[KB6922] ESMC 7의 ERA 프록시 (리눅스 또는 가상 어플라이언스)에서 Apache HTTP 프록시로 마이그레이션

Issue

  • 가상 어플라이언스에서 ERA 프록시로 실행되는 ESET Remote Administrator (ERA) 6.x 환경이 동작하고 ERA 프록시를 지원하지 않는 ESET Security Management Center (ESMC) 7로 업그레이드하려는 경우
  • ESMC 7에서 ERA 프록시의 역할을 대체하기 위해 가상 어플라이언스에서 Apache HTTP 프록시를 활성화하려는 경우
  • Windows 호스트에서 프록시를 사용하고 있습니까?

Details

ESMC 7에는 차세대 에이전트 / 서버 통신 프로토콜이 도입되었습니다. 새로운 복제 프로토콜은 TLS 및 HTTP2 프로토콜을 사용하므로 프록시 서버를 통활 수 있습니다. 또한 새로운 자체 복구 기능과 전반적인 통신 성능을 향상시키는 지속적인 연결이 있습니다.

ERA 프록스 6.x 사용자

새로운 통신 프로토콜은 ERA 프록시 6.x를 사용한 연결을 지원하지 않습니다.

ESET은 사전 구성된 Apache 설치 프로그램을 제공합니다. 사용자는 다음 조건을 충족하는 다른 프록시 솔루션 (Apache HTTP 프록시 제외)을 사용할 수도 있습니다.

  • SSL 통신을 전달할 수 있습니다.
  • HTTP CONNECT 지원
  • 인증없이 동작 (ESET Management 에이전트는 프록시 인증을 지원하지 않음)

다른 프록시 솔루션의 구성은 ESET에서 제공하거나 지원하지 않습니다. 다른 솔루션은ESET Dynamic Threat Defense (EDTD) 통신의 캐싱을 지원하지 않을 수 있습니다.

ESMC 7 가상 어플라이언스에는 올바르게 사전 구성된 Apache HTTP 프록시가 포함되어 있ㅅ브니다. 이전 어플라이언스를 업그레이드하는 대신 새 어플라이언스를 사용하는 것이 좋습니다.

Solution

연결 제한

  • ERA 6.x 프록시 구성 요소는 ESMC 7에서 중단되었습니다.
  • ERA 6.x 에이전트는 ESMC 7 서버에 연결할 수 있습니다..
  • ESET Management 에이전트 7은 ERA 프록시나 ERA 6.x 서버를 통해 ESMC 서버에 연결할 수 없습니다.
  • 적절한 프록시 솔루션을 설정하기 전에 ERA 6.x 에이전트를 업그레이드하지 마십시오.
  • ESMC 서버가 있는 클라이언트에서는 에이전트 배포 작업을 실행할 수 없습니다. 에이전트 배포작업은 Apache HTTP 프록시를 사용하여 ESMC 서버에만 도달할 수 있습니다.

I. ERA 6.x 환경 준비

  1. ERA 서버를 백업합니다. (예: 백업 DB, CA 및 인증서).
     
  2. 원격 관리자 구성 요소 업그레이드 작업을 통해ERA 서버를 ESMC 7로 업그레이드합니다. 이 작업은 서버, 에이전트 및 웹 콘솔을 업데이트합니다. 작업 대상을 할당할 때 ERA 서버가 있는 머신만 선택합니다.
     
  3. 업그레이드된 환경이 원할하게 실행되는지 확인하려면 약 24시간을 기다립니다.
그림 1-1

II. 새 가상 어플라이언스를 배포하고 ESMC 서버에 연결

프록시를 안전하고 올바르게 구성하려면 이전 ERA 프록시-가상 어플라이언스를 새 버전으로 교체합니다. ESMC 7은 ERA 6.x와 달리 독립 실행형 프록시 구성을 제공하지 않습니다. 새 ESMC 서버-가상 어플라이언스를 배포하는 것이 좋습니다. 올바르게 구성된 Apache HTTP 프록시는 ESMC 7 가상 어플라이언스 다운로드에 포함되어 있습니다.

  1. ESMC 7 가상 어플라이언스를 다운로드합니다.
     
  2. 하이퍼바이저에 ESMC 7 가상 어플라이언스를 배포합니다.
     
  3. 새 어플라이언스를 ESMC 서버로 구성합니다.
    • 나중에 프로세스에서 새 암호를 입력하라는 메시지가 표시됩니다.
    • 구성 중에 HTTP 전달 프록시를 활성화합니다.
       
  1. 어플라이언스에 ESET Management 에이전트를 다시 설치하고 기본 ESMC 서버에 연결합니다. ESMC 가상 어플라이언스로 가상 머신 열기 → 관리 모드 시작 → 암호 입력 → 로그인 → 터미널로 종료
     
  2. 에이전트 설치 프로그램은 다음 위치에 있습니다: /root/eset_installers/Agent-Linux-x86_64.sh
    서버 지원 설치를 사용하는 것이 좋습니다. 예:

    /root/eset_installers/Agent-Linux-x86_64.sh \
    --skip-license \
    --hostname=10.1.179.36 \
    --port=2222 \
    --webconsole-user=Administrator \
    --webconsole-password=aB45$45c \
    --webconsole-port=2223

    호스트 이름 및 암호 값을 기본 ESMC 서버의 실제 값으로 바꿉니다. 자세한 내용은 ESMC 온라인 도움말 가이드에서 에이전트 설치 - 리눅스 항목을 참조하세요.
그림 2-1


 

  1. 필요하면, 새 어플라이언스에서 특정 서비스를 중지하여 리소스를 절약할 수 있습니다. 
    터미널에서 해당 명령을 실행합니다.

    System V init Systemd
    service eraserver stop systemctl stop eraserver
    service mysql stop systemctl stop mysql
    service tomcat stop systemctl stop tomcat

    재부팅 후 ESMC 및 MySQL 서비스가 시작되지 않도록하려면 비활성화합니다.

    Systemd
    systemctl disable eraserver
    systemctl disable mysql
    systemctl disable tomcat
  2. Apache HTTP 프록시 구성 파일 /etc/httpd/conf.d/proxy.conf 를 수정합니다. 터미널에서 nano 편집기를 사용하거나 Webmin을 사용하여 파일에 접근합니다.  nano의 경우 다움 명령을 사용합니다.

    nano /etc/httpd/conf.d/proxy.conf
     
    1. 에이전트 기본 포트 (2222)를 AllowCONNECT 443 2222 변경한 경우 라인을 찾아 2222 포트 번호로 변경합니다.
       
    2. ESMC 서버의 호스트 이름 또는 IP 주소를 구성 파일에 추가 합니다. 추가하는 호스트 이름은 ESMC 서버에 연결하기 위해 에이전트가 사용하는 호스트 이름과 정확히 동일해야 합니다.  ProxyMatch 표현식 을 추가할 수도 있습니다.
       
    3. 파일을 닫고 변경 사항을 저장합니다.
       
    4. Apache HTTP Proxy 서비스를 다시 시작합니다.

      systemctl restart httpd

  3. 웹 브라우저에서 ESET Security Management 웹 콘솔을 열고 로그인합니다. 새 에이전트가 연결 중이면 프록시 컴퓨터의 향후 유지 관리에 사용합니다.

III. 테스트 클라이언트에 전환 정책 할당

  1. ESMC 웹 콘솔에서 정책 → 새 정책을 클릭합니다.
그림 3-1
  1. 정책의 이름을 입력합니다.
그림 3-2
  1. 설정을 클릭하고, ESET Management 에이전트를 선택합니다.
     
  2. 연결 섹션에서 서버 연결 옆에 서버 목록 편집을 누릅니다.
그림 3-3
  1. 추가를 클릭합니다.
그림 3-4
  1. 호스트 필드에서 ESMC의 해당 주소 (에이전트가 구성에서 사용는 주소와 일치해야 함)을 입력하고 확인을 클릭합니다.
그림 3-5
  1. 저장을 클릭합니다.
그림 3-6
  1. 정책 설정 드롭다운 메누에서 추가를 선택합니다.
그림 3-7
  1. 고급 설정을 클릭합니다. HTTP 프록시 섹션에서 프록시 구성 드롭다운 메뉴에서 서버별 다른 프록시를 선택합니다.
그림 3-8
  1. 복제 (ESMC 서버) 옆의 편집을 클릭합니다.
그림 3-9
  1. 프록시 서버 사용을 활성화합니다. 호스트 필드에서 프록시 시스템의 IP 주소를 입격합니다. 포트 필드를 기본값(3128)으로 두고 저장을 클릭합니다.
그림 3-10
  1. 완료를 클릭해 정책을 저장합니다. 아직 컴퓨터를 할당하지 마세요.
IP 주소
클라이언트에 적용되는 하나의 목록에 두 IP 주소가 모두 있어야 합니다. 에이전트의 정책에 이 정보가 없으면 업그레이드 후 프록시 및 ESMC 서버에 연결할 수 없습니다. 이러한 에이전트는 복구 설치를 실행하고 올바른 ESMC 서버 주소를 사용하여 수동으로 수정해야 합니다. HTTP프록시 정책에 적용되지 않은 경우 에이전트는 ESMC 서버에 연결할 수 있습니다.
그림 3-11
  1. ERA 프록시를 통해 연결된 하나의 컴퓨너를 선태하고 해당 테스트 클라이언트에 새 정책을 할당합니다.
     
  2. 클라이언트가 ESMC 서버에 연결되어 있는지 확인합니다. 나머지는 클라이언트를 계속 업그레이드하세요.
     

IV. 클라이언트 컴퓨터에서 ERA 에이전트 업그레이드

  1. 보안 관리 센터 구성 요소 업그레이드 작업을 실행합니다.
     
  2. 클라이언트가 ESMC 서버에 연결되어 있는지 확인합니다. 나머지 클라이언트를 계속 업그레이드하십시오.
업그레이드 및 문제 해결

더 광범위한 네트워크가 있는 경우 IT 경험이 있는 사용자가 포함된 부서 또는 컴퓨터에서 물리적으로 더 가까운 부서에서 업그레이드를 시작하여 문제 해결을 더 쉽게 만듭니다.

  1. 파트 III의 정책을 ERA 프록시를 통해 연결된 다른 컴퓨터에 적용합니다.
그림 4-1

 

  1. 정책이 적용된 후 모든 클라이언트가 ESMC 서버에 연결되어 있는지 확인합니다.
     
  2. 안 관리 센터 구성 요소 업그레이드 작업을 실행합니다.
     
  3. 업그레이드가 완료된 후 모든 클라이언트가 ESMC 서버에 연결되어 있으면 아래 섹션 V로 이동합니다.
     

V. 서버 목록에서 ERA 프록시 주소 제거

  1. 웹 브라우저에서ESET Security Management 웹 콘솔을 열고 (ESMC Web Console) 로그인합니다.

  2. 정책을 클릭하고, 적용 가능한 정책을 선택하고 편집을 클릭합니다.
Figure 5-1
  1. 설정을 클릭합니다.
     
  2. 정책 설정 드롭다운 메뉴에서 바꾸기를 선택합니다.
     
  3. 완료를 클릭하여 정책을 저장하고 적용합니다.
그림 5-2
  1. ERA 프록시 가상 어플라이언스를 제거합니다. (하이퍼 바이저에서 가상 머신 제거)
그림 5-3

추가 지원이 필요하십니까?