Fortinet Best Practise-En İyi Öneriler Serisi-5

Firmware

Firmware Yazılım

Firmware upgrading ve downgrading kulağa oldukça kolay geliyor, herkes yapabilir, değil mi? Bir profesyonel olmanın göstergesi bir şeyi doğru yapabilmeleri veya her zaman tekrar tekrar doğru yapabilmeleri değildir. Profesyonel kişi öyle çalışır ki, ters gidebilecek şeylere hazırlıklı olur ve işleri çabucak normale döndürebilir. Yazılım güncellemeleri, diğer her şey gibi yanlış gidebilir. Dolayısıyla gerçek bir profesyonel, işlerini risklerini en aza indirecek şekilde yapar ve aşağıda listelenen en iyi önerileri (Best practises) uygular.

Firmware Değişim Yönetimi

Sadece FortiOS için değil, genel olarak aygıt yazılımı yükseltmelerini gerçekleştirirken aşağıdaki beş noktayı göz önünde bulundurun. Bu maddeler, bir üretim ortamında yapmanız gereken hemen hemen her değişiklik için geçerlidir.

1. Yeni sürümü anlamak

Üretimde herhangi bir değişiklik yapmadan önce, yeni özelliklerle özgürce oynayabileceğiniz ve yeterince zaman ve baskı olmadan bunları anlayabileceğiniz bir lab kurduğunuzdan emin olun. Sürümle ilgili Sürüm Notlarını, Kılavuzları ve sunumlar, videolar izleyin veya podcast’ler gibi diğer belgeleri okuyun.

Aşağıdaki maddeleri anladıktan sonra upgrade yapmaya hazırsınız:

  • Yeni sürüm ile önceki sürümler arasındaki farklar ve geliştirmeler.
  • Upgrade’in müşteriler ve işletim platformunun kullanıcıları üzerindeki etkisi.
  • Çevrenizi etkileyebilecek bilinen sınırlamalar.
  • Yükseltmeyi gerçekleştirirken oluşabilecek riskler.
  • Uygulanabilecek lisans değişiklikleri.

Hiçbir zaman tam anlamadan (hem özellikler hem de bilinen sınırlamalar açısından) ve işletim deneyiminiz olmayan bir sürüme yükseltmeye çalışmayın.

2. Yükseltmek için geçerli bir nedeniniz olmalı

Upgrade yapma nedenininz yalnızca “Çünkü en son sürüme sahip olmak istiyorum” olmamalı. Sebep, iş, teknik veya operasyonel iyileştirme açısından açıklanabilir olmalıdır.

Aşağıdaki sorulara verilen olumlu yanıtlar, yükseltme yapmak için geçerli nedenlerdir:

  • Yeni sürüm uyumluluğu sağlamaya yardımcı olan bir özelliği var mı?
  • Yeni sürümde belirli bir işlemin gerçekleştirilme süresinde %40 azalma (%40 iyileştirme) sağlayan bir geliştirme var mı?
  • Yeni özellik, önceki bir sürümde bulunan ve şirketin işlerini etkileyen bilinen bir hatayı düzeltiyor mu?
  • Yeni sürüm, kuruluşunuzun yeni müşteriler kazanmasını sağlayacak veya mevcut müşterilerin sadakatini artırmaya yardımcı olacak yeni hizmetleri uygulamaya izin verecek mi?
  • Satıcı, şu anda kuruluşunuzun kullanmakta olduğu sürüm için desteği kesiyor mu?

Yükseltme için en iyi sebebiniz “Yeni özellikler harika göründüğü için” veya “En son sürüme sahip olmak istediğim için” ise, biraz daha anlayış göstermeniz ve planlama yapmanız gerekebilir.

3. Bir upgrade planı hazırlayın

Geçerli bir neden bulduğunuz için yükseltmeyi seçerseniz, yükseltmenin ticari, teknik ve işlevsellik yönlerini kapsayan bir plan oluşturduğunuzdan emin olun:

İşletme:

Bir yükseltme için uygun planlama ve gerekçelendirme, sistemin işletme için ne kadar kritik olduğu ile orantılı olmalıdır.

  • Yükseltmenin faydalarını iş açısından (zaman, para ve verimlilik) açıkça ifade edebildiğinizden emin olun.
  • Değişimden etkilenecek iş süreçlerini anlayın.
  • Upgrade bakım penceresinin iş açısından kritik bir sürece yakın olmadığından emin olun (üç aylık veya aylık iş kapanışları gibi).
  • Bakım penceresi için yönetici ve operasyonel onay alın. Onay, yalnızca yükseltilen sistemin sahiplerinden değil, yükseltmeden etkilenen tüm sistemlerin sahiplerinden gelmeli ve resmi (yazılı veya e-posta) bir biçimde yapılmalıdır.

Teknik ve operasyonel:

  • Yükseltmekte olduğunuz teknolojinin Sürüm Notlarını yeniden okuyun. Desteklenen donanım modelleri, yükseltme yolları ve bilinen sınırlamalar açıkça anlaşılmalıdır.
  • Yükseltme bakım aralığınızın altyapınızdaki diğer bakım aralıklarıyla çakışmadığından emin olun.
  • Herhangi bir premium destek teklifiniz varsa (TAM, Premium Destek gibi), yeni yazılım sürümünün şu anda sahip olduğunuzdan daha fazla donanım kaynağı gerektirmediğinden emin olmak için bir kapasite planlama çalışması yapın.
  • Planlanmış yedeklemeleriniz olsun ya da olmasın, bir yedekleme oluşturun. Yeni bir taze yedekleme oluşturun.
  • Hem şu anda yüklü olan üretici yazılımının hem de yeni sürümün çevrimdışı kopyalarını alın.
  • Yükseltmekte olduğunuz sisteme bağımlılıkları olan sistemlerin bir listesini oluşturun. Örneğin, bir FortiGate’i yükseltiyorsanız; ortamınız üzerindeki herhangi bir FortiAP, FortiAuthenticator, FortiToken, FortiManager veya FortiAnalyzer üzerindeki etkisini anlayın.
  • Yükseltme platformuna yakın cihazların bir listesine sahip olduğunuzdan ve sorun giderme yapmanız gerektiğinde bunlara yönetici erişiminiz olduğundan emin olun. FortiWeb’i yükseltiyor musunuz? Web Uygulamalarına yönetici olarak erişebildiğinizden emin olun. Bir FortiGate’i yükseltiyor musunuz? Çevredeki anahtarlara ve yönlendiricilere yönetici olarak erişebildiğinizden emin olun.
  • Yükseltmenin nasıl çalışacağına ve test edileceğine dair adım adım bir plan yapın. Olası riskli durumları ve kötü durumlara karşı önceden eylem planı yaparak hazırlıklı olun.
  • Yükseltmenin iyi çalıştığından emin olmak için kritik iş uygulamalarını da kapsayan bir dizi test tanımlayın. Herhangi bir test iyi geçmezse, hangilerinin geri alma gerektirdiğini ve daha fazla sorun giderme için hangilerinin sorun olmayacağını tanımlayın. Bu testler, sonuçları karşılaştırmak için yükseltmeden önce ve sonra çalıştırılmalı ve uygulanan testler aynı olmalıdır.
  • Net bir geri alma planı tanımlayın. Yükseltme veya testlerde bir şeyler ters giderse, geri alma planı, ortamınızı bilinen ve çalışır duruma döndürmenize yardımcı olur. Plan, geri dönüşün başlatılacağı koşulları açıkça belirtmelidir.
  • Yükseltmeden önce ve sonra yapılandırma donmalarını bildirin. Amaç, bir şeyler ters giderse dikkate alınacak değişkenlerin miktarını azaltmaktır.
  • Bir “Kalite Güvencesi” yükseltme uygulayın. Üretim yapılandırmasının bir kopyasını alın, üretim dışı bir kutuya yükleyin ve süreçte herhangi bir sorun olup olmadığını görmek için yükseltmeyi orada sürdürün. Daha sonra çıkan sonuçlara göre planınızı oluşturun.
  • Bir şeyler ters giderse toplanacak bilgi öğelerinin bir listesini yapın. Bu liste, yükseltme başarısız olsa bile, sorunu tekrarlamanıza gerek kalmadan sorunu giderebilmeniz için yeterli bilgi toplamanızı sağlar. Listenizde başka nelerin eksik olabileceğini kontrol etmeniz gerekiyorsa Fortinet Destek’ten yardım alın.
  • Değişiklik tamamlandıktan sonra bir test izleme dönemi tanımlayın. Upgrade işlemi sorunsuz geçse bile bir şeyler ters gidebilir. Yükseltilen sistemi en az bir iş döngüsü boyunca izlediğinizden emin olun. İş döngüleri, kuruluşunuzun iş önceliklerine bağlı olarak bir hafta, bir ay veya bir çeyrek olabilir.

4. Firmware Yükseltme planını yürütün

  • Yükseltmeyi gerçekleştirdikten sonra, yaşayacağınız stres ve baskıya rağmen sakin bir kafayla oluşturduğunuz planı uygulamaya devam etmelisiniz.
  • Yükseltmeyi gerçekleştirirken yeni bir karar o anda ”bariz” görünse bile yeni bir karar almaktan kaçınmalısınız çünkü kararınız anın stresiyle gölgelenecektir. Planınız geri almanız gerektiğini belli ediyorsa, potansiyel “Bunu çok hızlı bir şekilde düzeltebiliriz” zihniyetine rağmen geri alma işlemini gerçekleştirin.
  • Yükseltmeyi gerçekleştirirken, ilgili tüm bileşenlerin yükseltme öncesinde, sırasında ve sonrasında, izleme sistemleri, SNMP uyarıları veya en azından ping gibi araçlarla sürekli olarak izlendiğinden emin olun. CPU, bellek, ağ veya disk kullanımı gibi kritik kaynaklar da sürekli olarak izlenmelidir.
  • Yanlış anlamaları önleyebilmek adına, planlamada tanımlanan her kritik uygulama için testleri uygularken, test edilen her kullanıcı alanı, hizmet, sistem veya uygulama için sonuçlara ilişkin resmi bildirimlerin bulunduğundan emin olun.
  • Geri almanız gerekip gerekmediğine bakılmaksızın, bir sorun oluşursa, sorun hakkında mümkün olduğunca fazla bilgi topladığınızdan emin olun, böylece daha sonra bir çözüm bulmak için destek ve yardım alabilirsiniz.

5. Son olarak, yükseltmeyi belgeleyin:

  • Yürütülen tüm komutların ve üretilen tüm çıktıların izini bırakmak için terminal emulation programınızı etkinleştirin. Adımları GUI aracılığıyla gerçekleştiriyorsanız, belgelemek için bir ekran kaydı aracı kullanın.
  • Birbirine bağlı sistemler üzerinde gerçekleştirilen herhangi bir komutu veya değişikliği belgeleyin. İlgili yöneticiler tarafından onaylandığından emin olun.
  • Yükseltme planı üzerinde gerçekleştirilen sapmaları belgeleyin. Bu planlanmış vs mevcut olan sapmalar.

Yazılım Yükseltmesi Uygulaması

Firewallunuzu yükseltmek, bilgisayarınızdaki işletim sistemini yükseltmekle kıyaslanması gereken bir şeydir. Her şeyin yedeklendiğinden emin olmak ve işler ters gittiğinde yapacak seçeneklerinizin olmasını istersiniz. Yapılan tüm uygulamaların işe yaradığını düşünürsek, her şeyin düzgünce çalıştığını doğrulamak için yapılacaklar listesi hazırlamak istersiniz. Peki bu FortiGate’inizi yükseltmekle ilgili olarak ne anlama geliyor? Bu, şu basit adımları uyguladığınız anlamına gelir:

1. Eski konfigürasyonu yedekleyin ve saklayın (CLI’den tam konfigürasyon yedeği).

  • Eski yapılandırmanızın tam yedeğini alın. Bunların hepsi, olağanüstü durum kurtarma planınızın bir parçası olacaktır. Yükseltme eğer başarısız olursa, Firewallu tekrar çalışır duruma getirebildiğinizden emin olmalısınız. Bunu yapmanın en iyi yolu, davranışın ne olduğunu bildiğiniz bir duruma geri getirmektir.

2. Eski firmware (yazılımın) bir kopyasını hazır bulundurun.

  • Bu adım sayesinde olağanüstü durumda verileri kurtarmanızı sağlar. Yükseltme başarısız olursa, etkin bölümü değiştirebilirsiniz. Bir profesyonel olarak en kötü senaryoya hazırlıklı olmalısınız. Bu, firmware yazılımınıza ihtiyacınız olacağı anlamına gelir.

3. Bekleme modunda olağanüstü durum kurtarma seçeneğine sahip olun – özellikle uzaksa.

  • Kritik bir arıza durumunda ne yapacağınıza dair planınızdır. Söz konusu FortiGate olduğunda, bu güvenlik duvarınızın (firewall) yükseltmeden sonra geri gelmeyeceği anlamına gelir. Bunun anlamı, nedenini öğrenmek için konsol bağlantı noktasına ulaşabilmeniz gerektiğidir. DHCP ve IP değişmiş olabilir veya işletim sistemi bozuk olabilir.
  • Çözüm basit bir düzeltme olabilir. Değilse, bir formata ve TFTP’nin yeniden yüklenmesine hazır olun.

4. Yükseltme yolu ve hata bilgileri de dahil olmak üzere sürüm notlarını okuyun.

  • Sürüm notlarını okuyun. Çünkü her türlü bilgiyi, bilinen hataları, sabit hataları, hatta kayıp yapılandırma ayarları gibi yükseltme sorunlarını içerirler. Bütün yükseltme bilgileri hiçbir ürün sürüm notlarında yer almaz ancak bu onların yararlı bilgilerden yoksun oldukları anlamına gelmez.

5. Her şeyi iki kez kontrol edin.

  • Her adımı tekrar kontrol edin. Örneğin; TFTP sunucunuz çalışıyor mu, konsol bağlantınız çalışıyor mu, sürüm notlarında yükseltme prosedürünüzü etkileyebilecek herhangi bir şey var mı, yapılandırmanızın yedeğini aldınız mı? kontrol edin.

6. Güncellemenin yapılması.

  • Son olarak Firmware için güncelleme yapın. Yükseltme yapmak çok uzun sürmez sadece birkaç dakika hatta daha az sürebilir ancak bunun için yeterli zaman planladığınızdan emin olun. Günün sonunda bir yükseltme başarılı veya başarısız olabilir. Başarılı olursa, sahip olduğunuz önemli özelliklerin (VPN’ler vb.) Başarısız olursa, sorunları düzeltmek için zamana ihtiyacınız olacak.

Bir Firmware downgrade gerçekleştirme

Tıpkı yükseltmedeki adımlara benzese de, bu durumda başka tuzaklar olduğu için adımlar biraz farklıdır.

1. Yükseltme öncesi yapılandırma dosyasını bulun.

  • Çok önemli bir adımdır! Yükseltme yaptığınızda eski yapılandırmanızın yedeğini alır ve kaydedersiniz. Bunu yapmazsanız, manuel olarak yeniden oluşturmanız gerekir.

2. Eski firmware yazılımının bir kopyasını hazır bulundurun.

  • Birden fazla bölümü olan cihazlarda ve sürüm düşürme işleminiz yalnızca etkin bölümü değiştirmek olacak olsa bile, işlem yanlış gidebilir ya da internet erişiminiz olmayabilir. Bir profesyonelseniz işlerin ters gitmesine karşı hazırlıklı olmalısınız.

3. Bekleme modunda olağanüstü durum kurtarma seçeneğine sahip olun.

  • Öncekinden farklı bir adım değil. Umarım ihtiyacınız olmaz ancak format atmanız gerekebilir.

4. Sürüm notlarını okuyun – sürüm düşürme makul mü zorunlu mu?

  • Sürüm notlarını tekrar okuyun. Bu durumda, bunu bulunduğunuz sürüm ve ayrıca downgrade yapmakta olduğunuz sürüm ve aradaki her şey için yapmanız gerekecektir. (birden çok ana sürüm veya patch yapacaksanız). Belki işletim sistemi, iki firmware sürümü arasında bir yerde 32’den 64 bit’e geçmiş olabilir. Böyle bir şeye takılmadığınızdan emin olmak için, seçenekleriniz üzerinde doğrudan bir etkisi olabileceğinden, her büyük sürümde ve patchde upgrade ve downgrade bilgilerini kontrol etmelisiniz.

5. Her şeyi iki kez kontrol edin.

6. Downgrade erişim için gerekli olanlar dışındaki tüm ayarlar kaybolur.

  • 5. ve 6. madde birbiriyle aynıdır. Her şeyi iki kez kontrol edin, ardından eski sürüme geçin.

7. Yükseltme öncesi yapılandırmayı geri yükleyin.

  • Oldukça yeni olan bu adımda sürüm düşürmenizden kaynaklı çoğu ayar kaybolur, bu nedenle tekrar çalışmaya başlamak için eski yapılandırma dosyanızı geri yüklemeniz gerekmektedir.

Yapılandırma yedeklemesi işlemi

FortiGate ünitenizi bir kez yapılandırdığınızda ve düzgün çalışmasından sonra backup konfigürasyonu yedeklemeniz oldukça önemlidir. Bazı durumlarda, FortiGate ünitesini fabrika varsayılanlarına sıfırlamanız veya mevcut konfigürasyonu silecek olan bir bellenim TFTP yüklemesi gerçekleştirmeniz gerekebilir. Böyle bir durumda, geri yüklemek için bir yedekleme kullanılamıyorsa, cihazdaki yapılandırmanın yeniden oluşturulması gerekecektir.

Ayrıca, herhangi bir değişiklik yapıldığında, mevcut en güncel yapılandırmaya sahip olduğunuzdan emin olmak için yapılandırmayı hemen yedeklemenizi öneririz. Ayrıca, FortiGate biriminin donanım yazılımını yükseltmeden önce yapılandırmayı yedeklediğinizden emin olun. Yükseltme sırasında yapılandırmayı değiştiren herhangi bir şey olursa, kaydedilen yapılandırmayı kolayca geri yükleyebilirsiniz.

Yapılandırmayı her zaman yedekleyin ve off-site ya da yönetim bilgisayarında saklayın. Yapılandırma dosyasını yerel PC, USB anahtarı, FTP ve TFTP sitesi dahil olmak üzere çeşitli konumlara kaydetme seçeneğiniz bulunmaktadır. Ancak FTP ve TFTP yalnızca CLI aracılığıyla yapılandırılabilir.

VDOM’larınız varsa, tüm FortiGate biriminin yapılandırmasını veya yalnızca belirli bir VDOM’yi yedekleyebilirsiniz. Unutmayın FortiManager veya FortiCloud kullanıyorsanız, tam yedeklemelerin gerçekleştirildiğini ve tek tek VDOM’leri yedekleme seçeneği görünmeyecektir.

FortiGate konfigürasyonunu yedeklemek için – GUI:

  1. Kontrol Paneli (Dashboard)’ne gidin.
  2. Sistem Bilgileri widgetında, System Configiration‘nun yanındaki yedekleyi (backup) seçin.
  3. Yerel PC‘nize veya bir USB Diske yedeklemeyi seçin.
  4. USB bağlantı noktasına herhangi bir USB sürücüsü takılı değilse, USB Disk seçeneği grileşir. Ayrıca CLI’yi kullanarak FortiManager’a yedekleme yapabilirsiniz.
  5. VDOM’ler etkinleştirilirse, tüm FortiGate konfigürasyonunu veya yalnızca belirli bir VDOM konfigürasyonu yedeklemeyi seçin.
  6. Bir VDOM yapılandırmasını yedekliyorsanız, listeden VDOM adını seçin.
  7. Yapılandırma dosyasını şifrele‘yi seçin.
  8. VPN sertifikalarını yedeklemek için yedekleme dosyasında şifreleme etkinleştirilmelidir.
  9. Bir şifre girin ve onaylamak için tekrar girin. Dosyayı geri yüklemek için bu parolaya ihtiyacınız olacak.
  10. Yedekleyi (Backup) seçin.
  11. Web tarayıcısı sizden yapılandırma dosyasını kaydetmeniz için bir konum isteyecektir. Yapılandırma dosyası bir .conf uzantısına sahip olacaktır.

FortiGate konfigürasyonunu – CLI’yi yedeklemek için:

Firmware

… veya FTP için (port numarasının, kullanıcı adının FTP sitesine bağlı olarak isteğe bağlı olduğunu unutmayın)…

Firmware

… veya TFTP için …

Önce komutları girerek bir VDOM yapılandırmasını yedeklemek için aynı komutları kullanın:

SCP kullanarak bir yapılandırma dosyasını yedekleme

Konfigürasyon dosyasını veya bireysel bir VDOM konfigürasyon dosyasını yedeklemenin alternatif bir yöntemi olarak konfigürasyon dosyasını FortiGate ünitesinden indirmek için güvenli kopyalama protokolünü (SCP) kullanabilirsiniz. Bu, SCP için ve yönetici hesabı etkinleştirilerek ve SCP istemci uygulaması tarafından FortiGate birimine bağlanmak için kullanılan bir bağlantı noktasında SSH’yi etkinleştirerek yapılır. SCP, CLI komutları kullanılarak etkinleştirilir:

Önce komutları girerek bir VDOM yapılandırmasını yedeklemek için aynı komutları kullanın:

Fortigate en iyi öneriler (fortigate best practise) serimizin beşinci bölümünün sonuna geldik. Okuduğunuz için teşekkür ederiz. Umarız işinize yaracaktır.

Fortinet Best Practise serimizin bir önceki bölümü olan Fortigate cihazınızda uygulayabileceğiniz Çevresel Özellikler konulu yazımıza ulaşmak için tıklayabilirsiniz.

İlginizi Çekebilecek Makaleler​

LLM (Large Language Models) Nedir?

Günümüzde yapay zeka ve makine öğrenmesi, teknolojinin birçok alanında devrim niteliğinde ilerlemeler kaydetmiştir. Bu ilerlemelerin merkezinde yer alan büyük dil modelleri (LLM – Large Language

Devamı »
Message Broker Nedir?

Message broker, birçok farklı uygulama veya sistem arasında iletişim kurmak için kullanılan bir yazılım aracıdır. Bu araç, bir uygulama tarafından gönderilen mesajları bir veya daha

Devamı »
Loglama Nedir?

Loglama, bilgisayar sistemlerindeki olayları, hataları ve diğer önemli durumları kaydetme işlemidir. Bu kayıtlar, sistem yöneticileri ve geliştiriciler tarafından, sistemlerin işleyişini anlamak, hataları tespit etmek ve

Devamı »
Vcenter Üzerinden ESXI Upgrade’i Nasıl Yapılır?

Öncelikle herkese merhaba arkadaşlar, sizlere Vcenter üzerinde ESXI hostunuzu nasıl upgrade edeceğinizi anlatacağım. Öncelikle hangi versiyona yükselteceksek o versiyonun ISO dosyasını indiriyoruz. Ardından Vcenter’ımızı açıyoruz.

Devamı »