[KB6922] Áttérés ESMC 7-es környezetben ERA Proxy-ról (Linux vagy Virtual Appliance) Apache HTTP Proxy-ra

Probléma

  • Az ERA Proxy-t használó ESET Remote Administrator (ERA) 6.x Virtual Appliance környezetét szeretné frissíteni az ESET Security Management Center (ESMC) 7-re, amely nem támogatja az ERA Proxy-t
  • Apache HTTP Proxy-t szeretne használni Virtual Appliance környezetben azért, hogy helyettesítse az ERA Proxy szerepét az ESMC 7-ben
  • Windows hoston használ ERA Proxy-t?

Részletek

Az ESMC 7-ben bemutatkozik az agent/server kommunikációs protokol új generációja. Az új replikációs protokoll TLS és HTTP2 protokollokat használ, így proxyszervereken is akadálytalanul át tud jutni. Az új ön-helyreállítási funkciókkal és az állandó kapcsolat biztosításával, magasabb általános kommunikációs teljesítményt biztosít.

ERA Proxy 6.x felhasználás esetén

Az új kommunikációs protokoll nem támogatja az ERA Proxy 6.x használatával kiépített kapcsolatokat.

Az ESET előre konfigurált Apache telepítőt biztosít a használathoz. A felhasználó más olyan proxy megoldásokat is használhat (az Apache HTTP Proxy mellett), amelyek megfelelnek a következő feltételeknek:

  • SSL kommunikáció továbbítása
  • HTTP CONNECT támogatása
  • Hitelesítés nélküli működés (az ESET Management Agent nem támogatja a proxy-val való hitelesítést)

Más proxy megoldások konfigurálását az ESET nem biztosítja vagy támogatja. Előfordulhat, hogy más megoldások nem támogatják az ESET Dynamic Threat Defense (EDTD) kommunikációjának gyorsítótárazását.

Az ESMC 7 Virtual Appliance előre konfigurált Apache HTTP Proxy-t tartalmaz. Javasoljuk, hogy használja az új appliance-t régi frissítése helyett.

Megoldás

Kapcsolati korlátozások

  • The ERA 6.x Proxy komponens használata az ESMC 7-től megszünt.
  • ERA 6.x Agent-ek képesek az ESMC 7 Server-hez kapcsolódni.
  • Az ESET Management Agent 7-es verziója nem képes az ESMC Server-hez ERA Proxy-n vagy ERA 6.x Server-en keresztül kapcsolódni.
  • Ne frissítse az ERA 6.x Agent-eket, amíg nem állított be megfelelő proxy megoldást.
  • ESMC Server nélkül az Agent deployment task  kliensen való futtatása nem lehetséges. Az Agent deployment task csak az Apache HTTP Proxy használatával képes elérni az ESMC szervert.

I. Készítse elő az ERA 6.x rendszert

  1. Készítsen biztonsági másolatot az ERA Server adatairól (pl.: adatbázis, CA és tanusítványok).
     
  2. Az ERA Server frissítése ESMC 7-re Remote Administrator Components Upgrade Task használatával. Ez a task frissíti a szervert, az agent-et és a webkonzolt. Amikor a task-hoz célt rendel, csak az ERA Servert futtató gépet válassza ki.
     
  3. Várjon körülbelül 24 órát és ellenőrizze a frissített környezet megfelelő működését.

II. Telepítse az új Virtual Appliance-t és csatlakoztassa az ESMC Server-hez

A proxy biztonságának és helyes konfigurációjának megőrzése érdekében cserélje ki a régi ERA Proxy - Virtual Appliance-t az új verzióra. Az ESMC 7 nem nyújt önálló proxykonfigurációt, mint az ERA 6.x. Javasoljuk, hogy telepítsen egy új ESMC Server - Virtual Appliance-t. Az új szerver nem menedzsment szerverként, hanem proxy-ként fog funkcionálni. A megfelelően konfigurált Apache HTTP proxy részét képezi az ESMC 7 Virtual Appliance telepítőjének.  

  1. Töltse le az ESMC 7 Virtual Appliance-t.
     
  2. Telepítse az ESMC 7 Virtual Appliance-t a hypervisor-on.
     
  3. Állítsa be az új Appliance-t ESMC Server-ként.
    • Később a folyamat során új jelszó megadására lesz szükség.
    • A konfigurálás során engedélyezze a HTTP Forward Proxy-t.
       
  1. Telepítse újra az ESET Management Agent-et az Appliance-ben és csatlakoztassa a fő ESMC Server-hez. Nyissa meg a virtuális gépet az ESMC Virtual Appliance-szel → Lépjen be a Management mode-ba → Adja meg a jelszavát → Login → Exit to terminal.
     
  2. Az Agent telepítője az az alábbi helyen található: /root/eset_installers/Agent-Linux-x86_64.sh
    Javasoljuk, hogy használja a server-assisted telepítést. Pl.:

    /root/eset_installers/Agent-Linux-x86_64.sh \
    --skip-license \
    --hostname=10.1.179.36 \
    --port=2222 \
    --webconsole-user=Administrator \
    --webconsole-password=aB45$45c \
    --webconsole-port=2223

    Cserélje ki a hostname és a password értékeket a fő ESMC Server aktuális étékeivel. További információkért nyissa meg az ESMC Online Súgó Agent telepítés - Linux bejegyzését.


 

  1. Ha szükséges, az erőforrásokkal való takarékoskodás érdekében megállíthatja az új appliance bizonyos szolgáltatásait.
    Futtassa a terminálon az ezekre vonatkozó parancsokat: 

    System V init Systemd
    service eraserver stop systemctl stop eraserver
    service mysql stop systemctl stop mysql
    service tomcat stop systemctl stop tomcat

    A számítógép újraindítását követően tiltsa le azokat az ESMC és MySQL szolgáltatásokat amelyeket nem szeretné, hogy újra fussanak:

    Systemd
    systemctl disable eraserver
    systemctl disable mysql
    systemctl disable tomcat
  2. Módosítsa a  /etc/httpd/conf.d/proxy.conf helyen található Apache HTTP Proxy konfigurációs fájlt. Használja a nano szerkesztőt a terminálon, vagy férjen hozzá a fájlhoz a Webmin segítségével. Nano esetén használja a következő parancsot:

    nano /etc/httpd/conf.d/proxy.conf
     
    1. Ha megváltoztatta az agent alapértelmezett portját (2222), keresse meg az AllowCONNECT 443 2222 sort és cserélje le a 2222 számot a saját portszámára.
       
    2. Adja hozzá az ESMC Server host nevét vagy IP-címét a konfigurációs fájlhoz. A hozzáadott host névnek pontosan meg kell egyeznie azzal, amelyet az agent-ek használnak az ESMC Serverhez történő csatlakozáshoz. Erre a célre megadhat ProxyMatch kifejezést is.
       
    3. Zárja be a fájlt, és mentse a módosításokat.
       
    4. Indítsa újra az Apache HTTP Proxy szolgáltatást.

      systemctl restart httpd

  3. Nyissa meg az ESET Security Management Web Console-t (ESMC Web Console) a böngészőjében és lépjen be.  Ha az új agent csatlakozik, akkor használja azt a proxy későbbi karbantartásához.

III. Rendeljen egy átálláshoz szükséges policy-t (házirendet) az egyik teszt végponthoz

  1. Az ESMC Web Console-ban kattintson a Policies → New Policy-re.
  1. Töltse ki a policy Name mezőjét.
  1. Kattintson a Settings-re és válassza ki az ESET Management Agent-et.
     
  2. A Connection részen a  Server to connect to sor mellett kattintson az Edit server list-re.
  1. Kattintson az Add-ra.
  1. Host mezőbe írja be az ESMC szerver alkalmazandó címét (a címnek meg kell egyeznie azzal, amit az agent használ a konfigurációban), majd kattintson az OK gombra.
  1. Kattintson a Save-re.
  1. A Policy settings legördülő menüben válassza ki az Append-et.
  1. Kattintson az Advanced Settings-re. A HTTP Proxy részen válassza ki a Different Proxy Per Service lehetőséget a Proxy Configuration legördülő menüből.
  1. Kattintson a Replication (to ESMC Server) mellett található Edit gombra.
  1. Kapcsolja be a Use proxy server opciót. A Host mezőbe írja be  a proxy számítógép IP címét. A Port mezőnél hagyja meg az alapértelmezett értéket (3128), és kattintson a a Save-re.
  1. A policy mentéséhez kattintson a Finish-re. Egyelőre még ne rendelje hozzá egyetlen géphez sem.
IP címek
Fontos, hogy mindkét IP-címet egy listában rendeljük hozzá a klienshez. Ha az agent-nek nem áll rendelkezésére ez az információ a policy-ból, akkor a frissítés után nem tud csatlakozni a proxyhoz és az ESMC Serverhez. Egy ilyen agent-et manuálisan kell javítani a javítási telepítés futtatásával és a helyes ESMC Server cím használatával. Ha a HTTP proxy beállítások nem kerülnek a policy-ban alkalmazásra, akkor az agent képes lesz csatlakozni az ESMC Server-hez.
  1. Válasszon ki egy teszt számítógépet, amely csatlakoztatva van az ERA Proxy-hoz és rendelje hozzá az új policy-t ehhez a géphez.
     
  2. Néhány perc múlva ellenőrizze, hogy a számítógép továbbra is csatlakozik-e az ESMC Server-hez.
     

IV. Az ERA Agent-ek frissítése a kliens végpontokon

  1. Futtasson Security Management Center Components Upgrade taskot.
     
  2. Ellenőrizze, hogy az agent csatlakozik-e az ESMC Server-hez. Folytassa a fennmaradó ügyfelek frissítését.
Frissítések és hibaelhárítás

Ha kiterjedtebb hálózattal rendelkezik, akkor kezdje a frissítést olyan osztályoknál, amelyeknél informatikai tapasztalattal rendelkező felhasználók vannak vagy olyanoknál ahol a felhasználók fizikailag közelebb vannak a számítógépükhöz, így megkönnyítve az esetleges hibaelhárítást.

  1. Alkalmazza a III. részben készített policy-t a többi ERA Proxy-n keresztül csatlakoztatott számítógépen is.

 

  1. A policy alkalmazása után ellenőrizze, hogy minden agent csatlakozik-e az ESMC Server-hez.
     
  2. Futtassa a Security Management Center Components Upgrade Task-ot.
     
  3. Ha az kliensek a frissítés befejezése után csatlakoznak az ESMC Server-hez, folytassa az alábbi V. fejezettel.
     

V. Távolítsa el a szerver listáról az ERA Proxy címét

  1. Nyissa meg az ESET Security Management Web Console-t (ESMC Web Console) a böngészőjében és lépjen be.

  2. Kattintson a Policies-ra, majd válassza ki az alkalmazandó policy-t és kattintson az Edit-re.
  1. Kattintson a Settings-re.
     
  2. A Policy settings legördülő menüben válassza ki a Replace-t.
     
  3. A policy mentéséhez és alkalmazásához kattintson a Finish-re.
  1. Távolítsa el az ERA Proxy Virtual Appliance-t (távolítsa el a virtuális gépet a hypervisor-ból). 

További segítségnyújtás