BolеFor to år siden skrev vi at alle Check Point-administratorer før eller siden står overfor problemet med å oppdatere til en ny versjon. I dette en oppgradering fra versjon R77.30 til R80.10 ble beskrevet. Forresten, i januar 2020 ble R77.30 en sertifisert versjon av FSTEC. Mye har imidlertid endret seg på Check Point på 2 år. I artikkelen "” beskriver alle innovasjonene, som det er mange av. Denne artikkelen vil beskrive oppdateringsprosedyren så detaljert som mulig.
Som du vet, er det 2 alternativer for å implementere Check Point: Frittstående og Distribuert, det vil si uten en dedikert administrasjonsserver og med en dedikert. Det distribuerte alternativet anbefales på det sterkeste av flere grunner:
-
belastningen på gatewayressursene er minimert;
-
Du trenger ikke å planlegge et vedlikeholdsvindu for å fungere på administrasjonsserveren;
-
tilstrekkelig drift av SmartEvent, siden det er usannsynlig å fungere i den frittstående versjonen;
-
Det anbefales sterkt å bygge en klynge med gatewayer i den distribuerte konfigurasjonen.
Gitt alle fordelene med den distribuerte konfigurasjonen, vil vi vurdere å oppgradere administrasjonsserveren og sikkerhetsgatewayen separat.
Security Management Server (SMS) Oppdatering
Det er 2 måter å oppdatere SMS på:
-
via CPUSE (via Gaia Portal)
-
bruke migreringsverktøy (ren installasjon kreves - fersk installasjon)
Oppdatering med CPUSE anbefales ikke av Check Point-kolleger, da det ikke vil oppdatere filsystemversjonen og kjernen. Denne metoden krever imidlertid ikke migrering av policyer og er mye raskere og enklere enn den andre metoden.
En ren installasjon og migrering av policyer ved hjelp av migreringsverktøy er den anbefalte metoden. I tillegg til det nye filsystemet og OS-kjernen, skjer det ofte at SMS-databasen blir tilstoppet, og en ren installasjon i denne forbindelse er en utmerket løsning for å øke hastigheten på serveren.
1) Det første trinnet i enhver oppdatering er å lage sikkerhetskopier og øyeblikksbilder. Hvis du har en fysisk administrasjonsserver, bør det lages en sikkerhetskopi fra Gaia Portal-nettgrensesnittet. Gå til fanen Vedlikehold > Systemsikkerhetskopiering > Sikkerhetskopiering. Deretter spesifiserer du plasseringen for å lagre sikkerhetskopien. Dette kan være en SCP-, FTP-, TFTP-server eller lokalt på enheten, men da må du laste opp denne sikkerhetskopien til en server eller datamaskin senere.
Figur 1. Opprette en sikkerhetskopi i Gaia Portal
2) Deretter bør du ta et øyeblikksbilde i fanen Vedlikehold → Snapshot Management → Ny. Forskjellen mellom sikkerhetskopier og øyeblikksbilder er at øyeblikksbilder lagrer mer informasjon, inkludert alle installerte hurtigreparasjoner. Det er imidlertid bedre å gjøre begge deler.
Hvis administrasjonsserveren din er installert som en virtuell maskin, anbefales det å sikkerhetskopiere den virtuelle maskinen ved å bruke de innebygde hypervisorverktøyene. Det er rett og slett raskere og mer pålitelig.
Figur 2. Lage et øyeblikksbilde i Gaia Portal
3) Lagre enhetskonfigurasjonen fra Gaia Portal. Du kan ta et skjermbilde av alle innstillingsfanene som er i Gaia Portal, eller skrive inn kommandoen fra Clish lagre konfigurasjonen. Deretter tar du filen til PC-en din ved hjelp av WinSCP eller en annen klient.
Figur 3. Lagre konfigurasjonen til en tekstfil)
Note: hvis WinSCP ikke tillater deg å koble til, endre brukerskallet til /bin/bash enten i nettgrensesnittet i fanen Brukere, eller ved å skrive inn kommandoen chsh –s /bin/bash.
Oppdaterer med CPUSE
4) De første 3 trinnene er obligatoriske for alle oppdateringsalternativer. Hvis du bestemmer deg for å ta en enklere oppdateringsbane, går du til fanen i webgrensesnittet Oppgraderinger (CPUSE) > Status og handlinger > Hovedversjoner > Check Point R80.40 Gaia Fresh Installer og oppgrader. Høyreklikk på denne oppdateringen og velg Verifikator. Bekreftelsesprosessen starter i noen minutter, hvoretter du vil se en melding om at enheten kan oppdateres. Hvis du ser feil, må de rettes.
Figur 4. Oppdatering via CPUSE
5) Oppdater til siste versjon av CDT (Central Deployment Tool) - et verktøy som kjører på administrasjonsserveren og lar deg installere oppdateringer, oppdateringspakker, administrere sikkerhetskopier, øyeblikksbilder, skript og mye mer. En utdatert CDT-versjon kan forårsake problemer med oppdateringen. Du kan laste ned CDT på .
6) Etter å ha plassert det nedlastede arkivet på SMS i en hvilken som helst katalog via WinSCP, koble til via SSH til SMS og gå inn i ekspertmodus. La meg minne deg på at WinSCP-brukeren må ha et skall / bin / bash!
7) Skriv inn kommandoene:
cd /somepathtoCDT/
tar -zxvf .tgz
rpm -Uhv —force CPcdt-00-00.i386.rpm
Figur 5. Installere Central Deployment Tool (CDT)
8) Neste trinn er å installere R80.40-bildet. Høyreklikk på oppdatering Last ned, deretter Installer. Husk at oppdateringen vil ta 20-30 minutter og at administrasjonsserveren vil være utilgjengelig i en stund. Derfor er det fornuftig å bli enige om et servicevindu.
9) Alle lisenser og sikkerhetspolicyer er lagret, så neste gang bør du laste ned en ny .
10) Koble til SMS nye SmartConsole og angi sikkerhetspolicyer. Knapp Installasjonspolicy i øvre venstre hjørne.
11) SMS-en din har blitt oppdatert, så bør du installere den nyeste hurtigreparasjonen. I fanen Oppgraderinger (CPUSE) > Status og handlinger > Hurtigreparasjoner klikk på høyre museknapp Verifier, da Installer oppdatering. Enheten vil starte seg selv på nytt etter installasjon av oppdateringen.
Figur 6. Installere den nyeste hurtigreparasjonen via CPUSE
Oppdatering med migreringsverktøy
4) Først bør du også oppdatere til den nyeste versjonen av CDT - punkt 5, 6, 7 fra seksjon "Oppdater med CPUSE."
5) Installer Migration Tools-pakken som kreves for å migrere policyer fra administrasjonsserveren. I følge dette du kan finne migreringsverktøy for versjoner: R80.20, R80.20 M1, R80.20 M2, R80.30, R80.40. Du bør laste ned Migration Tools av versjonen som du vil oppdatere til, og ikke den du har nå! I vårt tilfelle er det R80.40.
6) Gå deretter til fanen i SMS-nettgrensesnittet Oppgraderinger (CPUSE) > Status og handlinger > Importer pakke > Bla gjennom > Velg den nedlastede filen > Importer.
Figur 7. Importere migreringsverktøy
7) Fra ekspertmodus på SMS, sjekk at Migration Tools-pakken er installert ved hjelp av kommandoen (utdataene fra kommandoen må samsvare med nummeret i navnet på Migration Tools-arkivet):
cpprod_util CPPROD_GetValue CPupgrade-tools-R80.40 BuildNumber 1
Figur 8. Bekrefte installasjonen av migreringsverktøy
8) Gå til $FWDIR/scripts-mappen på administrasjonsserveren:
cd $FWDIR/scripts
9) Kjør forhåndsoppgraderingsverifikatoren ved å bruke kommandoen (hvis det er feil, korriger dem før videre trinn):
./migrate_server verify -v R80.40
Note: hvis du ser en feil "Kunne ikke hente Upgrade Tools-pakken", men du har sjekket at arkivet ble importert (se punkt 4), bruk kommandoen:
./migrate_server verify -v R80.40 -skip_upgrade_tools_check
Figur 9. Kjøre verifiseringsskriptet
10) Eksporter sikkerhetspolicyer ved å bruke kommandoen:
./migrate_server eksport -v R80.40 / / .tgz
Figur 10. Eksportere en sikkerhetspolicy
Note: hvis du ser en feil "Kunne ikke hente Upgrade Tools-pakken", men du har sjekket at arkivet ble importert (trinn 7), bruk kommandoen:
./migrate_server eksport -skip_upgrade_tools_check -v R80.40 / / .tgz
11) Beregn MD5-hash-summen og lagre utdataene fra kommandoen:
md5sum / / .tgz
Figur 11. Beregning av MD5-hashsum
12) Bruk WinSCP, flytt denne filen til datamaskinen din.
13) Skriv inn kommandoen df -h og spar deg selv prosentandelen av kataloger basert på plassen som er okkupert.
Figur 12. Andel kataloger per SMS
14.1) I tilfelle du har en ekte SMS
14.1.1) Ved hjelp av det opprettes en oppstartbar USB-flash-stasjon med et bilde .
14.1.2) Jeg anbefaler å forberede minst 2 oppstartbare flash-stasjoner, siden det hender at flash-stasjonen ikke alltid er lesbar.
14.1.3) Som administrator på datamaskinen din, kjør ISOmorphic.exe. I trinn 1 velger du det nedlastede bildet av Gaia R80.40, i trinn 4 flash-stasjonen. Endre punkt 2 og 3 ikke behov!
Figur 13. Opprette en oppstartbar USB-flash-stasjon
14.1.4) Velg et element "Installer automatisk uten bekreftelse" og det er viktig å spesifisere modellen til administrasjonsserveren. Ved SMS bør du velge linje 3 eller 4.
Figur 14. Velge en enhetsmodell for å lage en oppstartbar USB-flash-stasjon
14.1.5) Deretter slår du av upline, setter inn flash-stasjonen i USB-porten, kobler konsollkabelen via COM-porten til enheten og aktiverer SMS. Installasjonsprosessen skjer automatisk. Standard IP-adresse - 192.168.1.1/24, og påloggingsinformasjon admin / admin.
14.1.6) Neste trinn er å koble til nettgrensesnittet på Gaia Portal (standardadresse ), der du går gjennom enhetens initialisering. Under initialisering trykker du i utgangspunktet Neste, fordi nesten alle innstillinger kan endres i fremtiden. Du kan imidlertid umiddelbart endre IP-adressen, DNS-innstillingene og vertsnavnet.
14.2) I tilfelle du har virtuell SMS
14.2.1) Du bør ikke under noen omstendigheter slette den gamle SMS-en; lag en ny virtuell maskin med de samme ressursene (CPU, RAM, HDD) og samme IP-adresse. Du kan forresten legge til RAM og HDD, siden R80.40-versjonen er litt mer krevende. For å unngå IP-adressekonflikter, slå av den gamle SMS-en og begynn å installere en ny.
14.2.2) Under installasjonen av Gaia, konfigurer gjeldende IP-adresse og velg en katalog / Root tilstrekkelig mengde plass. Prosentandelen av kataloger du har bør være omtrentlig overleve, bruk utgang df -h.
15) I det øyeblikket du velger installasjonstype "Installasjonstype" velg det første alternativet, siden du mest sannsynlig ikke har MDS (Multi-Domain Server). Hvis MDS, administrerte du mange domener fra forskjellige SMS-enheter samtidig. I dette tilfellet bør du velge det andre alternativet.
Figur 15. Velge installasjonstype for Gaia
16) Det viktigste punktet som ikke kan korrigeres uten å installere på nytt, er valg av enhet. Bør velge Sikkerhetsstyring og trykk Neste. Alt annet er som standard.
Figur 16. Velge en enhetstype når du installerer Gaia
17) Når enheten har startet på nytt, kobler du til nettgrensesnittet ved hjelp av eller en annen IP-adresse hvis du endret den.
18) Overfør innstillingene fra skjermbildene til alle Gaia Portal-faner der noe ble konfigurert, eller kjør kommandoen fra clish laste konfigurasjon .tekst. Denne konfigurasjonsfilen må først lastes opp til SMS.
Note: På grunn av det faktum at operativsystemet er nytt, vil WinSCP ikke tillate deg å koble til som administrator, endre brukerskallet til /bin/bash enten i nettgrensesnittet i fanen Brukere, eller ved å skrive inn kommandoen chsh –s /bin/bash eller opprette en ny bruker.
19) Last opp filen med eksporterte policyer fra den gamle administrasjonsserveren til en hvilken som helst katalog. Gå deretter til konsollen i ekspertmodus og sjekk at MD5-hash-mengden samsvarer med den forrige. Ellers bør eksporten gjøres på nytt:
md5sum / / .tgz
20) Gjenta trinn 6 og installer oppgraderingsverktøy på den nye SMS-en i Gaia Portal i fanen Oppgraderinger (CPUSE) > Status og handlinger.
21) Skriv inn kommandoen i ekspertmodus:
./migrate_server import -v R80.40 -skip_upgrade_tools_check / / .tgz
Figur 17. Importere en sikkerhetspolicy til en ny SMS
22) Aktiver tjenester med kommandoen cpstart.
23) Last ned en ny og koble til administrasjonsserveren. Gå til Meny > Administrer lisenser og pakker (SmartUpdate) og sjekk at du fortsatt har lisensen din.
Figur 18. Sjekke installerte lisenser
24) Angi sikkerhetspolicyen på gatewayen eller klyngen - Installasjonspolicy.
Oppdatering for sikkerhetsgateway (SG).
Security Gateway kan oppdateres via CPUSE, akkurat som administrasjonsserveren, eller installeres på nytt - fersk installasjon. Fra min erfaring, i 99% av tilfellene, reinstallerer alle Security Gateway på grunn av det faktum at det tar nesten samme tid som oppdatering via CPUSE, men du får et rent, oppdatert OS uten feil.
Analogt med SMS må du først lage en sikkerhetskopi og et øyeblikksbilde, og også lagre innstillingene fra Gaia Portal. Se punkt 1, 2 og 3 i avsnitt "Security Management Server Update".
Oppdaterer med CPUSE
Å oppdatere Security Gateway via CPUSE er nøyaktig det samme som å oppdatere Security Management Server, så vennligst se begynnelsen av artikkelen.
Viktig punkt: SG-oppdatering krever starter på nytt! Oppdater derfor under vedlikeholdsvinduet. Hvis du har en klynge, oppgrader først den passive noden, bytt deretter roller og oppgrader den andre noden. Ved en klynge kan vedlikeholdsvinduer unngås.
Installere en ny OS-versjon på Security Gateway
1.1) I tilfelle du har en ekte SG
1.1.1) Ved hjelp av det opprettes en oppstartbar USB-flash-stasjon med et bilde . Bildet er det samme som på SMS, men prosedyren for å lage en oppstartbar flash-stasjon ser litt annerledes ut.
1.1.2) Jeg anbefaler å forberede minst 2 oppstartbare flash-stasjoner, siden det hender at flash-stasjonen ikke alltid er lesbar.
1.1.3) Som administrator på datamaskinen din, kjør ISOmorphic.exe. I trinn 1 velger du det nedlastede bildet av Gaia R80.40, i trinn 4 flash-stasjonen. Endre punkt 2 og 3 ikke behov!
Figur 19. Opprette en oppstartbar USB-flash-stasjon
1.1.4) Velg et element "Installer automatisk uten bekreftelse", og det er viktig å angi modellen til Security Gateway - linje 2 eller 3. Hvis dette er en fysisk sandkasse (SandBlast Appliance), velg linje 5.
Figur 20. Velge en enhetsmodell for å lage en oppstartbar USB-flash-stasjon
1.1.5) Deretter slår du av upline, setter inn flash-stasjonen i USB-porten, kobler konsollkabelen via COM-porten til enheten og slår på gatewayen. Installasjonsprosessen skjer automatisk. Standard IP-adresse - 192.168.1.1/24, og påloggingsinformasjon admin / admin. Du bør oppdatere først passiv node, installer deretter en policy på den, bytt roller og oppdater deretter en annen node. Du vil mest sannsynlig trenge et servicevindu.
1.1.6) Neste steg er å koble til nettgrensesnittet på Gaia Portal, hvor du går gjennom den første initialiseringen av enheten. Under initialisering trykker du i utgangspunktet Neste, fordi nesten alle innstillinger kan endres i fremtiden. Du kan imidlertid umiddelbart endre IP-adressen, DNS-innstillingene og vertsnavnet.
1.2) I tilfelle du har en virtuell SG
1.2.1) Lag en ny virtuell maskin med de samme ressursene (CPU, RAM, HDD) eller mer, siden R80.40-versjonen er litt mer krevende. For å unngå konflikt mellom IP-adresser, slå av den gamle gatewayen og begynne å installere en ny med samme IP-adresse. Den gamle SG kan trygt slettes, siden det ikke er noe verdifullt på den, fordi alle de viktigste tingene - sikkerhetspolicyen - ligger på administrasjonsserveren.
1.2.2) Under OS-installasjon, konfigurer gjeldende IP-adresse og velg en katalog / Root tilstrekkelig mengde plass.
3) Koble til gatewayen via HTTPS-porten og start initialiseringsprosessen. På tidspunktet for valg av installasjonstype "Installasjonstype" velg det første alternativet - Security Gateway og/eller Security Management.
Figur 21. Velge installasjonstype for Gaia
4) Det viktigste punktet er valg av enhet (Produkter). Bør velge Security Gateway og, hvis du har en klynge, merk av i boksen "Enhet er en del av en klynge, type: ClusterXL". Hvis du har en VRRP-klynge, velg denne typen, men det er usannsynlig.
Figur 22. Velge en enhetstype når du installerer Gaia
5) I neste trinn angir du SIC-engangspassordet for å etablere tillit til administrasjonsserveren. Ved å bruke dette passordet genereres et sertifikat, og administrasjonsserveren vil kommunisere med gatewayen over en kryptert kommunikasjonskanal. Hake "Koble til din administrasjon som en tjeneste" bør angis hvis administrasjonsserveren er plassert i skyen. Vi skrev nylig om dette og hvor praktisk og enkel skyadministrasjonsserveren er.
Figur 23. Oppretting av SIC
6) Start initialiseringsprosessen på neste fane. Så snart enheten starter på nytt, koble til nettgrensesnittet og overfør innstillingene fra skjermbildene til alle Gaia Portal-faner der noe ble konfigurert, eller kjør kommandoen fra clish laste konfigurasjon .tekst. Denne konfigurasjonsfilen må først lastes opp til sikkerhetsporten.
Note: På grunn av det faktum at operativsystemet er nytt, vil WinSCP ikke tillate deg å koble til som administrator, endre brukerskallet til /bin/bash enten i nettgrensesnittet i fanen Brukere, eller ved å skrive inn kommandoen chsh –s /bin/bash eller opprett en ny bruker med dette skallet.
7) Åpne og gå inn i Security Gateway-objektet du nettopp har installert på nytt. Åpne fanen Generelle egenskaper > Kommunikasjon > Tilbakestill SIC og skriv inn passordet spesifisert i trinn 5.
Figur 24: Etablering av tillit med den nye sikkerhetsporten
8) Gaia-versjonen av objektet bør endres, hvis det ikke endres, så endre det manuelt. Installer deretter policyen på gatewayen.
9) Gå til fanen i Gaia Portal Oppgraderinger (CPUSE) > Status og handlinger > Hurtigreparasjoner og installer den nyeste hurtigreparasjonen. Enheten vil gå inn start på nytt under installasjonen!
10) I tilfelle en klynge, endre rollene til nodene og gjør de samme trinnene for en annen node.
Konklusjon
Jeg prøvde å lage den mest klare og omfattende veiledningen for oppgradering fra versjon R80.20/R80.30 til gjeldende R80.40, siden mye har endret seg. Versjon har allerede dukket opp i demomodus, men oppdateringsprosedyren forblir mer eller mindre identisk. Veiledet av tjenestemannen fra Check Point kan du finne ut alle detaljene selv.
For eventuelle spørsmål kan du kontakte oss. Vi hjelper gjerne med de mest komplekse oppdateringene og sakene som en del av vår tekniske støtte . Også på vår det er mulig å bestille en revisjon av Check Point-innstillinger eller la det være gratis for en teknisk sak.
. Følg med (, , , , ).
Kilde: www.habr.com