Ir al contenido
Avanet

Actualización del firmware de Sophos Firewall - Preparación y buenas prácticas

Sophos Firewall

Las actualizaciones de firmware son una parte fundamental para mantener la Sophos Firewall segura, estable y actualizada. Proporcionan nuevas funciones, corrigen vulnerabilidades conocidas y mejoran el rendimiento general. Para que la actualización funcione sin problemas, se deben tener en cuenta y preparar cuidadosamente algunos puntos con antelación. Esta guía explica paso a paso cómo prepararse de manera óptima para las actualizaciones de firmware de Sophos Firewall y evitar errores comunes.

Por qué es importante la preparación

Una actualización de firmware no solo aporta nuevas funciones, sino también correcciones de errores y mejoras importantes de seguridad. Sin una preparación adecuada, pueden ocurrir fallos, rollbacks o, en el peor de los casos, un restablecimiento inesperado a configuración de fábrica. Esto puede afectar gravemente la operación en curso. Con las siguientes mejores prácticas se puede minimizar el riesgo y asegurar un procedimiento estructurado.

Los problemas más comunes en actualizaciones de firmware de Sophos Firewall sin preparación incluyen:

  • espacio insuficiente para el paquete de actualización,
  • sincronización HA defectuosa,
  • copias de seguridad ausentes o desactualizadas,
  • ventanas de mantenimiento no coordinadas con trabajos paralelos en la red.

Antes de la actualización: pasos de preparación

1. Revisar las notas de la versión

  • Consultar las Notas de la versión de Sophos:
  • Importante: elegir solo rutas de actualización soportadas, de lo contrario la firewall se restablecerá automáticamente a configuración de fábrica tras la actualización.
  • Además, verificar si hay problemas conocidos (Known Issues) documentados en la nueva versión que puedan afectar la operación.

2. Comprobar espacio de almacenamiento

  • Usar Advanced Shell para verificar que hay suficiente espacio:
df -kh
  • Si alguna partición está ocupada en más del 95 %, liberar espacio.
  • Un espacio limitado puede causar problemas durante la actualización e incluso abortarla.
  • Se recomienda eliminar copias de seguridad antiguas, archivos de registro o archivos innecesarios.

3. Reinicio antes de la actualización

  • Un reinicio limpia la caché y asegura que la firewall esté en un estado limpio para la actualización.
  • En un clúster HA, reiniciar ambos dispositivos.
  • Si hay problemas, pueden detectarse y resolverse antes de la actualización.
  • Especialmente en dispositivos que no se han reiniciado durante mucho tiempo, esto puede prevenir problemas de rendimiento.

4. Coordinar ventana de mantenimiento

  • Las actualizaciones de firmware de Sophos Firewall deben realizarse solo en ventanas de mantenimiento planificadas.
  • Asegurarse de que no haya trabajos de mantenimiento paralelos en la infraestructura.
  • Se recomienda informar con anticipación a los equipos responsables (por ejemplo, red, aplicaciones, seguridad).
  • Una ventana de tiempo claramente comunicada minimiza sorpresas para los usuarios finales y asegura procesos sin contratiempos.

5. Verificar accesos y permisos

Antes de comenzar, asegurarse de tener toda la información y credenciales necesarias:

  • Contraseñas de administrador
  • Claves maestras del almacenamiento seguro
  • Contraseñas de respaldo
  • Credenciales de acceso a sistemas de soporte
  • Permisos de acceso desde la red correspondiente o, en caso extremo, directamente en el dispositivo (Reglas ACL de acceso al dispositivo)

6. Crear copias de seguridad

  • Además de las copias regulares, crear una copia de seguridad fresca.
  • Esta copia debe estar disponible inmediatamente en caso de ser necesario un rollback.
  • Se recomienda conservar tanto una copia de la configuración como de la información de licencias (acceso a Sophos Central).

7. Descargar el firmware

  • Mantener copias offline tanto de la versión actual como de la nueva versión del firmware.
  • Esto permite revertir rápidamente en caso de emergencia.
  • Se recomienda descargar el firmware a través de la cuenta oficial de soporte de Sophos y almacenarlo en un lugar seguro.
  • Verificar que el archivo descargado esté completo y sin daños (por ejemplo, comparando valores hash).

Particularidades en Alta Disponibilidad (HA)

Cluster activo-pasivo

  • Tras una actualización de firmware de Sophos Firewall, verificar que el nodo primario original esté activo.
  • Si no es así, realizar manualmente un failover en el menú: Sistema → Alta Disponibilidad → Cambiar a dispositivo pasivo
  • En entornos complejos, es recomendable llevar un registro del rol HA para poder rastrear el estado original posteriormente.

Identificar el nodo primario

  • Conectarse por SSH con el usuario admin → abrir Advanced Shell
  • Ejecutar los comandos:
nvram get "#li.serial"
nvram get "#li.master"
Actualizaciones de Firmware de Sophos Firewall - Cluster HA
Actualizaciones de Firmware de Sophos Firewall - Cluster HA
  • Resultado YES = nodo primario
  • Resultado NO = nodo auxiliar
  • El número de serie ayuda a distinguir claramente los dispositivos.

Verificar sincronización

  • En el nodo auxiliar, revisar el log de sincronización:
/log/msync.log
  • Si hay muchos errores de vrrp timeout, se debe revisar y posiblemente reemplazar el cable HA.
  • También reiniciar ambos dispositivos para asegurar un estado limpio.
  • Además, verificar el estado de sincronización en el WebAdmin.

Ejecución de la actualización

1. Seguir el plan

  • Cumplir estrictamente el plan de acción preparado.
  • Evitar decisiones improvisadas, ya que suelen causar problemas.
  • Se recomienda crear previamente un runbook detallado que describa cada paso y posibles escenarios de rollback.

2. Ejecutar rollback de forma consistente

  • Si la actualización de firmware falla, aplicar inmediatamente el rollback previsto.
  • Soluciones rápidas improvisadas pueden causar más daño que beneficio.
  • Un rollback planificado ahorra tiempo valioso y minimiza tiempos de inactividad.

3. Utilizar activamente el monitoreo

  • Herramientas como SNMP, sistemas de monitoreo o simples pings son útiles.
  • También después de la actualización, monitorizar estrechamente durante un tiempo para detectar efectos inesperados.

4. Documentar resultados de pruebas

  • Comunicar los resultados de cada paso a los equipos y servicios afectados.
  • Esto evita malentendidos.
  • Todas las aplicaciones críticas deben ser probadas activamente y documentadas tras la actualización.

5. Preparar resolución de problemas

  • En caso de errores, recopilar la mayor cantidad posible de información.
  • Estos datos facilitan abrir un ticket de soporte rápido y dirigido.
  • Incluye archivos de log, capturas de pantalla, marcas de tiempo exactas y las acciones realizadas hasta el momento.

Después de la actualización: documentación

  • Registrar comandos: guardar las salidas del terminal o grabar sesiones GUI.
  • Documentar sistemas dependientes: registrar cambios en sistemas adyacentes e informar a los administradores correspondientes.
  • Anotar desviaciones del plan: documentar cualquier desviación para estar mejor preparados la próxima vez.
  • Lecciones aprendidas: realizar una breve reunión post-actualización para registrar qué funcionó bien y dónde hay margen de mejora.

Conclusión

Con una buena preparación, las actualizaciones de firmware de Sophos Firewall pueden realizarse de forma estructurada, confiable y sin interrupciones mayores. Es fundamental seguir procedimientos claros, tener copias de seguridad a mano, utilizar activamente el monitoreo y documentar las experiencias posteriores. Así, la firewall se mantiene segura, estable y preparada para el futuro a largo plazo. Al mismo tiempo, las empresas pueden reducir el esfuerzo en futuras actualizaciones.

👉 Véase también: