BolеHá dois anos, escrevemos que todo administrador do Check Point, mais cedo ou mais tarde, enfrenta o problema de atualizar para uma nova versão. Nisso foi descrita uma atualização da versão R77.30 para R80.10. A propósito, em janeiro de 2020, o R77.30 tornou-se uma versão certificada do FSTEC. No entanto, muita coisa mudou na Check Point em 2 anos. No artigo "”descreve todas as inovações, que são muitas. Este artigo descreverá o procedimento de atualização com o máximo de detalhes possível.
Como você sabe, existem 2 opções de implementação do Check Point: Standalone e Distribuído, ou seja, sem servidor de gerenciamento dedicado e com servidor dedicado. A opção Distribuída é altamente recomendada por vários motivos:
-
a carga nos recursos do gateway é minimizada;
-
Você não precisa agendar uma janela de manutenção para trabalhar no servidor de gerenciamento;
-
funcionamento adequado do SmartEvent, pois dificilmente funcionará na versão Standalone;
-
É altamente recomendável construir um cluster de gateways na configuração Distribuída.
Dados todos os benefícios da configuração distribuída, consideraremos a atualização do servidor de gerenciamento e do gateway de segurança separadamente.
Atualização do Servidor de Gerenciamento de Segurança (SMS)
Existem 2 maneiras de atualizar o SMS:
-
via CPUSE (via Portal Gaia)
-
usando ferramentas de migração (instalação limpa necessária - nova instalação)
A atualização usando CPUSE não é recomendada pelos colegas da Check Point, pois não atualizará a versão do sistema de arquivos e o kernel. Contudo, este método não requer migração de políticas e é muito mais rápido e simples que o segundo método.
Uma instalação limpa e migração de políticas usando ferramentas de migração é o método recomendado. Além do novo sistema de arquivos e kernel do sistema operacional, muitas vezes acontece que o banco de dados do SMS fica entupido, e uma instalação limpa nesse sentido é uma excelente solução para adicionar velocidade ao servidor.
1) A primeira etapa em qualquer atualização é criar backups e instantâneos. Se você tiver um servidor de gerenciamento físico, um backup deverá ser feito na interface web do Portal Gaia. Vá para a guia Manutenção > Backup do Sistema > Backup. Em seguida, você especifica o local para salvar o backup. Pode ser um servidor SCP, FTP, TFTP ou localmente no dispositivo, mas você terá que fazer upload desse backup para um servidor ou computador posteriormente.
Figura 1. Criando um backup no Portal Gaia
2) Em seguida, você deve tirar um instantâneo na guia Manutenção → Gerenciamento de instantâneos → Novo. A diferença entre backups e instantâneos é que os instantâneos armazenam mais informações, incluindo todos os hotfixes instalados. No entanto, é melhor fazer as duas coisas.
Se o seu servidor de gerenciamento estiver instalado como uma máquina virtual, é recomendável fazer um backup da máquina virtual usando as ferramentas integradas do hipervisor. É simplesmente mais rápido e confiável.
Figura 2. Criando um snapshot no Portal Gaia
3) Salve a configuração do dispositivo do Portal Gaia. Você pode capturar todas as guias de configurações que estão no Portal Gaia ou inserir o comando do Clish salvar configuração. Em seguida, leve o arquivo para o seu PC usando WinSCP ou outro cliente.
Figura 3. Salvando a configuração em um arquivo de texto)
Nota: se o WinSCP não permitir a conexão, altere o shell do usuário para /bin/bash na interface da web na guia Usuários ou digitando o comando chsh –s /bin/bash.
Atualizando com CPUSE
4) Os primeiros 3 passos são obrigatórios para qualquer opção de atualização. Se você decidir seguir um caminho de atualização mais simples, na interface da web vá para a guia Atualizações (CPUSE) > Status e ações > Versões principais > Check Point R80.40 Gaia Fresh Instalação e atualização. Clique com o botão direito nesta atualização e selecione Verificador. O processo de verificação começará por alguns minutos, após os quais você verá uma mensagem informando que o dispositivo pode ser atualizado. Se você encontrar erros, eles precisam ser corrigidos.
Figura 4. Atualização via CPUSE
5) Atualize para a versão mais recente do CDT (Central Deployment Tool) - um utilitário que roda no servidor de gerenciamento e permite instalar atualizações, service packs, gerenciar backups, snapshots, scripts e muito mais. Uma versão desatualizada do CDT pode causar problemas com a atualização. Você pode baixar o CDT em .
6) Após colocar o arquivo baixado no SMS em qualquer diretório via WinSCP, conecte-se via SSH ao SMS e entre no modo especialista. Deixe-me lembrá-lo que o usuário WinSCP deve ter um shell / bin / bash!
7) Digite os comandos:
cd /somepathtoCDT/
alcatrão -zxvf .tgz
rpm -Uhv —forçar CPcdt-00-00.i386.rpm
Figura 5. Instalando a Ferramenta de Implantação Central (CDT)
8) A próxima etapa é instalar a imagem R80.40. Clique com o botão direito em atualizar Download, então Instalar. Lembre-se de que a atualização levará de 20 a 30 minutos e o servidor de gerenciamento ficará indisponível por algum tempo. Portanto, faz sentido combinar uma janela de serviço.
9) Todas as licenças e políticas de segurança são salvas, então em seguida você deve baixar uma nova .
10) Conecte-se ao novo SmartConsole por SMS e defina políticas de segurança. Botão Política de instalação no canto superior esquerdo.
11) Seu SMS foi atualizado, então você deve instalar o hotfix mais recente. Na aba Atualizações (CPUSE) > Status e ações > Hotfixes clique com o botão direito do mouse Verificadorem seguida Instalar atualização. O dispositivo será reinicializado após instalar a atualização.
Figura 6. Instalando o hotfix mais recente via CPUSE
Atualizando com ferramentas de migração
4) Primeiro, você também deve atualizar para a versão mais recente do CDT – pontos 5, 6, 7 da seção “Atualizar usando CPUSE.”
5) Instale o pacote de ferramentas de migração necessário para migrar políticas do servidor de gerenciamento. De acordo com isso você pode encontrar ferramentas de migração para as versões: R80.20, R80.20 M1, R80.20 M2, R80.30, R80.40. Você deve baixar as ferramentas de migração da versão para o qual você deseja atualizar, e não o que você tem agora! No nosso caso é R80.40.
6) Em seguida, na interface web do SMS, vá para a guia Atualizações (CPUSE) > Status e ações > Importar pacote > Navegar > Selecione o arquivo baixado > Importar.
Figura 7. Importando ferramentas de migração
7) No modo especialista em SMS, verifique se o pacote Migration Tools está instalado usando o comando (a saída do comando deve corresponder ao número no nome do arquivo Migration Tools):
cpprod_util CPPROD_GetValue CPupgrade-tools-R80.40 BuildNumber 1
Figura 8. Verificando a instalação das ferramentas de migração
8) Vá para a pasta $FWDIR/scripts no servidor de gerenciamento:
cd $FWDIR/scripts
9) Execute o verificador de pré-atualização usando o comando (se houver erros, corrija-os antes de etapas adicionais):
./migrate_server verificar -v R80.40
Nota: se você vir um erro “Falha ao recuperar o pacote de ferramentas de atualização”, mas você verificou se o arquivo foi importado com sucesso (ver ponto 4), use o comando:
./migrate_server verify -v R80.40 -skip_upgrade_tools_check
Figura 9. Executando o script de verificação
10) Exporte políticas de segurança usando o comando:
./migrate_server exportação -v R80.40 / / .tgz
Figura 10. Exportando uma política de segurança
Nota: se você vir um erro “Falha ao recuperar o pacote de ferramentas de atualização”, mas você verificou se o arquivo foi importado com sucesso (etapa 7), use o comando:
./migrate_server export -skip_upgrade_tools_check -v R80.40 / / .tgz
11) Calcule a soma hash MD5 e salve a saída do comando:
md5sum / / .tgz
Figura 11. Cálculo da soma hash MD5
12) Usando WinSCP, mova este arquivo para o seu computador.
13) Digite o comando df -h e economize a porcentagem de diretórios com base no espaço ocupado.
Figura 12. Porcentagem de diretórios por SMS
14.1) Caso você tenha um SMS real
14.1.1) Usando uma unidade flash USB inicializável com uma imagem é criada .
14.1.2) Recomendo preparar pelo menos 2 pen drives inicializáveis, pois acontece que o pen drive nem sempre é legível.
14.1.3) Como administrador do seu computador, execute ISOmórfico.exe. No passo 1, selecione a imagem baixada do Gaia R80.40, no passo 4 o pen drive. Alterar os pontos 2 e 3 não faça!
Figura 13. Criando uma unidade flash USB inicializável
14.1.4) Selecione um item “Instalar automaticamente sem confirmação” e é importante especificar o modelo do seu servidor de gerenciamento. No caso de SMS, deverá selecionar a linha 3 ou 4.
Figura 14. Selecionando um modelo de dispositivo para criar uma unidade flash USB inicializável
14.1.5) Em seguida, desligue o upline, insira o pen drive na porta USB, conecte o cabo do console através da porta COM ao dispositivo e habilite o SMS. O processo de instalação acontece automaticamente. Endereço IP padrão - 192.168.1.1/24e informações de login administrador / administrador.
14.1.6) O próximo passo é conectar-se à interface web no Portal Gaia (endereço padrão ), onde você passa pela inicialização do dispositivo. Durante a inicialização você basicamente pressiona Em seguida, porque quase todas as configurações podem ser alteradas no futuro. No entanto, você pode alterar imediatamente o endereço IP, as configurações de DNS e o nome do host.
14.2) Caso você tenha SMS virtual
14.2.1) Em hipótese alguma você deve excluir o SMS antigo; crie uma nova máquina virtual com os mesmos recursos (CPU, RAM, HDD) e o mesmo endereço IP. Aliás, você pode adicionar RAM e HDD, já que a versão R80.40 é um pouco mais exigente. Para evitar conflitos de endereço IP, desative o SMS antigo e comece a instalar um novo.
14.2.2) Durante a instalação do Gaia, configure o endereço IP atual e selecione um diretório / Root quantidade adequada de espaço. A porcentagem de diretórios que você possui deve ser aproximadamente Salve , use a saída df -h.
15) No momento de escolher o tipo de instalação “Tipo de instalação” escolha a primeira opção, pois provavelmente você não possui MDS (Multi-Domain Server). Se for MDS, você gerencia muitos domínios de diferentes entidades SMS ao mesmo tempo. Neste caso, você deve selecionar o segundo item.
Figura 15. Selecionando o tipo de instalação do Gaia
16) O ponto mais importante que não pode ser corrigido sem reinstalar é a escolha da entidade. Deveria escolher Gerenciamento de segurança e clique Avançar. Todo o resto é por padrão.
Figura 16. Selecionando um tipo de entidade ao instalar o Gaia
17) Assim que o dispositivo for reiniciado, conecte-se à interface da web usando ou um endereço IP diferente se você o alterou.
18) Transfira as configurações das capturas de tela para todas as abas do Portal Gaia nas quais algo foi configurado, ou execute o comando do clish configuração de carga .TXT. Este arquivo de configuração deve primeiro ser carregado no SMS.
Nota: Devido ao fato do sistema operacional ser novo, o WinSCP não permitirá que você se conecte como administrador, altere o shell do usuário para /bin/bash na interface web na guia Usuários ou digitando o comando chsh –s /bin/bash ou crie um novo usuário.
19) Carregue o arquivo com as políticas exportadas do antigo servidor de gerenciamento para qualquer diretório. Em seguida, vá para o console no modo especialista e verifique se a quantidade de hash MD5 corresponde à anterior. Caso contrário, a exportação deverá ser feita novamente:
md5sum / / .tgz
20) Repita o passo 6 e instale as Ferramentas de Atualização no novo SMS no Portal Gaia na aba Atualizações (CPUSE) > Status e Ações.
21) Digite o comando no modo especialista:
./migrate_server importação -v R80.40 -skip_upgrade_tools_check / / .tgz
Figura 17. Importando uma política de segurança para um novo SMS
22) Habilite serviços com o comando cpstart.
23) Baixe um novo e conecte-se ao servidor de gerenciamento. Vá para Menu > Gerenciar licenças e pacotes (SmartUpdate) e verifique se você ainda tem sua licença.
Figura 18. Verificando licenças instaladas
24) Defina a política de segurança no gateway ou cluster - Política de instalação.
Atualização do Gateway de Segurança (SG)
O Security Gateway pode ser atualizado via CPUSE, assim como o servidor de gerenciamento, ou instalado novamente - nova instalação. Pela minha experiência, em 99% dos casos, todos reinstalam o Security Gateway devido ao fato de levar quase o mesmo tempo que a atualização via CPUSE, mas você obtém um sistema operacional limpo e atualizado, sem bugs.
Por analogia com o SMS, primeiro você precisa criar um backup e um instantâneo, além de salvar as configurações do Portal Gaia. Consulte os pontos 1, 2 e 3 na seção "Atualização do servidor de gerenciamento de segurança".
Atualizando com CPUSE
Atualizar o Security Gateway via CPUSE é exatamente o mesmo que atualizar o Security Management Server, portanto consulte o início do artigo.
Ponto importante: a atualização do SG requer reinicia! Portanto, atualize durante a janela de manutenção. Se você tiver um cluster, atualize primeiro o nó passivo, depois alterne as funções e atualize o outro nó. No caso de cluster, as janelas de manutenção podem ser evitadas.
Instalando uma nova versão do sistema operacional no Security Gateway
1.1) Caso você tenha um SG real
1.1.1) Usando uma unidade flash USB inicializável com uma imagem é criada . A imagem é a mesma do SMS, mas o procedimento para criar uma unidade flash inicializável parece um pouco diferente.
1.1.2) Recomendo preparar pelo menos 2 pen drives inicializáveis, pois acontece que o pen drive nem sempre é legível.
1.1.3) Como administrador do seu computador, execute ISOmórfico.exe. No passo 1, selecione a imagem baixada do Gaia R80.40, no passo 4 o pen drive. Alterar os pontos 2 e 3 não faça!
Figura 19. Criando uma unidade flash USB inicializável
1.1.4) Selecione um item “Instalar automaticamente sem confirmação”, e é importante indicar o modelo do seu Security Gateway – linhas 2 ou 3. Se for um sandbox físico (SandBlast Appliance), selecione a linha 5.
Figura 20. Selecionando um modelo de dispositivo para criar uma unidade flash USB inicializável
1.1.5) Em seguida, desligue o upline, insira o pen drive na porta USB, conecte o cabo do console através da porta COM ao dispositivo e ligue o gateway. O processo de instalação acontece automaticamente. Endereço IP padrão - 192.168.1.1/24e informações de login administrador / administrador. Você deve atualizar primeiro nó passivo, instale uma política nele, troque de função e atualize outro nó. Você provavelmente precisará de uma janela de serviço.
1.1.6) O próximo passo é conectar-se à interface web do Portal Gaia, onde se realiza a primeira inicialização do dispositivo. Durante a inicialização você basicamente pressiona Em seguida, porque quase todas as configurações podem ser alteradas no futuro. No entanto, você pode alterar imediatamente o endereço IP, as configurações de DNS e o nome do host.
1.2) Caso você tenha um SG virtual
1.2.1) Crie uma nova máquina virtual com os mesmos recursos (CPU, RAM, HDD) ou mais, já que a versão R80.40 é um pouco mais exigente. Para evitar conflito de endereços IP, desligue o gateway antigo e comece a instalar um novo com o mesmo endereço IP. O SG antigo pode ser excluído com segurança, pois não há nada de valor nele, pois todas as coisas mais importantes - a política de segurança - estão localizadas no servidor de gerenciamento.
1.2.2) Durante a instalação do SO, configure o endereço IP atual e selecione um diretório / Root quantidade adequada de espaço.
3) Conecte-se ao gateway através da porta HTTPS e inicie o processo de inicialização. Na hora de escolher o tipo de instalação “Tipo de instalação” selecione a primeira opção - Security Gateway e/ou Security Management.
Figura 21. Selecionando o tipo de instalação do Gaia
4) O ponto mais importante é a escolha da entidade (Produtos). Deveria escolher Gateway de Segurança e, se você tiver um cluster, marque a caixa “A unidade faz parte de um cluster, digite: ClusterXL”. Se você tiver um cluster VRRP, escolha esse tipo, mas é improvável.
Figura 22. Selecionando um tipo de entidade ao instalar o Gaia
5) Na próxima etapa, defina a senha de uso único do SIC para estabelecer confiança com o servidor de gerenciamento. Usando esta senha, um certificado é gerado e o servidor de gerenciamento se comunicará com o gateway por meio de um canal de comunicação criptografado. Marca de verificação “Conecte-se ao seu gerenciamento como serviço” deverá ser definido se o servidor de gerenciamento estiver localizado na nuvem. Escrevemos recentemente sobre isso e quão conveniente e simples é o servidor de gerenciamento em nuvem.
Figura 23. Criação do SIC
6) Inicie o processo de inicialização na próxima aba. Assim que o dispositivo reiniciar, conecte-se à interface web e transfira as configurações das capturas de tela para todas as abas do Portal Gaia nas quais algo foi configurado, ou execute o comando do clish configuração de carga .TXT. Este arquivo de configuração deve primeiro ser carregado no gateway de segurança.
Nota: Devido ao fato do sistema operacional ser novo, o WinSCP não permitirá que você se conecte como administrador, altere o shell do usuário para /bin/bash na interface web na guia Usuários ou digitando o comando chsh –s /bin/bash ou crie um novo usuário com este shell.
7) Aberto e acesse o objeto Security Gateway que você acabou de reinstalar. Abra a guia Propriedades Gerais > Comunicação > Redefinir SIC e digite a senha especificada na etapa 5.
Figura 24: Estabelecendo confiança com o novo gateway de segurança
8) A versão Gaia do objeto deve mudar, se não mudar, então mude manualmente. Em seguida, instale a política no gateway.
9) No Portal Gaia, acesse a aba Atualizações (CPUSE) > Status e ações > Hotfixes e instale o hotfix mais recente. O dispositivo entrará em reiniciar Durante a instalação!
10) No caso de um cluster, altere as funções dos nós e execute os mesmos passos para outro nó.
Conclusão
Tentei fazer o guia mais claro e completo para atualização da versão R80.20/R80.30 para a atual R80.40, pois muita coisa mudou. Versão já apareceu em modo de demonstração, mas o procedimento de atualização permanece mais ou menos idêntico. Guiado pelo oficial da Check Point, você mesmo pode descobrir todos os detalhes.
Para qualquer dúvida você pode entrar em contato conosco. Teremos prazer em ajudar com as atualizações e casos mais complexos como parte do nosso suporte técnico . Também em nosso é possível solicitar uma auditoria das configurações do Check Point ou deixá-la gratuita para um caso técnico.
. Fique atento (, , , , ).
Fonte: habr.com