BolеDwa lata temu pisaliśmy, że każdy administrator Check Point prędzej czy później staje przed problemem aktualizacji do nowej wersji. W tym opisano aktualizację z wersji R77.30 do R80.10. Nawiasem mówiąc, w styczniu 2020 r. R77.30 stał się certyfikowaną wersją FSTEC. Jednak w ciągu 2 lat w Check Point wiele się zmieniło. W artykule "” opisuje wszystkie innowacje, których jest wiele. W tym artykule opisano procedurę aktualizacji tak szczegółowo, jak to możliwe.
Jak wiadomo, istnieją 2 możliwości wdrożenia Check Point: Standalone i Distributed, czyli bez dedykowanego serwera zarządzającego i z dedykowanym. Opcja rozproszona jest wysoce zalecana z kilku powodów:
-
obciążenie zasobów bramy jest zminimalizowane;
-
Nie musisz planować okresu konserwacji, aby pracować na serwerze zarządzania;
-
odpowiednie działanie SmartEvent, ponieważ jest mało prawdopodobne, aby działał w wersji Standalone;
-
Zdecydowanie zaleca się budowanie klastra bram w konfiguracji rozproszonej.
Biorąc pod uwagę wszystkie zalety konfiguracji rozproszonej, rozważymy osobną aktualizację serwera zarządzania i bramy bezpieczeństwa.
Aktualizacja serwera zarządzania bezpieczeństwem (SMS).
Istnieją 2 sposoby aktualizacji wiadomości SMS:
-
poprzez CPUSE (przez portal Gaia)
-
przy użyciu narzędzi do migracji (wymagana czysta instalacja - nową instalację)
Aktualizacja przy użyciu CPUSE nie jest zalecana przez kolegów z Check Point, ponieważ nie spowoduje to aktualizacji wersji systemu plików i jądra. Metoda ta nie wymaga jednak migracji polityk i jest znacznie szybsza i prostsza od drugiej metody.
Zalecaną metodą jest czysta instalacja i migracja zasad przy użyciu narzędzi migracji. Oprócz nowego systemu plików i jądra systemu operacyjnego często zdarza się, że baza danych SMS zostaje zatkana, a czysta instalacja w tym zakresie jest doskonałym rozwiązaniem na zwiększenie szybkości serwera.
1) Pierwszym krokiem każdej aktualizacji jest utworzenie kopii zapasowych i migawek. Jeśli posiadasz fizyczny serwer zarządzający, należy wykonać kopię zapasową z interfejsu internetowego Gaia Portal. Przejdź do zakładki Konserwacja > Kopia zapasowa systemu > Kopia zapasowa. Następnie określ lokalizację, w której chcesz zapisać kopię zapasową. Może to być serwer SCP, FTP, TFTP lub lokalnie na urządzeniu, ale wtedy konieczne będzie przesłanie tej kopii zapasowej na serwer lub komputer później.
Rysunek 1. Tworzenie kopii zapasowej w Portalu Gaia
2) Następnie należy wykonać migawkę w zakładce Konserwacja → Zarządzanie migawkami → Nowość. Różnica między kopiami zapasowymi a migawkami polega na tym, że migawki przechowują więcej informacji, w tym wszystkie zainstalowane poprawki. Jednak lepiej jest zrobić jedno i drugie.
Jeśli Twój serwer zarządzania jest zainstalowany jako maszyna wirtualna, zaleca się wykonanie kopii zapasowej maszyny wirtualnej za pomocą wbudowanych narzędzi hypervisora. Jest po prostu szybszy i bardziej niezawodny.
Rysunek 2. Tworzenie migawki w Portalu Gaia
3) Zapisz konfigurację urządzenia z Portalu Gaia. Możesz zrobić zrzut ekranu wszystkich zakładek ustawień znajdujących się w Portalu Gaia lub wprowadzić polecenie z Clisha zapisz konfigurację. Następnie przenieś plik na swój komputer za pomocą WinSCP lub innego klienta.
Rysunek 3. Zapisywanie konfiguracji do pliku tekstowego)
Operacja: jeśli WinSCP nie pozwala na połączenie, zmień powłokę użytkownika na /bin/bash w interfejsie internetowym w zakładce Użytkownicy lub wpisując polecenie chsh –s /bin/bash.
Aktualizacja za pomocą CPUSE
4) Pierwsze 3 kroki są obowiązkowe w przypadku każdej opcji aktualizacji. Jeżeli zdecydujesz się na prostszą ścieżkę aktualizacji, to w interfejsie WWW przejdź do zakładki Uaktualnienia (CPUSE) > Stan i działania > Wersje główne > Check Point R80.40 Gaia Fresh Instalacja i aktualizacja. Kliknij tę aktualizację prawym przyciskiem myszy i wybierz Weryfikator. Proces weryfikacji rozpocznie się za kilka minut, po czym pojawi się komunikat, że urządzenie można zaktualizować. Jeśli zauważysz błędy, należy je poprawić.
Rysunek 4. Aktualizacja poprzez CPUSE
5) Zaktualizuj do najnowszej wersji CDT (Central Deployment Tool) - narzędzie działające na serwerze zarządzania i umożliwiające instalowanie aktualizacji, dodatków Service Pack, zarządzanie kopiami zapasowymi, migawkami, skryptami i wieloma innymi. Nieaktualna wersja CDT może powodować problemy z aktualizacją. CDT można pobrać pod adresem .
6) Po umieszczeniu pobranego archiwum na SMS w dowolnym katalogu poprzez WinSCP, połącz się przez SSH z SMS i wejdź w tryb ekspercki. Przypomnę, że użytkownik WinSCP musi mieć powłokę / bin / bash!
7) Wprowadź polecenia:
cd /somepathtoCDT/
tar -zxvf .tgz
obr/min -Uhv — wymuszenie CPcdt-00-00.i386.rpm
Rysunek 5. Instalowanie centralnego narzędzia wdrażania (CDT)
8) Następnym krokiem jest instalacja obrazu R80.40. Kliknij prawym przyciskiem myszy aktualizację Pobierz, wtedy Zainstaluj. Należy pamiętać, że aktualizacja zajmie 20-30 minut, a serwer zarządzania będzie niedostępny przez pewien czas. Dlatego sensowne jest uzgodnienie okna serwisowego.
9) Wszystkie licencje i zasady bezpieczeństwa zostały zapisane, dlatego należy następnie pobrać nową .
10) Połącz się z nową konsolą SMS SmartConsole i ustaw zasady bezpieczeństwa. Przycisk Zainstaluj zasady w lewym górnym rogu.
11) Twój SMS został zaktualizowany, powinieneś zainstalować najnowszą poprawkę. W zakładce Uaktualnienia (CPUSE) > Stan i akcje > Poprawki kliknij prawym przyciskiem myszy Weryfikator, a następnie Zainstaluj aktualizację. Po zainstalowaniu aktualizacji urządzenie uruchomi się ponownie.
Rysunek 6. Instalowanie najnowszej poprawki poprzez CPUSE
Aktualizacja za pomocą narzędzi do migracji
4) W pierwszej kolejności należy także zaktualizować CDT do najnowszej wersji - punkty 5, 6, 7 z ust. „Aktualizacja za pomocą CPUSE.”
5) Zainstaluj pakiet narzędzi do migracji wymagany do migracji zasad z serwera zarządzania. Według tego znajdziesz narzędzia migracji dla wersji: R80.20, R80.20 M1, R80.20 M2, R80.30, R80.40. Powinieneś pobrać narzędzia migracji w wersji do którego chcesz dokonać aktualizacji, a nie ten, który masz teraz! W naszym przypadku jest to 80.40 R.
6) Następnie w interfejsie internetowym SMS przejdź do zakładki Uaktualnienia (CPUSE) > Stan i akcje > Importuj pakiet > Przeglądaj > Wybierz pobrany plik > Importuj.
Rysunek 7. Importowanie narzędzi migracji
7) W trybie eksperckim w programie SMS sprawdź, czy pakiet Narzędzi migracji jest zainstalowany za pomocą polecenia (wynik polecenia musi odpowiadać liczbie w nazwie archiwum Narzędzi migracji):
cpprod_util CPPROD_GetValue CPupgrade-tools-R80.40 BuildNumber 1
Rysunek 8. Sprawdzanie instalacji narzędzi do migracji
8) Przejdź do folderu $FWDIR/scripts na serwerze zarządzania:
cd $FWDIR/skrypty
9) Uruchom weryfikator przed aktualizacją za pomocą polecenia (jeśli są błędy, napraw je przed dalszymi krokami):
./migrate_server sprawdź -v R80.40
Operacja: jeśli widzisz błąd „Nie udało się pobrać pakietu narzędzi do aktualizacji”, ale sprawdziłeś, czy archiwum zostało pomyślnie zaimportowane (patrz punkt 4), użyj polecenia:
./migrate_server zweryfikować -v R80.40 -skip_upgrade_tools_check
Rysunek 9. Uruchomienie skryptu weryfikacyjnego
10) Eksportuj polityki bezpieczeństwa za pomocą polecenia:
./migrate_server eksport -v R80.40 / / .tgz
Rysunek 10. Eksportowanie polityki bezpieczeństwa
Operacja: jeśli widzisz błąd „Nie udało się pobrać pakietu narzędzi do aktualizacji”, ale sprawdziłeś, czy archiwum zostało pomyślnie zaimportowane (krok 7), użyj polecenia:
./migrate_server eksport -skip_upgrade_tools_check -v R80.40 / / .tgz
11) Oblicz sumę skrótu MD5 i zapisz wynik polecenia:
suma md5 / / .tgz
Rysunek 11. Obliczanie sumy skrótu MD5
12) Używając WinSCP, przenieś ten plik na swój komputer.
13) Wprowadź polecenie df -h i zaoszczędź procent katalogów w oparciu o zajęte miejsce.
Rysunek 12. Procent katalogów na SMS
14.1) Jeśli masz prawdziwy SMS
14.1.1) Używanie tworzony jest rozruchowy dysk flash USB z obrazem .
14.1.2) Zalecam przygotowanie co najmniej 2 rozruchowych dysków flash, ponieważ zdarza się, że dysk flash nie zawsze jest czytelny.
14.1.3) Jako administrator na swoim komputerze uruchom ISOmorphic.exe. W kroku 1 wybierz pobrany obraz Gaia R80.40, w kroku 4 pendrive. Zmień punkty 2 i 3 nie rób tego!
Rysunek 13. Tworzenie rozruchowego dysku flash USB
14.1.4) Wybierz element „Zainstaluj automatycznie bez potwierdzenia” ważne jest, aby określić model serwera zarządzania. W przypadku SMS-ów należy wybrać linię 3 lub 4.
Rysunek 14. Wybieranie modelu urządzenia w celu utworzenia rozruchowego dysku flash USB
14.1.5) Następnie wyłączamy upline, wkładamy pendrive do portu USB, podłączamy kabel konsolowy przez port COM do urządzenia i włączamy SMS. Proces instalacji przebiega automatycznie. Domyślny adres IP - 192.168.1.1/24i dane logowania admin / admin.
14.1.6) Następnym krokiem jest połączenie się z interfejsem internetowym Gaia Portal (domyślny adres ), gdzie przechodzisz przez inicjalizację urządzenia. Podczas inicjalizacji zasadniczo naciskasz Następnie ponieważ prawie wszystkie ustawienia można zmienić w przyszłości. Możesz jednak natychmiast zmienić adres IP, ustawienia DNS i nazwę hosta.
14.2) Jeśli masz wirtualny SMS
14.2.1) W żadnym wypadku nie usuwaj starego SMS-a, utwórz nową maszynę wirtualną z tymi samymi zasobami (CPU, RAM, HDD) i tym samym adresem IP. Nawiasem mówiąc, możesz dodać pamięć RAM i dysk twardy, ponieważ wersja R80.40 jest nieco bardziej wymagająca. Aby uniknąć konfliktów adresów IP, wyłącz stary SMS i rozpocznij instalację nowego.
14.2.2) Podczas instalacji Gaia skonfiguruj bieżący adres IP i wybierz katalog / root odpowiednią ilość miejsca. Odsetek katalogów, które posiadasz, powinien wynosić w przybliżeniu przeżyć, użyj wyjścia df -h.
15) W momencie wyboru rodzaju instalacji „Typ instalacji” wybierz pierwszą opcję, ponieważ najprawdopodobniej nie masz MDS (serwera wielodomenowego). Jeśli MDS, to zarządzałeś jednocześnie wieloma domenami z różnych podmiotów SMS. W takim przypadku należy wybrać drugą opcję.
Rysunek 15. Wybór typu instalacji Gaia
16) Najważniejszym punktem, którego nie można naprawić bez ponownej instalacji, jest wybór podmiotu. Powinien wybrać Zarządzanie bezpieczeństwem i naciśnij Dalej. Wszystko inne jest domyślnie.
Rysunek 16. Wybieranie typu jednostki podczas instalacji Gaia
17) Po ponownym uruchomieniu urządzenia połącz się z interfejsem internetowym za pomocą lub inny adres IP, jeśli go zmieniłeś.
18) Przenieś ustawienia ze zrzutów ekranu do wszystkich zakładek Portalu Gaia, w których coś zostało skonfigurowane, lub uruchom polecenie z clish załaduj konfigurację .tekst. Ten plik konfiguracyjny należy najpierw przesłać do SMS.
Operacja: Z uwagi na to, że system operacyjny jest nowy, WinSCP nie pozwoli na połączenie się jako administrator, zmianę powłoki użytkownika na /bin/bash ani w interfejsie WWW w zakładce Użytkownicy, ani poprzez wpisanie komendy chsh –s /bin/bash lub utwórz nowego użytkownika.
19) Prześlij plik z wyeksportowanymi politykami ze starego serwera zarządzania do dowolnego katalogu. Następnie przejdź do konsoli w trybie eksperckim i sprawdź, czy wartość skrótu MD5 jest zgodna z poprzednią. W przeciwnym razie eksport należy wykonać ponownie:
md5sum / / .tgz
20) Powtórz krok 6 i zainstaluj narzędzia aktualizacji na nowym SMS-ie w portalu Gaia w zakładce Uaktualnienia (CPUSE) > Stan i akcje.
21) Wprowadź polecenie w trybie eksperckim:
./migrate_server import -v R80.40 -skip_upgrade_tools_check / / .tgz
Rysunek 17. Importowanie polityki bezpieczeństwa do nowego SMS-a
22) Włącz usługi za pomocą polecenia cpstart.
23) Pobierz nowy i połącz się z serwerem zarządzania. Iść do Menu > Zarządzaj licencjami i pakietami (SmartUpdate) i sprawdź, czy nadal masz licencję.
Rysunek 18. Sprawdzanie zainstalowanych licencji
24) Ustaw politykę bezpieczeństwa na bramie lub klastrze - Zainstaluj zasady.
Aktualizacja bramy bezpieczeństwa (SG).
Security Gateway można zaktualizować za pomocą CPUSE, podobnie jak serwer zarządzania, lub zainstalować ponownie - nową instalację. Z mojego doświadczenia wynika, że w 99% przypadków wszyscy ponownie instalują Security Gateway, ponieważ zajmuje to prawie tyle samo czasu, co aktualizacja za pomocą CPUSE, ale otrzymujesz czysty, zaktualizowany system operacyjny bez błędów.
Analogicznie do SMS-ów, należy najpierw utworzyć kopię zapasową i migawkę, a także zapisać ustawienia z Portalu Gaia. Patrz punkty 1, 2 i 3 w ust „Aktualizacja serwera zarządzania bezpieczeństwem”.
Aktualizacja za pomocą CPUSE
Aktualizacja Security Gateway za pomocą CPUSE jest dokładnie taka sama, jak aktualizacja Security Management Server, dlatego prosimy zapoznać się z początkiem artykułu.
Ważny punkt: wymaga aktualizacji SG restartuje się! Dlatego aktualizuj w okresie konserwacji. Jeśli masz klaster, najpierw zaktualizuj węzeł pasywny, a następnie zmień role i zaktualizuj drugi węzeł. W przypadku klastra można uniknąć okien konserwacyjnych.
Instalowanie nowej wersji systemu operacyjnego w Security Gateway
1.1) Jeśli masz prawdziwego SG
1.1.1) Używanie tworzony jest rozruchowy dysk flash USB z obrazem . Obraz jest taki sam jak w SMS-ie, ale procedura tworzenia rozruchowego dysku flash wygląda nieco inaczej.
1.1.2) Zalecam przygotowanie co najmniej 2 rozruchowych dysków flash, ponieważ zdarza się, że dysk flash nie zawsze jest czytelny.
1.1.3) Jako administrator na swoim komputerze uruchom ISOmorphic.exe. W kroku 1 wybierz pobrany obraz Gaia R80.40, w kroku 4 pendrive. Zmień punkty 2 i 3 nie rób tego!
Rysunek 19. Tworzenie rozruchowego dysku flash USB
1.1.4) Wybierz element „Zainstaluj automatycznie bez potwierdzenia”, i ważne jest, aby wskazać model posiadanej bramy Security Gateway - linie 2 lub 3. Jeśli jest to fizyczna piaskownica (SandBlast Appliance), wybierz linię 5.
Rysunek 20. Wybieranie modelu urządzenia w celu utworzenia rozruchowego dysku flash USB
1.1.5) Następnie wyłączamy upline, wkładamy pendrive do portu USB, podłączamy kabel konsolowy przez port COM do urządzenia i włączamy bramkę. Proces instalacji przebiega automatycznie. Domyślny adres IP - 192.168.1.1/24i dane logowania admin / admin. Najpierw powinieneś zaktualizować węzeł pasywny, następnie zainstaluj na nim profil, zamień role i zaktualizuj kolejny węzeł. Najprawdopodobniej będziesz potrzebować okna serwisowego.
1.1.6) Następnym krokiem jest połączenie się z interfejsem internetowym Gaia Portal, gdzie następuje pierwsza inicjalizacja urządzenia. Podczas inicjalizacji zasadniczo naciskasz Następnie ponieważ prawie wszystkie ustawienia można zmienić w przyszłości. Możesz jednak natychmiast zmienić adres IP, ustawienia DNS i nazwę hosta.
1.2) W przypadku posiadania wirtualnego SG
1.2.1) Utwórz nową maszynę wirtualną z tymi samymi zasobami (CPU, RAM, HDD) lub większymi, ponieważ wersja R80.40 jest nieco bardziej wymagająca. Aby uniknąć konfliktu adresów IP, wyłącz starą bramę i rozpocznij instalację nowej z tym samym adresem IP. Starą SG można bezpiecznie usunąć, ponieważ nie ma na niej nic cennego, ponieważ wszystkie najważniejsze rzeczy - polityka bezpieczeństwa - znajdują się na serwerze zarządzania.
1.2.2) Podczas instalacji systemu operacyjnego skonfiguruj bieżący adres IP i wybierz katalog / root odpowiednią ilość miejsca.
3) Połącz się z bramką poprzez port HTTPS i rozpocznij proces inicjalizacji. W momencie wyboru rodzaju instalacji „Typ instalacji” wybierz pierwszą opcję - Security Gateway i/lub Zarządzanie bezpieczeństwem.
Rysunek 21. Wybór typu instalacji Gaia
4) Najważniejszym punktem jest wybór podmiotu (Produktów). Powinien wybrać Bramka bezpieczeństwa i jeśli masz klaster, zaznacz to pole „Jednostka jest częścią klastra, typ: ClusterXL”. Jeśli masz klaster VRRP, wybierz ten typ, ale jest to mało prawdopodobne.
Rysunek 22. Wybieranie typu jednostki podczas instalacji Gaia
5) W następnym kroku ustaw hasło jednorazowe SIC, aby ustanowić zaufanie do serwera zarządzania. Za pomocą tego hasła generowany jest certyfikat, a serwer zarządzania będzie komunikował się z bramą za pośrednictwem zaszyfrowanego kanału komunikacji. Zaznaczenie „Połącz się z zarządem jako usługa” należy ustawić, jeśli serwer zarządzania znajduje się w chmurze. Właśnie niedawno o tym pisaliśmy oraz jak wygodny i prosty jest serwer zarządzania chmurą.
Rysunek 23. Tworzenie SIC
6) Rozpocznij proces inicjalizacji na następnej karcie. Gdy tylko urządzenie uruchomi się ponownie, połącz się z interfejsem internetowym i przenieś ustawienia ze zrzutów ekranu do wszystkich zakładek Portalu Gaia, w których coś zostało skonfigurowane, lub uruchom polecenie z clish załaduj konfigurację .tekst. Ten plik konfiguracyjny należy najpierw przesłać do bramy zabezpieczeń.
Operacja: Z uwagi na to, że system operacyjny jest nowy, WinSCP nie pozwoli na połączenie się jako administrator, zmianę powłoki użytkownika na /bin/bash ani w interfejsie WWW w zakładce Użytkownicy, ani poprzez wpisanie komendy chsh –s /bin/bash lub utwórz nowego użytkownika z tą powłoką.
7) Otwórz i przejdź do obiektu Security Gateway, który właśnie ponownie zainstalowałeś. Otwórz zakładkę Właściwości ogólne > Komunikacja > Resetuj SIC i wprowadź hasło określone w kroku 5.
Rysunek 24: Ustanawianie zaufania za pomocą nowej bramy bezpieczeństwa
8) Wersja obiektu Gaia powinna się zmienić, jeśli się nie zmieni, to zmień ją ręcznie. Następnie zainstaluj politykę na bramie.
9) W Portalu Gaia przejdź do zakładki Uaktualnienia (CPUSE) > Stan i akcje > Poprawki i zainstaluj najnowszą poprawkę. Urządzenie wejdzie ponowne uruchomienie podczas instalacji!
10) W przypadku klastra zmień role węzłów i wykonaj te same kroki dla innego węzła.
wniosek
Starałem się stworzyć jak najbardziej przejrzysty i kompleksowy przewodnik dotyczący aktualizacji z wersji R80.20/R80.30 do aktualnej wersji R80.40, ponieważ wiele się zmieniło. Wersja pojawił się już w trybie demonstracyjnym, ale procedura aktualizacji pozostaje mniej więcej identyczna. Prowadzony przez urzędnika z Check Point możesz sam ustalić wszystkie szczegóły.
W przypadku jakichkolwiek pytań możesz się z nami skontaktować. Chętnie pomożemy w przypadku najbardziej skomplikowanych aktualizacji i spraw w ramach naszego wsparcia technicznego . Również na naszym istnieje możliwość zamówienia audytu ustawień Check Point lub pozostawienia go bezpłatnie dla sprawy technicznej.
. Czekać na dalsze informacje (, , , , ).
Źródło: www.habr.com