[KB7757] Migrácia z ERA Proxy (Linux alebo virtuálne zariadenie) na Apache HTTP Proxy v ESET PROTECT

Problém

  • V rámci prostredia ESET Remote Administrator (ERA) 6.5 používate ERA Proxy na virtuálnom zariadení a chcete prejsť na ESET PROTECT, ktorý nepodporuje ERA Proxy.
  • Úlohu, ktorú v ERA plnilo ERA Proxy, chcete v rámci ESET PROTECT zastrešiť prostredníctvom Apache HTTP Proxy na virtuálnom zariadení.
  • Migrácia z ERA Proxy (Windows) na Apache HTTP Proxy v rámci ESET PROTECT
Používatelia ERA vo verzii 6.0 – 6.4

Priamy upgrade na ESET PROTECT 8.0 je možný len z ERA 6.5. Ak používate niektorú zo starších verzií ERA 6.x, bude potrebné najskôr aktualizovať na ERA 6.5.


Podrobnosti

ESET PROTECT je nový názov pre nástroj ESET Security Management Center – nový názov sa začal používať od verzie 8.0. ESET PROTECT využíva novú generáciu komunikačného protokolu medzi serverom a agentmi, ktorá bola predstavená vo vydaní ESMC 7.0. Tento komunikačný protokol používa protokoly TLS a HTTP2, pričom komunikáciu je možné presmerovať pomocou proxy serverov. Okrem toho disponuje self-recovery mechanizmom a využíva perzistentné spojenie, ktoré zvyšuje celkový výkon.

Používatelia ERA Proxy 6.5

Komunikačný protokol používaný nástrojom ESET PROTECT nepodporuje pripojenie prostredníctvom ERA Proxy 6.5.

ESET poskytuje prednastavený inštalátor Apache. Používateľ môže využiť okrem Apache HTTP Proxy aj iné proxy riešenia, ktoré spĺňajú nasledujúce podmienky:

  • dokáže preposielať SSL komunikáciu,
  • podporuje HTTP CONNECT,
  • môže fungovať bez overovania (ESET Management Agent nepodporuje overovanie cez proxy).

Konfigurácia iných proxy riešení je na používateľovi, spoločnosť ESET túto službu neposkytuje. Iné riešenia ako Apache HTTP Proxy nemusia podporovať ukladanie komunikácie ESET Dynamic Threat Defense (EDTD) do vyrovnávacej pamäte (cache).

Virtuálne zariadenie ESET PROTECT zahŕňa správne prednastavené riešenie Apache HTTP Proxy. Odporúčame použiť nové virtuálne zariadenie namiesto aktualizácie starého.

 

Riešenie

Obmedzenia týkajúce sa pripojenia

  • Súčasť ERA 6.x Proxy sa v ESET PROTECT už nepoužíva.
  • ERA 6.x Agenty sa dokážu pripájať na ESET PROTECT Server.
  • ESET Management Agenty sa nedokážu pripájať k ESET PROTECT Serveru cez ERA Proxy alebo ERA 6.x Server.
  • Nevykonávajte aktualizáciu ERA 6.x Agentov predtým, ako nakonfigurujete vhodné riešenie proxy.
  • Nie je možné spustiť úlohu nasadenia agenta na klientoch s ESET PROTECT Serverom. Úloha nasadenia agenta sa môže na ESET PROTECT Server dostať len prostredníctvom Apache HTTP Proxy. 

I. Príprava prostredia ERA 6.x

  1. Zálohujte si ERA Server (napr. databázu, certifikačnú autoritu a certifikáty).
     
  2. Spustite úlohu Aktualizácia súčastí na ERA Serveri (ako cieľ úlohy), aby ste aktualizovali ERA Server 6.5 na ESET PROTECT Server 8.0. Aktualizované budú súčasti Server, Agent (agent na samotnom serveri) a Web Console. Pri nastavovaní cieľa úlohy vyberte iba zariadenie, na ktorom beží ERA Server.
     
  3. Počkajte približne 24 hodín a skontrolujte, či aktualizácia prebehla úspešne.
Obrázok 1-1

II. Nasaďte nové virtuálne zariadenie a pripojte ho k ESET PROTECT Serveru

Ak chcete, aby bolo vaše proxy zabezpečené a dobre nastavené, nahraďte staré ERA Proxy virtuálne zariadenie novou verziou. ESET PROTECT neposkytuje samostatnú proxy konfiguráciu ako ERA 6.x. Odporúčame nasadiť nový ESET PROTECT Server – virtuálne zariadenie. Nový server nebude slúžiť ako server vzdialenej správy, ale ako proxy. Správne nakonfigurované Apache HTTP Proxy je súčasťou virtuálneho zariadenia ESET PROTECT.  

  1. Stiahnite si virtuálne zariadenie ESET PROTECT.
     
  2. Nasaďte virtuálne zariadenie ESET PROTECT na váš nástroj Hypervisor.
     
  3. Nakonfigurujte nové zariadenie ako ESET PROTECT Server.
    • Budete vyzvaný nastaviť nové heslo.
    • Počas konfigurácie zapnite HTTP Forward Proxy.
       
  1. Preinštalujte ESET Management Agenta na zariadení a pripojte ho k hlavnému ESET PROTECT Serveru. Otvorte virtuálny počítač s virtuálnym zariadením ESET PROTECT, vstúpte do režimu správy (Enter Management mode), zadajte heslo a zvoľte LoginExit to Terminal.
     
  2. Inštalátor Agenta sa nachádza v umiestnení: /root/eset_installers/Agent-Linux-x86_64.sh
    Odporúčame vám použiť serverom asistovanú inštaláciu. Napríklad:

    /root/eset_installers/Agent-Linux-x86_64.sh \
    --skip-license \
    --hostname=10.1.179.36 \
    --port=2222 \
    --webconsole-user=Administrator \
    --webconsole-password=aB45$45c \
    --webconsole-port=2223

    Nahraďte hodnoty „hostname“ a „password“ skutočným názvom hostiteľa a heslom z hlavného ESET PROTECT Servera. Pre viac informácií si prečítajte kapitolu Online pomocníka pre ESET PROTECT: Inštalácia agenta – Linux.
Obrázok 1-2

 

  1. Ak je to potrebné, môžete zastaviť určité služby na novom zariadení, čím sa ušetria dostupné zdroje.
    V termináli spustite príslušné príkazy: 

    System V init Systemd
    service eraserver stop systemctl stop eraserver
    service mysql stop systemctl stop mysql
    service tomcat stop systemctl stop tomcat

    Aby ste predišli spúšťaniu služieb MySQL a ESET PROTECT po reštarte, vypnite ich:

    Systemd
    systemctl disable eraserver
    systemctl disable mysql
    systemctl disable tomcat
  2. Upravte konfiguračný súbor Apache HTTP Proxy /etc/httpd/conf.d/proxy.conf. Použite editor nano v termináli alebo si súbor otvorte pomocou nástroja Webmin. V prípade editora nano použite nasledujúci príkaz:

    nano /etc/httpd/conf.d/proxy.conf
     
    1. Ak ste zmenili predvolený port (2222) pre agenta, nájdite riadok AllowCONNECT 443 2222 a zmeňte 2222 na číslo vášho portu.
       
    2. Do konfiguračného súboru pridajte názov hostiteľa alebo IP adresu vášho ESET PROTECT Servera. Pridaný názov hostiteľa musí byť presne rovnaký ako názov hostiteľa, ktorý používajú Agenty na pripojenie k ESET PROTECT Serveru. Rovnako môžete použiť výraz ProxyMatch. 
       
    3. Zatvorte súbor a uložte zmeny.
       
    4. Reštartujte službu Apache HTTP Proxy.

      systemctl restart httpd

  3. Otvorte ESET PROTECT On-Prem vo webovom prehliadači a prihláste sa.
    Ak sa nový Agent úspešne pripája na Server, môžete ho v budúcnosti používať na údržbu proxy.

III. Priraďte politiku prechodu na nové proxy ku testovaciemu klientu

  1. V ESET PROTECT Web Console kliknite na Politiky → Nová politika.
Obrázok 3-1
  1. Zadajte Názov novej politiky.
Obrázok 3-2
  1. Kliknite na Nastavenia a vyberte ESET Management Agent.
     
  2. Rozbaľte sekciu Pripojenie a vedľa položky Pripájať sa k týmto serverom kliknite na možnosť Upraviť zoznam serverov.
Obrázok 3-3
  1. Kliknite na Pridať.
Obrázok 3-4
  1. V poli Hostiteľ zadajte príslušnú adresu (musí sa zhodovať s adresou použitou v konfigurácii agenta) vášho ESET PROTECT Servera a kliknite na OK.
Obrázok 3-5
  1. Kliknite na Uložiť.
Obrázok 3-6
  1. V roletovom menu Nastavenia politiky vyberte možnosť Pripojiť na koniec.
Obrázok 3-7
  1. Rozbaľte Pokročilé nastavenia. V sekcii HTTP Proxy z roletového menu Typ konfigurácie proxy vyberte možnosť Rôzne proxy pre každú službu.
Obrázok 3-8
  1. Vedľa položky Replikácia kliknite na Upraviť.
Obrázok 3-9
  1. Zapnite možnosť Používať proxy server. V poli Hostiteľ zadajte IP adresu proxy servera. V poli Port ponechajte predvolenú hodnotu (3128) a kliknite na Uložiť.
Obrázok 3-10
  1. Politiku uložte kliknutím na Dokončiť. Politiku zatiaľ nepriraďte k žiadnemu počítaču.
IP adresy
Je nevyhnutné, aby boli obe IP adresy v jednom zozname, ktorý sa politikou aplikuje na klienta. V prípade, že Agent nedostane túto informáciu v rámci jednej politiky, nebude sa môcť po vykonaní aktualizácie pripojiť k Proxy a ESET PROTECT Serveru. V takomto prípade bude potrebné manuálne opraviť Agenta vykonaním opravnej inštalácie a zadaním správnej adresy ESET PROTECT Servera. V prípade, že v politike nie je definovaná konfigurácia HTTP Proxy, Agent sa nebude môcť pripojiť na ESET PROTECT Server.
Obrázok 3-11
  1. Ako testovací klient zvoľte jeden z počítačov pripojených prostredníctvom ERA Proxy a priraďte k nemu novú politiku.
     
  2. Počkajte pár minúť a overte, či sa daný počítač naďalej pripája na ESET PROTECT Server.
     

IV. Aktualizujte ERA Agenty na klientskych počítačoch

  1. Spustite úlohu Aktualizácia súčastí ESET PROTECT.
     
  2. Skontrolujte, či sa klient pripája k ESET PROTECT Serveru. Pokračujte aktualizovaním zostávajúcich klientov.
Aktualizácia a riešenie problémov

V prípade veľkej firemnej siete začnite s aktualizáciou na pracovných staniciach, ktoré sa nachádzajú nablízku alebo v rámci oddelení so skúsenejšími používateľmi v oblasti IT. Uľahčí to riešenie prípadných problémov.

  1. Aplikujte politiku zo sekcie III na ostatné počítače pripojené prostredníctvom ERA Proxy.
Obrázok 4-1

 

  1. Po aplikovaní politiky overte, či sa všetky klienty pripájajú na ESET PROTECT Server.
     
  2. Spustite úlohu Aktualizácia súčastí ESET PROTECT.
     
  3. Ak sa po dokončení aktualizácie všetky klienty pripájajú k ESET PROTECT Serveru, prejdite do sekcie V. nižšie.
     

V. Odstráňte adresu ERA Proxy zo zoznamu serverov

  1. Otvorte ESET PROTECT On-Prem vo webovom prehliadači a prihláste sa.

  2. Kliknite na Politiky, vyberte príslušnú politiku a kliknite na Upraviť.
Obrázok 5-1
  1. Prejdite do časti Nastavenia.
     
  2. V roletovom menu Nastavenia politiky vyberte možnosť Nahradiť.
     
  3. Politiku aplikujte a uložte kliknutím na Dokončiť.
Obrázok 5-2
  1. Odstráňte virtuálne zariadenie ERA Proxy (odstránením virtuálneho počítača z nástroja Hypervisor). 
Obrázok 5-3