Problém
- V rámci prostredia ESET Remote Administrator (ERA) 6.5 používate ERA Proxy na virtuálnom zariadení a chcete prejsť na ESET PROTECT, ktorý nepodporuje ERA Proxy.
- Úlohu, ktorú v ERA plnilo ERA Proxy, chcete v rámci ESET PROTECT zastrešiť prostredníctvom Apache HTTP Proxy na virtuálnom zariadení.
- Migrácia z ERA Proxy (Windows) na Apache HTTP Proxy v rámci ESET PROTECT
Podrobnosti
ESET PROTECT je nový názov pre nástroj ESET Security Management Center – nový názov sa začal používať od verzie 8.0. ESET PROTECT využíva novú generáciu komunikačného protokolu medzi serverom a agentmi, ktorá bola predstavená vo vydaní ESMC 7.0. Tento komunikačný protokol používa protokoly TLS a HTTP2, pričom komunikáciu je možné presmerovať pomocou proxy serverov. Okrem toho disponuje self-recovery mechanizmom a využíva perzistentné spojenie, ktoré zvyšuje celkový výkon.
ESET poskytuje prednastavený inštalátor Apache. Používateľ môže využiť okrem Apache HTTP Proxy aj iné proxy riešenia, ktoré spĺňajú nasledujúce podmienky:
- dokáže preposielať SSL komunikáciu,
- podporuje
HTTP CONNECT
, - môže fungovať bez overovania (ESET Management Agent nepodporuje overovanie cez proxy).
Konfigurácia iných proxy riešení je na používateľovi, spoločnosť ESET túto službu neposkytuje. Iné riešenia ako Apache HTTP Proxy nemusia podporovať ukladanie komunikácie ESET Dynamic Threat Defense (EDTD) do vyrovnávacej pamäte (cache).
Virtuálne zariadenie ESET PROTECT zahŕňa správne prednastavené riešenie Apache HTTP Proxy. Odporúčame použiť nové virtuálne zariadenie namiesto aktualizácie starého.
Riešenie
Obmedzenia týkajúce sa pripojenia
- Súčasť ERA 6.x Proxy sa v ESET PROTECT už nepoužíva.
- ERA 6.x Agenty sa dokážu pripájať na ESET PROTECT Server.
- ESET Management Agenty sa nedokážu pripájať k ESET PROTECT Serveru cez ERA Proxy alebo ERA 6.x Server.
- Nevykonávajte aktualizáciu ERA 6.x Agentov predtým, ako nakonfigurujete vhodné riešenie proxy.
- Nie je možné spustiť úlohu nasadenia agenta na klientoch s ESET PROTECT Serverom. Úloha nasadenia agenta sa môže na ESET PROTECT Server dostať len prostredníctvom Apache HTTP Proxy.
I. Príprava prostredia ERA 6.x
- Zálohujte si ERA Server (napr. databázu, certifikačnú autoritu a certifikáty).
- Spustite úlohu Aktualizácia súčastí na ERA Serveri (ako cieľ úlohy), aby ste aktualizovali ERA Server 6.5 na ESET PROTECT Server 8.0. Aktualizované budú súčasti Server, Agent (agent na samotnom serveri) a Web Console. Pri nastavovaní cieľa úlohy vyberte iba zariadenie, na ktorom beží ERA Server.
- Počkajte približne 24 hodín a skontrolujte, či aktualizácia prebehla úspešne.
II. Nasaďte nové virtuálne zariadenie a pripojte ho k ESET PROTECT Serveru
Ak chcete, aby bolo vaše proxy zabezpečené a dobre nastavené, nahraďte staré ERA Proxy virtuálne zariadenie novou verziou. ESET PROTECT neposkytuje samostatnú proxy konfiguráciu ako ERA 6.x. Odporúčame nasadiť nový ESET PROTECT Server – virtuálne zariadenie. Nový server nebude slúžiť ako server vzdialenej správy, ale ako proxy. Správne nakonfigurované Apache HTTP Proxy je súčasťou virtuálneho zariadenia ESET PROTECT.
- Stiahnite si virtuálne zariadenie ESET PROTECT.
- Nasaďte virtuálne zariadenie ESET PROTECT na váš nástroj Hypervisor.
- Nakonfigurujte nové zariadenie ako ESET PROTECT Server.
-
- Budete vyzvaný nastaviť nové heslo.
- Počas konfigurácie zapnite HTTP Forward Proxy.
- Preinštalujte ESET Management Agenta na zariadení a pripojte ho k hlavnému ESET PROTECT Serveru. Otvorte virtuálny počítač s virtuálnym zariadením ESET PROTECT, vstúpte do režimu správy (Enter Management mode), zadajte heslo a zvoľte Login → Exit to Terminal.
- Inštalátor Agenta sa nachádza v umiestnení:
/root/eset_installers/Agent-Linux-x86_64.sh
Odporúčame vám použiť serverom asistovanú inštaláciu. Napríklad:
Nahraďte hodnoty „hostname“ a „password“ skutočným názvom hostiteľa a heslom z hlavného ESET PROTECT Servera. Pre viac informácií si prečítajte kapitolu Online pomocníka pre ESET PROTECT: Inštalácia agenta – Linux./root/eset_installers/Agent-Linux-x86_64.sh \
--skip-license \
--hostname=10.1.179.36 \
--port=2222 \
--webconsole-user=Administrator \
--webconsole-password=aB45$45c \
--webconsole-port=2223
- Ak je to potrebné, môžete zastaviť určité služby na novom zariadení, čím sa ušetria dostupné zdroje.
V termináli spustite príslušné príkazy:
System V init Systemd service eraserver stop
systemctl stop eraserver
service mysql stop
systemctl stop mysql
service tomcat stop
systemctl stop tomcat
Aby ste predišli spúšťaniu služieb MySQL a ESET PROTECT po reštarte, vypnite ich:
Systemd systemctl disable eraserver
systemctl disable mysql
systemctl disable tomcat
- Upravte konfiguračný súbor Apache HTTP Proxy /etc/httpd/conf.d/proxy.conf. Použite editor nano v termináli alebo si súbor otvorte pomocou nástroja Webmin. V prípade editora nano použite nasledujúci príkaz:
nano /etc/httpd/conf.d/proxy.conf
- Ak ste zmenili predvolený port (2222) pre agenta, nájdite riadok
AllowCONNECT 443 2222
a zmeňte2222
na číslo vášho portu.
- Do konfiguračného súboru pridajte názov hostiteľa alebo IP adresu vášho ESET PROTECT Servera. Pridaný názov hostiteľa musí byť presne rovnaký ako názov hostiteľa, ktorý používajú Agenty na pripojenie k ESET PROTECT Serveru. Rovnako môžete použiť výraz ProxyMatch.
- Zatvorte súbor a uložte zmeny.
- Reštartujte službu Apache HTTP Proxy.
systemctl restart httpd
- Ak ste zmenili predvolený port (2222) pre agenta, nájdite riadok
-
Otvorte ESET PROTECT On-Prem vo webovom prehliadači a prihláste sa.Ak sa nový Agent úspešne pripája na Server, môžete ho v budúcnosti používať na údržbu proxy.
III. Priraďte politiku prechodu na nové proxy ku testovaciemu klientu
- V ESET PROTECT Web Console kliknite na Politiky → Nová politika.
- Zadajte Názov novej politiky.
- Kliknite na Nastavenia a vyberte ESET Management Agent.
- Rozbaľte sekciu Pripojenie a vedľa položky Pripájať sa k týmto serverom kliknite na možnosť Upraviť zoznam serverov.
- Kliknite na Pridať.
- V poli Hostiteľ zadajte príslušnú adresu (musí sa zhodovať s adresou použitou v konfigurácii agenta) vášho ESET PROTECT Servera a kliknite na OK.
- Kliknite na Uložiť.
- V roletovom menu Nastavenia politiky vyberte možnosť Pripojiť na koniec.
- Rozbaľte Pokročilé nastavenia. V sekcii HTTP Proxy z roletového menu Typ konfigurácie proxy vyberte možnosť Rôzne proxy pre každú službu.
- Vedľa položky Replikácia kliknite na Upraviť.
- Zapnite možnosť Používať proxy server. V poli Hostiteľ zadajte IP adresu proxy servera. V poli Port ponechajte predvolenú hodnotu (3128) a kliknite na Uložiť.
- Politiku uložte kliknutím na Dokončiť. Politiku zatiaľ nepriraďte k žiadnemu počítaču.
- Ako testovací klient zvoľte jeden z počítačov pripojených prostredníctvom ERA Proxy a priraďte k nemu novú politiku.
- Počkajte pár minúť a overte, či sa daný počítač naďalej pripája na ESET PROTECT Server.
IV. Aktualizujte ERA Agenty na klientskych počítačoch
- Spustite úlohu Aktualizácia súčastí ESET PROTECT.
- Skontrolujte, či sa klient pripája k ESET PROTECT Serveru. Pokračujte aktualizovaním zostávajúcich klientov.
- Aplikujte politiku zo sekcie III na ostatné počítače pripojené prostredníctvom ERA Proxy.
- Po aplikovaní politiky overte, či sa všetky klienty pripájajú na ESET PROTECT Server.
- Spustite úlohu Aktualizácia súčastí ESET PROTECT.
- Ak sa po dokončení aktualizácie všetky klienty pripájajú k ESET PROTECT Serveru, prejdite do sekcie V. nižšie.
V. Odstráňte adresu ERA Proxy zo zoznamu serverov
-
Otvorte ESET PROTECT On-Prem vo webovom prehliadači a prihláste sa.
- Kliknite na Politiky, vyberte príslušnú politiku a kliknite na Upraviť.
- Prejdite do časti Nastavenia.
- V roletovom menu Nastavenia politiky vyberte možnosť Nahradiť.
- Politiku aplikujte a uložte kliknutím na Dokončiť.
- Odstráňte virtuálne zariadenie ERA Proxy (odstránením virtuálneho počítača z nástroja Hypervisor).