Более два роки тому ми писали про те, що перед кожним адміністратором Check Point рано чи пізно постає питання оновлення на нову версію. У цій було описано оновлення із версії R77.30 до R80.10. До речі, у січні 2020-го R77.30 стала сертифікованою версією ФСТЕК. Однак за 2 роки в Check Point багато що змінилося. У статті "” описано всі нововведення, яких багато. Ця стаття процедура оновлення буде описана максимально докладно.
Як відомо, існує 2 варіанти впровадження Check Point: Standalone і Distributed, тобто без виділеного сервера управління та з виділеним. Варіант Distributed є вкрай рекомендованим з кількох причин:
-
мінімізується навантаження на ресурси шлюзу;
-
можна не планувати вікно обслуговування, щоб провести роботи з сервером управління;
-
адекватна робота SmartEvent, тому що в Standalone варіанті навряд чи він буде працювати;
-
Кластер зі шлюзів рекомендується будувати в Distributed конфігурацією.
Враховуючи всі переваги Distributed конфігурації, ми розглянемо оновлення сервера керування та шлюзу безпеки окремо.
Оновлення Security Management Server (SMS)
Існує 2 способи оновлення SMS:
-
за допомогою CPUSE (через Gaia Portal)
-
за допомогою Migration Tools (потрібна чиста установка свіжої установки)
Оновлення за допомогою CPUSE не рекомендується колегами з Check Point, оскільки у вас не оновиться версія файлової системи та ядро. Однак цей спосіб не вимагає міграції політик і є набагато швидшим і простішим, ніж другий спосіб.
Чиста установка та міграція політик за допомогою Migration Tools – ось рекомендований метод. Крім нових файлової системи та ядра ОС часто буває, що база даних SMS "засмічується", і чиста установка в цьому плані - чудовий вихід, щоб додати швидкості роботи серверу.
1) Першим кроком за будь-якого оновлення є створення бекапів і снепшотів. Якщо у вас є фізичний сервер управління, то бекап слід зробити з веб-інтерфейсу Gaia Portal. Зайдіть у вкладку Maintenance > System Backup > Backup. Далі ви вказуєте місце збереження бекапу. Це може бути SCP, FTP, TFTP сервер або локально на пристрої, проте тоді доведеться пізніше це бекап скинути на сервер або комп'ютер.
Малюнок 1. Створення бекапу в Gaia Portal
2) Далі слід зробити снепшот у вкладці Maintenance → Snapshot Management → New. Відмінності бекапів від снепшотів полягає в тому, що снепшоти зберігають у собі більше інформації, у тому числі всі встановлені хотфікси. Тим не менш, краще зробити і те, і те.
Якщо у вас сервер управління встановлений як віртуальна машина, то рекомендується зробити бэкап віртуальної машини вбудованими засобами гіпервізора. Це просто швидше і надійніше.
Малюнок 2. Створення снепшота у Gaia Portal
3) Зберегти конфігурацію пристрою з Gaia Portal. Можна заскриншнотить всі вкладки налаштувань, які є в Gaia Portal, або ж з Clish ввести команду save configuration. Далі слід файл за допомогою WinSCP або іншого клієнта забрати себе на ПК.
Малюнок 3. Збереження конфігурації текстовий файл)
Примітка: якщо WinSCP не дає підключитися, змініть користувачеві shell на /bin/bash або у веб-інтерфейсі у вкладці Users, або ввівши команду chsh –s /bin/bash.
Оновлення за допомогою CPUSE
4) Перші 3 кроки є обов'язковими для будь-якого варіанта оновлення. Якщо ж ви вирішили піти простішим шляхом оновлення, то у веб-інтерфейсі перейдіть у вкладку Upgrades (CPUSE) > Status and Actions > Major Versions > Check Point R80.40 Gaia Fresh Install and Upgrade. Натисніть правою клавішею миші на це оновлення та виберіть Verifier. Запуститься процес перевірки на кілька хвилин, після яких ви побачите повідомлення, що пристрій може бути оновлено. Якщо ви бачите помилки, їх потрібно виправити.
Малюнок 4. Оновлення через CPUSE
5) Оновіть до останньої версії CDT (Central Deployment Tool) - утиліту, яка запущена на сервері керування і дозволяє встановлювати оновлення, пакети оновлень, керувати бекапами, снепшотами, скриптами та багатьма іншими. Неактуальна версія CDT може призвести до проблем оновлень. Завантажити CDT можна по .
6) Помістивши завантажений архів на SMS до будь-якої директорії через WinSCP, підключіться по SSH до SMS і зайдіть в експертний режим. Нагадаю, що користувач WinSCP повинен мати shell / bin / bash!
7) Введіть команди:
cd /somepathtoCDT/
tar-zxvf .tgz
rpm -Uhv-force CPcdt-00-00.i386.rpm
Рисунок 5. Установка Central Deployment Tool (CDT)
8) Наступним кроком є встановлення образу R80.40. Правою кнопкою миші на оновлення Завантажити, потім Встановити. Майте на увазі, що оновлення займає хвилин 20-30, і сервер управління буде недоступний якийсь час. Отже, має сенс узгодити вікно обслуговування.
9) Усі ліцензії та політики безпеки зберігаються, тому далі вам слід завантажити нову .
10) Підключіться до SMS нової SmartConsole та встановіть політики безпеки. Кнопка Install Policy в лівому верхньому куті.
11) Ваш SMS оновлений, далі слід встановити останній хотфікс. У вкладці Upgrades (CPUSE) > Status and Actions > Hotfixes натисніть на праву клавішу миші Верифікатор, Потім Встановіть оновлення. Пристрій сам піде в перезавантаження після інсталяції оновлення.
Малюнок 6. Встановлення останнього хотфіксу через CPUSE
Оновлення за допомогою Migration Tools
4) Для початку слід також оновити до останньої версії CDT — пункти 5, 6, 7 з розділу "Оновлення за допомогою CPUSE".
5) Встановіть пакет Migration Tools, необхідний для міграції політик з сервера управління. За цією Ви можете знайти Migration Tools для версій: R80.20, R80.20 M1, R80.20 M2, R80.30, R80.40. Завантажувати слід Migration Tools тієї версії, на яку ви хочете оновитись, а не тієї, яка у вас зараз! У нашому випадку, це R80.40.
6) Далі у веб-інтерфейсі SMS йдемо у вкладку Upgrades (CPUSE) > Status and Actions > Import Package > Browse > Вибираємо завантажений файл > Import.
Рисунок 7. Імпорт Migration Tools
7) З експертного режиму на SMS перевірте, що пакет Migration Tools встановлений за допомогою команди (виведення команди має збігатися з числом у назві архіву Migration Tools):
cpprod_util CPPROD_GetValue CPupgrade-tools-R80.40 BuildNumber 1
Рисунок 8. Перевірка установки Migration Tools
8) Перейдіть до папки $FWDIR/scripts на сервері управління:
cd $FWDIR/scripts
9) Запустіть pre-upgrade verifier (перевірочний скрипт) за допомогою команди (якщо є помилки, виправте їх перед подальшими кроками):
./migrate_server verify -v R80.40
Примітка: якщо бачите помилку “Failed to retrieve Upgrade Tools package”, але ви перевірили, що архів успішно імпортовано (див. пункт 4), використовуйте команду:
./migrate_server verify -v R80.40 -skip_upgrade_tools_check
Рисунок 9. Запуск скрипту перевірки
10) Експортуйте політики безпеки за допомогою команди:
./migrate_server export -v R80.40 / / .tgz
Малюнок 10. Експорт політики безпеки
Примітка: якщо бачите помилку “Failed to retrieve Upgrade Tools package”, але ви перевірили, що архів успішно імпортовано (пункт 7), використовуйте команду:
./migrate_server export -skip_upgrade_tools_check -v R80.40 / / .tgz
11) Порахуйте MD5 хеш-суму та збережіть собі висновок команди:
md5sum / / .tgz
Малюнок 11. Обчислення MD5 хеш-суми
12) За допомогою WinSCP перемістіть файл до себе на комп'ютер.
13) Введіть команду дф-х і збережіть собі відсоткове співвідношення директорій, виходячи з місця, що займає.
Малюнок 12. Відсоткове співвідношення директорій на SMS
14.1) У випадку, якщо у вас є реальний SMS
14.1.1) За допомогою створюється завантажувальна USB флешка з образом .
14.1.2) Рекомендую підготувати щонайменше 2 завантажувальні флешки, оскільки буває, що не завжди читається флешка.
14.1.3) Від імені адміністратора на комп'ютері запустіть ISOmorphic.exe. У пункті 1 вибираєте завантажений образ Gaia R80.40, у пункті 4 флешку. Пункти 2 та 3 змінювати не треба!
Малюнок 13. Створення завантажувальної флешки
14.1.4) Вибираєте пункт “Install автоматично без confirmation” і важливо вказати модель вашого сервера керування. У разі SMS потрібно вибрати 3 або 4 рядок.
Малюнок 14. Вибір моделі пристрою для створення завантажувальної флешки
14.1.5) Далі ви вимикаєте аплайнс, вставляєте флешку в USB порт, підключаєтеся консольним кабелем через COM порт до пристрою та вмикаєте SMS. Процес установки відбувається сам собою. IP-адреса за замовчуванням 192.168.1.1/24, а дані для входу адміністратор / адмін.
14.1.6) Наступним кроком слід підключення до веб-інтерфейсу на Gaia Portal (адреса за замовчуванням) ), де ви проходите ініціалізацію пристрою. Під час ініціалізації ви здебільшого натискаєте Далі, бо багато налаштувань можна змінити у майбутньому. Однак ви можете змінити відразу IP-адресу, налаштування DNS та hostname.
14.2) Якщо у вас віртуальний SMS
14.2.1) У жодному разі не слід видаляти старий SMS, створіть нову віртуальну машину з такими ж ресурсами (CPU, RAM, HDD) з тією ж IP-адресою. До речі, RAM і HDD можете додати, тому що версія R80.40 трохи більш вимоглива. Щоб не було конфлікту IP-адрес, вимкніть старий SMS і почніть встановлення нового.
14.2.2) Під час встановлення Gaia налаштуйте актуальну IP-адресу та виділіть під директорію / корінь адекватну кількість місця. Відсоткове співвідношення директорій у вас має приблизно зберегтися, використовуйте висновок дф-х.
15) На момент вибору типу установки "Installation Type" вибирайте перший варіант, оскільки, швидше за все, у вас немає MDS (Multi-Domain Server). Якщо MDS, то значить ви керували багатьма доменами з-під різних сутностей SMS одночасно. Вибирати в цьому випадку слід другий пункт.
Малюнок 15. Вибір типу установки Gaia
16) Найважливіший момент, який не можна виправити без переустановки - вибір сутності. Слід вибрати Управління безпекою і натиснути Далі. Далі все за замовчуванням.
Рисунок 16. Вибір типу сутності під час встановлення Gaia
17) Як тільки пристрій перезавантажиться, підключіться до веб-інтерфейсу по або іншій IP-адресі, якщо ви змінювали її.
18) Перенесіть настройки зі скріншотів у всі вкладки Gaia Portal, в яких щось було налаштовано або з clish виконайте команду load configuration .txt. Цей файл конфігу слід попередньо закинути на SMS.
Примітка: через те, що ОС нова, WinSCP не дасть підключитися під адміном, змініть користувачеві shell на /bin/bash або у веб-інтерфейсі у вкладці Users, або ввівши команду chsh –s /bin/bash або створіть нового користувача.
19) Закиньте в будь-який каталог файл з експортованими політиками зі старого сервера управління. Потім зайдіть в консоль до експертного режиму і перевірте, що MD5 хеш сума збігається з колишньою. В іншому випадку експорт слід робити заново:
md5сум / / .tgz
20) Повторіть пункт 6 і встановіть Upgrade Tools на новий SMS у Gaia Portal у вкладці Upgrades (CPUSE) > Status and Actions.
21) Введіть команду в експертному режимі:
./migrate_server import -v R80.40 -skip_upgrade_tools_check / / .tgz
Малюнок 17. Імпорт політики безпеки на новий SMS
22) Увімкніть послуги командою cpstart.
23) Завантажте нову та підключіться до сервера керування. Зайдіть у Menu > Ліцензії та пакети (SmartUpdate) та перевірте, що у вас збереглася ліцензія.
Малюнок 18. Перевірка встановлених ліцензій
24) Встановіть політику безпеки на шлюз або кластер Install Policy.
Оновлення Security Gateway (SG)
Шлюз безпеки можна оновити через CPUSE, як і сервер керування, або встановити заново. свіжої установки. З моєї практики в 99% випадків всі заново встановлюють Security Gateway через те, що це займає практично стільки ж часу, як і оновлення через CPUSE, проте ви отримуєте чисту оновлену ОС без багів.
За аналогією з SMS спочатку потрібно створити бекап і снепшот, а також зберегти налаштування Gaia Portal. Зверніться до пунктів 1, 2 та 3 у розділі "Оновлення Security Management Server".
Оновлення за допомогою CPUSE
Оновлення Security Gateway через CPUSE відбувається так само, як і оновлення Security Management Server, тому зверніться до початку статті.
Важливий момент: оновлення SG вимагає перезавантаження! Тому виконайте оновлення у вікно для обслуговування. Якщо у вас кластер, оновіть спочатку пасивну ноду, потім переключіть ролі та оновіть іншу ноду. У випадку кластера вікна для обслуговування можна уникнути.
Встановлення нової версії ОС Security Gateway
1.1) Якщо у вас реальний SG
1.1.1) За допомогою створюється завантажувальна USB флешка з образом . Образ той самий, що і на SMS, проте трохи інакше виглядає процедура створення завантажувальної флешки.
1.1.2) Рекомендую підготувати щонайменше 2 завантажувальні флешки, оскільки буває, що не завжди читається флешка.
1.1.3) Від імені адміністратора на комп'ютері запустіть ISOmorphic.exe. У пункті 1 вибираєте завантажений образ Gaia R80.40, у пункті 4 флешку. Пункти 2 та 3 змінювати не треба!
Малюнок 19. Створення завантажувальної флешки
1.1.4) Вибираєте пункт “Install автоматично без confirmation”, і важливо вказати модель вашого Security Gateway - рядка 2 або 3. Якщо це фізична пісочниця (SandBlast Appliance), вибираємо рядок 5.
Малюнок 20. Вибір моделі пристрою для створення завантажувальної флешки
1.1.5) Далі ви вимикаєте аплайнс, вставляєте флешку в USB порт, підключаєтеся консольним кабелем через COM порт до пристрою і вмикаєте шлюз. Процес установки відбувається сам собою. IP-адреса за замовчуванням 192.168.1.1/24, а дані для входу адміністратор / адмін. Спершу слід оновлювати пасивну нодупотім встановити на неї політику, переключити ролі і потім оновити іншу ноду. Швидше за все, знадобиться вікно для обслуговування.
1.1.6) Наступним кроком є підключення до веб-інтерфейсу на Gaia Portal, де ви проходите першу ініціалізацію пристрою. Під час ініціалізації ви здебільшого натискаєте Далі, бо багато налаштувань можна змінити у майбутньому. Однак ви можете змінити відразу IP-адресу, налаштування DNS та hostname.
1.2) Якщо у вас віртуальний SG
1.2.1) Створіть нову віртуальну машину з такими ж ресурсами (CPU, RAM, HDD) або більше, оскільки версія R80.40 трохи вибагливіша. Щоб не було конфлікту IP-адрес, вимкніть старий шлюз і почніть встановлення нової з тією ж IP-адресою. Старий SG можна спокійно видалити, оскільки нічого цінного на ньому немає, бо найголовніше — політика безпеки — знаходиться на сервері управління.
1.2.2) Під час встановлення ОС налаштуйте актуальну IP-адресу та виділіть під директорію / корінь адекватну кількість місця.
3) Підключіться по HTTPS порту до шлюзу і почніть процес ініціалізації. На момент вибору типу установки "Installation Type" виберіть перший варіант — Security Gateway and/or Security Management.
Малюнок 21. Вибір типу установки Gaia
4) Найважливіший момент - вибір сутності (Products). Слід вибрати Шлюз безпеки і, якщо у вас кластер, поставити галочку “Unit is a part of a cluster, типу: ClusterXL”. Якщо у вас кластер VRRP, виберіть такий тип, але це малоймовірно.
Рисунок 22. Вибір типу сутності під час встановлення Gaia
5) У наступному кроці задайте одноразовий пароль SIC для встановлення довіри із сервером керування. За допомогою цього пароля генерується сертифікат, і по шифрованому каналу взаємодії сервер управління спілкуватиметься зі шлюзом. Галочку “Connect to your Management as a Service” слід ставити, якщо сервер керування знаходиться у хмарі. Ми буквально нещодавно написали про це і про те, наскільки зручний та простий хмарний менеджмент сервер.
Малюнок 23. Створення SIC
6) Почніть процес ініціалізації на наступній вкладці. Як тільки пристрій перезавантажиться, підключіться до веб-інтерфейсу і перенесіть настройки зі скріншотів у всі вкладки Gaia Portal, в яких щось було налаштовано або з clish виконайте команду load configuration .txt. Цей файл конфіга слід попередньо закинути на шлюз безпеки.
Примітка: через те, що ОС нова, WinSCP не дасть підключитися під адміном, змініть користувачеві shell на /bin/bash або у веб-інтерфейсі у вкладці Users, або ввівши команду chsh –s /bin/bash або створіть нового користувача з такою shell.
7) Відкрийте і зайдіть в об'єкт шлюзу безпеки, який ви щойно перевстановили. Відкрийте вкладку General Properties > Communication > Reset SIC та введіть пароль, заданий у пункті 5.
Малюнок 24. Встановлення довіри з новим шлюзом безпеки
8) Версія Gaia у об'єкта повинна змінитись, якщо не зміниться, то поміняйте її руками. Потім установіть політику на шлюз.
9) У Gaia Portal зайдіть у вкладку Upgrades (CPUSE) > Status and Actions > Hotfixes та встановіть останній хотфікс. Пристрій піде в перезавантаження під час встановлення!
10) У випадку кластера, змініть ролі нод і проробіть ті ж кроки для іншої ноди.
Висновок
Я постарався зробити максимально зрозумілий і всеосяжний гайд по оновленню з версії R80.20/R80.30 до актуальної зараз R80.40, оскільки багато що змінилося. Версія вже з'явилася в демо режимі, проте процедура оновлення більш менш залишається ідентична. Керуючись офіційним від Check Point, ви й самі зможете розібратися у всіх тонкощах.
З усіх питань ви можете звертатись до нас. Ми будемо раді допомогти з найскладнішими оновленнями та кейсами в рамках нашої технічної підтримки . Також на нашому є можливість замовити аудит налаштувань Check Point або залишити безкоштовну на технічний кейс.
. Слідкуйте за оновленнями (, , , , ).
Джерело: habr.com