Préconisations
Informations avant la mise à jour du serveur SMC
Mise à jour en version 3.7 - Rattachement des firewalls SNS à SMC
Si dans une version précédente de SMC, vous aviez utilisé un même package de rattachement pour connecter plusieurs firewalls, ces firewalls pouvaient se connecter à tour de rôle sous le même nom à SMC. De plus, la version 3.7 pourrait refuser leur connexion. Afin de rétablir la situation avant la mise à jour en version 3.7 :
-
Générez un nouveau package de rattachement pour chaque firewall.
-
Installez-le sur le firewall correspondant.
Vous pouvez utiliser la commande smc-import-firewalls /data/tmp/nomfichier.csv --package-only
pour générer plusieurs packages en même temps.
Si après la mise à jour en version 3.7, un firewall ne parvient pas à se connecter à SMC :
-
Décochez la case Vérifier le numéro de série du firewall à la connexion dans l'onglet Système > Configuration des propriétés du firewall dans l'interface de SMC.
Si le problème concerne plusieurs firewalls :
-
Connectez-vous au serveur SMC via la console de votre hyperviseur ou en SSH.
-
Désactivez la fonctionnalité de vérification du numéro de série du firewall à l'aide de la variable d'environnement SMC_LOCK_SERIAL_NUMBER_ENABLED=false dans le fichier /data/config/fwadmin-env.conf.local.
-
Redémarrez le serveur avec la commande
nrestart smc
. -
Lorsque tous les firewalls sont reconnectés, réactivez la fonctionnalité de vérification du numéro de série du firewall à l'aide de la variable d'environnement.
Gestion du routage dynamique depuis SMC
À partir de la version 3.6 de SMC, lors de la mise à jour d'un firewall SNS en version 4.8.1 EA ou supérieure, SMC télécharge automatiquement la configuration du routage dynamique locale du firewall lorsqu'il se reconnecte après la mise à jour.
Stormshield recommande par conséquent de ne pas faire de modification de la configuration du routage dynamique d'un firewall entre la fin de la mise à jour d'un firewall et sa reconnexion à SMC.
Gestion de la configuration des interfaces réseau des firewalls SNS lors d'une mise à jour d'une version antérieure à la 3.4 vers une version supérieure à la 3.4
Après une mise à jour en version supérieure à la 3.4, le serveur SMC a besoin de récupérer de nouveau la configuration des interfaces et du routage des firewalls SNS.
Veuillez donc prendre connaissance des points suivants :
-
Avant la mise à jour de SMC, veillez à déployer les modifications de la configuration réseau d'un firewall en cours. Dans le cas contraire, les modifications seraient perdues.
-
La configuration des interfaces et des routes reste en lecture seule sur SMC tant que le firewall SNS ne s'est pas reconnecté à SMC après la mise à jour.
Après la mise à jour en version supérieure à la 3.4, si vous gérez un parc de plus de 200 firewalls, la synchronisation de la configuration réseau des firewalls SNS peut provoquer des ralentissements du système. Dans ce cas, nous vous recommandons de désactiver temporairement le contrôleur de cohérence avant de mettre à jour SMC, puis de le réactiver ensuite. Pour cela :
- Connectez-vous au serveur SMC via la console de votre hyperviseur ou en SSH.
- Dans le fichier /data/config/fwadmin-env.conf.local, ajoutez la variable d'environnement : FWADMIN_ENABLED_CFGCHECK=false (remplacée par la variable SMC_CFGCHECK_ENABLED à partir de la version 3.4).
- Redémarrez le serveur avec la commande
nrestart fwadmin-server
. - Après la mise à jour, lorsque tous les firewalls sont correctement reconnectés, supprimez la ligne du fichier et redémarrez le serveur.
Mise à jour depuis une version 2.X
Pour mettre à jour un serveur SMC en version 3.7, des mises à jour intermédiaires peuvent être nécessaires selon sa version d'origine :
Depuis une version 2.X | Mettre à jour vers la version 3.1.6 |
Pour plus d'informations, vous pouvez consulter la base de connaissancesStormshield (authentification nécessaire).
Interfaces avec adresses de réseau ou broadcast
SMC ne permet plus de créer des interfaces avec des adresses de réseau ou de broadcast afin d'être homogène avec les firewalls SNS.
Avant de mettre à jour SMC, vérifiez que vous ne possédez pas ce type d'interface dans votre configuration. Dans le cas contraire, l'interface d'administration de SMC deviendrait inutilisable et il vous faudrait rétablir un snapshot ou un instantané de votre machine virtuelle.
Taille du disque Système
Après plusieurs mises à jour successives du serveur SMC, le disque Système peut manquer d'espace et ne pas permettre l’installation de nouvelles mises à jour :
-
Utilisez la commande suivante pour vérifier l'état de votre disque Système :
df -h /
Par exemple :
-
Si l'espace sur le disque est presque plein, vous devez déployer une nouvelle machine virtuelle selon la procédure suivante :
-
Effectuez une sauvegarde de la configuration du serveur SMC 3.x.
-
Éteignez le serveur SMC.
-
Déployez un nouveau serveur SMC dans la même version 3.x.
-
Restaurez la configuration sauvegardée sur la nouvelle machine virtuelle.
-
-
Mettez à jour votre nouveau serveur SMC dans la nouvelle version 3.y.
EXEMPLE
Pour passer d'une version 3.1.4 à une version 3.1.6 :
Effectuez une sauvegarde de la configuration du serveur SMC 3.1.4.
Éteignez le serveur.
Déployez un nouveau serveur 3.1.4.
Restaurez la configuration sauvegardée sur le nouveau serveur 3.1.4.
Mettez à jour le nouveau serveur en version 3.1.6.
Pour plus d'informations sur ces procédures ou pour obtenir de l'aide, consultez le Guide d'administration de SMC ou contactez le Technical Assistance Center.
Accès au serveur SMC pendant une mise à jour
Lorsque vous mettez à jour votre serveur SMC, nous vous recommandons de rendre l'accès à SMC indisponible pour les autres administrateurs le temps de la mise à jour. Dans le cas contraire, s'ils sont en train de travailler sur la configuration, ils ne sont pas prévenus qu'une mise à jour est en cours et pourraient perdre leur travail.
Recommandations matérielles minimum
Afin d'assurer la bonne performance du serveur SMC, nous recommandons de l'installer sur une machine virtuelle disposant d'au moins de 2 vCPU et 4 Go de RAM.
Avertissement avant de rattacher des firewalls SNS au serveur SMC
Veuillez prendre connaissance de ces informations si vous souhaitez rattacher au serveur SMC un parc de firewalls SNS déjà en production et qui contient des éléments de configuration globaux.
Lorsque SMC déploie une configuration sur un firewall, tous les éléments de configuration globaux existant sur ce firewall sont supprimés, et remplacés par les éventuels éléments de configuration définis dans la configuration SMC.
Ceci comprend :
- Les objets globaux définis sur le firewall,
- Les règles de filtrage globales définies sur le firewall,
- Les tunnels VPN globaux définis sur le firewall.
Ces éléments ne sont pas visibles par défaut dans l’interface web de configuration SNS. Pour les afficher, vous devez aller dans les Préférences de votre firewall, section Paramètres de l'application et activer l'option Afficher les politiques globales (Filtrage, NAT, IPsec et Objets).
En rattachant un firewall SNS à SMC, vous acceptez donc que ces éléments globaux que vous auriez pu mettre en place sur ce firewall soient écrasés dès le premier déploiement de configuration par SMC.
En revanche les objets, règles et tunnels VPN locaux (que vous manipulez par défaut dans l’interface Web d'administration des firewalls) ne seront jamais modifiés ou supprimés par un déploiement de configuration par SMC.
Nous vous préconisons donc de recréer ces éléments globaux sous forme d'éléments locaux sur le firewall ou bien de récrire les règles dans SMC avant de rattacher le firewall à SMC, pour éviter toute perte d’éléments de configuration et ne pas perturber la production.
Dans les cas les plus fréquents, où le firewall à rattacher ne dispose pas d’éléments de configuration globaux, son rattachement à SMC ne nécessite pas de précaution particulière et se fera sans impact sur la production.
Dans tous les cas, nous préconisons de réaliser une sauvegarde de la configuration de votre firewall avant de le rattacher à SMC.