Die Juniper-Firewall SSG5 ist eine relativ weit verbreitete Hardware-Firewall, klein, handlich und einfach in der Handhabung. Selbst ein Update auf eine neue ScreenOS-Version (Firmware) ist ziemlich unproblematisch und über gleich drei Wege zu erreichen. Man kann über einen am Konsolenport angeschlossenen PC per CLI-Befehl, oder den boot/diag-Modus updaten, bequemer jedoch ist das ScreenOS-Update über die Web-Oberfläche. Man muss einfach nur ins Configuration-Menü schauen und wird schnell fündig. Vor den Update aber nicht die Sicherung er aktuellen Konfiguration vergessen!

Das klingt alles sehr einfach und wäre so sicherlich keinen Blog-Beitrag wert, wenn es da nicht noch einen Haken gäbe. Updated man nämlich zu einem anderen Major-Release der ScreenOS-Firmware, muss man zuallererst den sogenannten Bootloader updaten. Leider gibt es dafür aktuell keine Funktion in der Web-GUI und auch bei den CLI-Befehlen wird man nicht fündig. Hier hilft nur der boot/diag-Modus weiter und auch nur in Verbindung mit einem TFTP-Server, der den aktuellsten Bootloader beherbergen sollte. Zwar besitzt die SSG5 einen USB-Anschluß z.B. für einen Speicherstick (ACHTUNG! Maximalgröße 4 GB), diesen kann man aber leider im boot/diag-Modus nicht ansprechen.

Bevor man den Bootloader updaten kann, ist also einiges an Vorbereitung nötig. Ein PC muss am Konsolenport der Firewall hängen und mit der SSG5 verbunden sein (z.B. mit dem Freeware-Programm Putty). Auf dem PC muss auch ein TFTP-Server installiert sein (z.B. die Freeware PumpKIN), der aktuelle Bootloader muss von der Juniper-Homepage heruntergeladen sein und im TFTP-Server zur Verfügung stehen. Ist all das getan, kann es endlich losgehen und zwar mit einem Reset der Firewall.

Beim Bootvorgang der SSG5 muss bei der Meldung „Hit any key to run loader“ mit Tastendruck unterbrochen werden. Nun erscheint ein Menü, bei dem man die eigene IP-Adresse, die IP-Adresse des TFTP-Servers (PC) und den Dateinamen der Bootloaderdatei angegeben muss.

Nach erfolgreichem Laden der Bootloader-Datei erscheint die Abfrage „Save to onboard-Flash Disk?“, die mit „n“ wie Nein beantwortet werden muss. Die darauf folgende Abfrage „Run downloaded system image?“ muss dagegen mit „y“ wie Ja beantwortet werden.

Jetzt startet das Bootloader-Update-Utility. Dieser Vorgang darf nicht unterbrochen werden! Wenn das Update erfolgreich durchlaufen wurde kann mit Tastendruck ein Reboot angestoßen werden und die Firewall wird mit dem neuen Bootloader gebootet.

Nun kann die Firmware (ScreenOS) geupdated werden. Hat man allerdings versehentlich bei der ersten Abfrage „y“ geantwortet, bootet die Firewall nicht in den ScreenOS-Prompt und das Firmware-Update muss über den boot/diag Modus gemacht werden.