Bolеİki yıl önce, her Check Point yöneticisinin er ya da geç yeni bir sürüme güncelleme sorunuyla karşı karşıya kaldığını yazmıştık. Bunda R77.30 sürümünden R80.10'a yükseltme açıklandı. Bu arada, Ocak 2020'de R77.30, FSTEC'in sertifikalı bir versiyonu oldu. Ancak Check Point'te 2 yılda çok şey değişti. Makalede "”, çok sayıda olan tüm yenilikleri anlatıyor. Bu makalede güncelleme prosedürü mümkün olduğunca ayrıntılı olarak açıklanacaktır.
Bildiğiniz gibi Check Point'i uygulamak için 2 seçenek vardır: Bağımsız ve Dağıtılmış, yani özel bir yönetim sunucusu olmadan ve özel bir sunucuyla. Dağıtılmış seçeneği çeşitli nedenlerden dolayı şiddetle tavsiye edilir:
ağ geçidi kaynakları üzerindeki yük en aza indirilir;
Yönetim sunucusunda çalışmak için bir bakım aralığı planlamanıza gerek yoktur;
Bağımsız sürümde çalışma olasılığı düşük olduğundan SmartEvent'in yeterli şekilde çalışması;
Dağıtılmış yapılandırmada bir ağ geçidi kümesi oluşturulması önemle tavsiye edilir.
Dağıtılmış yapılandırmanın tüm avantajları göz önüne alındığında, yönetim sunucusunu ve güvenlik ağ geçidini ayrı ayrı yükseltmeyi değerlendireceğiz.
Güvenlik Yönetimi Sunucusu (SMS) Güncellemesi
SMS'i güncellemenin 2 yolu vardır:
CPUSE aracılığıyla (Gaia Portalı aracılığıyla)
Geçiş Araçlarını kullanarak (temiz yükleme gerekir - yüklemek taze)
CPUSE kullanarak güncelleme yapmak, dosya sistemi sürümünüzü ve çekirdeğinizi güncellemeyeceğinden Check Point meslektaşları tarafından önerilmez. Ancak bu yöntem politikaların taşınmasını gerektirmez ve ikinci yönteme göre çok daha hızlı ve basittir.
Geçiş Araçlarını kullanarak ilkelerin temiz bir şekilde yüklenmesi ve taşınması önerilen yöntemdir. Yeni dosya sistemi ve işletim sistemi çekirdeğine ek olarak, SMS veritabanının tıkanması sıklıkla görülür ve bu bağlamda temiz bir kurulum, sunucuya hız kazandırmak için mükemmel bir çözümdür.
1) Herhangi bir güncellemenin ilk adımı, yedeklemeler ve anlık görüntüler oluşturmaktır. Eğer fiziksel yönetim sunucunuz varsa Gaia Portal web arayüzünden yedekleme yapılmalıdır. Sekmeye git Bakım > Sistem Yedekleme > Yedekleme. Daha sonra yedeğin kaydedileceği konumu belirlersiniz. Bu bir SCP, FTP, TFTP sunucusu olabilir veya cihazdaki yerel olarak olabilir, ancak daha sonra bu yedeği bir sunucuya veya bilgisayara yüklemeniz gerekecektir.
Şekil 1. Gaia Portal'da yedek oluşturma
2) Daha sonra sekmede bir anlık görüntü çekmelisiniz Bakım → Anlık Görüntü Yönetimi → Yeni. Yedeklemeler ile anlık görüntüler arasındaki fark, anlık görüntülerin yüklü tüm düzeltmeler de dahil olmak üzere daha fazla bilgi depolamasıdır. Ancak ikisini birden yapmak daha iyidir.
Yönetim sunucunuz bir sanal makine olarak kurulduysa, yerleşik hipervizör araçlarını kullanarak sanal makinenin yedeğini almanız önerilir. Bu sadece daha hızlı ve daha güvenilirdir.
Şekil 2. Gaia Portalında anlık görüntü oluşturma
3) Cihaz yapılandırmasını Gaia Portal'dan kaydedin. Gaia Portal'daki tüm ayarlar sekmelerinin ekran görüntüsünü alabilir veya Clish'ten komutu girebilirsiniz. yapılandırmayı kaydet. Daha sonra dosyayı WinSCP veya başka bir istemci kullanarak bilgisayarınıza götürün.
Şekil 3. Yapılandırmanın bir metin dosyasına kaydedilmesi)
Dikkat: WinSCP bağlanmanıza izin vermiyorsa, Kullanıcılar sekmesindeki web arayüzünde veya komutu girerek kullanıcı kabuğunu /bin/bash olarak değiştirin chsh –s /bin/bash.
CPUSE ile güncelleme
4) Herhangi bir güncelleme seçeneği için ilk 3 adım zorunludur. Daha basit bir güncelleme yolu izlemeye karar verirseniz web arayüzünde sekmeye gidin Yükseltmeler (CPUSE) > Durum ve Eylemler > Ana Sürümler > Check Point R80.40 Gaia Yeni Kurulum ve Yükseltme. Bu güncellemeye sağ tıklayın ve seçin Doğrulayıcı. Doğrulama işlemi birkaç dakika içinde başlayacak ve ardından cihazın güncellenebileceğini belirten bir mesaj göreceksiniz. Hatalar görürseniz düzeltilmesi gerekir.
Şekil 4. CPUSE aracılığıyla güncelleme
5) Yönetim sunucusunda çalışan ve güncellemeleri, hizmet paketlerini yüklemenize, yedeklemeleri, anlık görüntüleri, komut dosyalarını ve çok daha fazlasını yönetmenize olanak tanıyan bir yardımcı program olan CDT'nin (Merkezi Dağıtım Aracı) en son sürümüne güncelleyin. CDT'nin güncel olmayan bir sürümü, güncellemeyle ilgili sorunlara neden olabilir. CDT'yi şu adresten indirebilirsiniz: .
6) İndirilen arşivi SMS üzerine WinSCP üzerinden herhangi bir dizine yerleştirdikten sonra SSH üzerinden SMS'e bağlanın ve uzman moduna girin. WinSCP kullanıcısının bir kabuğa sahip olması gerektiğini hatırlatayım / bin / bash!
7) Komutları girin:
cd /bir yolCDT/
tar -zxvf .tgz
rpm -Uhv —force CPcdt-00-00.i386.rpm
Şekil 5. Merkezi Dağıtım Aracını (CDT) Yükleme
8) Bir sonraki adım R80.40 görüntüsünü yüklemektir. Güncellemeye sağ tıklayın İndir, o zaman Yükleyin. Güncellemenin 20-30 dakika süreceğini ve yönetim sunucusunun bir süre kullanılamayacağını unutmayın. Bu nedenle bir hizmet penceresi üzerinde anlaşmak mantıklıdır.
9) Tüm lisanslar ve güvenlik politikaları kaydedilir, dolayısıyla yenisini indirmelisiniz .
10) SMS yeni SmartConsole'a bağlanın ve güvenlik politikalarını ayarlayın. Düğme Yükleme Politikası sol üst köşede.
11) SMS'iniz güncellendi, bu durumda en son düzeltmeyi yüklemelisiniz. Sekmede Yükseltmeler (CPUSE) > Durum ve Eylemler > Düzeltmeler farenin sağ tuşuna tıklayın DoğrulayıcıO zaman Güncellemeyi yükle. Güncelleme yüklendikten sonra cihaz kendini yeniden başlatacaktır.
Şekil 6. En son düzeltmeyi CPUSE aracılığıyla yükleme
Geçiş Araçlarıyla Güncelleme
4) Öncelikle, CDT'nin en son sürümüne (bölümdeki 5, 6, 7. maddeler) güncellemelisiniz. “CPUSE kullanarak güncelleyin.”
5) İlkeleri yönetim sunucusundan taşımak için gereken Geçiş Araçları paketini yükleyin. Buna göre Şu sürümler için Geçiş Araçlarını bulabilirsiniz: R80.20, R80.20 M1, R80.20 M2, R80.30, R80.40. Sürümün Geçiş Araçlarını indirmelisiniz güncellemek istediğinizve şu anda sahip olduğunuz şey değil! Bizim durumumuzda R80.40'tır.
6) Sonraki SMS web arayüzünde sekmeye gidin Yükseltmeler (CPUSE) > Durum ve Eylemler > Paketi İçe Aktar > Gözat > İndirilen dosyayı seçin > İçe Aktar.
Şekil 7. Geçiş Araçlarını İçe Aktarma
7) SMS'deki uzman modundan, şu komutu kullanarak Geçiş Araçları paketinin yüklendiğini kontrol edin (komutun çıktısı, Geçiş Araçları arşivinin adındaki numarayla eşleşmelidir):
cpprod_util CPPROD_GetValue CPupgrade-tools-R80.40 BuildNumber 1
Şekil 8. Geçiş Araçlarının kurulumunu doğrulama
8) Yönetim sunucusundaki $FWDIR/scripts klasörüne gidin:
cd $FWDIR/scripts
9) Komutu kullanarak yükseltme öncesi doğrulayıcıyı çalıştırın (hatalar varsa sonraki adımlardan önce bunları düzeltin):
./migrate_server doğrulama -v R80.40
Dikkat: bir hata görürseniz "Yükseltme Araçları paketi alınamadı", ancak arşivin başarıyla içe aktarıldığını kontrol ettiniz (4. maddeye bakın), şu komutu kullanın:
./migrate_server doğrulama -v R80.40 -skip_upgrade_tools_check
Şekil 9. Doğrulama komut dosyasını çalıştırma
10) Şu komutu kullanarak güvenlik politikalarını dışa aktarın:
./migrate_server dışa aktarma -v R80.40 / / .tgz
Şekil 10. Bir güvenlik ilkesini dışa aktarma
Dikkat: bir hata görürseniz "Yükseltme Araçları paketi alınamadı", ancak arşivin başarıyla içe aktarıldığını kontrol ettiniz (7. adım), şu komutu kullanın:
./migrate_server dışa aktarma -skip_upgrade_tools_check -v R80.40 / / .tgz
11) MD5 hash toplamını hesaplayın ve komutun çıktısını kaydedin:
md5sum / / .tgz
Şekil 11. MD5 hash toplamının hesaplanması
12) WinSCP kullanarak bu dosyayı bilgisayarınıza taşıyın.
13) Komutu girin df -h ve işgal edilen alana bağlı olarak dizinlerin yüzdesinden tasarruf edin.
Şekil 12. SMS başına rehber yüzdesi
14.1) Gerçek bir SMS'iniz olması durumunda
14.1.1) Kullanma görüntü içeren önyüklenebilir bir USB flash sürücü oluşturulur .
14.1.2) En az 2 önyüklenebilir flash sürücü hazırlamanızı öneririm, çünkü flash sürücü her zaman okunamaz.
14.1.3) Bilgisayarınızda yönetici olarak çalıştırın ISOmorphic.exe. 1. adımda Gaia R80.40'ın indirilen görüntüsünü, 4. adımda ise flash sürücüyü seçin. 2. ve 3. noktaları değiştirin etmeyin!
Şekil 13. Önyüklenebilir bir USB flash sürücü oluşturma
14.1.4) Bir öğe seçin “Onay gerekmeden otomatik olarak yükle” ve yönetim sunucunuzun modelini belirtmeniz önemlidir. SMS durumunda 3. veya 4. satırı seçmelisiniz.
Şekil 14. Önyüklenebilir bir USB flash sürücü oluşturmak için cihaz modelini seçme
14.1.5) Daha sonra üst hattı kapatırsınız, flash sürücüyü USB bağlantı noktasına takarsınız, konsol kablosunu COM bağlantı noktası üzerinden cihaza bağlarsınız ve SMS'i etkinleştirirsiniz. Kurulum işlemi otomatik olarak gerçekleşir. Varsayılan IP Adresi - 192.168.1.1/24ve giriş bilgileri admin / admin.
14.1.6) Bir sonraki adım Gaia Portalındaki web arayüzüne bağlanmaktır (varsayılan adres) ), cihaz başlatma işlemini gerçekleştireceğiniz yer. Başlatma sırasında temel olarak tuşuna basarsınız Daha sonra, çünkü ileride hemen hemen tüm ayarlar değiştirilebilir. Ancak IP adresini, DNS ayarlarını ve ana bilgisayar adını hemen değiştirebilirsiniz.
14.2) Sanal SMS'iniz olması durumunda
14.2.1) Hiçbir durumda eski SMS'i silmemelisiniz; aynı kaynaklara (CPU, RAM, HDD) ve aynı IP adresine sahip yeni bir sanal makine oluşturmamalısınız. Bu arada R80.40 sürümü biraz daha zorlu olduğundan RAM ve HDD ekleyebilirsiniz. IP adresi çakışmalarını önlemek için eski SMS'i kapatın ve yenisini yüklemeye başlayın.
14.2.2) Gaia kurulumu sırasında mevcut IP adresini yapılandırın ve bir dizin seçin /kök yeterli miktarda alan. Sahip olduğunuz dizinlerin yüzdesi yaklaşık olarak olmalıdır hayatta kalmak, çıktıyı kullan df -h.
15) Kurulum tipini seçme anında “Kurulum Türü” büyük olasılıkla MDS'niz (Çok Etki Alanı Sunucusu) bulunmadığından ilk seçeneği seçin. MDS ise, farklı SMS varlıklarından birçok etki alanını aynı anda yönetmişsinizdir. Bu durumda ikinci öğeyi seçmelisiniz.
Şekil 15. Gaia kurulum tipini seçme
16) Yeniden kurulum yapılmadan düzeltilemeyecek en önemli nokta varlık seçimidir. Seçmeli Güvenlik Yönetimi ve bas Sonraki. Geriye kalan her şey varsayılandır.
Şekil 16. Gaia'yı yüklerken varlık türünü seçme
17) Cihaz yeniden başlatıldığında web arayüzüne bağlanın. veya değiştirdiyseniz farklı bir IP adresi.
18) Ekran görüntülerindeki ayarları, bir şeyin yapılandırıldığı tüm Gaia Portalı sekmelerine aktarın veya komutu clish'ten çalıştırın. Yapılandırma Yükle .txt. Bu yapılandırma dosyasının öncelikle SMS'e yüklenmesi gerekir.
Dikkat: İşletim sisteminin yeni olması nedeniyle WinSCP, yönetici olarak bağlanmanıza, web arayüzünde Kullanıcılar sekmesindeki veya komutu girerek kullanıcı kabuğunu /bin/bash olarak değiştirmenize izin vermeyecektir. chsh –s /bin/bash veya yeni bir kullanıcı oluşturun.
19) Dışa aktarılan ilkeleri içeren dosyayı eski yönetim sunucusundan herhangi bir dizine yükleyin. Daha sonra uzman modunda konsola gidin ve MD5 hash miktarının öncekiyle eşleşip eşleşmediğini kontrol edin. Aksi takdirde dışa aktarmanın yeniden yapılması gerekir:
md5sum / / .tgz
20) 6. adımı tekrarlayın ve Yükseltme Araçlarını Gaia Portal sekmesindeki yeni SMS'e yükleyin. Yükseltmeler (CPUSE) > Durum ve Eylemler.
21) Uzman modunda komutu girin:
./migrate_server import -v R80.40 -skip_upgrade_tools_check / / .tgz
Şekil 17. Yeni bir SMS'e güvenlik politikasını aktarma
22) Komutla hizmetleri etkinleştirin cpstart.
23) Yeni bir tane indirin ve yönetim sunucusuna bağlanın. Git Menü > Lisansları ve Paketleri Yönetin (SmartUpdate) ve ehliyetinizin hâlâ sizde olup olmadığını kontrol edin.
Şekil 18. Kurulu lisansların kontrol edilmesi
24) Ağ geçidi veya kümede güvenlik politikasını ayarlayın - Yükleme Politikası.
Güvenlik Ağ Geçidi (SG) Güncellemesi
Security Gateway, tıpkı yönetim sunucusu gibi CPUSE aracılığıyla güncellenebilir veya yeniden kurulabilir - yüklemek taze. Deneyimlerime göre vakaların %99'unda herkes Security Gateway'i yeniden yüklüyor çünkü bu işlem CPUSE aracılığıyla güncellemeyle hemen hemen aynı süreyi alıyor, ancak hatasız, temiz, güncellenmiş bir işletim sistemi elde ediyorsunuz.
SMS'e benzer şekilde, öncelikle bir yedekleme ve anlık görüntü oluşturmanız ve ayrıca ayarları Gaia Portal'dan kaydetmeniz gerekir. Bölümdeki 1, 2 ve 3. noktalara bakın "Güvenlik Yönetimi Sunucusu Güncellemesi".
CPUSE ile güncelleme
Security Gateway'i CPUSE aracılığıyla güncellemek, Security Management Server'ı güncellemekle tamamen aynıdır, bu nedenle lütfen makalenin başına bakın.
Önemli nokta: SG güncellemesi gerektirir reboot! Bu nedenle bakım penceresi sırasında güncelleme yapın. Bir kümeniz varsa önce pasif düğümü yükseltin, ardından rolleri değiştirin ve diğer düğümü yükseltin. Küme durumunda bakım aralıkları önlenebilir.
Security Gateway'e yeni bir işletim sistemi sürümü yükleme
1.1) Gerçek bir SG'niz olması durumunda
1.1.1) Kullanma görüntü içeren önyüklenebilir bir USB flash sürücü oluşturulur . Görüntü SMS'dekiyle aynıdır, ancak önyüklenebilir bir flash sürücü oluşturma prosedürü biraz farklı görünüyor.
1.1.2) En az 2 önyüklenebilir flash sürücü hazırlamanızı öneririm, çünkü flash sürücü her zaman okunamaz.
1.1.3) Bilgisayarınızda yönetici olarak çalıştırın ISOmorphic.exe. 1. adımda Gaia R80.40'ın indirilen görüntüsünü, 4. adımda ise flash sürücüyü seçin. 2. ve 3. noktaları değiştirin etmeyin!
Şekil 19. Önyüklenebilir bir USB flash sürücü oluşturma
1.1.4) Bir öğe seçin “Onay gerekmeden otomatik olarak yükle”, ve Security Gateway'inizin modelini belirtmeniz önemlidir - satır 2 veya 3. Bu fiziksel bir sanal alan (SandBlast Cihazı) ise, satır 5'i seçin.
Şekil 20. Önyüklenebilir bir USB flash sürücü oluşturmak için cihaz modelini seçme
1.1.5) Daha sonra üst hattı kapatırsınız, flash sürücüyü USB bağlantı noktasına takarsınız, konsol kablosunu COM bağlantı noktası üzerinden cihaza bağlarsınız ve ağ geçidini açarsınız. Kurulum işlemi otomatik olarak gerçekleşir. Varsayılan IP Adresi - 192.168.1.1/24ve giriş bilgileri admin / admin. Önce güncellemelisin pasif düğüm, ardından ona bir politika yükleyin, rolleri değiştirin ve ardından başka bir düğümü güncelleyin. Büyük olasılıkla bir servis penceresine ihtiyacınız olacak.
1.1.6) Bir sonraki adım, cihazın ilk başlatılmasını gerçekleştireceğiniz Gaia Portal'daki web arayüzüne bağlanmaktır. Başlatma sırasında temel olarak tuşuna basarsınız Daha sonra, çünkü ileride hemen hemen tüm ayarlar değiştirilebilir. Ancak IP adresini, DNS ayarlarını ve ana bilgisayar adını hemen değiştirebilirsiniz.
1.2) Sanal bir SG'niz olması durumunda
1.2.1) R80.40 sürümü biraz daha zorlu olduğundan aynı kaynaklara (CPU, RAM, HDD) veya daha fazlasına sahip yeni bir sanal makine oluşturun. IP adreslerinin çakışmasını önlemek için eski ağ geçidini kapatın ve aynı IP adresine sahip yenisini yüklemeye başlayın. Eski SG, üzerinde değerli hiçbir şey olmadığından güvenli bir şekilde silinebilir, çünkü en önemli şeylerin tümü - güvenlik politikası - yönetim sunucusunda bulunur.
1.2.2) İşletim sistemi kurulumu sırasında geçerli IP adresini yapılandırın ve bir dizin seçin /kök yeterli miktarda alan.
3) HTTPS bağlantı noktası aracılığıyla ağ geçidine bağlanın ve başlatma işlemine başlayın. Kurulum tipini seçerken “Kurulum Türü” ilk seçeneği seçin - Güvenlik Ağ Geçidi ve/veya Güvenlik Yönetimi.
Şekil 21. Gaia kurulum tipini seçme
4) En önemli nokta varlık (Ürün) seçimidir. Seçmeli Güvenlik Geçidi ve bir kümeniz varsa kutuyu işaretleyin “Birim bir kümenin parçası, şunu yazın: ClusterXL”. VRRP kümeniz varsa bu türü seçin, ancak bu pek olası değildir.
Şekil 22. Gaia'yı yüklerken varlık türünü seçme
5) Bir sonraki adımda, yönetim sunucusuyla güven oluşturmak için SIC tek kullanımlık şifreyi ayarlayın. Bu parolayı kullanarak bir sertifika oluşturulur ve yönetim sunucusu, şifreli bir iletişim kanalı üzerinden ağ geçidiyle iletişim kurar. Onay işareti “Yönetiminize Hizmet Olarak Bağlanın” Yönetim sunucusu bulutta bulunuyorsa ayarlanmalıdır. Yakın zamanda bunun hakkında yazdık ve bulut yönetim sunucusunun ne kadar kullanışlı ve basit olduğu.
Şekil 23. SIC'nin oluşturulması
6) Bir sonraki sekmede başlatma işlemini başlatın. Cihaz yeniden başlatılır başlatılmaz, web arayüzüne bağlanın ve ekran görüntülerindeki ayarları, bir şeyin yapılandırıldığı tüm Gaia Portalı sekmelerine aktarın veya komutu clish'ten çalıştırın. Yapılandırma Yükle .txt. Bu yapılandırma dosyasının öncelikle güvenlik ağ geçidine yüklenmesi gerekir.
Dikkat: İşletim sisteminin yeni olması nedeniyle WinSCP, yönetici olarak bağlanmanıza, web arayüzünde Kullanıcılar sekmesindeki veya komutu girerek kullanıcı kabuğunu /bin/bash olarak değiştirmenize izin vermeyecektir. chsh –s /bin/bash veya bu kabukla yeni bir kullanıcı oluşturun.
7) Açık ve yeni yüklediğiniz Security Gateway nesnesine gidin. Sekmeyi aç Genel Özellikler > İletişim > SIC'yi Sıfırla ve 5. adımda belirtilen şifreyi girin.
Şekil 24: Yeni güvenlik ağ geçidiyle güven oluşturma
8) Nesnenin Gaia sürümü değişmeli, değişmiyorsa manuel olarak değiştirin. Daha sonra politikayı ağ geçidine yükleyin.
9) Gaia Portalında sekmeye gidin Yükseltmeler (CPUSE) > Durum ve Eylemler > Düzeltmeler ve en son düzeltmeyi yükleyin. Cihaz girecek sıfırlamak Kurulum sırasında!
10) Küme olması durumunda düğümlerin rollerini değiştirin ve aynı adımları başka bir düğüm için yapın.
Sonuç
Pek çok şey değiştiği için R80.20/R80.30 sürümünden mevcut R80.40 sürümüne yükseltme için en açık ve kapsamlı kılavuzu hazırlamaya çalıştım. Sürüm zaten demo modunda göründü, ancak güncelleme prosedürü aşağı yukarı aynı kalıyor. Yetkilinin rehberliğinde Check Point'ten tüm ayrıntıları kendiniz anlayabilirsiniz.
Sorularınız için bizimle iletişime geçebilirsiniz. Teknik desteğimizin bir parçası olarak en karmaşık güncellemeler ve vakalarda yardımcı olmaktan mutluluk duyarız . Ayrıca bizim Kontrol Noktası ayarlarının denetlenmesini sipariş etmek veya serbest bırakmak mümkündür teknik bir durum için.
. Bizi izlemeye devam edin (, , , , ).
Kaynak: habr.com
