[KB6920] Migrar desde ERA Proxy (Windows) hacia Apache HTTP Proxy en ESMC 7

Problema

  • Posee un entorno con la versión 6 de ESET Remote Administrator (ERA) ejecutando el componente ERA Proxy (en un host Windows) y desea actualizar hacia ESET Security Management Center (ESMC) 7
  • ESMC no soporta ERA Proxy—Apache HTTP Proxy puede suplir el rol de ERA Proxy en la infraestructura

¿Usa ERA Proxy - Virtual Appliance?

Detalles

ESMC 7 introduce una nueva generación del protocolo de comunicación entre Agente – Servidor. El nuevo protocolo de replicación usa TLS y HTTP2 de modo que puede atravesar servidores Proxy. También existen nuevas funcionalidades de auto recuperación y una conexión persistente que mejora el desempeño general de la comunicación.

El nuevo protocolo de comunicación no soporta la conexión usando ERA 6.x Proxy.

ESET provee un instalador preconfigurado de Apache. El usuarion puede también utilizar otra solución de proxy (además de Apache HTTP Proxy) que cumpla las siguientes condiciones:

  • poder reenviar comunicaciones SSL
  • soportar HTTP CONNECT
  • poder trabajar sin autenticación (ESET Management Agent no soporta autenticación con proxy)

No obstante, la configuración de otras soluciones de proxy no es provista ni soportada por ESET ya que las restantes solucione spodrían no soportar el cacheo de la comunicación de ESET Dynamic Threat Defense.

Solución

Limitaciones de conexión

El componente de Proxy de la versión 6.x de ESET Remote Administrator (ERA) se ha discontinuado en ESET Security Management Center 7. Siga las instrucciones detalladas más abajo para garantizar la compatibilidad de la conexión:
  • Los Agentes de ERA 6.x pueden conectarse a ESMC 7 Server
  • ESET Management (EM) Agent (versión 7) no puede conectarse a ESMC Server mediante ERA Proxy
  • EM Agent (versión 7) no puede conectarse a ERA 6.x Server
  • No actualice los Agentes de ERA 6.x antes de que se configure una solución de proxy adecuada
  • No es posible ejecutar la tarea de implementación del Agente en equipos donde ESMC Server puede acceder solo a través de Apache HTTP Proxy
     

I. Prepare su entorno de ERA 6.x

  1. Realice un respaldo de ERA Server (copia de la base de datosCA y certificados).
     
  2. Actualice su ERA Server Server hacia ESMC 7 a través de la  Tarea de actualización de componentes de Remote Administrator (se actualizará el Server, Agente y Consola web). Cuando asigne un objetivo a la tarea, seleccione solamente el equipo con ERA Server.

    Actualizar ERA Server manualmente
      1. Descargue los componentes de instalación de ESMC 7 necesarios. ESMC Server, Agente, RD Sensor y la consola web son requeridos. Descargue cualquier otro instalador que resulte necesario. No renombre los archivos de instalación .msi descargados.

      1. Detenga Apache Tomcat. Diríjase a su directorio %TOMCAT_HOME%\bin\ (por ejemplo, C:\Program Files\Apache Tomcat\Tomcat7\bin\) y haga doble clic en tomcat7w.exe.

      1. Realice una copia de la carpeta localizada en C:\Program Files(x86)\Apache Software Foundation\Tomcat 7.0\webapps\era\ y de todos sus contenidos.

        La ubicación del archivo difiere en sistemas de 32-bit:

        En sistemas de 32-bit, la carpeta "Program Files (x86)" se llama "Program Files".

      2. Copie el archivo de configuración EraWebServerConfig.properties ubicado en: C:\Program Files(x86)\Apache Software Foundation\Tomcat 7.0\webapps\era\WEB-INF\classes\sk\eset\era\g2webconsole\server\modules\config\EraWebServerConfig.properties.

      1. Borre los contenidos de la carpeta C:\Program Files(x86)\Apache Software Foundation\Tomcat 7.0\webapps\era\ original (incluyendo el archivo era.war).

      1. En los archivos de instalación descargados en el paso a, localice era.war y extráigalo en: C:\Program Files(x86)\Apache Software Foundation\Tomcat 7.0\webapps\era\.

      1. Mueva el archivo de configuración EraWebServerConfig.properties del paso d a: C:\Program Files(x86)\Apache Software Foundation\Tomcat 7.0\webapps\era\WEB-INF\classes\sk\eset\era\g2webconsole\server\modules\config\.

      1. Haga doble clic en Server_x64.msi. Siga el proceso de instalación de ESMC Server. Especifique estos ajustes de conexión de la base de datos:
        • ISi instaló usando el instalador all-in-one installer, en el menú desplegable Base de datos, seleccione MS SQL Server via Windows Authentication y haga clic enSiguiente.
        • Si usó un MS SQL Server/MySQL existente, seleccione el tipo de conexión definida durante la instalación. Se requiere una conexión a la base de datos con privilegios de administrador (usuario) cuando se conecte la base de datos de ESMC Server database. Haga clic en Siguiente.
           
      2. Complete la instalación de ESMC Server.
         
      3. Inicie el servicio de Apache Tomcat. Dependiendo de la configuración de su sistema, permita hasta 40 segundos para que el servicio se inicie.

    1. Abra la Consola web de ESET Security Management Center (ESMC Web Console) en su navegador e inicie sesión. ¿Cómo abro ESMC Web Console?.
  3. Aguarde aproximadamente 24 para asegurarse de que el entorno actualizado funciona adecuadamente.
     
  4. Actualice ERA Agent en el equipo con ERA Proxy mediante una Tarea de actualización de componentes de Security management Center.

Figura 1-1

II. Instale y configure Apache HTTP Proxy

  1. Instale Apache HTTP Proxy en el equipo en el cual se ha instalado ERA Proxy. Use la versión preconfigurada por  ESET de Apache HTTP Proxy. La configuración necesaria para manejar la conexión de ESET Management Agents se encuentra incluida.
  2. Modifique el archivo de configuración de Apache HTTP Proxy httpd.conf localizado en C:\Program FIles\Apache HTTP Proxy\conf\¿Cómo ingreso una expresión ProxyMatch?
    1. Si ha cambiado el puerto predeterminado (2222) para el Agente, localice la línea AllowCONNECT 443 563 2222 y modifique 2222 por el número de su puerto.
       
    2. Agregue el hostname o dirección IP de su ESMC Server al archivo de configuración. El hostname que agregue debe ser exactamente el mismo que usan los Agentes para conectarse a ESMC Server. Puede agregar la dirección IP, hostname o ambos.
  1. Guarde los cambios y reinicie el servicio de Apache HTTP Proxy.

Figura 2-1

III. Asignar una política de transición a un equipo de prueba

Figura 3-1

  1. Cree una nueva política en su ESMC Server. En ESMC Web Console haga clic en Políticas Nueva política.
     
  2. En la sección Básico, ingrese un Nombre para la política.
     
  3. En la sección Configuración, seleccione ESET Management Agent.
     
  4. Diríjase a Conexión  Servidores disponibles  Editar lista de servidores.
     
  5. Haga clic en Agregar e ingrese la dirección (la dirección debe coincidir con la que usa el Agente en la configuración) de su ESMC Server en el campo Host. Haga clic en Aceptar.
     
  6. Haga clic en Guardar.
     
  7. Cambie el operador de Reemplazar a Agregar.
     
  8. Acceda a Configuración avanzada  HTTP Proxy y defina Tipo de configuración de proxy en Diferente proxy por servicio.
     
  9. Haga clic en Replicación  Editar y active la opción Usar servidor proxy.
     
  10. Ingrese la dirección IP de la máquina proxy en el campo Host.
     
  11. Conserve el valor predeterminado 3128 para el Puerto.
     
  12. Haga clic en Guardar y luego en Finalizar para guardar la política. No la asigne a otro equipo aun.
¡Importante!
Es absolutamente necesario contar con ambas direcciones IP en una lista aplicada en el equipo. Si el Agente no posee esa información en la política será impedido de conectarse a ESMC Server luego de la actualización. Tal Agente debe repararse manualmente ejecutando una instalación de reparación y usando la dirección correcta de ESMC Server.

Si el ajuste de HTTP Proxy no es aplicado en la política, el Agente no será capaz de conectarse a ESMC Server. La reinstalación manual no resuelve el problema.
 
  1. Elija un equipo conectado a través de ERA Proxy y asigne la nueva política para probarla.
     
  2. Aguarde algunos minutos hasta que se aplique la poilítica y verifique si el equipo aún se halla conectado a ESMC Server.
     

IV. Actualice ERA Agents en los equipos

  1. Ejecute una Tarea de actualización de componentes de Security management Center para actualizar el equipo seleccionado.
     
  2. Luego de que el equipo es actualizado a la versión 7, compruebe si aún se encuentra conectado a ESMC Server. Si el equipo se conecta exitosamente luego de la actualización, continúe con la actualización de las máquinas restantes.
¡Importante!

Si cuenta con una red extensa, comience la actualización por los departamentos con usuarios experimentados en tecnología de la información o aquellos que se encuentren cerca de los equipos para facilitar el proceso.

  1. Aplique la política (desde la parte III) a los otros componentes conectados mediante ERA Proxy.

Figura 4-1

  1. Aguarde algunos minutos hasta que la política sea aplicada y verifique si los equipos aún se conectan a ESMC Server.
     
  2. Ejecute la Tarea de actualización de componentes de Security Management Center en esos equipos.
     
  3. Si todos los equipos se conectan a ESMC Server luego de que la actualización finalice, puede proseguir con los pasos detallados debajo.
     

Figura 4-2

V. Quite la dirección de ERA Proxy de la lista de servidores

Figura 5-1

  1. Modifique la política (de la parte III) accediendo a Políticas, haciendo clic en el ícono de la rueda próximo a la política que desea modificar y luego haga clic en Editar.
     
  2. En Configuración Conexión cambie el operador de Agregar a Reemplazar.
     
  3. Haga clic en Guardar.
     
  4. Haga clic en Finalizar para guardar y aplicar la política.
     
  5. Quite el componente ERA Proxy valiéndose de Tareas de clientes Desinstalación de software.

Figura 5-2

Asistencia adicional