Mettre à jour le BIOS depuis l'interface Web d'administration

Cette section décrit la procédure de mise à jour du BIOS d'un firewall SN-L-Series (SN-L-Series-2200SN2200 et SN-L-Series-3200SN3200) en version R1.06 depuis l'interface Web d'administration.

Équipements nécessaires

  • Un ordinateur avec un accès à l'interface Web d'administration du firewall SN-L-Series via un navigateur Web compatible.

Informations importantes concernant certaines fonctionnalités du firewall SNS

Vous devrez de nouveau configurer ces fonctionnalités à l'issue de la mise à jour du BIOS :

  • Mot de passe d'accès au panneau de configuration de l'UEFI : si vous en avez défini un, il sera supprimé dans le cas d'une mise à jour du BIOS depuis une version R1.02. Vous devrez le définir de nouveau. Depuis une version R1.05, le mot de passe est conservé.

  • Module TPM : si vous avez initialisé le module TPM, les fonctionnalités qui utilisent des certificats dont la clé privée est protégée par le module TPM (VPN, firewall SNS administré par un serveur SMC, etc.) ne seront plus opérationnelles. Vous devrez sceller de nouveau le module TPM pour rétablir les fonctionnalités concernées.

Ces procédures sont décrites dans la section Actions à mener à l'issue de la mise à jour.

Télécharger le fichier de mise à jour du BIOS

  1. Depuis votre espace MyStormshield, rendez-vous dans Téléchargements > STORMSHIELD NETWORK SECURITY > TOOLS > STORMSHIELD NETWORK SECURITY - TOOLS.
  2. Téléchargez le fichier .maj SN-L-Series BIOS R106 remote update en cliquant sur son nom.

  3. Contrôlez l'intégrité du fichier téléchargé à l'aide de son empreinte SHA256 :

    fb20eb816cea7f27e805b6b6d4702c21e9c138f330a14c62a18b9079490094f0

Le fichier .maj téléchargé contient la mise à jour du BIOS et du firmware de Intel Management Engine.

Mettre à jour le BIOS et le firmware de Intel Management Engine

Vérifier la version de BIOS actuelle

Depuis les versions SNS 4.8.13 LTSB et 4.3.41 LTSB, vous pouvez vérifier la version de BIOS en console CLI :

  1. Depuis l'interface Web d'administration du firewall SNS, rendez-vous dans Configuration > Système > Console CLI.

  2. Tapez la commande :

    SYSTEM PROPERTY

    Le jeton de configuration BIOSVersion doit afficher la version R1.02 ou R1.05.

Pour les versions SNS antérieures, vous devez faire cette vérification en console ou en SSH :

  1. Connectez-vous en console ou en SSH au système du firewall SNS.
  2. Authentifiez-vous à l'aide du compte admin du système du firewall SNS.

  3. Tapez la commande :

    dmidecode -s bios-version

    Le firewall SNS doit afficher la version R1.02 ou R1.05.

Mettre à jour le BIOS et le firmware de Intel Management Engine

IMPORTANT
Le processus de mise à jour est automatique et dure environ cinq minutes. Une fois lancé, ce processus ne doit jamais être interrompu et le firewall SNS ne doit pas être déconnecté du réseau électrique. Ceci aurait pour conséquence de rendre le firewall SNS totalement inopérant.

  1. Depuis l'interface Web d'administration du firewall SNS, rendez-vous dans Configuration > Système > Maintenance, onglet Mise à jour du système.
  2. Sélectionnez le fichier de mise à jour (.maj) téléchargé précédemment.
  3. Dépliez le cadre Configuration avancée et décochez Sauvegarder la partition active sur la partition de sauvegarde avant de mettre à jour le Firewall.

  4. Cliquez sur Mettre à jour le firewall.

    Fenêtre de sélection du fichier de mise à jour (.maj) du firewall SNS

  5. Patientez pendant la mise à jour. Une fenêtre pop-up indique l'état d'avancement. Pendant la mise à jour, le firewall SNS redémarre à plusieurs reprises. Ce comportement est normal.

    Le retour à la page de connexion de l'interface Web d'administration du firewall SNS indique que la mise à jour est terminée.

Actions à mener à l'issue de la mise à jour

À l'issue de la mise à jour, vous devez mener les actions suivantes, dans cet ordre.

Paramétrer le mot de passe d'accès au panneau de configuration de l'UEFI

Si vous aviez défini un mot de passe d'accès au panneau de configuration de l'UEFI, celui-ci est supprimé dans le cas d'une mise à jour du BIOS depuis une version R1.02. Pour définir un nouveau mot de passe, reportez-vous à la note technique Protéger l'accès au panneau de configuration de l'UEFI des firewalls SNS.

Dans le cas d'une mise à jour du BIOS depuis une version R1.05, vous n'avez aucune action à effectuer car le mot de passe est conservé.

Sceller de nouveau le module TPM

Si vous aviez initialisé le module TPM, les fonctionnalités qui utilisent des certificats dont la clé privée est protégée par le module TPM (VPN, firewall SNS administré par un serveur SMC, etc.) ne sont plus opérationnelles. Pour rétablir les fonctionnalités concernées, suivez l'une des procédures ci-dessous pour sceller de nouveau le module TPM.

Depuis l'interface Web d'administration

Ce cas concerne exclusivement les versions SNS 4.8.7 et supérieures.

  1. Connectez-vous à l'interface Web d'administration du firewall SNS. Une fenêtre vous invite à sceller le module TPM du firewall SNS.

    Fenêtre du mot de passe pour sceller le TPM

  2. Renseignez le mot de passe d'administration du module TPM dans le champ correspondant.
  3. Cliquez sur OK.
  4. Si le firewall SNS est membre d'un cluster en haute disponibilité, une deuxième fenêtre vous invite à sceller le module TPM du firewall passif. Renseignez le mot de passe d'administration du module TPM et cliquez sur OK.

Depuis la console CLI

  1. Scellez le module TPM du firewall SNS avec la commande :

    SYSTEM TPM PCRSEAL tpmpassword=<password>

    Remplacez <password> par le mot de passe d'administration du module TPM.

  2. Si le firewall SNS est membre d'un cluster en haute disponibilité, scellez le module TPM du firewall passif avec la commande :

    SYSTEM TPM PCRSEAL tpmpassword=<password> serial=passive