Naar de inhoud
Avanet

Sophos Firewall-firmware-update - voorbereiding en best practices

Sophos Firewall

Firmware-updates zijn een centraal onderdeel om Sophos Firewall veilig, stabiel en actueel te houden. Ze zorgen voor nieuwe functies, sluiten bekende beveiligingslekken en verbeteren de totale performance. Om de update soepel te laten verlopen, moet je vooraf enkele punten controleren en grondig voorbereiden. Deze handleiding legt stap voor stap uit hoe je je optimaal voorbereidt op Sophos Firewall-firmware-updates en typische fouten voorkomt.

Waarom voorbereiding belangrijk is

Een firmware-update brengt niet alleen nieuwe functies, maar ook bugfixes en belangrijke securityverbeteringen. Zonder goede voorbereiding kan die echter leiden tot uitval, rollbacks of in het slechtste geval een onverwachte factory reset. Dat kan de lopende operatie sterk beïnvloeden. Met de volgende best practices kun je het risico beperken en een gestructureerde aanpak waarborgen.

Tot de meest voorkomende problemen bij onvoorbereide Sophos Firewall-firmware-updates behoren:

  • onvoldoende opslagruimte voor het updatepakket,
  • foutieve HA-synchronisatie,
  • ontbrekende of verouderde backups,
  • niet afgestemde maintenance windows met parallelle werkzaamheden in het netwerk.

Voor de update: voorbereidingsstappen

1. Release Notes controleren

  • Op de Sophos Release Notes kijken:
  • Belangrijk: kies alleen ondersteunde upgradepaden, anders wordt de firewall na de Sophos Firewall-firmware-update automatisch teruggezet naar fabrieksinstellingen.
  • Controleer daarnaast of bekende problemen (Known Issues) in de nieuwe versie zijn gedocumenteerd die je eigen omgeving kunnen beïnvloeden.

2. Opslagruimte controleren

  • Controleer via Advanced Shell of er voldoende ruimte beschikbaar is:
df -kh
  • Als een partitie voor meer dan 95% gevuld is, moet je opslagruimte vrijmaken.
  • Te krappe opslag kan problemen bij de update veroorzaken en in het slechtste geval de upgrade afbreken.
  • Het is aan te raden oude backups, logbestanden of niet meer benodigde bestanden te verwijderen.

3. Herstart voor de update

  • Een herstart leegt de cache en zorgt dat de firewall in een schone toestand de update ingaat.
  • In een HA Cluster beide apparaten opnieuw starten.
  • Als er problemen optreden, kunnen die voor de update worden herkend en opgelost.
  • Vooral bij apparaten die langere tijd niet opnieuw zijn gestart, kan dit performanceproblemen voorkomen.

4. Maintenance window afstemmen

  • Sophos Firewall-firmware-updates mogen alleen in geplande maintenance windows worden uitgevoerd.
  • Zorg dat er geen parallelle onderhoudswerkzaamheden in de infrastructuur lopen.
  • Het is aan te raden de verantwoordelijke teams (bijv. netwerk, applicaties, security) vroegtijdig te informeren.
  • Een duidelijk gecommuniceerd tijdvenster beperkt verrassingen voor eindgebruikers en zorgt voor een soepel verloop.

5. Toegang en rechten controleren

Controleer voor de start dat alle noodzakelijke informatie en toegangsgegevens klaarstaan:

  • Adminwachtwoorden
  • Secure Storage Master Keys
  • Backupwachtwoorden
  • Toegangsgegevens tot supportsystemen
  • Toegangsrechten vanuit het betreffende netwerk of in het worstcasescenario direct op de appliance (Device Access ACL Rules)

6. Backups maken

  • Maak naast de reguliere backups een extra verse backup.
  • Deze backup moet direct beschikbaar zijn voor het geval een rollback nodig is.
  • Aanbevolen is om zowel een configuratiebackup als een backup van de licentie-informatie te bewaren (Sophos Central-toegang).

7. Firmware downloaden

  • Offlinekopieën van zowel de huidige als de nieuwe firmwareversie klaarhouden.
  • Zo kun je in noodgevallen snel terugrollen.
  • Het is aan te raden de firmware via het officiële Sophos Support-account te downloaden en op veilige storage te bewaren.
  • Controleer of het gedownloade bestand volledig en niet beschadigd is (bijv. hashwaarden vergelijken).

Bijzonderheden bij High Availability (HA)

Active-Passive Cluster

  • Na een Sophos Firewall-firmware-update controleren of de oorspronkelijke primaire node weer actief is.
  • Zo niet, handmatig een failover in het menu uitvoeren:System → High Availability → Switch to passive device
  • In complexere omgevingen is het aan te raden een protocol over de HA-rol bij te houden, zodat je later de oorspronkelijke toestand kunt reconstrueren.

Primaire node identificeren

  • Via SSH als admin aanmelden → Advanced Shell openen
  • Commando’s uitvoeren:
nvram get "#li.serial"nvram get "#li.master"
Sophos Firewall-firmware-updates - HA Cluster
Sophos Firewall-firmware-updates - HA Cluster
  • Resultaat YES = primaire node
  • Resultaat NO = aux-node
  • Het serienummer helpt om de apparaten duidelijk te onderscheiden.

Sync controleren

  • Op de aux-node het sync-log controleren:
/log/msync.log
  • Bij veel vrrp timeout errors moet de HA-kabel worden gecontroleerd en eventueel vervangen.
  • Ook hier beide apparaten opnieuw starten om een schone toestand te herstellen.
  • Controleer daarnaast in WebAdmin de status van de synchronisatie.

Uitvoering van de update

1. Het plan volgen

  • De voorbereide procedure consequent volgen.
  • Geimproviseerde beslissingen vermijden, omdat die vaak tot problemen leiden.
  • Het is aan te raden vooraf een gedetailleerd runbook te maken waarin elke stap en mogelijke rollbackscenario’s zijn beschreven.

2. Rollback consequent uitvoeren

  • Als de Sophos Firewall-firmware-update mislukt, direct de geplande rollback uitvoeren.
  • Snelle workarounds kunnen meer schade veroorzaken dan oplossen.
  • Een geplande rollback bespaart in noodgevallen waardevolle tijd en beperkt downtime.

3. Monitoring actief gebruiken

  • Tools zoals SNMP, monitoringsystemen of eenvoudige pings helpen hierbij.
  • Ook na de update gedurende enige tijd nauw monitoren om onverwachte effecten te herkennen.

4. Testresultaten documenteren

  • Na elke stap de resultaten aan betrokken teams en services communiceren.
  • Zo worden misverstanden voorkomen.
  • Alle kritieke applicaties moeten na de update actief worden getest en gedocumenteerd.

5. Troubleshooting voorbereiden

  • Bij fouten zoveel mogelijk informatie verzamelen.
  • Deze data helpt om snel en gericht een supportticket in te dienen.
  • Denk aan logbestanden, screenshots, exacte timestamps en de tot nu toe uitgevoerde maatregelen.

Na de update: documentatie

  • Commando’s loggen: terminaluitvoer meeloggen of bij GUI-updates een opname maken.
  • Afhankelijke systemen documenteren: wijzigingen aan aangrenzende systemen vastleggen en de betreffende admins informeren.
  • Afwijkingen van het plan noteren: afwijkingen van het oorspronkelijke verloop documenteren om de volgende keer beter voorbereid te zijn.
  • Lessons Learned: na afronding van de update een korte nabespreking houden en vastleggen wat goed werkte en waar verbetering mogelijk is.

Conclusie

Met een goede voorbereiding kunnen Sophos Firewall-firmware-updates gestructureerd, betrouwbaar en zonder grotere onderbrekingen worden uitgevoerd. Belangrijk is om duidelijke procedures te volgen, backups klaar te hebben, monitoring actief te gebruiken en de ervaringen achteraf te documenteren. Zo blijft de firewall veilig, stabiel en toekomstbestendig. Tegelijk kunnen bedrijven de inspanning voor toekomstige updates verminderen.

👉 Zie ook: