İçeriğe geç

Fortigate Firmware Downgrade

Bazı durumlarda upgrade işlemi sonrasında çeşitli buglar & istenmeyen durumlarla karşılaşıp eski versiyona dönmek isteyebilirsiniz. Fortigate güvenlik duvarı web arayüzünden direk firmware downgrade desteklemez. Fakat bunu CLI’dan yapmanın bir yolu var. Bu işlem direk firmware downgrade olarak adlandırılmasa da pratikte bu amaç için kullanılabilir.

Bu işlemi gerçekleştirmek için güvenlik duvarına fiziksel erişim sağlamanız veya console bağlantısı yapmanız gerekmemektedir.

Fortinet GUI’den upload ederek veya CLI’dan firmware downgrade işlemini “tavsiye” etmemektedir. Böyle bir ihtiyaç doğduğunda dönmek istediğiniz firmware’i cihaza sıfırdan flashlayıp yüklemenizi tavsiye eder. Aşağıdaki işlemleri yapmak risklidir bu riski göz önünde bulundurunuz.

Önemli NOT: Bu işlem sadece firmware’i eskiye döndürmek için kullanılır, konfigürasyonu öncekine döndürmek mümkün değildir. Bu yüzden fimrware downgrade işleminden sonra; daha önceden saklamış olduğunuz ve geri dönüş yapmak istediğiniz versiyonda kullanabileceğiniz bir backupı güvenlik duvarına restore etmeniz gerekecektir. Farklı firmware’lerde alınan backuplarda komut satırı dizilimleri değişim gösterebileceğinden dolayı, restore etmek için seçtiğiniz backup’ın downgrade etmek istediğiniz firmware versiyonunda alınmış bir backup olmasına dikkat edin. Eğer varsa pasif güvenlik duvarında da aktif cihazda yapılan işlemleri yapmanız gerekmektedir. Aşağıdaki işlemlerin yapımındaki riskler sizin sorumluluğunuzdur.

Fortigate 2 boot sectiona, yani işletim sisteminin saklandığı yere sahip. (Fortigate 100 ve üzeri modeller 2 boot sectiona sahipler). Bu 2 farklı boot sectionda 2 farklı versiyona sahip fortios işletim sistemini barındabilmekteyiz. Cihazda mevcut çalışan firmware ve bir önceki firmware boot sectionda saklanır. Mevcutta bu boot sectionlarda hangi işletim sistemlerinin bulunduğunu kontrol etmek isterseniz aşağıdaki CLI komutunu kullanabilirsiniz.

FORTIGATE # diagnose sys flash list

Partition  Image                      TotalSize(KB)  Used(KB)  Use%  Active

1    FGT6HD-6.00-FW-build0163-180725          253871     69753   27%  No 

2    FGT6HD-6.00-FW-build0231-190107          253871     69681   27%  Yes  

3    EXDB-1.00000                         14866900     71732    0%  No  

Image build at Jul 25 2018 19:10:00 for b0163

Tahmin edebileceğiniz üzere 1 yazan boot section primary, 2 yazan boot section ise secondary boot section. Yukarıdaki çıktının Active kolununda Yes yazan mevcutta kullanılan firmwareniz. Buradaki örnekte bu firmware Fortios 6.0.4 (build0231) . Diyelim ki upgrade sonrası yeni firmware’de bir sorun yaşadınız ve tekrar eski firmware’e yani primary partitiondaki (buradaki örnek 6.0.2(build 0163)) firmware’e dönmek istiyorsunuz. Bunun için takip etmeniz gereken aşamalar aşağıdaki gibidir. Aktif pasif mimaride bir yapınız yoksa direk 2. Aşamaya geçebilirsiniz.

Fortigate Firmware Downgrade

1. Aktif-Pasif Mimaride bir yapı için

Eğer Aktif-Pasif yapıda 2 güvenlik duvarı kullandığınız bir yapınız varsa, HA’yi bozup bu işlemi önce pasif sonra aktif cihazda yapmanızı ve test etmenizi öneririm. Pasif cihazı CLI’dan yönetmek için aşağıdaki yolu izleyebilirsiniz:

FORTIGATE # get system ha status

Master:200   FORTIGATE            FGT6002801021111   1
Slave :128      PASIF-FGT             FGT6002803032222  0

Yukarıda göründüğü üzere pasif cihazın index numberı 0 aşağıdaki komutu kullanarak aktif firewall’un CLI’ından pasif cihaza geçiş yapıp yönetebilirsiniz:

FORTIGATE # execute ha manage 0

Geçiş yaptıktan sonra 2. aşamaya başlayabilirsiniz.

2. Diğer boot section’daki firmware’e dönmek için

FORTIGATE # diagnose sys flash list

Partition  Image                      TotalSize(KB)  Used(KB)  Use%  Active

1    FGT6HD-6.00-FW-build0163-180725          253871     69753   27%  No 

2    FGT6HD-6.00-FW-build0231-190107          253871     69681   27%  Yes  

3    EXDB-1.00000                         14866900     71732    0%  No  

Image build at Jul 25 2018 19:10:00 for b0163

kullanacağımız komut FORTIGATE# execute set-next-reboot primary

Bizim örneğimizde dönmek istediğimiz yani eski firmware’imiz 1. Partitiondaydı o yüzden “primary” kelimesi ile komutumuzu tamamladık. Eğer sizin durumunuzda dönüş yapmak istediğiniz firmware 2. Partitionda ise secondary kullanmalısınız.

Bu komutu girdikten sonra yapmanız gereken şey cihazı reboot etmek, reboot sonrasında cihaz eski fimrware’ine dönmüş olacaktır.

Reboot komutu : execute reboot

Eski firmware’e dönmüş cihaza yapmamımız gereken son işlem ise cihaz o firmware’de çalışırken (bizim örneğimizde 6.0.2) almış olduğunuz backup’ı cihaza tekrar yükleyip yeniden başlamasını beklemek.

Aldığınız backup’ı admin > configuration > Restore kısmından upload edebilirsiniz. Upload tamamlandığında cihazınız yeniden başlayacak ve eski firmwarede eski backup’ınızla cihazınızı kullanabileceksiniz.

fortigate firmware downgrade

NOT: pasif cihazda sorun olmadığını, istediğiniz gibi çalıştığını görürseniz aynı işlemleri aktif cihaza da yapın, HA’yi tekrar ayağa kaldırın.

Diğer fortigate yazıları için buraya göz atmak isteyebilirsiniz.

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir