[KB6922] Migracja z ERA Proxy (Linux lub maszyna wirtualna) do Apache HTTP Proxy w ESMC 7

Problem

  • Posiadasz środowisko ESET Remote Administrator (ERA) 6.x oparte na infrastrukturze ERA Proxy wdrożonej jako obraz maszyny wirtualnej (OVA) i chciałbyś wykonać aktualizację do ESET Security Management Center (ESMC) 7, która nie wspiera ERA Proxy
  • Chciałbyś włączyć mechanizm Apache HTTP Proxy na maszynie wirtualnej w celu zastąpienia roli komponentu ERA Proxy w ESMC 7
  • Czy wykorzystujesz ERA Proxy na maszynie Windows?

Detale

Konsola ESMC 7 wprowadziła nową generację protokołu komunikacyjnego dla połączenia Agen - Serwer. Nowy protokół replikacji wykorzystuje protokoły TLS oraz HTTP2, zatem może być przekazywany przez serwer Proxy. Dodatkowo wprowadzono nową funkcjonalność samodzielnego odzyskiwania oraz poprawiono trwałość połączenia, co poprawia ogólną wydolność komunikacji.

Użytkownicy ERA Proxy 6.x

Nowy protokół komunikacyjny nie wspiera połączenia z wykorzystaniem infrastruktury ERA Proxy 6.x.

ESET udostępnia wstępnie skonfigurowany instalator Apache. Użytkownik może również wykorzystać wybrane przez siebie rozwiązanie proxy (poza Apache HTTP Proxy), które spełnia poniższe wymagania:

  • Umożliwia przekazywanie komunikacji szyfrowanej SSL
  • Wspiera HTTP CONNECT
  • Może działać bez konieczności dodatkowej autentykacji (ESET Management Agent nie wspiera autentykacji na serwerze Proxy)

Konfiguracja innych rozwiązań typu proxy nie jest zapewniana, ani wspierana przez ESET. Inne rozwiązania typu proxy mogą nie wspierać przechwytywania komunikacji modułu ESET Dynamic Threat Defence.

Maszyna wirtualna ESMC 7 posiada zainstalowaną i wstępnie skonfigurowaną usługę Apache HTTP Proxy. Rekomendujemy wykorzystanie nowej maszyny, zamiast aktualizacji dotychczas wykorzystywanej.

 

Rozwiązanie

Ograniczenia połączeń

  • Komponent ERA Proxy 6.x nie jest kontynuowany w ESMC 7.
  • Agent ERA 6.x nawiązuje połączenie do serwera ESMC 7.
  • ESET Management Agent 7 nie może nawiązywać połączenia do Serwera ESMC za pośrednictwem ERA Proxy oraz do Serwera ERA 6.x.
  • Nie wykonuj aktualizacji Agentów ERA 6.x zanim zostanie skonfigurowane odpowiednie rozwiązanie proxy.
  • Nie jest możliwe uruchomienie zadania Wdrażanie agenta na klientach z poziomu Serwera ESMC. Zadanie Wdrażanie agenta może zostać wykorzystane wyłącznie po wdrożeniu Apache HTTP Proxy. 

I. Przygotuj środowisko ERA 6.x

  1. Wykonaj kopię zapasową serwera ERA (na przykład, kopię zapasową bazy danych, Urzędu certyfikacji i certyfikatów).
     
  2. Uaktualnij Serwer ERA do ESMC 7 wykorzystując Zadanie Uaktualnienie komponentów rozwiązania Remote Administrator. Zadanie to uaktualni Serwer ERA, Agenta i konsolę internetową. Przypisz zadanie wyłącznie do maszyny z zainstalowanym serwerem ERA.
     
  3. Odczekaj około 24 godziny zanim przejdziesz do dalszych kroków, aby upewnić się, że środowisko działa prawidłowo po aktualizacji.

II. Wdrożenie nowej maszyny wirtualnej i podłączenie do serwera ESMC

W celu zapewnienia prawidłowego działania i właściwej konfiguracji proxy, konieczne jest zastąpienie starego ERA Proxy (maszyna wirtualna), nową wersją. ESMC 7 nie zapewnia odrębnej maszyny będącej odpowiednikiem ERA Proxy 6.x. Rekomendujemy wdrożenie nowego serwera ESMC (maszyna wirtualna). Nowy serwer nie jest wykorzystywany jako konsola zarządzająca, ale proxy. Prawidłowo skonfigurowany Apache HTTP Proxy jest wbudowany w maszynę wirtualną ESMC 7.  

  1. Pobierz maszynę wirtualną ESMC 7.

  2. Wdróż maszynę wirtualną ESMC 7 na wybranym wirtualizatorze.
     
  3. Skonfiguruj maszynę jako Serwer ESMC.
    • Zostaniesz poproszony o podanie nowego hasła.
    • Zaznacz opcję Enable HTTP Forward Proxy w formularzu konfiguracyjnym.
       
  1. Wykonaj ponowną instalację ESET Management Agent na maszynie, tak aby nawiązywał on połączenie do głównego serwera ESMC. Otwórz maszynę wirtualną ESMC → kliknij Enter, aby przejść do trybu zarządzania → wpisz hasło → Login→ Exit to terminal.
     
  2. Instalator Agenta jest zlokalizowany w: /root/eset_installers/Agent-Linux-x86_64.sh
    Sugerujemy wykorzystać instalację wspomaganą serwerowo. Na przykład:

    /root/eset_installers/Agent-Linux-x86_64.sh \
    --skip-license \
    --hostname=10.1.179.36 \
    --port=2222 \
    --webconsole-user=Administrator \
    --webconsole-password=aB45$45c \
    --webconsole-port=2223

    Zastąp przykładowe adres IP i hasło, danymi właściwymi dla Twojego środowiska. Więcej informacji można znaleźć w artykule Instalacja Agenta - Linux


 

  1. W razie potrzeby na maszynie mającej spełniać funkcję Proxy możliwe jest wyłączenie poszczególnych niewykorzystywanych usług, co pozwoli zaoszczędzić wykorzystywane zasoby. Możliwe komendy zebrano w poniższej tabeli.
    Komendy wykonaj z poziomu terminala Linux: 

    System V init Systemd
    service eraserver stop systemctl stop eraserver
    service mysql stop systemctl stop mysql
    service tomcat stop systemctl stop tomcat

    Aby zapobiegać włączaniu się usług ESMC i MySQL po restarcie systemu wyłącz je korzystając z komend dostępnych w poniższej tabeli:

    Systemd
    systemctl disable eraserver
    systemctl disable mysql
    systemctl disable tomcat
  2. Zmodyfikuj konfigurację Apache HTTP Proxy poprzez edycję pliku /etc/httpd/conf.d/proxy.conf. Użyj edytora tekstu nano w oknie terminala lub uzyskaj dostęp do pliku poprzez interfejs Webmin. Chcąc wykorzystać edytor nano wykonaj poniższą komendę:

    nano /etc/httpd/conf.d/proxy.conf
     
    1. Jeśli zmieniłeś domyślny port połączenia agenta (2222), odnajdź wiersz AllowCONNECT 443 2222 i zmień 2222 na numer wykorzystywanego portu.
       
    2. Dodaj nazwę hosta lub adres IP serwera ESMC do pliku konfiguracyjnego. Nazwa hosta musi odpowiadać nazwie używanej przez Agenta do połączenia z serwerem ESMC. Możesz również dodać wyrażenie ProxyMatch. 
       
    3. Zamknij plik i zapisz wykonane zmiany.
       
    4. Uruchom ponownie usługę Apache HTTP Proxy.

      systemctl restart httpd

  3. Otwórz Konsolę internetową ESET Security Management Center (konsolę webową ESMC) w przeglądarce internetowej i zaloguj się. Jeśli nowo zainstalowany Agent nawiązuje prawidłowo połączenie wykorzystaj go do dalszego dostosowania maszyny proxy.

III. Przypisz politykę przejściową do testowego komputera

  1. W Konsoli internetowej ESMC kliknij Polityki → Nowa polityka.
  1. Wpisz Nazwę polityki.
  1. Kliknij Ustawienia, wybierz produkt ESET Management Agent.
     
  2. W sekcji Połączenie, obok Serwery, z którymi można nawiązać połączenie, kliknij Edytuj listę serwerów.
  1. Kliknij Dodaj.
  1. W polu Host wpisz odpowiedni adres (musi on być zgodny z konfiguracją Agenta) Serwera ESMC i kliknij OK.
  1. Kliknij Zapisz.
  1. W rozwijanym menu Ustawienia polityki wybierz Dodaj.
  1. Kliknij Ustawienia zaawansowane. W podsekcji HTTP Proxy z rozwijanego menu Typ konfiguracji serwera proxy wybierz Inny serwer proxy dla każdej usługi.
  1. Obok Replikacja (do Serwera ESMC), kliknij Edytuj.
  1. Włącz Użyj serwera proxy. W polu Host, wpisz adres IP maszyny proxy. W polu Port, pozostaw wartość domyślną (3128) i kliknij Zapisz.
  1. Kliknij Zakończ, aby zapisać utworzoną politykę. Nie przypisuj jej jeszcze do stacji roboczych.
Adresy IP
Konieczne jest dodanie adresu IP do listy serwerów zapisanej na Agencie (domyślnie Agent posiada zapisany adres Serwera ESMC). Jeżeli Agent nie będzie posiadał tych informacji w polityce, nie będzie umiał nawiązać połączenia do proxy i serwera ESMC po aktualizacji polityki. W takiej sytuacji Agenta trzeba przywrócić do działania manualnie poprzez uruchomienie, bezpośrednio na stacji końcowej, Naprawy instalacji i skonfigurowanie właściwego adresu IP serwera ESMC. Jeżeli konfiguracja HTTP Proxy nie zostanie dodana do polityki wówczas Agent ma możliwość połączenia do Serwera ESMC.
  1. Wybierz komputer, który powinien do połączenia wykorzystywać ERA Proxy i przypisz politykę do testowego komputera.
     
  2. Po upływie kilku minut, zweryfikuj czy stacja nadal prawidłowo nawiązuje połączenie do Serwera ESMC.
     

IV. Zaktualizuj Agenta ERA na stacjach roboczych

  1. Uruchom zadanie Uaktualnienie komponentów rozwiązania Security Management Center na testowej stacji roboczej (tej, do której w sekcji III została przypisana polityka).
     
  2. Zweryfikuj, czy stacja robocza prawidłowo nawiązuje połączenie do Serwera ESMC. Kolejno przypisz politykę utworzoną w sekcji III do pozostałych stacji roboczych.

  3. Jeśli po przypisaniu polityki Agenci prawidłowo replikują się do Serwera ESMC wykonaj zadanie Uaktualnienia komponentów rozwiązania Security Management Center na pozostałych stacjach roboczych.
Aktualizacja i rozwiązywanie problemów

Jeśli sieć jest złożona i bardzo rozbudowana, rozpocznij wykonywanie aktualizacji od działów, w których pracownicy są obyci z działaniem komputera lub przez cały dzień pracują na nim, tak aby ułatwić rozwiązywanie ewentualnych problemów.

 

  1. Jeśli po wykonaniu zadania stacje robocze nadal prawidłowo zgłaszają się do Serwera ESMC przejdź do sekcji V.
     

V. Usuń adres ERA Proxy z listy serwerów

  1. Otwórz konsolę internetową ESMC w przeglądarce internetowej i zaloguj się.

  2. Kliknij Polityki, wybierz utworzoną wcześniej politykę i kliknij Edytuj.
  1. Kliknij Ustawienia
     
  2. W menu rozwijanym Ustawienia polityki wybierz Zastąp.
     
  3. Kliknij Zakończ, aby zapisać ustawienia i zastosować politykę.
  1. Usuń maszynę wirtualną ERA Proxy (usunięcie z poziomu wirtualizatora). 

Dodatkowa pomoc