[KB6922] Migration vom ERA Proxy (Linux oder Virtual Appliance) zum Apache HTTP Proxy im ESMC 7

Problem

  • Sie haben eine ERA 6.x-Umgebung, die mit der Komponente ERA Proxy (via Virtual Appliance) läuft und möchten ein Upgrade auf das ESET Security Management Center (ESMC) 7 durchführen, welches den ERA Proxy nicht mehr unterstützt.
  • Sie möchten einen Apache-HTTP-Proxy in einer Virtual Appliance aktivieren, um die Rolle eines ERA Proxys im ESMC 7 zu ersetzen.
  • Verwenden Sie den ERA Proxy auf einem Windows-System?

Einzelheiten

ESMC 7 führt eine neue Generation des Agent-Server-Kommunikationsprotokolls ein. Das neue Replikationsprotokoll verwendet die Protokolle TLS und HTTP2, damit es über Proxy-Server laufen kann. Es gibt auch neue Funktionen zur Selbstwiederherstellung und eine dauerhafte Verbindung, die die gesamte Kommunikationsleistung verbessert.

ERA Proxy 6.x Nutzer:

Das neue Kommunikationsprotokoll unterstützt keine Verbindung mit dem ERA 6.x Proxy.

ESET bietet ein vorkonfiguriertes Apache-Installationsprogramm. Der Benutzer kann auch eine andere Proxy-Lösung (neben Apache HTTP Proxy) verwenden, die die folgenden Bedingungen erfüllt:

  • kann SSL-Kommunikation weiterleiten
  • unterstützt HTTP CONNECT
  • kann ohne Authentifizierung funktionieren (ESET Management Agent unterstützt keine Authentifizierung mit Proxy).

Die Konfiguration anderer Proxy-Lösungen wird jedoch von ESET nicht angeboten oder unterstützt. Andere als Apache-Proxy-Lösungen unterstützen möglicherweise kein Caching der ESET Dynamic Threat Defense Kommunikation.

Die ESMC 7 Virtual Appliance enthält einen korrekt vorkonfigurierten Apache HTTP Proxy. Es wird empfohlen, die neue Appliance zu verwenden, anstatt die alte zu aktualisieren.

Lösung

Verbindungsbeschränkungen

  • ERA 6.x Proxy-Komponente ist nicht mehr im ESCM 7 verfügbar.
  • ERA 6.x Agenten können sich mit dem ESMC 7 Server verbinden.
  • ESET Management (EM) Agent (Version 7) kann sich nicht über den ERA Proxy oder einem ERA 6.x Server mit dem ESMC Server verbinden.
  • Führen Sie kein Upgrade der ERA 6.x-Agenten durch, bevor Sie eine geeignete Proxy-Lösung eingerichtet haben.
  • Es ist nicht möglich, den Agent Deployment Task auf Clients auszuführen, die der ESMC-Server nur über den Apache HTTP Proxy erreichen kann.
     

I. Vorbereitung der ERA 6.x-Umgebung

  1. Sichern Sie Ihren ERA Server (Backup der Datenbank, CA und Zertifikate).
     
  2. Upgraden Sie Ihren ERA Server auf ESMC 7 mithilfe des Remote Administrator Komponenten Upgrade Task. Dieser Task aktualisiert Server, Agent und Web-Konsole. Wenn Sie ein Ziel für den Task zuweisen, wählen Sie nur den Server mit dem ERA Server aus.
     
  3. Warten Sie etwa 24 Stunden, um sicherzustellen, dass die aktualisierte Umgebung reibungslos funktioniert.

 Abbildung 1-1

II. Deployment der neuen Virtual Appliance und Verbindung zum ESMC Server

Um Ihren Proxy sicher und gut konfiguriert zu halten, müssen Sie Ihre alte ERA Proxy - Virtual Appliance durch die neue ersetzen. ESMC 7 bietet jedoch keine eigenständige Proxy-Konfiguration, wie es ERA 6.x tat. Wir empfehlen Ihnen, eine neue ESMC Server - Virtual Appliance einzusetzen. Der neue Server wird nicht als Administrationsserver, sondern nur als Proxy verwendet. Der korrekt konfigurierte Apache HTTP Proxy ist in der ESMC 7 VA enthalten.
  1. Laden Sie die virtuelle Appliance des ESET Security Management Centers 7 von der ESET Downloadseite herunter.
     
  2. Stellen Sie die ESMC 7 VA auf Ihrem Hypervisor bereit.
     
  3. Konfiguration der neuen Appliance als ESMC Server.
    • Sie werden später im Prozess zur Eingabe des neuen Passworts aufgefordert.
    • Aktivieren Sie HTTP Forward Proxy während der Konfiguration.
       
  4. Wenn die Appliance bereitgestellt und konfiguriert ist, müssen Sie den EM Agent auf dieser Appliance neu installieren, um eine Verbindung zu Ihrem ESMC-Hauptserver herzustellen. Öffnen Sie die virtuelle Maschine mit Ihrer ESMC VA > Enter Management mode > Geben Sie Ihr Passwort ein > Login > Exit to terminal.
     
  5. Das Agent-Installationsprogramm befindet sich unter: /root/eset_installers/Agent-Linux-x86_64.sh
    Installieren Sie den Agenten neu, um eine Verbindung zu Ihrem ESMC Hauptserver herzustellen. Wir empfehlen, die servergestützte Installation zu verwenden. Z.B.:

    /root/eset_installers/Agent-Linux-x86_64.sh \
    --skip-license \
    --hostname=10.1.179.36 \
    --port=2222 \
    --webconsole-user=Administrator \
    --webconsole-password=aB45$45c \
    --webconsole-port=2223

    Ersetzen Sie den Hostnamen und das Passwort durch aktuelle Werte von Ihrem ESMC-Server. Weitere Informationen zur Installation des Agenten finden Sie hier.

Abbildung 2-1


 

  1. Optional: Sie können bestimmte Dienste auf der neuen Appliance stoppen, um Ressourcen zu sparen.
    Führen Sie folgende Befehle im Terminal aus.

    System V init Systemd
    service eraserver stop systemctl stop eraserver
    service mysql stop systemctl stop mysql
    service tomcat stop systemctl stop tomcat

    Um zu verhindern, dass ESMC- und MySQL-Dienste nach einem Neustart starten, deaktivieren Sie diese:

    Systemd
    systemctl disable eraserver
    systemctl disable mysql
    systemctl disable tomcat
  1. Ändern Sie die Apache HTTP Proxy-Konfigurationsdatei /etc/httpd/conf.d/proxy.conf. Sie können den Nano-Editor im Terminal verwenden oder über den Webmin auf die Datei zugreifen. Für Nano verwenden Sie den Befehl:

    nano /etc/httpd/conf.d/proxy.conf

    1. Wenn Sie den Standard-Port (2222) für den Agenten geändert haben, suchen Sie die Zeile AllowCONNECT 443 2222 und ändern Sie 2222 auf die Nummer Ihres Ports.
       
    2. Fügen Sie den Hostnamen oder die IP-Adresse Ihres ESMC-Servers in die Konfigurationsdatei ein. Der von Ihnen hinzugefügte Hostname muss exakt demjenigen entsprechen, den die Agenten für die Verbindung zum ESMC-Server verwenden. Sie können IP-Adresse, Hostname oder beides hinzufügen. Wie schreibt man einen ProxyMatch-Ausdruck?
       
    3. Speichern Sie die Änderungen und schließen Sie die Datei.
       
    4. Starten Sie den Apache HTTP Proxy-Dienst neu.

      systemctl restart httpd

  2. Öffnen Sie die ESET Security Management Web-Konsole (ESMC Web Console) in Ihrem Webbrowser und melden Sie sich an.  Wenn der neue Agent eine Verbindung herstellt, verwenden Sie diese für die zukünftige Wartung des Proxy-Rechners.

III. Zuweisen einer Übergangs-Policy an einen Test-Client

  1. Klicken Sie in der ESMC Web-Konsole auf Policies > Neue Policy.

    Abbildung 3-1

     
  2. Geben Sie im Abschnitt Basis einen Namen für die Policy ein.

    Abbildung 3-2

     
  3. Wählen Sie im Abschnitt Einstellungen den ESET Management Agent aus.
     
  4. Navigieren Sie zu Verbindung > Mit folgenden Servern verbinden > Serverliste bearbeiten.

    Abbildung 3-3

     
  5. Klicken Sie auf Hinzufügen.

    Abbildung 3-4
  6. Geben Sie die Adresse (die Adresse muss mit der des Agenten in der Konfiguration übereinstimmen) Ihres ESMC-Servers in das Feld Host ein. Klicken Sie auf OK.
    Abbildung 3-5


  7. Klicken Sie auf Speichern.
    Abbildung 3-6
  8. Ändern Sie den Operator von Ersetzen auf Anfügen im Dropdown-menü der Policy-Einstellungen.
    Abbildung 3-7
  9. Navigieren Sie zu Erweiterte Einstellungen > HTTP-Proxy und setzen Sie den Proxykonfigurationstyp auf Separater Proxy pro Dienst.
    Abbildung 3-8
  10. Klicken Sie auf Replikation (zum ESMC Server) > Bearbeiten.

    Abbildung 3-9
  11. Aktivieren Sie die Option Proxyserver verwenden. Geben Sie die IP-Adresse des Proxy-Rechners in das Feld Host ein. Belassen Sie den Standardwert 3128 für den Port. Klicken Sie auf Speichern.

    Abbildung 3-10
  12. Klicken Sie auf Fertigstellen, um die Policy zu speichern. Weisen Sie es noch keinem Computer zu.
    Abbildung 3-11
IP Adressen

Es ist notwendig, dass beide IP-Adressen in einer Liste auf dem Client angewendet werden. Wenn der Agent diese Informationen in der Policy nicht hat, kann er sich nach dem Upgrade nicht mehr mit dem Proxy und dem ESMC Server verbinden. Ein solcher Agent muss manuell repariert werden, indem eine Reparaturinstallation durchgeführt und die korrekte ESMC Serveradresse verwendet wird. Wenn die HTTP-Proxy-Einstellung in der Policy nicht angewendet wird, kann der Agent keine Verbindung zum ESMC-Server herstellen.

  1. Wählen Sie einen Computer, der über den ERA Proxy verbunden ist, und weisen Sie die neue Policy diesem Testclient zu.
     
  2. Warten Sie einige Minuten, bis die Policy angewendet wird, und überprüfen Sie, ob der Computer noch mit dem ESMC Server verbunden ist.
     

IV. Upgrade der ERA Agenten auf den Client-Workstations

  1. Führen Sie die Security Management Center Komponenten Upgrade Task aus.
     
  2. Überprüfen Sie, dass sich der Client mit dem ESMC-Server verbindet. Wenn sich der Computer nach dem Upgrade erfolgreich verbindet, fahren Sie mit dem Upgrade anderer Computer fort.
Uprades und Fehlersuche
Wenn Sie über ein umfangreicheres Netzwerk verfügen, beginnen Sie das Upgrade in Abteilungen mit IT-erfahrenen Benutzern oder solchen, die physisch näher am Computer sind, um die Fehlersuche zu erleichtern.
  1. Übernehmen Sie die Policy (aus dem Teil III.) auf die anderen Computer, die über den ERA Proxy verbunden sind.

Abbildung 4-1

 

  1. Warten Sie einige Minuten, bis die Policy angewendet wird, und prüfen Sie, ob Clients noch eine Verbindung zum ESMC-Server herstellen.
     
  2. Führen Sie die Security Management Center Komponenten Upgrade Task auf diesen Clients aus.
     
  3. Wenn alle Clients nach Abschluss des Upgrades eine Verbindung zum ESMC Server herstellen, können Sie mit den nächsten Schritten fortfahren.
     

V. Entfernen der ERA Proxy-Adresse aus der Serverliste

  1. Öffnen Sie die ESET Security Management Web-Konsole (ESMC Web Console) in Ihrem Webbrowser und melden Sie sich an.

  2. Klicken Sie auf Policies, wählen Sie die zutreffende Policy aus und klicken Sie auf Bearbeiten.
     
    Abbildung 5-1
  3. Klicken sie auf Einstellungen.

  4. Wählen Sie im Dropdown-Menü der Policy Einstellungen die Option Ersetzen.

  5. Klicken Sie auf Fertigstellen, um die Policy zu speichern und anzuwenden.
    Abbildung 5-2
  6. Sie können die ERA Proxy Virtual Appliance entfernen (die virtuelle Maschine aus dem Hypervisor entfernen).

Abbildung 5-3

Zusätzliche Hilfestellung