Palo Alto Firewalls: Wiederherstellung aus dem Maintencance Mode

Vielen kennen den Effekt: Die Firewall soll aus dem Proof of Concept in die Produktivumgebung gehoben werden, dabei soll noch eine Software-Update eingespielt werden – und schon landet man direkt in den Maintance Mode. Wie wir diesen wiederherstellen. beschreiben wir im nachfolgendem Artikel.

Zunächst brauchen wir dafür natürlich einen Konsolenzugriff, standardmäßig sind die Zugangsdaten admin/admin gesetzt. Ansonsten sind für die Konsole noch Putty (Link), die Standard-Baudraten von 9600 Baud und natürlich der Lokale Com-Port nötig, der sich je nach Adapter oder Einstellung etwas unterscheiden kann.

TL;DR Version:  „Continue“; „Disk Image“; „Reinstall 8.0.0“; „Reboot“; „done“.

Schritt 1.

Dieser ist offensichtlich, wenn wir uns im Recovery Tool befinden. Einfach „Continue“ auswählen, um mit der Wiederherstellung zu beginnen.

Schritt 2.

Im nächsten Schritt müssen wir „Disk image“ einfach mit den Pfeiltasten auswählen.

Schritt 3.

Nachdem wir „Disk Image“ ausgewählt haben, bieten sich zwei Optionen an: Wir sehen zum einen, dass derzeit aktiv hier in unserem Beispiel die Version 4.1.9 sowie die Möglichkeit, auf die Version 5.0.1 umzustellen. Bitte beachten, dass diese Lab-Versionen veraltet sind. In der Praxis sollte man eher 8.0.0 oder 7.1.15 sehen, wobei die Entwicklung hier auch nie stillsteht.

Schritt 4.

Nun wählen wir das entsprechende Image, das wir wiederherstellen wollen aus. Das veranlasst die Appliance, das PAN-OS in die alternative Sysroot-Partition zu installieren. Der weitere Prozess läuft automatisch und wir bekommen eine Erfolgs- oder eine Fehlermeldung. Bei einer Fehlermeldung bitte ein anderes Image auswählen, falls keine Wiederherstellung mit einem vorhandenen Image möglich ist. Dann wird es Zeit, einen Case mit dem Supprot-Vertragspartner (zum Beispiel Westcon) zu öffnen – oder falls Sie Hersteller-Support haben, dann dort.

Schritt 5.

Wenn der Prozess sauber durchläuft, landet man wieder im Hauptmenü bzw. kann dorthin mit der „ESC“-Taste navigieren. Hier wählen wir dann einfach „Reboot“ aus und die Appliance wird in das normale OS gestartet und steht wieder direkt zur Verfügung.

Schritt 6.

Fertig, eventuell kann man jetzt noch ein Backup einspielen, bzw. mit den initialen Konfigurationen beginnen.

Wie man dieses Problem und viele andere bewältigt, erfahren sie übrigens auch in unseren Kursen.