Checkpoint R80.10 (Upgrade from R77.30)

Checkpoint R80.10 (Upgrade from R77.30)

Merhaba arkadaşlar sitemde bu hafta sizlere Checkpoint’in uzun zamandan beri beklenen versiyonu R80.10 anlatmaya ve R77.30 dan upgrade işlemi nasıl yapılır , karşılaşabileceğiniz sorunlar nelerdir,bunları anlatmaya çalışacağım.

Bildiğiniz üzere Checkpoint de Management versiyonu herzaman Gateway lerden üst versiyon olmak zorundadır. R80 versiyonu sadece Management olarak çıktığı için yapımızı tam olarak R80/R80.10 versiyonuna çıkaramıyordur.Tüm sürümler yayınlandığı için artık bu işlemi yapabiliyoruz.Aşağıdaki linkten görebileceğiniz üzere Gateway ve Management serverınızı için R80.10 versiyonu yayınlanmış durumda

https://supportcenter.checkpoint.com/supportcenter/portal?eventSubmit_doGoviewsolutiondetails=&solutionid=sk111841

Makalemde upgrade işlemini import/export komutlarıyla yapacağım.Bu makaleden önce IMPORT/EXPORT yöntemini anlattığım makaleyi okumanızda fayda var .

Checkpoint Backup and Restore

Checkpoint de hangi versiyona upgrade edecekseniz o versiyonun upgrade_tool u ile backup almalısınız.Upgrade tool linki;

https://supportcenter.checkpoint.com/supportcenter/portal/role/supportcenterUser/page/default.psml/media-type/html?action=portlets.DCFileAction&eventSubmit_doGetdcdetails=&fileid=54786

R77.30 management serverıma WinSCP ile bağlanıp upgrate_tool dosyasını buraya atıyorum ardından Untar ile dosyayı dışarıya çıkartıyorum

Putty ile bağlanmadan önce attığım dosyalara yetki olarak 777 veriyorumki bu komutları çalıştırabileyim

Komutumuzu çalıştırıyoruz .

Backup almasını beklerken bize bir hata ile karşılaştığını ilgili loga bakmamızı söylüyor. Hadi loga bakalım!

================================
Action items before upgrade:
================================
Errors found! To create a working environment, the errors must be corrected.
==============================================================================

Title: Invalid applications in application groups
* Description: Some applications cannot be part of application groups in R80.10. For more details, see sk110624.
Fix these application groups:
Remove “Remote Desktop Protocol 8.0)” from “Default_Policy” group.
Remove “Remote Desktop Protocol” from “Default_Policy” group.
Remove “SIP Protocol” from “Default_Policy” group.
Title: Objects with non-Unicode characters
—-

* Description: The database contains objects with non-Unicode characters. Remove the non-Unicode characters or follow the instructions in sk114739 before running the upgrade process.
These tables contain objects with non-Unicode characters:
Content_security
fw_policies
Warnings: It is recommended to resolve the following problems.
==============================================================
Title: Protocols not supported


* Description: Database contains services with unsupported protocol type
For unsupported Protocols please refer to sk103595
To resolve the problem, fix the following services:
netsafeport (protocol: tcp_dos) , test56 (protocol: sasser_prot) , test55 (protocol: pgm_len) , test52 (protocol: adp_proto_welchia) , test51 (protocol: adp_proto_igmp) , test50 (protocol: adp_proto_cisco_ios) , test54 (protocol: igmp_query) .
Title: Names conflicts with new default objects
—–
* Description: Check Point has added 36 protocols and 33 services to the default database. A number of these new default objects conflict with existing user objects.
To resolve the issue, rename these objects:
Services:
RDP
Snmp-trap
Comment: if you choose to leave objects as is, during upgrade process “_” will be added as suffix to each object name which conflicts default database.
Title: Legacy Default Profiles are not supported
—–
* Description: The Database has Legacy Default Profiles.
They will be deleted:
Endpoint_Full_Access,
Endpoint_Helpdesk,
Endpoint_ReadOnly,
Endpoint_RemoteHelpAndMediaRecovery,
Title: Application Control deprecated categories
—–
* Description: Rulebase contains Application Control categories or group of categories that were deprecated.
For deprecated categories list and recommended substitutes please refer to sk106783.
The following categories are deprecated:
The category: “Facebook File Sharing” in Default_Policy group is deprecated
The category: “Facebook Popular” in Default_Policy group is deprecated
The category: “Orkut Lifestyle” in Default_Policy group is deprecated
The category: “Orkut Popular” in Default_Policy group is deprecated
The category: “Orkut Sports” in Default_Policy group is deprecated
The category: “Orkut Utilities” in Default_Policy group is deprecated
The category: “Orkut Widgets” in Default_Policy group is deprecated
The category: “eDonkey” in Default_Policy group is deprecated
The category: “Share Files” in Default_Policy group is deprecated, it will be replaced with “File Storage and Sharing”
The category: “Share videos” in Default_Policy group is deprecated, it will be replaced with “Media Sharing”
The category: “Supports video/webcam” in Default_Policy group is deprecated
The category: “FTP Protocol” in Default_Policy group is deprecated
The category: “Google Talk protocol” in Default_Policy group is deprecated
The category: “Oscar protocol” in Default_Policy group is deprecated
The category: “IPTV” in Default_Policy group is deprecated, it will be replaced with “Media Streams”
The category: “MySpace Lifestyle” in Default_Policy group is deprecated
The category: “MySpace Popular” in Default_Policy group is deprecated
The category: “MySpace Sports” in Default_Policy group is deprecated
The category: “MySpace Utilities” in Default_Policy group is deprecated
The category: “MySpace Widgets” in Default_Policy group is deprecated
The category: “Share Music” in Default_Policy group is deprecated, it will be replaced with “Media Sharing”
The category: “Share links” in Default_Policy group is deprecated
The category: “Share photos” in Default_Policy group is deprecated, it will be replaced with “Media Sharing”
The category: “Tunnels” in Default_Policy group is deprecated
The category: “Voice Mail” in Default_Policy group is deprecated
The category: “Windows Messenger protocol” in Default_Policy group is deprecated
The category: “Yahoo Messenger protocol” in Default_Policy group is deprecated
The category: “Opens ports” in Default_Policy group is deprecated
The category: “Orkut Entertainment” in Default_Policy group is deprecated
The category: “Port agility” in Default_Policy group is deprecated
The category: “Torrent Trackers” in Default_Policy group is deprecated, it will be replaced with “P2P File Sharing”
The category: “Web Based Instant Messaging” in Default_Policy group is deprecated, it will be replaced with “Instant Chat”
The category: “Web Desktop” in Default_Policy group is deprecated
The category: “Supports File Transfer” in Default_Policy group is deprecated, it will be replaced with “File Storage and Sharing”
The category: “Sends mail” in Default_Policy group is deprecated, it will be replaced with “Email”
The category: “Share Files” of Override Categorization is deprecated. Its recommended to change it to “File Storage and Sharing”
The category: “FTP Protocol” of Override Categorization is depreacted
==============================================================
Action items after upgrade, before first installation:
==============================================================
Warnings: It is recommended to resolve the following problems.
==============================================================
Title: OPSEC was modified in R80.
—–
* Description: The Database includes one or more OPSEC applications.
Please check your OPSEC vendor documentation for the following applications:
clog
Pre-upgrade verification report can also be found in /opt/CPsuite-R77/fw1/log in the following formats:
pre_upgrade_verification_report.html
pre_upgrade_verification_report.xls
pre_upgrade_verification_report.txt (text file)

Database in upgrade olabilmesi için yukardaki adımları gerçekleştirmemizi istemektedir.

İlk adımdan başlayalım Default_Policy adında bir application grubumuz var bunda yer alan application lar yeni versiyon da yokmuş bunları siliyoruz.

İkinci adımda R70.30 ve alt versiyonlarında ingilizce olmayan karakterlerde kullanmasında bir sakınca görmüyordu örneğin; firewall kuralına Türkçe bir isim kullanabilirdik yada objelerimizi isimlendirirken Türkçe karakter kullanabilirdik. R80.10 da buna izin vermeyeceği için mevcut database imizi buna göre düzenlememiz gerek bunun için bir kaç yöntem sunulmaktadır checkpoint te ben sizlere en kısa yolunu göstermek istorum

İlgili link; https://supportcenter.checkpoint.com/supportcenter/portal?eventSubmit_doGoviewsolutiondetails=&solutionid=sk109795

Sıra geldi üçüncü ve dördüncü adıma; Desteklenmeyen ve yanlış oluşturulan servis lerin olduğunu bu servislerin ya düzenlenmesi yada silinmesi gerekmektedir.

Son adım application kısmı ile ilgilidir, değişen yada desteklenmeyen application lar olabilir bunları silip ,upgrade sonrasında tekrar kontrol etmemiz gerekmektedir.

Yukarıdaki işlemleri harfiyen yapıyorum ve tekrar backup almayı deniyorum

Ardından yeni kurduğum R8010 Management Servera import ediyorum

Upgrade sonrası application tarafında “Validation error ” lar görebilirsiniz bunları tekrar kontrol etmenizde fayda var

Bu şekilde Management Serverımızın sağlıklı bir şekilde upgrade işlemini gerçekleştirmiş olduk.

Leave a Reply

Your email address will not be published. Required fields are marked *

Enjoy this blog? Please spread the word :)