Обновление Security Management Server до R80

Обновление Security Management Server до R80

Оглавление

 

1. Обновление Security Management Server до R80
1.1. Что нужно учесть перед обновлением менеджмент сервера
1.1.1. Требования для миграции базы данных
1.1.2. Требования к сетевым настройкам
1.1.3. Создание бэкапа
1.2. Утилиты и программы, которые нужно использовать
1.2.1. WinCSP
1.2.2. Putty
1.2.3. Notepad++ с плагином Compare (опционально)
1.2.4. CheckPoint tools
1.2.4.1. SmartConsole текущей установленной версии (в данной статье — R77.30)
1.2.4.2. SmartConsole R80
1.2.4.3. ISO образ версии R80
1.2.4.4. Management Server Migration Tool Gaia Pre-R80 Migration

2. Подготовительные работы для обновления Security Management Server
2.1. Создание и сохранение snapshot’а

3. Проверка на возможность обновления
3.1. Создание пользователя для утилиты WinCSP
3.2. Копирование утилиты PreUpdateR80 на менеджмент сервер
3.3. Запуск утилиты pre_upgrade_verifier

4. Обновление с R77.30 на R80
4.1. Запуск утилиты migrate с параметром export
4.2. Получение контрольной суммы архива БД
4.3. Сохранение БД на рабочую станцию
4.4. Замечания по чистой установке Security Management Server R80
4.5. Перенос базы настроек на Security Management Server R80
4.5.1. Копирование ранее экспортированной базы
4.5.2. Проверка целостности скопированного архива БД с R77.30
4.5.3. Запуск утилиты migrate с параметром import
4.6. Проверка обновления
4.6.1. Проверка Fingerprint при подключении к Security Management Server R80
4.6.2. Проверка SIC, Security Policies, License

 

1. Обновление Security Management Server до R80

Обновить до версии R80 на данный момент можно только Security Management Server, обновление установки standalone не поддерживается. In place upgrade не поддерживается.

Схема лабораторной

1

 

 

 

 

 

 

 

 

 

 

 

 

 

1.1. Что нужно учесть перед обновлением менеджмент сервера:

1.1.1. Требования для миграции базы данных.

Свободного места на диске должно быть больше, чем размер архива экспортированной базы данных, в 5 раз.
Размер папки /var/log на целевом сервере должен составлять не менее 25% от размера папки /var/log исходного сервера.

1.1.2. Требования к сетевым настройкам.

На целевом сервере сетевые настройки должны совпадать с сервером источника. Если используется IPv6, то необходимо задать адрес IPv4 перед началом миграции.

1.1.3. Создание бэкапа.

Экспорт базы данных нужно производить на удаленный сервер. При обновлении использовать Upgrade Tools package целевой версии.
Настройки операционной системы Gaia не бэкапятся. Перед обновлением необходимо зайти на Gaia WebUI и записать все настройки системы (интерфейсы, dns сервера, маршруты, proxy, DHCP, NetFlow, настройки SNMP, задания(Jobs), пользователей (user management) и High Availability).

Примечание: Обновление с IPSO не поддерживается.

1.1.4. Бэкап и миграция SmartEvent / SmartReporter Server.

Утилиты ‘backup’ and ‘migrate export’ не включают данные баз SmartEvent database / SmartReporter database.
Для бэкапа и миграции нужно использовать утилиты ‘eva_db_backup’ или ‘evs_backup’.

Примечание: статья sk110173 в базе знаний CheckPoint.

1.2. Утилиты и программы, которые нужно использовать.

1.2.1. WinCSP (скачать)
1.2.2. Putty (скачать)
1.2.3. Notepad++, с плагином Compare (опционально; скачать)
1.2.4. CheckPoint tools (скачать)
1.2.4.1. SmartConsole текущей установленной версии (в данной статье R77.30)
1.2.4.2. SmartConsole R80 (скачать)
1.2.4.3. ISO образ версии R80 (скачать)
1.2.4.4. Management Server Migration Tool Gaia Pre-R80 Migration (скачать)

2. Подготовительные работы для обновления Security Management Server

2.1. Создание и сохранение snapshot’а.

В начале создадим snapshot системы, чтобы можно было откатиться, если что-то пойдет не так.
Зайдем на WebGUI, Security Management Server, в моем случае, это https://10.100.100.200, и введем логин и пароль.

2

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

После логина нужно убедится, что имеется возможность редактирования настроек. На скриншоте видно, что сейчас мы не можем изменить настройки сервера.

3

 

 

 

 

 

 

 

 

Чтобы перейти в режим редактирования, нужно нажать на замок. Появится окно, в котором мы выбираем “Yes”, чтобы перейти в режим редактирования настроек.

4

 

 

 

 

 

 

 

 

Если все сделано правильно, вместо замка будет иконка “ручки”.

5

 

 

 

 

 

Далее перейдем в раздел “Maintenance” – “Snapshot Management”.

6

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Для создания Snapshot’а нужно нажать на кнопку new, ввести понятное имя, описание (если это нужно) и нажать кнопку “OK”.

7

 

 

 

 

 

 

 

 

 

 

 

 

 

Процесс создания snapshot’а запустится.


8

 

 

 

 

После того, как создастся snapshot, нужно его экспортировать в надежное место. (Т.к. все делается в рамках лабораторной среды, мы будем экспортировать файл на рабочую станцию, с которой ведем обновление).

Для экспорта снапшота нужно нажать кнопку Export, и в появившемся окне нажать Start Export.

9

 

 

 

 

 

 

 

 

 

Далее запустится процесс экспорта.

10

 

 

 

 

 

 

 

По завершении процесса нужно сохранить файл (нажать на Download и выбрать место сохранения).

11

 

 

 

 

 

 

 

Снапшет архивируется в процессе экспорта.

12

 

 

 

3. Проверка на возможность обновления.

 

3.1. Создание пользователя для утилиты WinCSP.

Для того, чтобы скопировать утилиты для обновления Security Management Server, нужно создать пользователя для утилиты WinCSP.
Для этого в разделе “User Management” перейдем в подраздел “Users”, нажмем “Add” и добавим пользователя, задав ему имя, пароль и “Shell”. В поле “Shell” необходимо выбрать “/bin/bash” и добавить “adminRole”.

13

 

 

 

 

 

 

 

 

 

 

 

 

 

Должно получится вот так (логин у вас может отличатся от того, что на скриншоте):

14

 

 

 

 

 

 

 

 

 

 

3.2. Копирование утилиты PreUpdateR80 на менеджмент сервер.

Перейдем на рабочую станцию и запустим утилиту WinSCP , создадим подключение к Security Management Server, IP нашего сервера — 10.100.100.200.

15

 

 

 

 

 

 

 

 

 

 

 

 

 

Далее переходим в папку “upgrade_tools” на сервере. (/opt/CPsuite-R77/fw1/bin/upgrade_tools)
Копируем “Check_Point_R80_migration_tools_PreR80.Gaia.tgz” в директорию upgrade_tools.

16

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Создаём папку MTPreUpR80.

17

 

 

 

 

 

 

 

 

 

 

 

Разархивируем в нее утилиты из “Check_Point_R80_migration_tools_PreR80.Gaia.tgz”

18

 

 

 

 

 

 

 

 

 

 

 

 

 

3.3. Запуск утилиты pre_upgrade_verifier

Теперь подключаемся к серверу через утилиту putty.

19

 

 

 

 

 

 

 

 

После логина нужно перейти в режим эксперта, введя команду “expert”. Если у вас не задан пароль эксперта, необходимо его задать.
Для этого нужно в командной строке ввести “set expert-password” и ввести пароль (ниже на скриншоте как раз это и показано).

20

 

 

 

 

 

 

 

 

 

 

 

 

 

Перейдем в директорию MTPreUpR80 (cd $FWDIR/bin/upgrade_tools/MTPreUpR80) и убедимся, что в этой директории есть утилиты.

21

 

 

 

 

Используя утилиту “pre_upgrade_verifier”, проверим, возможно ли обновление (в лабораторной среде установлен менеджмент сервер версии R77.30).
Команда будет выглядеть вот так: “./pre_upgrade_verifier -p $FWDIR -c R77 -t R80”.

22

 

 

Проверка готовности системы к обновлению может занять до 20 минут, в зависимости от количества политик.

По завершении работы утилиты, появится вот такое сообщение:

23

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

В данном случае проверка предупреждает нас, что некоторые имена сервисов поменялись в версии R80 и рекомендует переименовать “RDP” и “snmp-trap”. Если не переименовать их, то в процессе обновления добавится “_” к именам этих сервисов. Мы не будет переименовывать эти сервисы.

24

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

После устранения всех замечаний можно перейти к обновлению.

 

4. Обновление с R77.30 на R80

4.1. Запуск утилиты migrate с параметром export

Перейдем в putty и запустим утилиту миграции “mirgate” (./migrate export cp-mgmt-up-01-17062016.tgz), появится предупреждение, что перед запуском утилиты “migration” нужно всех клиентов (админов) отключить от сервера или выполнить “cpstop”.

25

 

 

 

 

 

Выполним “cpstop”.

26

 

 

 

 

 

 

 

 

 

 

 

 

 

 

И повторно введем команду для запуска миграции БД. Операция может занять какое-то время.

27

 

 

 

 

 

 

По завершении файл будет сохранен на сервере в той же папке, где находится утилита “migration”

28

 

 

 

 

 

4.2. Получение контрольной суммы архива БД.

Для проверки целостности архива, который мы будет переносить с рабочей станции на обновленный сервер, воспользуемся утилитой “md5sum” (md5sum ./cp-mgmt-up-01-17062016.tgz), чтобы посчитать контрольную сумму. Запишем ее в текстовый файл. Файл назовем “Original”.

29

 

 

 

4.3. Сохранение БД на рабочую станцию.

Перейдем в WinCSP и скопируем файл на рабочую станцию (так же файл можно загрузить на ftp, tftp сервер из консоли).

30

 

 

 

 

 

 

 

 

 

 

 

 

 

 

4.4. Замечания по чистой установке Security Management Server R80.

Далее нам необходимо установить версию R80 Security Management Server. Процесс установки идентичен установке R77, поэтому описываться не будет.
При установке необходимо указать те же настройки IP, Host Name, Domain Name, DNS Servers, что были на версии R77.30. А также не забыть создать пользователя для WinSCP.
Пока происходит обновление, интернет будет работать.

4.5. Перенос базы настроек на Security Management Server R80

4.5.1. Копирование ранее экспортированной базы

После установки R80 на Security Management Server, подключаемся к нему через WinCSP и переходим в каталог “/opt/CPsuite-R80/fw1/bin/upgrade_tools”, копируем ранее экспортированную базу.

31

 

 

 

 

 

 

 

 

 

 

 

 

 

 

4.5.2. Проверка целостности скопированного архива БД с R77.30
Теперь подключаемся putty к серверу и переключаемся в режим эксперта. Затем переходим в папку $FWDIR/bin/upgrade_tools/ (cd $FWDIR/bin/upgrade_tools/).

32

 

 

 

 

 

Проверим наш архив на целостность. Снова запустим md5sum и сверим значение с ранее записанным.

33

 

 

 

 

 

 

 

Как видно на скриншоте, суммы одинаковы. Поэтому можем продолжать.

4.5.3. Запуск утилиты migrate с параметром import.

Запустим команду migrate import (./migrate import cp-mgmt-up-01-17062016.tgz).

34

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

35

 

 

 

 

 

 

 

Нажимаем “Enter” и ждем, пока запустятся сервисы Check Point.

4.6. Проверка обновления.

4.6.1. Проверка Fingerprint при подключении к Security Management Server R80.

Запустим консоль R80.

36

 

 

 

 

 

 

 

 

 

При подключении нужно проверить, туда ли мы подключаемся, посмотрим fingerprint.

37

 

 

 

 

 

Далее подключимся к серверу используя putty.
Введем cpconfig и выберем 7-й пункт.

38

 

 

 

 

 

 

 

 

 

Видим, что парольная фраза совпадает. На предложение «сохранить ли парольную фразу в файл», отказываемся (“n”). Выходим из утилиты, выбрав 9 пункт.

39

 

 

 

 

 

 

 

 

 

 

 

Закрываем сессию, пишем “exit”.

4.6.2. Проверка SIC, Security Policies, License.

Далее подключаемся к менеджмент-серверу и смотрим, что же получилось.
На вкладке Gateways & Server видим, что все сервера активны, sic между менеджментом и шлюзом “переехал” нормально.

40

 

 

 

 

 

 

Политики тоже сохранились.

41

 

 

 

 

 

 

 

 

 

 

Проверим, что лицензии в порядке (в лабораторной среде триальная на 14 дней).

42

 

 

 

 

 

 

 

 

 

 

 

 

 

 

43