Un recente aggiornamento delle firme di Application Patrol versione 1.0.0.20220310.0 per i gateway di sicurezza della serie ATP/USG FLEX potrebbe causare il blocco del gateway durante l'avvio.
Qual è il problema?
La versione della firma App Patrol V1.0.0.20220310.0 può generare errori di parsing sui gateway di sicurezza che sono in modalità standalone o gestiti tramite Nebula. Il servizio App Patrol non funzionerà dopo l'aggiornamento di questa firma, tuttavia le altre funzionalità UTM continueranno a funzionare. In questa condizione, se si riavvia manualmente il gateway o se si attiva un riavvio programmato, il gateway potrebbe bloccarsi durante il processo di avvio.
Quali dispositivi sono interessati e come verificare se il problema riguarda il vostro gateway?
Il problema si verifica su tutti i gateway delle serie ATP e USG FLEX con firmware versione da 5.00 a 5.20 su cui è stata installata la firma problematica Application Patrol versione 1.0.0.20220310.0
Nella sezione Configuration => Licensing => Signature Update verificate quale versione della firma è installata per App-Patrol
Se il dispositivo utilizza la versione problematica della firma e ha firmware versione 5.00-5.20, non riavviate manualmente il gateway e disattivate (se presenti) le impostazioni di riavvio programmato!
Se il problema riguarda il dispositivo ma non è stato riavviato.
Soluzione:
Aggiornate il vostro gateway all’ultima versione del firmware - V5.21patch1 in cui il problema della firma è già stato risolto. L’aggiornamento può essere effettuato tramite cloud oppure manualmente tramite il file firmware scaricato dal portale myzyxel.com
Aggiornate la sezione che ha lo stato Running:
Se il gateway non si avvia dopo un tentativo di riavvio.
Assicuratevi che questo problema sia legato al caricamento della firma problematica, controllate i seguenti sintomi:
1) Il gateway non risponde dopo 10-15 minuti dall'accensione
2) Il LED PWR è acceso verde, mentre il LED SYS lampeggia continuamente
3) Accedendo al gateway tramite porta COM, il log di avvio si ferma al punto:
load av threat info...
Il log completo appare come nell’esempio:
Soluzione:
In questa condizione è possibile ripristinare il funzionamento del gateway senza perdita del file di configurazione. Per eseguire la procedura di ripristino è necessario un adattatore console (ad esempio DB9<=>USB) e un qualsiasi programma terminale (consigliamo TeraTerm). Il ripristino deve essere effettuato sul posto dove è installato il gateway.
Procedura di ripristino passo dopo passo:
1) Collegate l’adattatore console USB al gateway (il gateway può essere acceso o spento)
2) Avviate il programma TeraTerm sul vostro computer e impostate i seguenti parametri per la porta console:
3) Accendete o riavviate il gateway, nella finestra terminale dovreste vedere il log di avvio del gateway. Se invece vedete caratteri casuali, testo illeggibile o altro, verificate:
a) che l’adattatore console sia collegato correttamente e che i driver appropriati siano installati
b) che la tastiera sia impostata su layout latino (ENG)
c) che i parametri della porta console e la porta stessa siano corretti
Se il problema di visualizzazione persiste, provate a riavviare TeraTerm e sostituire l’adattatore console.
4) Quando l’avvio arriva al punto:
"Press any key to enter debug mode..."
Premete un tasto qualsiasi per entrare in modalità debug. In questa modalità è necessario cambiare la partizione di avvio del gateway (numero della partizione firmware). Di default, il gateway usa la prima partizione. Se non siete sicuri quale partizione il gateway stia usando in quel momento, provate prima a inserire i comandi:
atcd 2
atgo
5) Attendete che il gateway si avvii e, se l’avvio si blocca di nuovo allo stesso punto precedente (load av threat info...), ripetete i punti 3 e 4. Nel punto 4, invece del comando atcd 2, eseguite il comando atcd 1
6) Durante l’avvio nel log della console dovrebbe essere mostrata la versione del firmware della partizione caricata.
Esempio:
Se la versione del firmware è 4.30+ potete saltare il punto 6.
Se la versione del firmware della partizione di riserva è 4.29, sul dispositivo è necessario prima eseguire la configurazione iniziale e aggiornare il firmware su questa partizione per poter procedere. Per farlo eseguite quanto segue:
a) collegate un computer alla porta LAN ethernet del gateway e verificate che il computer abbia ricevuto un indirizzo dal server DHCP del gateway
b) accedete al dispositivo con l’account di fabbrica:
nome utente: admin
password: 1234
Se la password non funziona, resettate il dispositivo alla configurazione di fabbrica tenendo premuto il pulsante Reset per 10 secondi, quindi riprovate il punto b. La configurazione principale del dispositivo non dovrebbe essere compromessa.
c) Eseguite la configurazione guidata impostando sul dispositivo le impostazioni di rete con accesso a Internet e infine aggiornate il dispositivo usando l’aggiornamento cloud del firmware.
Se il dispositivo non scarica il firmware, provate a scaricarlo manualmente dal portale myzyxel.com come file .bin
7) Dopo aver ottenuto accesso alla configurazione web del gateway, scaricate tutti i file di configurazione presenti nella sezione Maintenance => File Manager
Metodo alternativo per scaricare le configurazioni tramite FTP:
a) Aprite FTP inserendo l’indirizzo ftp://192.168.1.1 (o l’indirizzo IP del dispositivo in rete locale). Potete aprirlo con il vostro browser o con il programma FileZilla.
b) Autenticatevi come utente admin
c) IMPORTANTE: aprite la cartella Standby_conf
d) Scaricate tutti i file di configurazione dalla cartella Standby_conf e verificate il file startup-config.conf aprendolo con un editor di testo per controllare che le impostazioni siano corrette.
8) Nella sezione Firmware Management aggiornate il vostro gateway all’ultima versione del firmware - V5.21 in cui il problema della firma è già stato risolto. L’aggiornamento può essere effettuato tramite cloud oppure manualmente tramite il file firmware scaricato dal portale myzyxel.com
Aggiornate la partizione che ha lo stato Standby:
Aggiornamento dei gateway di sicurezza tramite servizio cloud
Raccomandiamo, dopo aver scelto il metodo di aggiornamento, di non avviare immediatamente la partizione problematica. Nella finestra "Riavviare il dispositivo?" scegliete "No". Il gateway continuerà a funzionare sulla partizione corrente e, dopo l’aggiornamento, verificate nella sezione File Manager se sono stati aggiunti nuovi file di configurazione - in tal caso eseguite nuovamente il punto 7.
9) Dopo che la partizione con stato Standby sarà stata aggiornata alla versione 5.21 potete riavviare su di essa tramite interfaccia web:
Il gateway dovrebbe avviarsi sulla partizione precedente e caricare la configurazione con cui funzionava prima del riavvio problematico. Se la configurazione è stata resettata, caricate l’ultima versione dai file di configurazione scaricati in precedenza. Prima di caricare e applicare la configurazione, apritela con un editor di testo e cancellate la terza riga (con la versione del firmware).
Se in uno dei passaggi avete dubbi o la procedura di ripristino non funziona, vi preghiamo di aprire un ticket al nostro supporto tecnico indicando in quale passaggio si presenta il problema - Come contattare il supporto tecnico?
Commenti
0 commentiAccedi per aggiungere un commento.