Upgrade Check Point R65 HFA 70 à R75 HFA 40 + migration SmartCenter de Open Server à Smart-1

Upgrade Check Point R65 HFA 70 à R75 HFA 40 + migration SmartCenter de Open Server à Smart-1

Article 2/4: Introduction
Accédez directement aux autres articles: Accueil - Introduction -

Introduction

Objectifs

Précisons tout d'abord le contexte:

• Le Security Management Server:
  • Serveur HP (mais peu importe la marque):
  • Check Point Secure Plateforme (SPLAT) pour l'O.S.
  • Check Point R65 HFA 70 pour la partie firewalling
• Deux clusters de (chacun) deux modules firewalls en actif/passif:
  • Quatre UTM-1 57x
  • Check Point Secure Plateforme (SPLAT) pour l'O.S.
  • Check Point R65 HFA 70 pour la partie firewalling

Notre objectif est d’effectuer la montée de version logiciel sur l'ensemble des produits en R75.40 SPLAT (et non GAiA - un peu trop récent encore à la mi-2012).

... Si vous voulez toutefois avoir plus d'information sur GAiA et adaptez ce mod-op avec GAiA au lieu de SPLAT, commencez par: Check Point GAiA FAQ...

Nota bene: la version R65.70 n'est plus suivie depuis mars 2011 (cf. Check Point Software Support Timeline) et l’écart entre cette version et la version cible (disponible depuis avril 2012) posent un certain nombre de problèmes... ou en tous cas restreint énormément la marge de manœuvre pour effectuer cette montée de version.

Choix du mode-opératoire

Nous avons découpé cette opération en deux étapes:

• La migration puis l'upgrade du Security Management Server
• L'upgarde des Security Gateways

Pour le Security Management Server...

A moins que vous ne souhaitiez repartir d'une configuration vierge... il  faudra récupérer la configuration existante (règles, objets, ...).
Pour cela, il est nécessaire de passer par un outil d'export/import de ces éléments: ça s'appelle "export_database tool".
Le principe est le suivant: depuis un SmartCenter source en version X, on va exporter cette base de données (sous forme d'archive) vers un SmartCenter cible en version Y.
Deux choses sont à prendre en compte dans notre cas:

• Ce script ne fonctionne qu'entre deux versions X et Y assez proches.
• Pour faciliter le retour arrière, nous avons souhaité ne pas modifier le SmartCenter source.

En tenant compte du document Check Point R70, R71 and R75 Release Map et en souhaitant minimiser le nombre d'upgrade nous sommes donc parti du schéma d'upgrade suivant:

1. Exporter la base de données du SmartCenter source en R65 vers la Smart-1 en R70 (compatibilité effective de l'"export_database tool" entre ces deux versions)
2. Upgrade de la Smart-1: de R70 à R70.50
3. Upgrade de la Smart-1: de R70.50 à R75.40

Pour les Security Gateways

Encore une fois: la vrai intelligence chez Check Point se trouve dans le SmartCenter.
On peut donc préférer une fresh install au chemin d'upgrade décrit ci-dessus.
Ce mode d'installation est le plus rapide: on va booter sur une image ISO (on verra par la suite comment) et un tout nouveau système sera installé en lieu et place de l'ancien.

1. Tout d'abord les modules secondaires (même si c'est contraire au mode-opératoire proposé par Check Point) => en cas de retour arrière, la coupure de service est minimisée puisque les modules primaires n'avaient pas été impactés
2. Ensuite les modules primaires.

Pré-requis

Pour appliquer le mode-opératoire décrit précédemment, il va falloir:

• Les sauvegardes nécessaires
• Télécharger les outils, programmes et documentations nécessaires
• Prévoir quelques bonnes heures devant soi (ne pas faire ces opérations tout seul ! être au moins deux)

Sauvegardes

Les sauvegardes ne sont pas à négliger !
Normalement, l'article How to back up your system serait tout indiqué; mais dans notre cas, cette procédure ne peut s'appliquer (différence trop importante entre les versions source et cible ;) ).
Pour le SmartCenter source: un snapshot habituel suffira puisque l'on y minimise les actions (il ne devrait d'ailleurs serveur que d'au cas où).
Pour les Security Gateways:

• Afin de configurer les boîtiers en version cible:
  • Les routes: utilisez de préférence la commande "ip r" (cf.: How to add and save routes on SecurePlatform without using 'sysconfig' or 'webui' tools)
  • La configuration des interfaces: là encore, préférez la commande "ip link".
  • Les paramètres globaux du kernel (cf.: Changing the kernel global parameters for Check Point Security Gateway).
  • Les fichiers de configuration $FWDIR/conf/local.arp
  • Tous les fichiers de configurations présents dans la Security Gateway et modifiés depuis la date d'installation
  • Les répertoires /home et /root
  • Quelques états de chacun des membres: 'cphaprob -a if', 'cphaprob state', 'ps aux', 'cplic -l', ...
• En cas de retour arrière: un snapshot.

Liens utiles

Vous trouverez le long de ces articles tous les liens qui m'ont été utiles à la préparation de cet migration.
Après, il y a deux URL auxquelles vous devrez quasiment forcément accéder:

• Le portail Check Point User Center: un grand nombre d'éléments nécessaires à cette migration sont accessibles depuis ce portail avec un compte et mot de passe.
  • Par exemple, pour savoir si vous pouvez mettre à jour directement ou via des versions intermédiaires vos produits Check Point, il faut y recherche "release and upgrade path" (le lien actuel est: Check Point R70, R71 and R75 Release Map)
• Check Point User Group est un portail d'utilisateurs avancés des produits Check Point; pour reprendre leur intitulé: "Fast. Useful. Independent"

Upgrade Check Point R65 HFA 70 à R75 HFA 40 + migration SmartCenter de Open Server à Smart-1

Voici un (long ?) article pour décrire le mode-opératoire appliqué aux opérations décrites ci-après et effectuées sur des produits Check Point:

• Migration d'un Security Management Server d'un Open Server de R65 HFA 70 à une Smart-1 en R70
• Montée de version logicielle de la Smart-1 en R75.40 SPLAT
• Montée de version logicielle des Security Gateways (UTM-1 57x) de R65 HFA 70 SPLAT à R75.40 SPLAT

Mais avant tout:

• De ces deux interventions et de leur préparations respectives, il faut en retenir:
  • (rappel) toute l'intelligence de vos firewalls Check Point réside dans le Security Management Server
  • Ce dernier, en version R75.40, est parfaitement capable d'administrer des Security Gateway en R65.70 (remontée des logs, compilation, monitoring, ...)
  • (prérequis) il est indispensable d'avoir un accès "Partner" au UserCenter de Check Point
  • Si vous avez plusieurs clusters à migrer, soyez minimum deux et prévoyez large au niveau temps: il se peut que vous ne puissiez pas paralléliser vos actions (problème de boot sur certaines clés USB par exemple... cet aspect sera décrit dans les chapitres suivants).

Je vous propose tout d'abord les axes de cet article:

1. Introduction:
   1. Objectifs
   2. Choix du mode opératoire
   3. Pré-requis
   4. Liens utiles
2. Préparation de l'upgrade: clé USB + paramétrage BIOS
3. Montée de version logicielle (Upgrade):
   1. Migration + upgrade du Security Management Server
   2. Upgrade des Security Gateways
4. Vérifications

Ces opérations étant assez lourdes et longues à décrire, les 4 axes ci-dessus représenteront autant d'articles connexes.


Passons à présent au premier volet de cet article: la description du besoin, le choix du mode-opératoire, la liste des pré-requis et des liens utiles.

--------

Introduction - Préparation - Montée de version & vérifications