[KB6922] Migration ERA Proxy (Virtual Appliance) zu Apache HTTP Proxy mit ESMC 7

Problem

Sie haben eine ERA 6.x-Umgebung, die mit der Komponente ERA Proxy (via Virtual Appliance) läuft und möchten ein Upgrade auf das ESET Security Management Center (ESMC) 7 durchführen, welches den ERA Proxy nicht mehr unterstützt. Sie können Ihre Appliance durch eine neue ersetzen und den Apache HTTP Proxy die Rolle des ERA Proxies in der Infrastruktur ersetzen lassen. Der Übergang muss strengen Regeln folgen, die in diesem Artikel beschrieben werden.

Verwenden Sie den ERA Proxy auf einem Windows-System?

Einzelheiten

ESMC 7 führt eine neue Generation des Agent-Server-Kommunikationsprotokolls ein. Das neue Replikationsprotokoll verwendet die Protokolle TLS und HTTP2, damit es über Proxy-Server laufen kann. Es gibt auch neue Funktionen zur Selbstwiederherstellung und eine dauerhafte Verbindung, die die gesamte Kommunikationsleistung verbessert.

Das neue Kommunikationsprotokoll unterstützt keine Verbindung mit dem ERA 6.x Proxy.

ESET bietet ein vorkonfiguriertes Apache-Installationsprogramm. Der Benutzer kann auch eine andere Proxy-Lösung (neben Apache HTTP Proxy) verwenden, die die folgenden Bedingungen erfüllt:

  • kann SSL-Kommunikation weiterleiten
  • unterstützt HTTP CONNECT
  • kann ohne Authentifizierung funktionieren (ESET Management Agent unterstützt keine Authentifizierung mit Proxy).

Die Konfiguration anderer Proxy-Lösungen wird jedoch von ESET nicht angeboten oder unterstützt. Andere als Apache-Proxy-Lösungen unterstützen möglicherweise kein Caching der ESET Dynamic Threat Defense Kommunikation.

Die ESMC 7 Virtual Appliance enthält einen korrekt vorkonfigurierten Apache HTTP Proxy. Es wird empfohlen, die neue Appliance zu verwenden, anstatt die alte zu aktualisieren.

Lösung

Verbindungsbeschränkungen

Die Proxy-Komponente im ERA 6.x ist im ESMC 7 nicht mehr verfügbar. Achten Sie auf die Kompatibilität der Verbindungen:
  • ERA 6.x Agenten können sich mit dem ESMC 7 Server verbinden.
  • ESET Management (EM) Agent (Version 7) kann sich nicht über den ERA Proxy mit dem ESMC Server verbinden.
  • EM Agent (Version 7) kann keine Verbindung zum ERA 6.x Server herstellen.
  • Führen Sie kein Upgrade der ERA 6.x-Agenten durch, bevor Sie eine geeignete Proxy-Lösung eingerichtet haben.
  • Es ist nicht möglich, den Agent Deployment Task auf Clients auszuführen, die der ESMC-Server nur über den Apache HTTP Proxy erreichen kann.
     

I. Vorbereitung der ERA 6.x-Umgebung

  1. Sichern Sie Ihren ERA Server (Backup der Datenbank, CA und Zertifikate).
     
  2. Upgraden Sie Ihren ERA Server auf ESMC 7 mithilfe des Remote Administrator Komponenten Upgrade Task. (Server, Agent und Web-Konsole werden aktualisiert). Wenn Sie ein Ziel für den Task zuweisen, wählen Sie nur den Server mit dem ERA Server aus.
     
  3. Warten Sie etwa 24 Stunden, um sicherzustellen, dass die aktualisierte Umgebung reibungslos funktioniert.

 Abbildung 1-1

II. Deployment der neuen Virtual Appliance und Verbindung zum ESMC Server

HINWEIS:
Um Ihren Proxy sicher und gut konfiguriert zu halten, müssen Sie Ihre alte ERA Proxy - Virtual Appliance durch die neue ersetzen. ESMC 7 bietet jedoch keine eigenständige Proxy-Konfiguration, wie es ERA 6.x tat. Wir empfehlen Ihnen, eine neue ESMC Server - Virtual Appliance einzusetzen. Der neue Server wird nicht als Administrationsserver, sondern nur als Proxy verwendet. Der korrekt konfigurierte Apache HTTP Proxy ist in der ESMC 7 VA enthalten.
  1. Laden Sie die virtuelle Appliance des ESET Security Management Centers 7 von der ESET Downloadseite herunter.
     
  2. Stellen Sie die ESMC 7 VA auf Ihrem Hypervisor bereit.
     
  3. Konfiguration der neuen Appliance als ESMC Server.
    • Bewahren Sie das von Ihnen hier eingerichtete Passwort sicher auf. Du wirst es später benötigen.
    • HTTP Forward Proxy während der Konfiguration aktivieren.
       
  4. Wenn die Appliance bereitgestellt und konfiguriert ist, müssen Sie den EM Agent auf dieser Appliance neu installieren, um eine Verbindung zu Ihrem ESMC-Hauptserver herzustellen. Öffnen Sie die virtuelle Maschine mit Ihrer ESMC VA > Enter Management mode > Geben Sie Ihr Passwort ein > Login > Exit to terminal.
     
  5. Das Agent-Installationsprogramm befindet sich unter: /root/eset_installers/Agent-Linux-x86_64.sh
    Installieren Sie den Agenten neu, um eine Verbindung zu Ihrem ESMC-Hauptserver herzustellen. Wir empfehlen, die servergestützte Installation zu verwenden. Z.B.:

    /root/eset_installers/Agent-Linux-x86_64.sh \
    --skip-license \
    --hostname=10.1.179.36 \
    --port=2222 \
    --webconsole-user=Administrator \
    --webconsole-password=aB45$45c \
    --webconsole-port=2223

    Ersetzen Sie den Hostnamen und das Passwort durch aktuelle Werte von Ihrem ESMC-Server. Weitere Informationen zur Installation des Agenten finden Sie hier.

Abbildung 2-1


 

  1. Optional: Sie können bestimmte Dienste auf der neuen Appliance stoppen, um Ressourcen zu sparen.
    Führen Sie folgende Befehle (System V init oder Systemd Befehl,  je nachdem, was Sie verwenden) im Terminal aus.

    System V init Systemd
    service eraserver stop systemctl stop eraserver
    service mysql stop systemctl stop mysql
    service tomcat stop systemctl stop tomcat

    Um zu verhindern, dass ESMC- und MySQL-Dienste nach einem Neustart starten, deaktivieren Sie diese:

    Systemd
    systemctl disable eraserver
    systemctl disable mysql
    systemctl disable tomcat
  1. Ändern Sie die Apache HTTP Proxy-Konfigurationsdatei /etc/httpd/conf.d/proxy.conf. Sie können den Nano-Editor im Terminal verwenden oder über den Webmin auf die Datei zugreifen. Für Nano verwenden Sie den Befehl:

    nano /etc/httpd/conf.d/proxy.conf
    1. Wenn Sie den Standard-Port (2222) für den Agenten geändert haben, suchen Sie die Zeile AllowCONNECT 443 2222 und ändern Sie 2222 auf die Nummer Ihres Ports.
       
    2. Fügen Sie den Hostnamen oder die IP-Adresse Ihres ESMC-Servers in die Konfigurationsdatei ein. Der von Ihnen hinzugefügte Hostname muss exakt demjenigen entsprechen, den die Agenten für die Verbindung zum ESMC-Server verwenden. Sie können IP-Adresse, Hostname oder beides hinzufügen. Wie schreibt man einen ProxyMatch-Ausdruck?
       
    3. Schließen Sie die Datei (Strg + x) und speichern Sie die Änderungen.
       
    4. Starten Sie den Apache HTTP Proxy-Dienst neu.

      systemctl restart httpd
  2. Überprüfen Sie in Ihrer ESMC Web-Konsole Ihres ESMC Hauptservers, ob sich der neue Agent verbindet. Sie können sie für die zukünftige Wartung des Proxy-Rechners verwenden.

III. Zuweisen einer Übergangs-Policy an einen Test-Client

  1. Erstellen Sie eine neue Policy auf Ihrem ESMC-Server. Klicken Sie in der ESMC Web-Konsole auf Policies > Neu.
     
  2. Geben Sie im Abschnitt Basis einen Namen für die Policy ein.
     
  3. Wählen Sie im Abschnitt Einstellungen den ESET Management Agent aus.
     
  4. Navigieren Sie zu Verbindung > Mit folgenden Servern verbinden > Serverliste bearbeiten.
     
  5. Klicken Sie auf Hinzufügen und geben Sie die Adresse (die Adresse muss mit der des Agenten in der Konfiguration übereinstimmen) Ihres ESMC-Servers in das Feld Host ein. Klicken Sie auf OK.
     
  6. Ändern Sie den Operator von Ersetzen auf Anfügen.
     

Abbildung 3-1

 
  1. Klicken Sie auf Speichern.
     
  2. Navigieren Sie zu Erweiterte Einstellungen > HTTP-Proxy und setzen Sie den Proxykonfigurationstyp auf Separater Proxy pro Dienst.
     
  3. Klicken Sie auf Replikation > Bearbeiten und aktivieren Sie die Option Proxyserver verwenden.
     
  4. Geben Sie die IP-Adresse des Proxy-Rechners in das Feld Host ein.
     
  5. Belassen Sie den Standardwert 3128 für den Port.
     
  6. Klicken Sie auf Speichern und Fertigstellen, um die Policy zu speichern. Weisen Sie es noch keinem Computer zu.
Wichtig!

Es ist notwendig, dass beide IP-Adressen in einer Liste auf dem Client angewendet werden. Wenn der Agent diese Informationen in der Policy nicht hat, kann er sich nach dem Upgrade nicht mehr mit dem Proxy und dem ESMC Server verbinden. Ein solcher Agent muss manuell repariert werden, indem eine Reparaturinstallation durchgeführt und die korrekte ESMC Serveradresse verwendet wird.

Wenn die HTTP-Proxy-Einstellung in der Policy nicht angewendet wird, kann der Agent keine Verbindung zum ESMC-Server herstellen.

  1. Wählen Sie einen Computer, der über den ERA Proxy verbunden ist, und weisen Sie die neue Policy diesem Testclient zu.
     
  2. Warten Sie einige Minuten, bis die Policy angewendet wird, und überprüfen Sie, ob der Computer noch mit dem ESMC Server verbunden ist.
     

IV. Upgrade der ERA Agenten auf den Client-Workstations

  1. Führen Sie die Security Management Center Komponenten Upgrade Task aus, um den ausgewählten Test-Client-Computer zu aktualisieren.
     
  2. Nachdem der Client auf Version 7 aktualisiert wurde, überprüfen Sie, ob er sich noch mit dem ESMC-Server verbindet. Wenn sich der Computer nach dem Upgrade erfolgreich verbindet, fahren Sie mit dem Upgrade anderer Computer fort.
Wichtig!
Wenn Sie über ein umfangreicheres Netzwerk verfügen, beginnen Sie das Upgrade in Abteilungen mit IT-erfahrenen Benutzern oder solchen, die physisch näher am Computer sind, um die Fehlersuche zu erleichtern.
  1. Übernehmen Sie die Policy (aus dem Teil III.) auf die anderen Computer, die über den ERA Proxy verbunden sind.

Abbildung 4-1

 

  1. Warten Sie einige Minuten, bis die Policy angewendet wird, und prüfen Sie, ob Clients noch eine Verbindung zum ESMC-Server herstellen.
     
  2. Führen Sie die Security Management Center Komponenten Upgrade Task auf diesen Clients aus.
     
  3. Wenn alle Clients nach Abschluss des Upgrades eine Verbindung zum ESMC Server herstellen, können Sie mit den nächsten Schritten fortfahren.
     

V. Entfernen der ERA Proxy-Adresse aus der Serverliste

  1. Ändern Sie die Policy (aus dem Teil III.): navigieren Sie zu Policies > klicken Sie auf das Zahnradsymbol neben der Policy, die Sie ändern möchten, und klicken Sie auf Bearbeiten.
     
  2. Ändern Sie unter Einstellungen > Verbindung den Operator von Anfügen auf Ersetzen.
     

Abbildung 5-1

 

  1. Klicken Sie auf Speichern.
     
  2. Klicken Sie auf Fertigstellen, um die Policy zu speichern und anzuwenden.
     
  3. Sie können die ERA Proxy Virtual Appliance entfernen (die virtuelle Maschine aus dem Hypervisor entfernen).

Abbildung 5-2

Zusätzliche Hilfestellung