BolеÎn urmă cu doi ani, am scris că fiecare administrator Check Point se confruntă mai devreme sau mai târziu cu problema actualizării la o versiune nouă. In acest a fost descrisă o actualizare de la versiunea R77.30 la R80.10. Apropo, în ianuarie 2020, R77.30 a devenit o versiune certificată a FSTEC. Cu toate acestea, multe s-au schimbat la Check Point în 2 ani. In articol "” descrie toate inovațiile, dintre care sunt multe. Acest articol va descrie procedura de actualizare cât mai detaliat posibil.
După cum știți, există 2 opțiuni pentru implementarea Check Point: Standalone și Distributed, adică fără un server de management dedicat și cu unul dedicat. Opțiunea Distribuit este foarte recomandată din mai multe motive:
-
sarcina asupra resurselor gateway-ului este minimizată;
-
Nu trebuie să programați o fereastră de întreținere pentru a funcționa pe serverul de management;
-
funcționarea adecvată a SmartEvent, deoarece este puțin probabil să funcționeze în versiunea Standalone;
-
Este foarte recomandat să construiți un cluster de gateway-uri în configurația distribuită.
Având în vedere toate beneficiile configurației distribuite, vom lua în considerare actualizarea separată a serverului de management și a gateway-ului de securitate.
Actualizare Server de management al securității (SMS).
Există 2 moduri de a actualiza SMS-urile:
-
prin CPUSE (prin Gaia Portal)
-
folosind instrumente de migrare (se cere o instalare curată - instalare proaspătă)
Actualizarea folosind CPUSE nu este recomandată de colegii de la Check Point, deoarece nu va actualiza versiunea și kernel-ul sistemului de fișiere. Cu toate acestea, această metodă nu necesită migrarea politicilor și este mult mai rapidă și mai simplă decât a doua metodă.
O instalare curată și o migrare a politicilor folosind Instrumente de migrare este metoda recomandată. Pe lângă noul sistem de fișiere și kernel OS, se întâmplă adesea ca baza de date SMS să fie înfundată, iar o instalare curată în acest sens este o soluție excelentă pentru a adăuga viteză serverului.
1) Primul pas în orice actualizare este să creați copii de rezervă și instantanee. Dacă aveți un server de management fizic, atunci ar trebui să se facă o copie de rezervă din interfața web Gaia Portal. Accesați fila Întreținere > Backup sistem > Backup. Apoi, specificați locația pentru salvarea copiei de rezervă. Acesta poate fi un server SCP, FTP, TFTP sau local pe dispozitiv, dar mai târziu va trebui să încărcați această copie de rezervă pe un server sau pe computer.
Figura 1. Crearea unei copii de rezervă în Gaia Portal
2) În continuare, ar trebui să faceți un instantaneu în filă Întreținere → Gestionare instantanee → Nou. Diferența dintre copii de siguranță și instantanee este că instantaneele stochează mai multe informații, inclusiv toate remedierile rapide instalate. Cu toate acestea, este mai bine să le faceți pe amândouă.
Dacă serverul dvs. de management este instalat ca o mașină virtuală, atunci se recomandă să faceți o copie de rezervă a mașinii virtuale folosind instrumentele de hypervisor încorporate. Este pur și simplu mai rapid și mai fiabil.
Figura 2. Crearea unui instantaneu în Gaia Portal
3) Salvați configurația dispozitivului din Gaia Portal. Puteți face capturi de ecran pentru toate filele de setări care se află în Gaia Portal sau puteți introduce comanda din Clish salvați configurația. Apoi, duceți fișierul pe computer folosind WinSCP sau alt client.
Figura 3. Salvarea configurației într-un fișier text)
Nota: dacă WinSCP nu vă permite să vă conectați, schimbați shell-ul utilizatorului în /bin/bash fie în interfața web din fila Utilizatori, fie introducând comanda chsh –s /bin/bash.
Actualizare cu CPUSE
4) Primii 3 pași sunt obligatorii pentru orice opțiune de actualizare. Dacă decideți să luați o cale de actualizare mai simplă, atunci în interfața web accesați fila Actualizări (CPUSE) > Stare și acțiuni > Versiuni majore > Check Point R80.40 Gaia Fresh Install and Upgrade. Faceți clic dreapta pe această actualizare și selectați Verificator. Procesul de verificare va începe timp de câteva minute, după care veți vedea un mesaj că dispozitivul poate fi actualizat. Dacă vedeți erori, acestea trebuie corectate.
Figura 4. Actualizare prin CPUSE
5) Actualizați la cea mai recentă versiune de CDT (Central Deployment Tool) - un utilitar care rulează pe serverul de management și vă permite să instalați actualizări, pachete de servicii, să gestionați copii de rezervă, instantanee, scripturi și multe altele. O versiune CDT învechită poate cauza probleme cu actualizarea. Puteți descărca CDT de la .
6) După ce ați plasat arhiva descărcată pe SMS în orice director prin WinSCP, conectați-vă prin SSH la SMS și intrați în modul expert. Permiteți-mi să vă reamintesc că utilizatorul WinSCP trebuie să aibă un shell / bin / bash!
7) Introduceți comenzile:
cd /somepathtoCDT/
tar -zxvf .tgz
rpm -Uhv —force CPcdt-00-00.i386.rpm
Figura 5. Instalarea instrumentului de implementare centrală (CDT)
8) Următorul pas este instalarea imaginii R80.40. Faceți clic dreapta pe actualizare Descărcați, atunci Instalaţi. Rețineți că actualizarea va dura 20-30 de minute și serverul de management va fi indisponibil pentru o perioadă de timp. Prin urmare, este logic să conveniți asupra unei ferestre de service.
9) Toate licențele și politicile de securitate sunt salvate, așa că în continuare ar trebui să descărcați una nouă .
10) Conectați-vă la SMS noua SmartConsole și setați politicile de securitate. Buton Politica de instalare în colțul din stânga sus.
11) SMS-ul dvs. a fost actualizat, atunci ar trebui să instalați cea mai recentă remediere rapidă. În fila Actualizări (CPUSE) > Stare și acțiuni > Remedieri rapide faceți clic pe butonul din dreapta al mouse-ului Verificator, atunci Instalați actualizarea. Dispozitivul se va reporni după instalarea actualizării.
Figura 6. Instalarea celei mai recente remedieri rapide prin CPUSE
Actualizare cu instrumente de migrare
4) În primul rând, ar trebui să actualizați și la cea mai recentă versiune a CDT - punctele 5, 6, 7 din secțiune „Actualizați folosind CPUSE.”
5) Instalați pachetul Instrumente de migrare necesar pentru a migra politicile de pe serverul de management. Conform cu aceasta puteți găsi Instrumente de migrare pentru versiunile: R80.20, R80.20 M1, R80.20 M2, R80.30, R80.40. Ar trebui să descărcați instrumentele de migrare ale versiunii la care doriți să actualizați, și nu cea pe care o ai acum! În cazul nostru este R80.40.
6) Apoi, în interfața web SMS, accesați fila Actualizări (CPUSE) > Stare și acțiuni > Import pachet > Răsfoire > Selectați fișierul descărcat > Import.
Figura 7. Importarea instrumentelor de migrare
7) Din modul expert pe SMS, verificați dacă pachetul Migration Tools este instalat folosind comanda (ieșirea comenzii trebuie să se potrivească cu numărul din numele arhivei Migration Tools):
cpprod_util CPPROD_GetValue CPupgrade-tools-R80.40 BuildNumber 1
Figura 8. Verificarea instalării Instrumentelor de migrare
8) Accesați folderul $FWDIR/scripts de pe serverul de management:
cd $FWDIR/scripturi
9) Rulați verificatorul de pre-upgrade folosind comanda (dacă există erori, corectați-le înainte de pașii următori):
./migrate_server verify -v R80.40
Nota: dacă vedeți o eroare „Nu s-a putut prelua pachetul de instrumente de upgrade”, dar ați verificat dacă arhiva a fost importată cu succes (vezi punctul 4), utilizați comanda:
./migrate_server verify -v R80.40 -skip_upgrade_tools_check
Figura 9. Rularea scriptului de verificare
10) Exportați politicile de securitate utilizând comanda:
./migrate_server export -v R80.40 / / .tgz
Figura 10. Exportarea unei politici de securitate
Nota: dacă vedeți o eroare „Nu s-a putut prelua pachetul de instrumente de upgrade”, dar ați verificat dacă arhiva a fost importată cu succes (pasul 7), utilizați comanda:
./migrate_server export -skip_upgrade_tools_check -v R80.40 / / .tgz
11) Calculați suma hash MD5 și salvați rezultatul comenzii:
md5sum / / .tgz
Figura 11. Calcularea sumei hash MD5
12) Folosind WinSCP, mutați acest fișier pe computer.
13) Introduceți comanda df -h și economisește-ți procentul de directoare în funcție de spațiul ocupat.
Figura 12. Procentul de directoare per SMS
14.1) În cazul în care aveți un SMS adevărat
14.1.1) Utilizarea este creată o unitate flash USB bootabilă cu o imagine .
14.1.2) Recomand să pregătiți cel puțin 2 unități flash bootabile, deoarece se întâmplă ca unitatea flash să nu fie întotdeauna lizibilă.
14.1.3) În calitate de administrator pe computer, rulați ISOmorphic.exe. La pasul 1, selectați imaginea descărcată a Gaia R80.40, la pasul 4 unitatea flash. Schimbați punctele 2 și 3 nu este nevoie!
Figura 13. Crearea unei unități flash USB bootabile
14.1.4) Selectați un articol „Instalați automat fără confirmare” și este important să specificați modelul serverului dvs. de management. În cazul SMS-urilor, ar trebui să selectați linia 3 sau 4.
Figura 14. Selectarea unui model de dispozitiv pentru a crea o unitate flash USB bootabilă
14.1.5) În continuare, opriți linia ascendentă, introduceți unitatea flash în portul USB, conectați cablul consolei prin portul COM la dispozitiv și activați SMS-ul. Procesul de instalare are loc automat. Adresă IP implicită - 192.168.1.1/24, și informații de conectare admin / admin.
14.1.6) Următorul pas este să vă conectați la interfața web pe portalul Gaia (adresă implicită ), unde treceți prin inițializarea dispozitivului. În timpul inițializării, practic apăsați În continuare, deoarece aproape toate setările pot fi modificate în viitor. Cu toate acestea, puteți schimba imediat adresa IP, setările DNS și numele de gazdă.
14.2) În cazul în care aveți SMS virtual
14.2.1) În niciun caz nu trebuie să ștergeți vechiul SMS; creați o nouă mașină virtuală cu aceleași resurse (CPU, RAM, HDD) și aceeași adresă IP. Apropo, puteți adăuga RAM și HDD, deoarece versiunea R80.40 este puțin mai solicitantă. Pentru a evita conflictele de adrese IP, dezactivați vechiul SMS și începeți să instalați unul nou.
14.2.2) În timpul instalării Gaia, configurați adresa IP curentă și selectați un director / Rădăcină cantitate adecvată de spațiu. Procentul de directoare pe care le aveți ar trebui să fie aproximativ supravieţui, utilizați ieșirea df -h.
15) La momentul alegerii tipului de instalatie „Tipul de instalare” alege prima varianta, deoarece cel mai probabil nu ai MDS (Multi-Domain Server). Dacă MDS, atunci ați gestionat multe domenii de la diferite entități SMS în același timp. În acest caz, ar trebui să selectați al doilea element.
Figura 15. Selectarea tipului de instalare Gaia
16) Cel mai important punct care nu poate fi corectat fără reinstalare este alegerea entității. Ar trebui să aleagă Management de securitate și faceți clic pe Următorul. Toate celelalte sunt implicite.
Figura 16. Selectarea unui tip de entitate la instalarea Gaia
17) Odată ce dispozitivul repornește, conectați-vă la interfața web folosind sau o altă adresă IP dacă ați schimbat-o.
18) Transferați setările din capturile de ecran în toate filele Gaia Portal în care a fost configurat ceva sau rulați comanda din clish configurarea încărcării .TXT. Acest fișier de configurare trebuie mai întâi încărcat în SMS.
Nota: Datorită faptului că sistemul de operare este nou, WinSCP nu vă va permite să vă conectați ca administrator, să schimbați shell-ul utilizatorului în /bin/bash fie în interfața web din fila Utilizatori, fie prin introducerea comenzii chsh –s /bin/bash sau creați un utilizator nou.
19) Încărcați fișierul cu politicile exportate de pe vechiul server de management în orice director. Apoi mergeți la consola în modul expert și verificați dacă cantitatea de hash MD5 se potrivește cu cea anterioară. În caz contrar, exportul ar trebui făcut din nou:
md5sum / / .tgz
20) Repetați pasul 6 și instalați Upgrade Tools pe noul SMS din Gaia Portal din fila Actualizări (CPUSE) > Stare și acțiuni.
21) Introduceți comanda în modul expert:
./migrate_server import -v R80.40 -skip_upgrade_tools_check / / .tgz
Figura 17. Importul unei politici de securitate într-un SMS nou
22) Activați serviciile cu comanda cpstart.
23) Descărcați unul nou și conectați-vă la serverul de management. Mergi la Meniu > Gestionați licențe și pachete (SmartUpdate) și verificați dacă aveți încă licența.
Figura 18. Verificarea licențelor instalate
24) Setați politica de securitate pe gateway sau cluster - Politica de instalare.
Actualizare Security Gateway (SG).
Gateway-ul de securitate poate fi actualizat prin CPUSE, la fel ca serverul de management, sau instalat din nou - instalare proaspătă. Din experiența mea, în 99% din cazuri, toată lumea reinstalează Security Gateway datorită faptului că durează aproape același timp ca actualizarea prin CPUSE, dar obțineți un sistem de operare curat, actualizat, fără erori.
Prin analogie cu SMS-urile, mai întâi trebuie să creați o copie de rezervă și un instantaneu și, de asemenea, să salvați setările din Gaia Portal. Consultați punctele 1, 2 și 3 din secțiune „Actualizare server de management al securității”.
Actualizare cu CPUSE
Actualizarea Security Gateway prin CPUSE este exact aceeași cu actualizarea Security Management Server, așa că vă rugăm să consultați începutul articolului.
Punct important: actualizarea SG necesită reporniri! Prin urmare, actualizați în timpul ferestrei de întreținere. Dacă aveți un cluster, actualizați mai întâi nodul pasiv, apoi schimbați rolurile și actualizați celălalt nod. În cazul unui cluster, ferestrele de întreținere pot fi evitate.
Instalarea unei noi versiuni de sistem de operare pe Security Gateway
1.1) În cazul în care aveți un SG real
1.1.1) Utilizarea este creată o unitate flash USB bootabilă cu o imagine . Imaginea este aceeași ca pe SMS, dar procedura de creare a unei unități flash bootabile arată puțin diferită.
1.1.2) Recomand să pregătiți cel puțin 2 unități flash bootabile, deoarece se întâmplă ca unitatea flash să nu fie întotdeauna lizibilă.
1.1.3) În calitate de administrator pe computer, rulați ISOmorphic.exe. La pasul 1, selectați imaginea descărcată a Gaia R80.40, la pasul 4 unitatea flash. Schimbați punctele 2 și 3 nu este nevoie!
Figura 19. Crearea unei unități flash USB bootabile
1.1.4) Selectați un articol „Instalează automat fără confirmare”, și este important să indicați modelul Gateway-ului dvs. de securitate - liniile 2 sau 3. Dacă acesta este un sandbox fizic (aparatul SandBlast), atunci selectați linia 5.
Figura 20. Selectarea unui model de dispozitiv pentru a crea o unitate flash USB bootabilă
1.1.5) Apoi, opriți linia ascendentă, introduceți unitatea flash în portul USB, conectați cablul consolei prin portul COM la dispozitiv și porniți gateway-ul. Procesul de instalare are loc automat. Adresă IP implicită - 192.168.1.1/24, și informații de conectare admin / admin. Ar trebui să actualizați mai întâi nod pasiv, apoi instalați o politică pe aceasta, schimbați rolurile și apoi actualizați un alt nod. Cel mai probabil veți avea nevoie de o fereastră de întreținere.
1.1.6) Următorul pas este să vă conectați la interfața web de pe Gaia Portal, unde treceți prin prima inițializare a dispozitivului. În timpul inițializării, practic apăsați În continuare, deoarece aproape toate setările pot fi modificate în viitor. Cu toate acestea, puteți schimba imediat adresa IP, setările DNS și numele de gazdă.
1.2) În cazul în care aveți un SG virtual
1.2.1) Creați o nouă mașină virtuală cu aceleași resurse (CPU, RAM, HDD) sau mai multe, deoarece versiunea R80.40 este puțin mai solicitantă. Pentru a evita un conflict de adrese IP, opriți vechiul gateway și începeți să instalați unul nou cu aceeași adresă IP. Vechiul SG poate fi șters în siguranță, deoarece nu există nimic valoros pe el, deoarece toate cele mai importante lucruri - politica de securitate - se află pe serverul de management.
1.2.2) În timpul instalării sistemului de operare, configurați adresa IP curentă și selectați un director / Rădăcină cantitate adecvată de spațiu.
3) Conectați-vă la gateway prin portul HTTPS și începeți procesul de inițializare. La momentul alegerii tipului de instalare „Tipul de instalare” selectați prima opțiune - Security Gateway și/sau Security Management.
Figura 21. Selectarea tipului de instalare Gaia
4) Cel mai important punct este alegerea entității (Produse). Ar trebui să aleagă Gateway de securitate și, dacă aveți un cluster, bifați caseta „Unitatea este o parte a unui cluster, tip: ClusterXL”. Dacă aveți un cluster VRRP, atunci alegeți acest tip, dar este puțin probabil.
Figura 22. Selectarea unui tip de entitate la instalarea Gaia
5) În pasul următor, setați parola unică SIC pentru a stabili încredere cu serverul de management. Folosind această parolă, se generează un certificat, iar serverul de management va comunica cu gateway-ul printr-un canal de comunicare criptat. Bifează marcajul „Conectați-vă la managementul dumneavoastră ca serviciu” ar trebui setat dacă serverul de management este situat în cloud. Am scris recent despre asta și cât de convenabil și simplu este serverul de management cloud.
Figura 23. Crearea SIC
6) Începeți procesul de inițializare în fila următoare. De îndată ce dispozitivul repornește, conectați-vă la interfața web și transferați setările din capturile de ecran în toate filele Gaia Portal în care a fost configurat ceva sau rulați comanda din clish configurarea încărcării .TXT. Acest fișier de configurare trebuie mai întâi încărcat pe gateway-ul de securitate.
Nota: Datorită faptului că sistemul de operare este nou, WinSCP nu vă va permite să vă conectați ca administrator, să schimbați shell-ul utilizatorului în /bin/bash fie în interfața web din fila Utilizatori, fie prin introducerea comenzii chsh –s /bin/bash sau creați un utilizator nou cu acest shell.
7) Deschide și accesați obiectul Security Gateway pe care tocmai l-ați reinstalat. Deschide fila General Properties > Communication > Reset SIC și introduceți parola specificată la pasul 5.
Figura 24: Stabilirea încrederii cu noul gateway de securitate
8) Versiunea Gaia a obiectului ar trebui să se schimbe, dacă nu se schimbă, atunci schimbați-o manual. Apoi instalați politica pe gateway.
9) În Gaia Portal, accesați fila Actualizări (CPUSE) > Stare și acțiuni > Remedieri rapide și instalați cea mai recentă remediere rapidă. Dispozitivul va intra în restabili în timpul instalării!
10) În cazul unui cluster, schimbați rolurile nodurilor și faceți aceiași pași pentru alt nod.
Concluzie
Am încercat să fac cel mai clar și cuprinzător ghid pentru actualizarea de la versiunea R80.20/R80.30 la actualul R80.40, deoarece s-au schimbat multe. Versiune a apărut deja în modul demo, dar procedura de actualizare rămâne mai mult sau mai puțin identică. Îndrumat de oficial de la Check Point, vă puteți da seama singuri de toate detaliile.
Pentru orice intrebari ne puteti contacta. Vom fi bucuroși să vă ajutăm cu cele mai complexe actualizări și cazuri ca parte a suportului nostru tehnic . De asemenea, pe nostru este posibil să comandați un audit al setărilor Check Point sau să îl lăsați gratuit pentru un caz tehnic.
. Rămâneţi aproape (, , , , ).
Sursa: www.habr.com