[KB6922] Migrare da ERA Proxy (Linux o Virtual Appliance) a Apache HTTP Proxy in ESMC 7

Problema

  • Hai un ambiente ESET Remote Administrator (ERA) 6.x che funziona con un ERA Proxy su un dispositivo virtuale e vuoi passare a ESET Security Management Center (ESMC) 7, che non supporta ERA Proxy
  • Vuoi abilitare un proxy HTTP Apache su un dispositivo virtuale per sostituire il ruolo di un proxy ERA in ESMC 
  • Stai usando un proxy ERA su un host Windows?

Dettagli

ESMC 7 introduce una nuova generazione di protocollo di comunicazione agente/server. Il nuovo protocollo di replica utilizza i protocolli TLS e HTTP2 in modo da poter passare attraverso i server proxy. Ci sono anche nuove caratteristiche di auto-recupero e una connessione persistente che migliora le prestazioni complessive della comunicazione.

Utenti ERA Proxy 6.x 

Il nuovo protocollo di comunicazione non supporta una connessione con ERA Proxy 6.x.

ESET fornisce un installer di Apache preconfigurato. L'utente può anche utilizzare altre soluzioni proxy (oltre ad Apache HTTP Proxy) purché soddisfano le seguenti condizioni:

  • Può inoltrare le comunicazioni SSL
  • Supporta  HTTP CONNECT
  • Può funzionare senza autenticazione (ESET Management Agent non supporta l'autenticazione con proxy)

La configurazione di altre soluzioni proxy non è fornita o supportata da ESET. Altre soluzioni potrebbero non supportare il caching delle comunicazioni di ESET Dynamic Threat Defense (EDTD).

ESMC 7 Virtual Appliance contiene un proxy HTTP Apache preconfigurato correttamente. Si consiglia di utilizzare la nuova appliance invece di aggiornare quella vecchia.

Soluzione

Limitazioni di connessione

  • Il componente ERA 6.x Proxy è stato sospeso in ESMC 7.
  • Gli agenti ERA 6.x possono connettersi al server ESMC 7.
  • L'ESET Management Agent 7 non può connettersi al Server ESMC tramite
  • Non aggiornare ERA 6.x Agents prima che venga implementata una soluzione proxy adeguata.
  • Non è possibile eseguire l'Attvità di distribuzione dell'agente sui client con un server ESMC. L’attività di distribuzione dell'agente può raggiungere il server ESMC solo utilizzando Apache HTTP Proxy. 

I.Preparare il proprio ambiente ERA 6.x

  1. Eseguire il backup del server ERA (ad esempio, backup databaseCA and certificati)
     
  2. Aggiornare il server ERA a ESMC 7 tramite un'Attività di Aggiornamento dei Componenti dell'Amministratore Remoto. Questo compito aggiorna il server, l'agente e la console web. Quando si assegna un target per l'attività, selezionare solo la macchina con il server ERA.
     
  3. Attendere circa 24 ore per verificare che l'ambiente aggiornato funzioni senza problemi.
Figure 1-1

II. Implementare il nuovo Virtual Appliance e collegarlo al Server ESMC

Per mantenere il proprio proxy sicuro e ben configurato, sostituire il vecchio ERA Proxy - Virtual Appliance con la nuova versione.  ESMC 7 non fornisce una configurazione proxy standalone come ERA 6.x.  Si consiglia di utilizzare un nuovo Server ESMC - Virtual Appliance.  Il nuovo server non viene utilizzato come server amministrativo, ma come proxy.  Il Proxy HTTP Apache configurato correttamente è incluso nel download di ESMC 7 Virtual Appliance.  

  1. Download the ESMC 7 Virtual Appliance.
     
  2. Installare ESMC 7 Virtual Appliance sul proprio hypervisor.
     
  3. Configurare l'Appliance come Server ESMC.
    • Più tardi verrà richiesta la nuova password.
    • Abilitare il proxy HTTP Forward durante la configurazione. 

 

  1. Reinstallare ESET Management Agent sull'apparecchio e collegarlo al Server ESMC principale. Aprire la macchina virtuale con il proprio ESMC Virtual Appliance → Enter Management mode → inserire la password → Login Exit to terminal.
  2. L'installer dell'agente si trova in: /root/eset_installers/Agent-Linux-x86_64.sh
    Si consiglia di utilizzare l'installazione assistita dal server. Per esempio:

    /root/eset_installers/Agent-Linux-x86_64.sh \
    --skip-license \
    --hostname=10.1.179.36 \
    --port=2222 \
    --webconsole-user=Administrator \
    --webconsole-password=aB45$45c \
    --webconsole-port=2223

    Sostituire i valori di hostname e password con i valori effettivi del server ESMC principale. Per ulteriori informazioni, fare riferimento all'argomento Installazione dell'agente - Linux nella Guida in linea ESMC.Agent installation - Linux .

 

Figure 2-1


 

  1. Se necessario, è possibile interrompere alcuni servizi sul nuovo apparecchio per risparmiare risorse.
    Nel Terminale, eseguire i comandi applicabili:
    System V init Systemd
    service eraserver stop systemctl stop eraserver
    service mysql stop systemctl stop mysql
    service tomcat stop systemctl stop tomcat

    Per evitare che i servizi ESMC e MySQL si avviino dopo il riavvio, disattivarli:

    Systemd
    systemctl disable eraserver
    systemctl disable mysql
    systemctl disable tomcat
  2. Modificare il file di configurazione di Apache HTTP Proxy /etc/httpd/conf.d/proxy.conf. Utilizzare il nano editor nel Terminale o accedere al file utilizzando Webmin. Per il nano, utilizzare il seguente comando:

    nano /etc/httpd/conf.d/proxy.conf
     
    1. Se è stata cambiata la porta predefinita (2222) per l'agente, trovare la linea AllowCONNECT 443 2222 e sostituire 2222 con il numero della propria porta.
       
    2. Aggiungere l’hostname o l'indirizzo IP del proprio server ESMC al file di configurazione. L'hostname deve essere esattamente lo stesso che usano gli Agenti per connettersi al Server ESMC. È anche possibile aggiungere ProxyMatch expression. 
    3. Chiudere il file e salvare le modifiche. 
    4. Riavviare il servizio Apache HTTP Proxy.

      systemctl restart httpd

  3. Aprite ESET Security Management Web Console (ESMC Web Console) nel browser web ed effettuare il login.  Se il nuovo agente si sta collegando, utilizzarlo per la manutenzione futura della macchina proxy.

III. Assegnare una policy di transizione a un client di prova

  1. Nella ESMC Web Console cliccare Policies → New Policy.
Figure 3-1
  1. Digitare un Name per la policy.
Figure 3-2
  1. Fare Clic Settings, selezionare ESET Management Agent.
     
  2. Nella sezione Connection, accanto a Server connects to, fare clic Edit server list.
Figure 3-3
  1. Fare Clic Add.
Figure 3-4
  1. Nel campo Host, digitare l'indirizzo applicabile (l'indirizzo deve corrispondere a quello utilizzato dall'agente nella configurazione) del vostro Server ESMC e cliccare su OK.
Figure 3-5
  1. Fare Clic su Save.
Figure 3-6
  1. Nel menu a discesa Policy settings, selezionare Append.
Figure 3-7
  1. Fare click su Advanced Settings. Nella sezione HTTP Proxy, selezionare Different Proxy Per Service dal menu a discesa rapida Proxy Configuration.
Figure 3-8
  1. Accanto a Replication (to ESMC Server), fare clic su Edit.
Figure 3-9
  1. Attivare l'opzione Use proxy server. Nel campo Host, digitare l'indirizzo IP della macchina proxy. Nel campo Port, lasciare il valore predefinito (3128) e fare clic su Save.
Figure 3-10
  1. Fare clic su Finish per salvare la policy. Non assegnarlo ancora a un computer
Indirizzi IP 
È necessario avere entrambi gli indirizzi IP in un unico elenco applicato al client. Se l'agente non dispone di queste informazioni nella policy, non è in grado di connettersi al proxy e al Server ESMC dopo l'aggiornamento. Tale agente deve essere fissato manualmente eseguendo un'installazione di riparazione e utilizzando l'indirizzo ESMC Server corretto. Se l'impostazione HTTP Proxy non è applicata nella policy, l'agente è in grado di connettere il Server ESMC.
Figure 3-11
  1. Scegliere un computer collegato tramite ERA Proxy e assegnare la nuova policy a quel client di test. 
  2. Dopo alcuni minuti, verificare che il computer sia ancora connesso al Server ESMC
     

IV. Aggiornamento degli agenti ERA su computer client

  1. Eseguire un'attività di Aggiornamento dei componenti del Centro gestione protezione..
     
  2. Verificare che il client sia collegato al server ESMC. Continuare ad aggiornare i restanti client.
Aggiornamenti e risoluzione dei problemi

Se si dispone di una rete più estesa, iniziare l'aggiornamento dai reparti che includono utenti esperti di IT o che sono fisicamente più vicini ai loro computer per rendere più semplice la risoluzione dei problemi.

  1. Applicare la policy dalla parte III agli altri computer collegati tramite il Proxy ERA.
Figure 4-1

 

  1. Dopo l'applicazione della policy, verificare che tutti i client si colleghino al Server ESMC.
     
  2. Eseguire un'attività  Security management Center Components Upgrade Task.
     
  3. Se tutti i client si collegano al server ESMC dopo aver terminato l'aggiornamento, procedere alla sezione V di seguito.
     

V. Rimuovere l'indirizzo ERA Proxy dalla lista dei server

  1. Aprire ESET Security Management Web Console (ESMC Web Console) nel browser e fare log in.

  2. Fare clic su Policies, selezionare la policy applicabile e fare clic su Edit.
Figure 5-1
  1. Fare clic Settings
     
  2. Nel menu a discesa Policy settings, selezionare Replace
     
  3. Fare clic su Finish per salvare e applicare la policy.
Figure 5-2
  1. Rimuovere ERA Proxy Virtual Appliance (rimuovere la macchina virtuale dall' hypervisor). 
Figure 5-3

Need further assistance?