[KB6922] Migrar desde ERA Proxy (Appliance virtual) hacia Apache HTTP Proxy en ESMC 7

Problema

Cuenta con un entorno con ERA 6.x ejecutándose con el componente ERA Proxy (en un Appliance virtual) y desea migrar hacia ESET Security Management Center (ESMC) en la infraestructura. La transición debe seguir las siguientes reglas descriptas en este artículo:

¿Usa un Proxy ERA en un host con Windows?

Detalles

ESMC 7 introduce una nueva generación del protocolo de comunicación Agente - Server que utiliza protocolos TLS y HTTP2 de manera que puede ir a través de servidores Proxy. Existen también nuevas funcionalidades de auto-recuperación y una conexión persistente que mejora la comunicación general.

Usuarios del Proxy ERA 6.x

El nuevo protocolo de comunicación no soporta la conexión usando el Proxy de ERA 6.x

ESET provee un instalador preconfigurado de Apache. El usuario también puede usar otra solución de proxy solution (en lugar de Apache HTTP Proxy) que cumpla las siguientes condiciones:

poder reenviar comunicaciones SSL

soportar HTTP CONNECT

poder trabajar sin autenticación (ESET Management Agent no soporta la autenticación con proxy)

No obstante, la configuración de otras soluciones de proxy no es provista ni soportada por ESET. Otras soluciones de proxy que no sean Apache podrían no soportar el cache de la comunicación de ESET Dynamic Threat Defense (EDTD).

El Appliance virtual de ESMC 7 contiene el Proxy Apache HTTP correctamente preconfigurado. Es recomendable que use el nuevo Appliance en lugar de actualizar el antiguo.

Solución

Limitaciones de conexión

  • El componente Proxy ERA 6.x ha sido discontinuado en ESMC 7.
  • Los Agentes de ERA 6.x pueden conectarse a ESMC 7 Server.
  • ESET Management Agent (versión 7) no puede conectarse a ESMC Server a través de ERA Proxy o ERA Server 6.x.
  • No actualice los Agentes de ERA 6.x antes de que se configure adecuadamente una solución de proxy.
  • No es posible ejecutar una tarea de implementación del Agente en equipos en los que el servidor de ESMC puede alcanzarse solo mediante Apache HTTP Proxy.
     

I. Prepare su entorno de ERA 6.x

  1. Realice una copia de respaldo de su ERA Server (base de datos, CA y certificados).
     
  2. Actualice su ERA Server a ESMC 7. a través de una Tarea de Actualización de Componentes. Esta tarea actualiza el Servidor, Agente y Consola web. Cuando asigne la tarea, seleccione únicamente el equipo que contiene el Servidor ERA.
     
  3. Espere aproximadamente 24 horas para verificar que el entorno actualizado funcione adecuadamente.

Figura 1-1

II. Implemente el nuevo Virtual Appliance (VA) y conéctese a su ESMC Server

NOTA:

Para mantener seguro y bien configurado su proxy, debe reemplazar su viejo Proxy ERA Virtual Appliance con el nuevo. No obstante, ESMC 7 no provee una configuración de proxy independiente, como sí lo hacía para ERA 6.x. Recomendamos que implemente el nuevo Servidor ESMC Virtual Appliance. El nuevo Server no es usado como un servidor de administración sino como un proxy. El Proxy Apache HTTP incluido en el Appliance virtual ESMC 7 ya viene correctamente configurado.

  1. Descargue el Appliance virtual de ESET Security Management Center 7 desde la página de descargas de ESET.
     
  2. Implemente ESMC 7 VA en su hipervisor.
     
  3. Configure el nuevo Appliance como ESMC Server.
    • Mantenga a resguardo la contraseña que creó. La necesitará luego.
    • Active el reenvío de proxy HTTP durante la configuración.
       
  4. Cuando el Appliance es implementado y configurado, usted debe reinstalar el Agente (EM) en este Appliance para conectarse a su ESMC Server. Abra la máquina virtual con su ESMC VA > Enter Management mode > introduzca su contraseña > Login > Exit to terminal.
     
  5. El instalador del Agente se encuentra en: /root/eset_installers/Agent-Linux-x86_64.sh
    Reinstale el Agente para conectarse a su ESMC Server principal. Recomendamos usar la instalación asistida por el servidor. Por ejemplo:

    /root/eset_installers/Agent-Linux-x86_64.sh \
    --skip-license \
    --hostname=10.1.179.36 \
    --port=2222 \
    --webconsole-user=Administrator \
    --webconsole-password=aB45$45c \
    --webconsole-port=2223

    Reemplace los valores de hostname y password por la información real de su ESMC Server principal. Leer más acerca de la instalación del Agente.

Figura 2-1

  1. Opcional: Puede detener ciertos servicios en el nuevo Appliance para ahorrar recursos.
    Ejecute los siguientes comandos (comando System V initSystemd, de acuerdo a lo que usa) en la Terminal.

    System V init Systemd
    service eraserver stop systemctl stop eraserver
    service mysql stop systemctl stop mysql
    service tomcat stop systemctl stop tomcat

    Para impedir que los servicios de ESMC y MySQL se inicien luego del reinicio, deshabilítelos:

    Systemd
    systemctl disable eraserver
    systemctl disable mysql
    systemctl disable tomcat
  1. Modifique el archivo de configuración de Apache HTTP Proxy file /etc/httpd/conf.d/proxy.conf. También puede usar el editor nano en la Terminal o acceder al archivo usando Webmin. Para nano use el comando:

    nano /etc/httpd/conf.d/proxy.conf
    1. Si cambió el puerto predeterminado (2222) para el Agente, localice la línea AllowCONNECT 443 2222 y cambie el número del puerto 2222 al que usted haya configurado.
       
    2. Agregue el hostname o dirección IP de su ESMC Server al archivo de configuración. El hostname que agregue debe ser exactamente el mismo que usan los Agentes para conectarse a ESMC Server. Puede agregar la dirección IP, hostname o ambos.
    3. Cierre el archivo (Ctrl + x) y guarde los cambios.
       
    4. Reinicie el servicio Apache HTTP Proxy.

      systemctl restart httpd
       
  2. Verifique en su Consola web de ESMC Web, si el nuevo Agente conecta. Puede usarlo para el futuro mantenimiento de la máquina proxy.

III. Asigne una política de transición a un equipo de prueba

  1. Crear una nueva política en su ESMC Server. En la Consola web de ESMC haga clic en Políticas > Crear nueva.
     
  2. En la sección Básico, ingrese un Nombre para la política.
     
  3. Dentro de la sección Configuración seleccione ESET Management Agent.
     
  4. Diríjase a Conexión > Servidores disponibles > Editar lista de servidores.
     
  5. Haga clic en Agregar e ingrese la dirección (la dirección debe coincidir con la que usa el Agente en su configuración) de su ESMC Server en el campo Host. Haga clic en Aceptar.
     
  6. Cambie el operador de Reemplazar a Agregar.
     

Figura 3-1

  1. Haga clic en Guardar.
     
  2. Diríjase a Configuración avanzada > Proxy HTTP y defina el Tipo de configuración de proxy en Diferente proxy por servicio.
     
  3. Haga clic en Replicación > Editar y active la opción Usar servidor proxy.
     
  4. Ingrese la dirección IP del equipo proxy dentro del campo Host.
     
  5. Conserve el valor predeterminado 3128 para el Puerto.
     
  6. Haga clic en Guardar y en Finalizar para guardar la política. No la asigne a ningún equipo aún.
¡Importante!
Es necesario que cuente con ambas direcciones IP en una lista aplicada en el equipo. Si el Agente no cuenta con esta información en la política, será incapaz de conectarse al Proxy y a ESMC Server luego de la actualización. Tal Agente debe repararse manualmente ejecutando una reparación de la instalación y usando la dirección correcta de ESMC Server.
Si el ajuste del Proxy HTTP no es aplicado en la política, el Agent no será capaz de conectarse a ESMC Server.
  1. Elija un equipo conectado mediante ERA Proxy y asigne la nueva política al equipo de prueba.
     
  2. Espere algunos minutos hasta que la política sea aplicada y verifique si el equipo todavía tiene conexión con ESMC Server.
     

IV. Actualice los ERA Agents en los equipos

  1. Ejecute la tarea the Actualización de componentes de Security Management Center para actualizar el equipo de prueba.
     
  2. Luego de que el equipo se actualice a la versión 7, verifique si aún se conecta a ESMC Server. Si el equipo se conecta exitosamente luego de la actualización, continúe con la actualización del resto de los equipos.
¡Importante!

Si cuenta con una red más extensa, comience la actualización de los sectores de IT con experiencia o de aquellos equipos físicamente más cercanas para facilitar la resolución de problemas.

  1. Aplique la política (de la parte III) al resto de los equipo conectados a través de ERA Proxy.

Figura 4-1

  1. Espere algunos minutos hasta que la política sea aplicada y compruebe que los equipos se encuentren conectados a ESMC Server.
     
  2. Ejecute la tarea de Actualización de componentes de Security Management Center en esos equipos.
     
  3. Si todos los equipos se encuentran conectados a ESMC Server luego de la actualización, puede continuar con los siguientes pasos.
     

V. Elimine la dirección de ERA Proxy de la lista de servidores

  1. Modifique la política (de la parte III): acceda a Políticas > haga clic sobre el ícono del engranaje próximo a la política que desea modificar y haga clic en Editar.
     
  2. En Configuración > Conexión cambie el operador de AgregarReemplazar.
     

Figura 5-1

  1. Haga clic en Guardar.
     
  2. Haga clic en Finalizar para guardar y aplicar la política.
     
  3. Puede quitar el Appliance virtual de ERA Proxy (remover la máquina virtual del hipervisor).

Figura 5-2

Asistencia adicional