Upgrade Check Point R65 HFA 70 à R75 HFA 40 + migration SmartCenter de Open Server à Smart-1
Notre objectif est d’effectuer la montée de version logiciel sur l'ensemble des produits en R75.40 SPLAT (et non GAiA - un peu trop récent encore à la mi-2012).
... Si vous voulez toutefois avoir plus d'information sur GAiA et adaptez ce mod-op avec GAiA au lieu de SPLAT, commencez par: Check Point GAiA FAQ...
Nota bene: la version R65.70 n'est plus suivie depuis mars 2011 (cf. Check Point Software Support Timeline) et l’écart entre cette version et la version cible (disponible depuis avril 2012) posent un certain nombre de problèmes... ou en tous cas restreint énormément la marge de manœuvre pour effectuer cette montée de version.
Pour cela, il est nécessaire de passer par un outil d'export/import de ces éléments: ça s'appelle "export_database tool".
Le principe est le suivant: depuis un SmartCenter source en version X, on va exporter cette base de données (sous forme d'archive) vers un SmartCenter cible en version Y.
Deux choses sont à prendre en compte dans notre cas:
On peut donc préférer une fresh install au chemin d'upgrade décrit ci-dessus.
Ce mode d'installation est le plus rapide: on va booter sur une image ISO (on verra par la suite comment) et un tout nouveau système sera installé en lieu et place de l'ancien.
Normalement, l'article How to back up your system serait tout indiqué; mais dans notre cas, cette procédure ne peut s'appliquer (différence trop importante entre les versions source et cible ;) ).
Pour le SmartCenter source: un snapshot habituel suffira puisque l'on y minimise les actions (il ne devrait d'ailleurs serveur que d'au cas où).
Pour les Security Gateways:
Après, il y a deux URL auxquelles vous devrez quasiment forcément accéder:
Article 2/4: Introduction
Accédez directement aux autres articles: Accueil - Introduction -
Accédez directement aux autres articles: Accueil - Introduction -
Introduction
Objectifs
Précisons tout d'abord le contexte:- Le Security Management Server:
- Serveur HP (mais peu importe la marque):
- Check Point Secure Plateforme (SPLAT) pour l'O.S.
- Check Point R65 HFA 70 pour la partie firewalling
- Deux clusters de (chacun) deux modules firewalls en actif/passif:
- Quatre UTM-1 57x
- Check Point Secure Plateforme (SPLAT) pour l'O.S.
- Check Point R65 HFA 70 pour la partie firewalling
Notre objectif est d’effectuer la montée de version logiciel sur l'ensemble des produits en R75.40 SPLAT (et non GAiA - un peu trop récent encore à la mi-2012).
... Si vous voulez toutefois avoir plus d'information sur GAiA et adaptez ce mod-op avec GAiA au lieu de SPLAT, commencez par: Check Point GAiA FAQ...
Nota bene: la version R65.70 n'est plus suivie depuis mars 2011 (cf. Check Point Software Support Timeline) et l’écart entre cette version et la version cible (disponible depuis avril 2012) posent un certain nombre de problèmes... ou en tous cas restreint énormément la marge de manœuvre pour effectuer cette montée de version.
Choix du mode-opératoire
Nous avons découpé cette opération en deux étapes:- La migration puis l'upgrade du Security Management Server
- L'upgarde des Security Gateways
Pour le Security Management Server...
A moins que vous ne souhaitiez repartir d'une configuration vierge... il faudra récupérer la configuration existante (règles, objets, ...).Pour cela, il est nécessaire de passer par un outil d'export/import de ces éléments: ça s'appelle "export_database tool".
Le principe est le suivant: depuis un SmartCenter source en version X, on va exporter cette base de données (sous forme d'archive) vers un SmartCenter cible en version Y.
Deux choses sont à prendre en compte dans notre cas:
- Ce script ne fonctionne qu'entre deux versions X et Y assez proches.
- Pour faciliter le retour arrière, nous avons souhaité ne pas modifier le SmartCenter source.
- Exporter la base de données du SmartCenter source en R65 vers la Smart-1 en R70 (compatibilité effective de l'"export_database tool" entre ces deux versions)
- Upgrade de la Smart-1: de R70 à R70.50
- Upgrade de la Smart-1: de R70.50 à R75.40
Pour les Security Gateways
Encore une fois: la vrai intelligence chez Check Point se trouve dans le SmartCenter.On peut donc préférer une fresh install au chemin d'upgrade décrit ci-dessus.
Ce mode d'installation est le plus rapide: on va booter sur une image ISO (on verra par la suite comment) et un tout nouveau système sera installé en lieu et place de l'ancien.
- Tout d'abord les modules secondaires (même si c'est contraire au mode-opératoire proposé par Check Point) => en cas de retour arrière, la coupure de service est minimisée puisque les modules primaires n'avaient pas été impactés
- Ensuite les modules primaires.
Pré-requis
Pour appliquer le mode-opératoire décrit précédemment, il va falloir:- Les sauvegardes nécessaires
- Télécharger les outils, programmes et documentations nécessaires
- Prévoir quelques bonnes heures devant soi (ne pas faire ces opérations tout seul ! être au moins deux)
Sauvegardes
Les sauvegardes ne sont pas à négliger !Normalement, l'article How to back up your system serait tout indiqué; mais dans notre cas, cette procédure ne peut s'appliquer (différence trop importante entre les versions source et cible ;) ).
Pour le SmartCenter source: un snapshot habituel suffira puisque l'on y minimise les actions (il ne devrait d'ailleurs serveur que d'au cas où).
Pour les Security Gateways:
- Afin de configurer les boîtiers en version cible:
- Les routes: utilisez de préférence la commande "ip r" (cf.: How to add and save routes on SecurePlatform without using 'sysconfig' or 'webui' tools)
- La configuration des interfaces: là encore, préférez la commande "ip link".
- Les paramètres globaux du kernel (cf.: Changing the kernel global parameters for Check Point Security Gateway).
- Les fichiers de configuration $FWDIR/conf/local.arp
- Tous les fichiers de configurations présents dans la Security Gateway et modifiés depuis la date d'installation
- Les répertoires /home et /root
- Quelques états de chacun des membres: 'cphaprob -a if', 'cphaprob state', 'ps aux', 'cplic -l', ...
- En cas de retour arrière: un snapshot.
Liens utiles
Vous trouverez le long de ces articles tous les liens qui m'ont été utiles à la préparation de cet migration.Après, il y a deux URL auxquelles vous devrez quasiment forcément accéder:
- Le portail Check Point User Center: un grand nombre d'éléments nécessaires à cette migration sont accessibles depuis ce portail avec un compte et mot de passe.
- Par exemple, pour savoir si vous pouvez mettre à jour directement ou via des versions intermédiaires vos produits Check Point, il faut y recherche "release and upgrade path" (le lien actuel est: Check Point R70, R71 and R75 Release Map)
- Check Point User Group est un portail d'utilisateurs avancés des produits Check Point; pour reprendre leur intitulé: "Fast. Useful. Independent"