03/26/2020 3 People found this article helpful 454,056 Views
Questo articolo ha lo scopo di istruire un amministratore riguardo la comprensione del problema e nel portare un SonicWall con impostazioni corrotte a uno stato supportato. Si noti che una configurazione corrotta o file di configurazione non possono essere riparati, preservati o supportati in alcun modo.
Problem Definition:
Se si esegue un tentativo di downgrade del firmware del SonicWall, il firmware precedente non sarà in grado di riconoscere le impostazioni create sulla versione superiore di firmware . Siccome il SonicWall non è progettato per eseguire un downgrade, tenterà di calcarle nel firmware precedente in ogni caso. Ciò inevitabilmente forzera' impostazioni per una funzionalita', quali la "User Authentication" per esempio, in una sezione della configurazione completamente non relazionata, come il motore VPN, dove nessuno di questi elementi ha alcun senso.
Per questo motivo, è impossibile per SonicWall predire il comportamento del firewall, e quindi di supportare il dispositivo dopo che la configurazione è passata attraverso un downgrade diretto di firmware. For reference, see KBID 3911): Policy and Recommendations on Downgrading Firmware. Le seguenti procedure SONO supportate da SonicWall, in quanto non costituiscono un downgrade di impostazioni:
• Avvio appliance UTM da una versione superiore del firmware a una versione del firmware più bassa con le impostazioni predefinite di fabbrica, e da lì ricostruire le impostazioni manualmente.
• Avvio appliance UTM con un firmware inferiore con impostazioni di fabbrica, e poi importare le configurazioni pulite da una versione uguale o inferiore del firmware in-line.
SonicWall NON supporta le seguenti procedure:
• Un downgrade diretto del firmware di un prodotto UTM (vale a dire - Avvio a 5.8.1.12 firmware con le impostazioni correnti su un appliance UTM già in esecuzione 5.8.1.13 firmware).
• Il tentativo di risolvere un problema di firmware downgrade importando un file di configurazione valida per un firewall che ha attraversato un downgrade non supportato senza prima avvio alle impostazioni di fabbrica. (Questo è spiegato in dettaglio più avanti)
• Il tentativo di supportare, riparazione, o utilizzare in alcun modo un file di configurazione delle impostazioni .exp esportato da un'appliance UTM con le impostazioni corrotte dopo che un downgrade del firmware è stato eseguito su di esso.
Un downgrade non supportato di firmware può potenzialmente verificarsi uno dei tre modi:
1. Un amministratore può importare una versione dei firmware in una unità che esegue una versione superiore del firmware e dire al SonicWall di avviare il firmware caricato, trascurando quindi l'avvio del firmware caricato con impostazioni di fabbrica.
2. Un amministratore può importare un file di impostazioni che è stata presa da un dispositivo che esegue una versione firmware superiore e importarlo in una unità "pulita" con in esecuzione un firmware precedente, che poi corrompe la configurazione.
3. Un amministratore potrebbe anche creare un backup di sistema su una versione superiore del firmware, avviare un firmware inferiore con impostazioni di fabbrica, ma poi avviare il firmware attuale (versione precedente) con le impostazioni di backup.
Il tentativo di aggiornare le impostazioni dopo un downgrade non rimuove gli elementi corrotti di configurazione che sono stati già aggiunti ai motori (funzioni) non corretti, anzi, continua ad aggiornare la configurazione male, aggiungendo nuovi elementi, se lo ritiene necessario, come durante l'aggiornamento originale. La corruzione, dunque, rimane. Anche se in alcune occasioni i problemi si notano subito, ci sono altri casi in cui problemi si manifestano in un primo momento, ma come il firmware continua a aggiornarsi, i problemi cominciano a manifestarsi in misura maggiore. E 'proprio perché il comportamento non può essere previsto che SonicWall non può supportare qualsiasi downgrade del firmware.
Allo stesso modo, la creazione di un backup di sistema su una versione superiore del firmware, l'avvio di un firmware precedente con impostazioni di fabbrica, e quindi l'avvio al firmware attuale (inferiore) con le impostazioni di backup corrompera' la configurazione.
Gli esempi che seguono sono per illustrare ciò che è e ciò che non è supportato:
• Un firewall UTM esecuzione 5.8.1.12 firmware non può essere avviato con la configurazione esistente al 5.8.1.11 o 5.6.0.10, ma può essere avviato al 5.8.1.13 e 5.9.0.3.
• Un file di impostazioni tratto da un firewall in esecuzione su 5.9.0.3 non può essere importato in un firewall in esecuzione su 5.8.1.13.
• Un file di impostazioni da una unità che era in 5.8.1.13, poi declassato a 5.8.1.12 prima dell'esportazione delle impostazioni è già corrotto, e l'importazione di qualsiasi dispositivo di questo file di configurazione non può essere supportato.
• Un firewall UTM che è in esecuzione su 5.8.0.5 e crea un backup di sistema 5.8.0.5, quindi viene avviato a 5.6.0.12 con impostazioni di fabbrica, poi dopo viene effettuato il boot "Current Firmware with Backup Settings", mentre e' ancora sul 5.6.0.12 viene danneggiato, e qualunque file di impostazioni effettuate dopo tale punto è inutilizzabile.
Resolution or Workaround:
L'unica soluzione per portare un firewall UTM SonicWall a uno stato supportato dopo che è stato effettuatoche un downgrade è stata eseguita è quello di avviare il SonicWall attualmente supportato firmware con le impostazioni predefinite di fabbrica. Da lì, una delle due operazioni dev'essere eseguita:
• Se disponibile, importare un file di configurazione di backup buono (non corrotto) che è stato esportato sul firmware uguale o inferiore, e di cui le impostazioni non hanno mai attraversato un 'downgrade'.
• Riconfigurare manualmente il firewall.
Nota: "Importazione di un file di configurazione di backup buono" significa che se si avvia il SonicWall a una versione precedente di firmware con impostazioni di fabbrica, non è possibile importare un file di impostazioni che è già stato applicato a una versione superiore del firmware in qualsiasi momento. Questo sarebbe solo causa della corruzione per iniziare tutto da capo, e il dispositivo non sarà in uno stato supportato se questo viene fatto.
Per le unità che hanno impostazioni corrotte e non hanno un export di backup non corretto (non passato attraverso un downgrade), una riconfigurazione manuale è l'unica opzione per portare l'unità a uno stato supportato. Come per il nostro Standard End User Product Agreement, è responsabilità dell'amministratore di rete di tenere backup regolari della configurazione.
SonicWall non può supportare qualsiasi dispositivo che non sia in uno stato supportato, poiché è impossibile garantire il comportamento di un tale dispositivo.
Gli amministratori dei SonicWall's in esecuzione in HA troveranno che essi possono ridurre al minimo i tempi di inattività, consentendo l'unità secondaria di continuare a gestire la rete mentre l'unità primaria viene rimossa dalla produzione, avviata con il firmware desiderato con le impostazioni predefinite di fabbrica, e ri-registrata. Da lì, come con una unità stand-alone, possono o importare un file di configurazione non corrotta, se disponibile, oppure ricostruire le impostazioni manualmente prima di mettere il dispositivo di nuovo in linea.
E 'tipicamente raccomandato che ogni firewall in produzione utilizzi l'ultima release generale del firmware, quindi questo può anche essere l'occasione per far si che questo venga fatto. L'ultima general release del firmware può essere sempre disponibile presso il sito mysonicwall.com. I seguenti articoli della Knowledge Base includono le procedure per scaricare l'ultima versione di firmware generale, per l'avvio del SonicWall alle impostazioni di fabbrica, e di ri-registrare il dispositivo:
UTM: How to download the latest SonicOS (Standard or Enhanced) Firmware Version? UTM: How to boot the SonicWall UTM Appliance firmware Image to Factory Defaults (Standard and Enhanced) UTM: Registering the SonicWall UTM Appliance For Stand-Alone units: Una volta che una configurazione pulita è stato effettuata manualmente o importata da un file di impostazioni che non è mai passato attraverso la corruzione , e il dispositivo è in linea e registrato, i servizi dovrebbero funzionare come previsto quando è collegato alla rete.
For a High-Availability Pair: Una volta che una configurazione pulita è stata effettuata sull'unità primaria, può essere rimessa in linea e rapidamente collegata cosi' come l'unità secondaria dev'essere rapidamente scollegata, per ridurre al minimo i tempi di inattività. Se è stata configurata l'unità primaria correttamente, vi accorgerete che tutti i servizi funzionano allo stesso modo sull'unità principale che sul secondario (con l'eccezione di risolvere eventuali problemi previsti dalla corruzione delle impostazioni). Questo è un buon momento per verificare che tutte le impostazioni funzionino correttamente, oppure di rimettere il secondario in linea, se un elemento di configurazione non si trova.
Una volta che l'unità primaria è stata testata e funziona come previsto, l'unità di backup può essere avviata alla stessa versione del firmware come la primaria con impostazioni di fabbrica, ri-registrato, e reintrodotto alla coppia HA, che gli permette di prendersi la configurazione direttamente dal dispositivo principale sul collegamento HA. E 'molto importante che l'amministratore NON cerchi di importare le impostazioni alla unità di backup, o provi a ricostruire HA sull'apparato secondario, visto che cio' causa il SonicWall secondario a credere che e'configurato come device primario, e può provocare problemi sulle licenze.