Aller au contenu
Avanet

Mise à jour du firmware Sophos Firewall – Préparation et bonnes pratiques

Sophos Firewall

Les mises à jour du firmware sont un élément central pour maintenir Sophos Firewall sécurisé, stable et à jour. Elles apportent de nouvelles fonctionnalités, corrigent des vulnérabilités connues et améliorent les performances globales. Pour que la mise à jour se déroule sans accroc, certains points doivent être pris en compte et préparés minutieusement. Ce guide explique étape par étape comment se préparer au mieux aux mises à jour du firmware Sophos Firewall et éviter les erreurs courantes.

Pourquoi la préparation est importante

Une mise à jour du firmware apporte non seulement de nouvelles fonctionnalités, mais aussi des corrections de bugs et des améliorations importantes en matière de sécurité. Sans une préparation rigoureuse, des interruptions, des rollbacks ou, dans le pire des cas, une réinitialisation aux paramètres d’usine inattendue peuvent survenir. Cela peut perturber considérablement l’exploitation en cours. Les bonnes pratiques suivantes permettent de minimiser les risques et d’assurer une démarche structurée.

Les problèmes les plus fréquents lors de mises à jour non préparées de Sophos Firewall sont :

  • espace disque insuffisant pour le paquet de mise à jour,
  • synchronisation HA défaillante,
  • sauvegardes manquantes ou obsolètes,
  • fenêtres de maintenance non coordonnées avec d’autres travaux parallèles sur le réseau.

Avant la mise à jour : étapes de préparation

1. Vérifier les notes de version

  • Consulter les notes de version Sophos :
  • Important : ne choisir que des chemins de mise à niveau supportés, sinon le pare-feu sera automatiquement réinitialisé aux paramètres d’usine après la mise à jour du firmware Sophos Firewall.
  • Vérifier également si des problèmes connus (Known Issues) sont documentés dans la nouvelle version et pourraient impacter votre environnement.

2. Contrôler l’espace disque

  • Via Advanced Shell, vérifier qu’il y a suffisamment d’espace libre :
df -kh
  • Si une partition est remplie à plus de 95 %, il faut libérer de l’espace.
  • Un espace insuffisant peut provoquer des problèmes lors de la mise à jour et entraîner l’échec de l’upgrade.
  • Il est conseillé de supprimer les anciennes sauvegardes, fichiers journaux ou fichiers inutiles.

3. Redémarrage avant la mise à jour

  • Un redémarrage vide le cache et garantit que le pare-feu est dans un état propre avant la mise à jour.
  • Dans un cluster HA, redémarrer les deux appareils.
  • Cela permet de détecter et résoudre d’éventuels problèmes avant la mise à jour.
  • Particulièrement utile pour les appareils qui n’ont pas été redémarrés depuis longtemps, afin d’éviter des problèmes de performance.

4. Planifier la fenêtre de maintenance

  • Les mises à jour du firmware Sophos Firewall doivent être réalisées uniquement pendant des fenêtres de maintenance planifiées.
  • S’assurer qu’aucune autre opération de maintenance parallèle n’a lieu dans l’infrastructure.
  • Informer à l’avance les équipes concernées (réseau, applications, sécurité).
  • Une communication claire sur la période minimise les surprises pour les utilisateurs finaux et assure un déroulement fluide.

5. Vérifier les accès et permissions

Avant de commencer, s’assurer que toutes les informations et accès nécessaires sont disponibles :

  • mots de passe administrateur
  • clés maîtresses du stockage sécurisé
  • mots de passe de sauvegarde
  • accès aux systèmes de support
  • permissions d’accès réseau ou, en cas de problème, accès direct à l’appliance (règles ACL d’accès au dispositif)

6. Effectuer des sauvegardes

  • En plus des sauvegardes régulières, réaliser une sauvegarde fraîche.
  • Cette sauvegarde doit être immédiatement accessible en cas de rollback.
  • Il est recommandé de conserver à la fois une sauvegarde de la configuration et une sauvegarde des informations de licence (accès Sophos Central).

7. Télécharger le firmware

  • Conserver des copies hors ligne des versions actuelle et nouvelle du firmware.
  • Cela permet un retour rapide en cas de problème.
  • Télécharger le firmware via le compte officiel Sophos Support et le stocker sur un support sécurisé.
  • Vérifier que le fichier téléchargé est complet et non corrompu (par exemple en comparant les valeurs de hash).

Particularités en haute disponibilité (HA)

Cluster actif-passif

  • Après une mise à jour du firmware Sophos Firewall, vérifier que le nœud primaire initial est de nouveau actif.
  • Sinon, effectuer manuellement un basculement dans le menu : System → High Availability → Switch to passive device
  • Dans des environnements complexes, il est conseillé de tenir un journal des rôles HA pour pouvoir retracer l’état initial.

Identifier le nœud primaire

  • Se connecter en SSH avec un compte admin → ouvrir Advanced Shell
  • Exécuter les commandes :
nvram get "#li.serial"
nvram get "#li.master"
Mises à jour du firmware Sophos Firewall - Cluster HA
Mises à jour du firmware Sophos Firewall - Cluster HA
  • Résultat YES = nœud primaire
  • Résultat NO = nœud auxiliaire
  • Le numéro de série permet de distinguer clairement les appareils.

Vérifier la synchronisation

  • Sur le nœud auxiliaire, contrôler le journal de synchronisation :
/log/msync.log
  • En cas de nombreux vrrp timeout errors, vérifier et éventuellement remplacer le câble HA.
  • Redémarrer les deux appareils pour garantir un état propre.
  • Vérifier également le statut de synchronisation dans le WebAdmin.

Exécution de la mise à jour

1. Suivre le plan

  • Respecter strictement le plan d’exécution préparé.
  • Éviter les décisions improvisées qui peuvent causer des problèmes.
  • Il est conseillé de préparer un runbook détaillé décrivant chaque étape et les scénarios de rollback possibles.

2. Effectuer le rollback de manière rigoureuse

  • En cas d’échec de la mise à jour du firmware Sophos Firewall, appliquer immédiatement le rollback prévu.
  • Les solutions temporaires rapides peuvent causer plus de dégâts que de bénéfices.
  • Un rollback planifié permet de gagner un temps précieux et de minimiser les interruptions.

3. Utiliser activement la surveillance

  • Utiliser des outils comme SNMP, des systèmes de monitoring ou des pings simples.
  • Surveiller étroitement le système pendant un certain temps après la mise à jour pour détecter tout effet inattendu.

4. Documenter les résultats des tests

  • Communiquer les résultats de chaque étape aux équipes et services concernés.
  • Cela évite les malentendus.
  • Toutes les applications critiques doivent être testées activement et documentées après la mise à jour.

5. Préparer le dépannage

  • En cas d’erreur, collecter un maximum d’informations.
  • Ces données facilitent la création rapide et ciblée d’un ticket de support.
  • Inclure les fichiers journaux, captures d’écran, horodatages précis et les actions déjà réalisées.

Après la mise à jour : documentation

  • Consigner les commandes : enregistrer les sorties terminal ou faire une capture lors des mises à jour GUI.
  • Documenter les systèmes dépendants : noter les modifications sur les systèmes adjacents et informer les administrateurs concernés.
  • Noter les écarts par rapport au plan : documenter les déviations pour mieux se préparer la prochaine fois.
  • Leçons apprises : réaliser un bref débriefing après la mise à jour pour consigner ce qui a bien fonctionné et les points d’amélioration.

Conclusion

Avec une bonne préparation, les mises à jour du firmware Sophos Firewall peuvent être réalisées de manière structurée, fiable et sans interruptions majeures. Il est essentiel de suivre des procédures claires, d’avoir des sauvegardes à portée de main, d’utiliser activement la surveillance et de documenter les expériences après coup. Cela garantit une firewall sécurisée, stable et pérenne. Par ailleurs, cela permet aux entreprises de réduire les efforts pour les mises à jour futures.

👉 Voir aussi :