ネットワーク機器のOSアップグレードについて
ネットワーク機器の運用、保守の作業範囲でファームウェアのアップグレードを行う必要がある場合があります。アップデートを行う理由は様々ですが、一番多いかつ重要で早急に対応する必要がある状況が「OSにバグ、脆弱性などのが発見されたとき」です。
2022年12月21日現在、Fortinet社のFortiGateのOSがSSL-VPN機能を使用している際のクリティカルな脆弱性[cve-2022-42475]が発見されたということで、FortiGateのファームウェアアップデートを行うネットワークSEも多いかと思います。
FortiGateをはじめとしてファームウェアのアップグレードを行う際に、気を付けるべき点の1つが「アップグレードパス(upgrade path)」です。CiscoやHPEなどの機器などアップグレードパスを意識する必要がないネットワーク機器も多いですが、FortiGateやRuckusなどの機器はファームウェアを目標のバージョンまで上げるために順序を必要とするものも少なくありません。
ファームウェアのアップグレードパスとは?
そもそもFortiGateなどのアップグレードパスが存在する機器のファームアップを行ったことが無い方の為に「アップグレードパス」について解説を行います。
例えば、現在使用しているFortiGate 60Fのファームウェアが[ver 6.0.6]だとします。
そして[ver 6.0.12]までアップグレードを行いたい場合、Ciscoなどの機器のように単に[ver 6.0.12]のファームを投入しても、アップグレードが行えません。
ファームウェアのアップグレードにパスが存在する機器というのは、その「目的のファームウェア」まで上げるまでに「経由しておかなければいけないファームウェアあがる」ということです。
※Fortigateのアップグレードパスは、こちら「Fortinet Upgrade Path Tool Table」で確認できます。(後ほど使用方法の解説を行います。)
FortiGateなどのように「経由しなければいけないファームウェアバージョン」というものがある機器は必ず、公式サイトやサポート等にアップグレードパスを確認してから作業を行う必要があります。
アップグレードパスを無視してファームアップを行った場合
アップグレードパスを無視してファームアップを行った場合についてです。
上記の例の図でいう本来FortiGateは、[ver 6.0.6]から[ver 6.0.12]に更新する際、[ver 6.0.8]と[ver 6.0.10]に一度アップデートしてから[ver 6.0.12]にアップデートする必要があります。
これを直接[ver 6.0.6]から[ver 6.0.12]にアップデートした場合様々な問題が発生します。
大半の場合パスを無視したアップデートを行おうとすると、アップデート自体がうまくいかずエラーが発生するだけです。しかし稀に機器の動作不良を引き起こしたり、機器のハード上にファームウェアファイルは入っているが起動ができない、などのクリティカルな問題が発生する恐れがあります。
FortiGateのアップグレードパス確認方法
最後に、アップグレードパスが存在す機器で、脆弱性によりファームアップを必要とすることが多いFortiGateのアップグレードパス確認方法を解説します。
方法は簡単で、こちらのFortinet公式サイトのページ「Fortinet Upgrade Path Tool Table」で確認することができます。
Current Product:ForiGateの型番を選択 (例)Fortigate-60F Current FortiOS Version:現在のバージョンを選択 (例)6.0.6 Upgrade to FortiOS Version:最終的に使用したいバージョンを選択 (例)6.0.12
上記3点の選択が完了したら、[GO]をクリックして結果を表示させます。
上記のように表形式でアップグレードパスが表示されるので、現在のバージョンからどのバージョンを経由してアップデートすればよいかがわかります。
