Mettre à jour le BIOS en version R2.30 depuis l'interface Web d'administration

Cette section décrit la procédure de mise à jour du BIOS d'un firewall SN3100 en version R2.30 depuis l'interface Web d'administration.

Équipements nécessaires

  • Un ordinateur avec un accès à l'interface Web d'administration du firewall SN3100 via un navigateur Web compatible.

  • Un firewall modèle SN3100 disposant du BIOS version R1.06 exclusivement.

Informations importantes concernant certaines fonctionnalités du firewall SNS

Vous devrez de nouveau configurer ces fonctionnalités à l'issue de la mise à jour du BIOS :

  • Mot de passe d'accès au panneau de configuration de l'UEFI : si vous en avez défini un, il sera supprimé lors de la mise à jour du BIOS. Vous devrez le définir de nouveau.

  • Secure Boot : Cette fonctionnalité est désactivée par défaut sur le firewall SN3100.

    Si vous l'aviez activée sur votre firewall et que vous venez de mettre à jour le BIOS en version R1.06 depuis une version R1.04, vous devrez activer de nouveau Secure Boot à l'issue de la mise à jour en version R2.30.

  • Module TPM : si vous avez initialisé le module TPM, les fonctionnalités qui utilisent des certificats dont la clé privée est protégée par le module TPM (VPN, administration par un serveur SMC, etc.) ne seront plus opérationnelles. Vous devrez sceller de nouveau le module TPM pour rétablir les fonctionnalités concernées.

Ces procédures sont décrites dans la section Actions à mener à l'issue de la mise à jour.

Télécharger le fichier de mise à jour du BIOS

  1. Depuis votre espace MyStormshield rendez-vous dans Téléchargements > STORMSHIELD NETWORK SECURITY > TOOLS > STORMSHIELD NETWORK SECURITY-TOOLS.
  2. Téléchargez le fichier .maj SN3100 BIOS R230 remote update en cliquant sur son nom.

  3. Contrôlez l'intégrité du fichier téléchargé à l'aide de son empreinte SHA256 :

    a5d2d5f0aaf1328939bebe4bab94d3a9a22e185b127da3dfd521e1f3732d26de

Le fichier .maj téléchargé contient la mise à jour du BIOS et du firmware de Intel Management Engine.

Mettre à jour le BIOS et le firmware de Intel Management Engine

Vérifier la version de BIOS actuelle

Depuis les versions SNS 4.8.13 LTSB et 4.3.41 LTSB, vous pouvez vérifier la version de BIOS en console CLI :

  1. Depuis l'interface Web d'administration du firewall SNS, rendez-vous dans Configuration > Système > Console CLI.

  2. Tapez la commande :

    SYSTEM PROPERTY

    Le jeton de configuration BIOSVersion doit afficher la version R1.06. S'il affiche la version R1.04, alors vous devez d'abord mettre à jour le BIOS en version R1.06 en suivant la procédure de la section Mettre à jour le BIOS en version R1.06.

Pour les versions SNS antérieures, vous devez faire cette vérification en console ou en SSH :

  1. Connectez-vous en console ou en SSH au système du firewall SNS.
  2. Authentifiez-vous à l'aide du compte admin du système du firewall SNS.

  3. Tapez la commande :

    dmidecode -s bios-version

    Le firewall SNS doit afficher la version R1.06. S'il affiche la version R1.04, alors vous devez d'abord mettre à jour le BIOS en version R1.06 en suivant la procédure de la section Mettre à jour le BIOS en version R1.06.

Mettre à jour le BIOS et le firmware de Intel Management Engine

IMPORTANT
Le processus de mise à jour est automatique et dure environ cinq minutes. Une fois lancé, ce processus ne doit jamais être interrompu et le firewall SNS ne doit pas être déconnecté du réseau électrique. Ceci aurait pour conséquence de rendre le firewall SNS totalement inopérant.

  1. Depuis l'interface Web d'administration du firewall SNS, rendez-vous dans Configuration > Système > Maintenance, onglet Mise à jour du système.
  2. Sélectionnez le fichier de mise à jour (.maj) téléchargé précédemment.
  3. Dépliez le cadre Configuration avancée et décochez Sauvegarder la partition active sur la partition de sauvegarde avant de mettre à jour le Firewall.

  4. Cliquez sur Mettre à jour le firewall.

    Fenêtre de sélection du fichier de mise à jour (.maj) du firewall SNS

  5. Patientez pendant la mise à jour. Une fenêtre pop-up indique l'état d'avancement. Pendant la mise à jour, le firewall SNS redémarre à plusieurs reprises. Ce comportement est normal.

    Le retour à la page de connexion de l'interface Web d'administration du firewall SNS indique que la mise à jour est terminée.

Actions à mener à l'issue de la mise à jour

À l'issue de la mise à jour, vous devez mener les actions suivantes, dans cet ordre.

Paramétrer le mot de passe d'accès au panneau de configuration de l'UEFI

Si vous aviez défini un mot de passe d'accès au panneau de configuration de l'UEFI, celui-ci est supprimé. Pour définir un nouveau mot de passe, reportez-vous à la note technique Protéger l'accès au panneau de configuration de l'UEFI des firewalls SNS.

Activer Secure Boot

Cette fonctionnalité est désactivée par défaut sur le firewall SN3100. Si vous l'aviez activée sur votre firewall et que vous venez de mettre à jour le BIOS en version R1.06 depuis une version R1.04, vous devez activer de nouveau Secure Boot en vous reportant à la note technique Gérer Secure Boot dans l'UEFI des firewalls SNS.

Sceller de nouveau le module TPM

Si vous aviez initialisé le module TPM, les fonctionnalités qui utilisent des certificats dont la clé privée est protégée par le module TPM (VPN, administration par un serveur SMC, etc.) ne sont plus opérationnelles. Pour rétablir les fonctionnalités concernées, suivez l'une des procédures ci-dessous pour sceller de nouveau le module TPM.

Depuis l'interface Web d'administration

Ce cas concerne exclusivement les versions SNS 4.8.7 et supérieures.

  1. Connectez-vous à l'interface Web d'administration du firewall SNS. Une fenêtre vous invite à sceller le module TPM du firewall SNS.

    Fenêtre du mot de passe pour sceller le TPM

  2. Renseignez le mot de passe d'administration du module TPM dans le champ correspondant.
  3. Cliquez sur OK.
  4. Si le firewall SNS est membre d'un cluster en haute disponibilité, une deuxième fenêtre vous invite à sceller le module TPM du firewall passif. Renseignez le mot de passe d'administration du module TPM et cliquez sur OK.

Depuis la console CLI

  1. Scellez le module TPM du firewall SNS avec la commande :

    SYSTEM TPM PCRSEAL tpmpassword=<password>

    Remplacez <password> par le mot de passe d'administration du module TPM.

  2. Si le firewall SNS est membre d'un cluster en haute disponibilité, scellez le module TPM du firewall passif avec la commande :

    SYSTEM TPM PCRSEAL tpmpassword=<password> serial=passive