Vai al contenuto
Avanet

Aggiornamento del Firmware di Sophos Firewall – Preparazione e Best Practice

Sophos Firewall

Gli aggiornamenti del firmware sono una componente fondamentale per mantenere Sophos Firewall sicuro, stabile e aggiornato. Forniscono nuove funzionalità, correggono vulnerabilità note e migliorano le prestazioni complessive. Per garantire un aggiornamento senza problemi, è necessario considerare e preparare attentamente alcuni aspetti in anticipo. Questa guida spiega passo dopo passo come prepararsi al meglio per gli Aggiornamenti del Firmware di Sophos Firewall ed evitare errori comuni.

Perché la preparazione è importante

Un aggiornamento del firmware non solo introduce nuove funzionalità, ma include anche correzioni di bug e importanti miglioramenti della sicurezza. Senza una preparazione accurata, possono verificarsi interruzioni, rollback o nel peggiore dei casi un reset alle impostazioni di fabbrica inatteso. Ciò può compromettere significativamente l’operatività in corso. Seguendo le best practice seguenti, è possibile minimizzare i rischi e garantire un approccio strutturato.

I problemi più comuni durante aggiornamenti firmware Sophos Firewall non preparati includono:

  • spazio insufficiente per il pacchetto di aggiornamento,
  • sincronizzazione HA errata,
  • backup mancanti o obsoleti,
  • finestre di manutenzione non coordinate con altre attività di rete parallele.

Prima dell’aggiornamento: passaggi di preparazione

1. Verificare le note di rilascio

  • Consultare le Note di rilascio Sophos:
  • Importante: scegliere solo percorsi di aggiornamento supportati, altrimenti il firewall verrà automaticamente riportato alle impostazioni di fabbrica dopo l’aggiornamento.
  • Verificare inoltre se nella nuova versione sono documentati problemi noti (Known Issues) che potrebbero influenzare l’operatività.

2. Controllare lo spazio di archiviazione

  • Tramite Advanced Shell verificare che ci sia spazio sufficiente:
df -kh
  • Se una partizione è occupata oltre il 95%, liberare spazio.
  • Spazio insufficiente può causare problemi durante l’aggiornamento e, nel peggiore dei casi, interrompere l’upgrade.
  • Si consiglia di eliminare backup vecchi, file di log o altri file non più necessari.

3. Riavvio prima dell’aggiornamento

  • Un riavvio svuota la cache e garantisce che il firewall sia in uno stato pulito prima dell’aggiornamento.
  • In un cluster HA riavviare entrambi i dispositivi.
  • Eventuali problemi possono essere identificati e risolti prima dell’aggiornamento.
  • Questo è particolarmente importante per dispositivi che non sono stati riavviati per un lungo periodo, prevenendo problemi di prestazioni.

4. Coordinare la finestra di manutenzione

  • Gli aggiornamenti del firmware Sophos Firewall devono essere eseguiti solo durante finestre di manutenzione pianificate.
  • Assicurarsi che non siano in corso altre attività di manutenzione parallele nell’infrastruttura.
  • Informare tempestivamente i team responsabili (ad esempio rete, applicazioni, sicurezza).
  • Una finestra temporale chiaramente comunicata riduce sorprese per gli utenti finali e garantisce un processo fluido.

5. Verificare accessi e autorizzazioni

Prima di iniziare, assicurarsi di avere tutte le informazioni e credenziali necessarie:

  • password amministrative
  • chiavi master per Secure Storage
  • password per i backup
  • credenziali di accesso ai sistemi di supporto
  • autorizzazioni di accesso dalla rete o, in caso estremo, direttamente sull’appliance (Device Access ACL Rules)

6. Creare backup

  • Oltre ai backup regolari, creare un backup fresco.
  • Questo backup deve essere immediatamente disponibile in caso di rollback.
  • Si consiglia di conservare sia un backup della configurazione sia delle informazioni di licenza (accesso a Sophos Central).

7. Scaricare il firmware

  • Tenere a disposizione copie offline sia della versione corrente sia di quella nuova del firmware.
  • In questo modo è possibile tornare rapidamente indietro in caso di emergenza.
  • Si consiglia di scaricare il firmware tramite l’account ufficiale di supporto Sophos e conservarlo in un archivio sicuro.
  • Verificare che il file scaricato sia completo e non corrotto (ad esempio confrontando gli hash).

Particolarità in High Availability (HA)

Cluster Active-Passive

  • Dopo un aggiornamento del firmware Sophos Firewall, verificare che il nodo primario originale sia nuovamente attivo.
  • In caso contrario, eseguire manualmente un failover nel menu: System → High Availability → Switch to passive device
  • In ambienti complessi è consigliabile tenere un registro dei ruoli HA per poter ricostruire lo stato originale in seguito.

Identificare il nodo primario

  • Accedere via SSH come admin e aprire la Advanced Shell
  • Eseguire i comandi:
nvram get "#li.serial"
nvram get "#li.master"
Aggiornamenti Firmware Sophos Firewall - Cluster HA
Aggiornamenti Firmware Sophos Firewall - Cluster HA
  • Risultato YES = nodo primario
  • Risultato NO = nodo ausiliario
  • Il numero di serie aiuta a distinguere chiaramente i dispositivi.

Verificare la sincronizzazione

  • Sul nodo ausiliario controllare il log di sincronizzazione:
/log/msync.log
  • Se si riscontrano molti vrrp timeout errors, verificare e, se necessario, sostituire il cavo HA.
  • Riavviare entrambi i dispositivi per garantire uno stato pulito.
  • Controllare inoltre lo stato della sincronizzazione nel WebAdmin.

Esecuzione dell’aggiornamento

1. Seguire il piano

  • Attenersi rigorosamente al piano di esecuzione preparato.
  • Evitare decisioni improvvisate, che spesso causano problemi.
  • Si consiglia di preparare in anticipo un runbook dettagliato che descriva ogni passaggio e gli scenari di rollback possibili.

2. Eseguire il rollback in modo coerente

  • Se l’aggiornamento del firmware Sophos Firewall fallisce, eseguire immediatamente il rollback previsto.
  • Soluzioni temporanee rapide possono causare più danni che benefici.
  • Un rollback pianificato consente di risparmiare tempo prezioso e minimizzare i tempi di inattività.

3. Utilizzare attivamente il monitoraggio

  • Utilizzare strumenti come SNMP, sistemi di monitoraggio o semplici ping.
  • Monitorare attentamente anche dopo l’aggiornamento per un certo periodo per rilevare effetti imprevisti.

4. Documentare i risultati dei test

  • Comunicare i risultati di ogni fase ai team e ai servizi interessati.
  • Questo evita malintesi.
  • Tutte le applicazioni critiche devono essere testate attivamente e i risultati documentati dopo l’aggiornamento.

5. Preparare il troubleshooting

  • In caso di errori, raccogliere quante più informazioni possibili.
  • Questi dati aiutano a inviare rapidamente e in modo mirato un ticket di supporto.
  • Includere file di log, screenshot, timestamp precisi e le azioni già intraprese.

Dopo l’aggiornamento: documentazione

  • Registrare i comandi: salvare le uscite del terminale o registrare le operazioni GUI.
  • Documentare i sistemi dipendenti: annotare modifiche ai sistemi adiacenti e informare gli amministratori responsabili.
  • Annotare le deviazioni dal piano: registrare eventuali scostamenti dal piano originale per essere meglio preparati la prossima volta.
  • Lezioni apprese: al termine dell’aggiornamento, effettuare un breve debriefing per evidenziare cosa ha funzionato bene e dove è possibile migliorare.

Conclusione

Con una buona preparazione, gli Aggiornamenti del Firmware di Sophos Firewall possono essere eseguiti in modo strutturato, affidabile e senza interruzioni significative. È importante seguire procedure chiare, avere backup pronti, utilizzare attivamente il monitoraggio e documentare le esperienze per il futuro. In questo modo il firewall rimane sicuro, stabile e pronto per il futuro, mentre le aziende possono ridurre lo sforzo necessario per aggiornamenti futuri.

👉 Vedi anche: