Cómo actualizar el firmware en un cortafuegos Sophos XG en HA. Cómo hacer copia de seguridad de la configuración (varios métodos) y descargarla. Cómo exportar la configuración y revisar estado actual.

Preparación, proceso inicial, copia de seguridad

Explicamos a continuación algunos procesos que debemos realizar antes de la actualización, por seguridad, como revisar y anotar el estado actual de los site-to-site, del estado general del firewall, de las suscripciones, del estado del HA, etc.

Copia de seguridad de la configuración actual del firewall Sophos XG

Antes de aplicar la actualización de firmware, realizaremos una copia de seguridad de la configuración actual. Para ello nos dirigiremos al menú «Copia de seguridad y firmware» del grupo SISTEMA. Podremos realizar la copia de seguridad a local (disco duro del propio cortafuegos), a un servidor FTP externo o bien a una dirección de correo electrónico. Introduciremos una contraseña para el cifrado del archivo de configuración y haremos el backup al medio que queramos (recomendable hacerla al menos a dos medios, a disco duro local del cortafuegos y a un correo electrónico). Una vez hecha la copia a local del Sophos, podremos descargarla a fichero local de nuestro equipo pulsando en «Descargar»:

Copia de seguridad de la configuración actual del firewall Sophos XG

Nos permitirá usar la contraseña de cifrado actual o bien elegir otra:

Copia de seguridad de la configuración actual del firewall Sophos XG

Descargará un fichero cifrado con la configuración actual de Sophos XG que guardaremos en lugar seguro.

Realizaremos también, por mayor seguridad, una exportación de la configuración. También desde «Copia de seguridad y firmware», en la pestaña «Importar exportación». Marcaremos «Exportar configuración completa» y pulsaremos en «Exportar». Tardará unos minutos, en función de la configuración y número de reglas que tengamos. Nos descargará un fichero .tar que guardaremos el lugar seguro.

Copia de seguridad de la configuración actual del firewall Sophos XG

Revisar HA, versión actual, estado actual de las conexiones site-to-site, etc.

Antes de realizar la actualización, revisaremos también el estado actual del HA (si tenemos el cortafuegos en alta disponibilidad), haremos captura de pantalla del estado actual. Una vez finalizado el proceso el estado debe quedar igual.

Capturaremos pantalla del estado general:

Revisar HA, versión actual, estado actual de las conexiónes site-to-site, etc.

De las suscripciones a servicios:

Revisar HA, versión actual, estado actual de las conexiónes site-to-site, etc.

Del estado de la alta disponibilidad HA. Anotaremos la dirección Ipv4 de enlace HA de pares dedicado (en nuestro caso 192.168.1.24), podremos hacer ping sostenido a esta IP durante el proceso de actualización para revisar que habrá un momento en que se pierdan los ping y luego volverá a funcionar:

Revisar HA, versión actual, estado actual de las conexiónes site-to-site, etc.

De los servicios en ejecución:

Revisar HA, versión actual, estado actual de las conexiónes site-to-site, etc.

Anotaremos también la versión de firmware que tenemos aplicada y activa actualmente, por si acaso tuviésemos que revertir el proceso:

Revisar HA, versión actual, estado actual de las conexiónes site-to-site, etc.

Actualizar firmware de cortafuegos Sophos XG

Una vez realizadas las copias de seguridad oportunas y las capturas de pantalla de la información importe procederemos a descargar la actualización a aplicar. Desde el grupo «SISTEMA», pulsaremos en «Copia de seguridad y firmware» y en la pestaña «Firmware». En «Último firmware disponible» tendremos las versiones disponibles para actualizar. Si hay un cambio muy grande, por ejemplo de una 15 a una 19, es recomendable ir aplicando las versiones inferiores primero. En nuestro caso, tenemos disponible pasar a la 18.5.4 o bien directamente a la 19.0.0. Pero como consideramos que es un cambio grande, primero aplicaremos la 18.5.4 y esperaremos unos días/semanas para aplicar la 19.0.0 (por seguridad ya que es de reciente publicación). Por lo tanto pulsaremos en el botón «Descarga» de la 18.5.4:

Actualizar firmware de cortafuegos Sophos XG

Nota: en caso de no disponer de las actualizaciones de firmware en el propio Sophos, podremos descargarlas de la web oficial, con nuestro usuario y contraseña de soporte y subirlas al Sophos desde «Upload firmware» (en las actualizaciones):

Actualizar firmware de cortafuegos Sophos XG

En cuanto se haya descargado, cambiará el botón «Descarga» por «Instalar». Podremos dejar un ping sostenido (con -t) a la IP de los pares si tenemos HA. Así sabremos el momento en el que se corta el servicio y cuándo vuelve a su estado activo:

Actualizar firmware de cortafuegos Sophos XG

Si ya hemos preparado el entorno y estamos seguros de que no hay usuarios o procesos de conexión activos (dado que se perderá durante unos segundos la conexión y la navegación), pulsaremos en «Instalar» para aplicar la actualización:

Actualizar firmware de cortafuegos Sophos XG

Se iniciará el proceso de instalación de firmware, nos lo indicará con un mensaje. Esperaremos unos minutos a que finalice.

Actualizar firmware de cortafuegos Sophos XG

La actualización tardará varios minutos, sobre todo si tenemos HA, porque hará la actualización en cada nodo del clúster, lo reiniciará, transferirá el master a ese nodo, actualizará el secundario (primario en el momento de la actualización) y repetirá el proceso de reinicio y transferencia a master.

Puede que se corte la conexión pero sólo unos segundos, en la transferencia de un secundario a master. Tras concluir el proceso volveremos a acceder a la consola de gestión y revisaremos todo: las suscripciones, el estado general, si tenemos site-to-site que sigan levantados y activos, el HA que esté activo, etc. y, por supuesto, que la versión actual sea la que hemos instalado:

Actualizar firmware de cortafuegos Sophos XG

El clúster HA habrá quedado activo:

Actualizar firmware de cortafuegos Sophos XG

En el caso de tener que revertir el proceso, Sophos lo permite, accediendo a las actualizaciones y pulsando en «Boot firmware image», pulsaríamos en la imagen que no está activa. La activa viene marcada con un círculo amarillo en «Active».

Actualizar firmware de cortafuegos Sophos XG

De esta forma, iniciaría el cortafuegos con la versión anterior. Esto sólo lo haremos en caso estrictamente necesario, si la nueva actualización falló.