderhoud > Systeemback-up > Back-upVervolgens geeft u de locatie op waar de back-up wordt opgeslagen. Dit kan een SCP-, FTP-, TFTP-server of lokaal op het apparaat zijn. U moet deze back-up later echter wel naar de server of computer overzetten.
Figuur 1. Een back-up maken in Gaia Portal
2) Vervolgens moet u een momentopname maken in het tabblad Onderhoud → Snapshotbeheer → Nieuw. Het verschil tussen back-ups en snapshots is dat snapshots meer informatie opslaan, waaronder alle geïnstalleerde hotfixes. Het is echter beter om beide te doen.
Als u een beheerserver als virtuele machine hebt geïnstalleerd, is het raadzaam een back-up van de virtuele machine te maken met behulp van de ingebouwde hypervisortools. Dit is simpelweg sneller en betrouwbaarder.
Figuur 2. Een momentopname maken in Gaia Portal
3) Sla de apparaatconfiguratie op vanuit Gaia Portal. U kunt een screenshot maken van alle tabbladen met instellingen in Gaia Portal, of de opdracht invoeren vanuit Clish. configuratie opslaanVervolgens moet u WinSCP of een andere client gebruiken om het bestand naar uw pc over te brengen.
Figuur 3. De configuratie opslaan in een tekstbestand)
Noot: Als WinSCP u niet toestaat verbinding te maken, wijzigt u de gebruikersshell naar /bin/bash in de webinterface op het tabblad Gebruikers of door de opdracht in te voeren chsh –s /bin/bash.
Updaten met CPUSE
4) De eerste 3 stappen zijn verplicht voor elke update-optie. Als u kiest voor de eenvoudigere update, ga dan in de webinterface naar het tabblad Upgrades (CPUSE) > Status en acties > Belangrijke versies > Check Point R80.40 Gaia Fresh installatie en upgrade. Klik met de rechtermuisknop op deze update en selecteer Verificateur. Het verificatieproces start enkele minuten. Daarna ziet u een bericht dat het apparaat kan worden bijgewerkt. Als u fouten ziet, moeten deze worden gecorrigeerd.
Figuur 4. Updaten via CPUSE
5) Werk bij naar de nieuwste versie van CDT (Central Deployment Tool) - een hulpprogramma dat op de beheerserver draait en waarmee u updates, service packs, back-ups, snapshots, scripts en nog veel meer kunt installeren. Een verouderde versie van CDT kan problemen met de update veroorzaken. U kunt CDT downloaden via .
6) Nadat u het gedownloade archief via WinSCP in een willekeurige map op SMS hebt geplaatst, maakt u via SSH verbinding met SMS en gaat u naar de expertmodus. Houd er rekening mee dat de WinSCP-gebruiker een shell moet hebben. / bin / bash!
7) Voer de volgende opdrachten in:
cd /somepathtoCDT/
tar -zxvf .tgz
rpm -Uhv —force CPcdt-00-00.i386.rpm
Figuur 5. De Central Deployment Tool (CDT) installeren
8) De volgende stap is het installeren van de R80.40-image. Klik met de rechtermuisknop op de update Download, dan Installeren. Houd er rekening mee dat de update 20-30 minuten duurt en dat de beheerserver enige tijd niet beschikbaar zal zijn. Het is daarom verstandig om een onderhoudsperiode af te spreken.
9) Alle licenties en beveiligingsbeleid zijn opgeslagen, dus u moet vervolgens een nieuwe downloaden .
10) Maak verbinding met de SMS van de nieuwe SmartConsole en stel het beveiligingsbeleid in. Knop Installatiebeleid in de linkerbovenhoek.
11) Je sms is bijgewerkt. Installeer nu de nieuwste hotfix. In het tabblad Upgrades (CPUSE) > Status en acties > Hotfixes rechtsklikken Verificateur, we zweren het Installeer update. Het apparaat start zichzelf opnieuw op nadat de update is geïnstalleerd.
Figuur 6. De nieuwste hotfix installeren via CPUSE
Bijwerken met migratietools
4) Ten eerste moet u ook updaten naar de nieuwste versie van CDT - punten 5, 6, 7 uit de sectie “Update met CPUSE”.
5) Installeer het Migratiehulpprogramma's-pakket dat nodig is om beleid te migreren vanaf de beheerserver. Volgens deze U kunt migratietools vinden voor de versies: R80.20, R80.20 M1, R80.20 M2, R80.30, R80.40. U moet de migratietools van de volgende versie downloaden: waarnaar u wilt upgraden, en niet die je nu hebt! In ons geval is dat R80.40.
6) Ga vervolgens in de SMS-webinterface naar het tabblad Upgrades (CPUSE) > Status en acties > Pakket importeren > Bladeren > Selecteer het gedownloade bestand > Importeren.
Figuur 7. Importmigratietools
7) Controleer in de expertmodus op SMS met behulp van de opdracht of het Migration Tools-pakket is geïnstalleerd (de uitvoer van de opdracht moet overeenkomen met het nummer in de archiefnaam van Migration Tools):
cpprod_util CPPROD_GetValue CPupgrade-tools-R80.40 BuildNumber 1
Figuur 8. Controle van de installatie van migratietools
8) Ga naar de map $FWDIR/scripts op de beheerserver:
cd $FWDIR/scripts
9) Voer de pre-upgrade verifier uit (controlescript) met de opdracht (als er fouten zijn, los deze dan op voordat u verdergaat):
./migrate_server verifiëren -v R80.40
Noot: als u een fout ziet “Kan Upgrade Tools-pakket niet ophalen”, maar u hebt gecontroleerd of het archief succesvol is geïmporteerd (zie punt 4), gebruikt u de opdracht:
./migrate_server verifiëren -v R80.40 -skip_upgrade_tools_check
Figuur 9. Het verificatiescript uitvoeren
10) Exporteer beveiligingsbeleid met de opdracht:
./migrate_server export -v R80.40 / / .tgz
Figuur 10. Beveiligingsbeleid exporteren
Noot: als u een fout ziet “Kan Upgrade Tools-pakket niet ophalen”, maar u hebt geverifieerd dat het archief succesvol is geïmporteerd (punt 7), gebruik dan de opdracht:
./migrate_server export -skip_upgrade_tools_check -v R80.40 / / .tgz
11) Bereken de MD5-hashsom en sla de uitvoer van de opdracht op:
md5sum / / .tgz
Figuur 11. Berekening van de MD5-hashsom
12) Verplaats dit bestand met WinSCP naar uw computer.
13) Voer de opdracht in df -h en bespaar op het percentage mappen op basis van de ruimte die ze innemen.
Figuur 12. Percentage van de directory's op SMS
14.1) Als je een echte sms hebt
14.1.1) Met behulp van er wordt een opstartbare USB-stick met de afbeelding gemaakt .
14.1.2) Ik raad aan om minimaal 2 opstartbare flashdrives voor te bereiden, omdat het kan gebeuren dat de flashdrive niet altijd gelezen wordt.
14.1.3) Als beheerder uitvoeren op uw computer ISOmorphic.exe. Selecteer in punt 1 de gedownloade Gaia R80.40-image, in punt 4 de flashdrive. Wijzig punten 2 en 3. Niet nodig!
Figuur 13. Een opstartbare USB-stick maken
14.1.4) Selecteer het item “Automatisch installeren zonder bevestiging” Het is belangrijk om het model van uw beheerserver te specificeren. In het geval van SMS selecteert u regel 3 of 4.
Figuur 14. Een apparaatmodel selecteren om een opstartbare USB-stick te maken
14.1.5) Vervolgens schakelt u de uplines uit, steekt u de flashdrive in de USB-poort, verbindt u het apparaat met een consolekabel via de COM-poort en schakelt u SMS in. Het installatieproces verloopt automatisch. Het standaard IP-adres is 192.168.1.1/24, en inloggegevens admin / admin.
14.1.6) De volgende stap is om verbinding te maken met de webinterface op de Gaia Portal (standaardadres ), waar u de initialisatie van het apparaat doorloopt. Tijdens de initialisatie drukt u in principe op Vervolgens Omdat bijna alle instellingen in de toekomst gewijzigd kunnen worden. U kunt echter wel het IP-adres, de DNS-instellingen en de hostnaam in één keer wijzigen.
14.2) Als u een virtuele sms hebt
14.2.1) Verwijder in geen geval de oude SMS. Maak een nieuwe virtuele machine aan met dezelfde resources (CPU, RAM, HDD) en hetzelfde IP-adres. U kunt overigens wel RAM en HDD toevoegen, aangezien versie R80.40 iets veeleisender is. Om IP-adresconflicten te voorkomen, schakelt u de oude SMS uit en begint u met de installatie van de nieuwe.
14.2.2) Configureer tijdens de installatie van Gaia het huidige IP-adres en wijs een directory toe / Root voldoende ruimte. Het percentage mappen dat u hebt, moet ongeveer zijn overleven, gebruik de uitvoer df -h.
15) Op het moment dat u het installatietype kiest “Installatietype” Kies de eerste optie, aangezien u waarschijnlijk geen MDS (Multi-Domain Server) hebt. Als u wel MDS hebt, beheert u meerdere domeinen van verschillende SMS-entiteiten tegelijkertijd. In dat geval kiest u de tweede optie.
Figuur 15. Het Gaia-installatietype selecteren
16) Het belangrijkste punt dat niet kan worden opgelost zonder herinstallatie, is de keuze van de entiteit. U zou moeten kiezen Veiligheidsmanagement en druk op Next. Verder is alles standaard.
Figuur 16. Een entiteitstype selecteren bij het installeren van Gaia
17) Nadat het apparaat opnieuw is opgestart, maakt u verbinding met de webinterface via of een ander IP-adres als u dat hebt gewijzigd.
18) Breng de instellingen van de schermafbeeldingen over naar alle tabbladen van Gaia Portal waarin iets is geconfigureerd, of voer vanuit Clish de opdracht uit laadconfiguratie .txtDit configuratiebestand moet vooraf naar SMS worden geüpload.
Noot: Omdat het besturingssysteem nieuw is, staat WinSCP u niet toe om verbinding te maken als beheerder, de gebruikersshell te wijzigen naar /bin/bash, noch in de webinterface op het tabblad Gebruikers, noch door de opdracht in te voeren chsh –s /bin/bash of maak een nieuwe gebruiker aan.
19) Zet het bestand met geëxporteerde beleidsregels van de oude beheerserver in een willekeurige map. Ga vervolgens naar de console in expertmodus en controleer of de MD5-hashsom overeenkomt met de vorige. Anders moet de export opnieuw worden uitgevoerd:
md5sum / / .tgz
20) Herhaal stap 6 en installeer Upgrade Tools op de nieuwe SMS in Gaia Portal in het tabblad Upgrades (CPUSE) > Status en acties.
21) Voer de opdracht in de expertmodus in:
./migrate_server import -v R80.40 -skip_upgrade_tools_check / / .tgz
Figuur 17. Beveiligingsbeleid importeren naar een nieuwe SMS
22) Schakel services in met de opdracht cpstart.
23) Download een nieuwe en maak verbinding met de beheerserver. Ga naar Menu > Licenties en pakketten beheren (SmartUpdate) en controleer of u nog steeds uw rijbewijs heeft.
Figuur 18. Geïnstalleerde licenties controleren
24) Stel het beveiligingsbeleid in op de gateway of het cluster - Installatiebeleid.
Security Gateway (SG)-update
De Security Gateway kan worden bijgewerkt via CPUSE, net als de Management Server, of opnieuw worden geïnstalleerd - verse installatieUit mijn ervaring blijkt dat in 99% van de gevallen iedereen Security Gateway opnieuw installeert, omdat dit bijna net zo lang duurt als updaten via CPUSE. Je krijgt dan wel een schoon, bijgewerkt besturingssysteem zonder bugs.
Net als bij SMS moet u eerst een back-up en snapshot maken en de instellingen van Gaia Portal opslaan. Zie punt 1, 2 en 3 in de sectie "Security Management Server bijwerken".
Updaten met CPUSE
Het updaten van Security Gateway via CPUSE is precies hetzelfde als het updaten van Security Management Server. Raadpleeg daarom het begin van het artikel.
Belangrijke opmerking: SG-update vereist herstarts! Upgrade dus tijdens het onderhoudsvenster. Als u een cluster hebt, upgrade dan eerst het passieve knooppunt, wissel vervolgens van rol en upgrade het andere knooppunt. In het geval van een cluster kan het onderhoudsvenster worden vermeden.
Een nieuwe OS-versie installeren op Security Gateway
1.1) Als je een echte SG hebt
1.1.1) Met behulp van er wordt een opstartbare USB-stick met de afbeelding gemaakt De afbeelding is hetzelfde als op SMS, maar de procedure voor het maken van een opstartbare flashdrive ziet er iets anders uit.
1.1.2) Ik raad aan om minimaal 2 opstartbare flashdrives voor te bereiden, omdat het kan gebeuren dat de flashdrive niet altijd gelezen wordt.
1.1.3) Als beheerder uitvoeren op uw computer ISOmorphic.exe. Selecteer in punt 1 de gedownloade Gaia R80.40-image, in punt 4 de flashdrive. Wijzig punten 2 en 3. Niet nodig!
Figuur 19. Een opstartbare USB-stick maken
1.1.4) Selecteer het item “Automatisch installeren zonder bevestiging”, en het is belangrijk om het model van uw Security Gateway op te geven - regel 2 of 3. Als dit een fysieke sandbox (SandBlast Appliance) is, selecteer dan regel 5.
Figuur 20. Een apparaatmodel selecteren om een opstartbare USB-stick te maken
1.1.5) Vervolgens schakelt u de uplines uit, steekt u de flashdrive in de USB-poort, verbindt u deze met een consolekabel via de COM-poort met het apparaat en schakelt u de gateway in. De installatie verloopt automatisch. Het standaard IP-adres is 192.168.1.1/24, en inloggegevens admin / admin. Je moet eerst updaten passieve knoop, stel vervolgens het beleid erop in, wissel de rollen om en werk vervolgens het andere knooppunt bij. Hoogstwaarschijnlijk is een onderhoudsperiode nodig.
1.1.6) De volgende stap is verbinding maken met de webinterface op de Gaia Portal, waar u de eerste initialisatie van het apparaat uitvoert. Tijdens de initialisatie drukt u in principe op Vervolgens Omdat bijna alle instellingen in de toekomst gewijzigd kunnen worden. U kunt echter wel het IP-adres, de DNS-instellingen en de hostnaam in één keer wijzigen.
1.2) Indien u een virtuele SG heeft
1.2.1) Maak een nieuwe virtuele machine aan met dezelfde resources (CPU, RAM, HDD) of meer, aangezien de R80.40-versie iets veeleisender is. Om IP-adresconflicten te voorkomen, schakelt u de oude gateway uit en installeert u een nieuwe met hetzelfde IP-adres. De oude virtuele machine kan veilig worden verwijderd, aangezien er niets waardevols op staat, omdat het belangrijkste - het beveiligingsbeleid - zich op de beheerserver bevindt.
1.2.2) Configureer tijdens de installatie van het besturingssysteem het huidige IP-adres en wijs het toe aan de directory / Root voldoende ruimte.
3) Maak verbinding met de gateway via de HTTPS-poort en start het initialisatieproces. Kies het installatietype. “Installatietype” Selecteer de eerste optie: Security Gateway en/of Security Management.
Figuur 21. Het Gaia-installatietype selecteren
4) Het belangrijkste punt is de keuze van de entiteit (producten). U zou moeten kiezen Beveiligingsgateway en als u een cluster hebt, vink dan het vakje aan “Eenheid is een onderdeel van een cluster, type: ClusterXL”Als u een VRRP-cluster hebt, kunt u dit type kiezen, maar dit is onwaarschijnlijk.
Figuur 22. Een entiteitstype selecteren bij het installeren van Gaia
5) Stel in de volgende stap een eenmalig wachtwoord (SIC) in om vertrouwen met de beheerserver tot stand te brengen. Met dit wachtwoord wordt een certificaat gegenereerd en communiceert de beheerserver met de gateway via een gecodeerd communicatiekanaal. Vink het vakje aan “Maak verbinding met uw Management as a Service” moet worden ingesteld als de beheerserver zich in de cloud bevindt. We schreven hier onlangs nog over. en hoe handig en eenvoudig cloudserverbeheer is.
Figuur 23. SIC aanmaken
6) Start het initialisatieproces op het volgende tabblad. Zodra het apparaat opnieuw is opgestart, maakt u verbinding met de webinterface en brengt u de instellingen van de schermafbeeldingen over naar alle tabbladen van Gaia Portal waarin iets is geconfigureerd. U kunt ook vanuit Clish de opdracht uitvoeren. laadconfiguratie .txtDit configuratiebestand moet vooraf naar de beveiligingsgateway worden geüpload.
Noot: Omdat het besturingssysteem nieuw is, staat WinSCP u niet toe om verbinding te maken als beheerder, de gebruikersshell te wijzigen naar /bin/bash, noch in de webinterface op het tabblad Gebruikers, noch door de opdracht in te voeren chsh –s /bin/bash of maak een nieuwe gebruiker aan met zo'n shell.
7) Vraag en ga naar het beveiligingsgatewayobject dat u zojuist opnieuw hebt geïnstalleerd. Open het tabblad Algemene eigenschappen > Communicatie > SIC resetten en voer het wachtwoord in dat u in stap 5 hebt opgegeven.
Figuur 24. Vertrouwen opbouwen met een nieuwe beveiligingsgateway
8) De Gaia-versie van het object zou moeten veranderen. Als dit niet het geval is, wijzig deze dan handmatig. Installeer vervolgens het beleid op de gateway.
9) Ga in Gaia Portal naar het tabblad Upgrades (CPUSE) > Status en acties > Hotfixes en installeer de nieuwste hotfix. Het apparaat gaat naar opnieuw opstarten tijdens de installatie!
10) In het geval van een cluster, wijzigt u de rollen van de knooppunten en voert u dezelfde stappen uit voor een ander knooppunt.
Conclusie
Ik heb geprobeerd een zo begrijpelijk en uitgebreid mogelijke handleiding te maken voor het updaten van versie R80.20/R80.30 naar de huidige versie R80.40, aangezien er veel is veranderd. Versie is al in demo-modus verschenen, maar de updateprocedure blijft min of meer identiek. Begeleid door de officiële Vanaf Check Point kunt u zelf alle details uitzoeken.
Voor al uw vragen kunt u contact met ons opnemen. We helpen u graag met de meest complexe updates en cases binnen onze technische ondersteuning. Ook op onze Er is een optie om een audit van Check Point-instellingen te bestellen of er een gratis te laten maken over een technisch geval.
. Blijf kijken (, , , , ).
Bron: www.habr.com
