Wer jetzt noch auf R80.30 oder tiefer ist, sollte sich wohl so langsam Gedanken über die Upgradeplanung machen. R80.20/R80.30 ist nur noch bis September 2022 unterstützt. Niemand möchte ein produktives System in einem «unsupported» Status betreiben. Falls man dann Unterstützung durch TAC benötigt, werden die einem höflich bitten, zuerst auf eine unterstützte Version zu migrieren. Es gibt natürlich auch die Möglichkeit der Support Extension, die man einkaufen kann. Allerdings ist das eher ein Notnagel, um «compliant» zu bleiben. Nach meiner Erfahrung wird damit nur «Best-effort» angeboten. Allenfalls bemüht sich TAC bei Problemen um einen Workaround, aber Bugfixes oder Vulnerability Patches werden trotz der Extension nicht mehr entwickelt.


Also was nun: R80.40, R81 oder R81.10?

Wie fast immer, gibt es keine einfache Antwort. Es kommt drauf an. R81 würde ich von Anfang an ausschliessen. R81 läuft zwar nach meiner Erfahrung sehr stabil, R81.10 ist aber mindestens genauso stabil, bietet gegenüber R81 ein paar Verbesserungen und ist zurzeit die «default» Version von Check Point bzw. von Check Point «widely recommended for all deployments».

Lavar hatte bereits in seinem Blog Beitrag vor zwei Jahren die Terminologie von Major und Minor Release erläutert: www.tec-bite.ch/lohnt-es-sich-auf-check-point-r80-40-zu-wechseln/


Aktuell sieht die Situation so aus

Check Point Security Gateway & Management
Quelle: www.checkpoint.com/support-services/support-life-cycle-policy/, abgerufen am 14.04.2022

Wie in der Grafik zu sehen, wurde R80.40 unterdessen in den Status eines Major Release erhoben und erhielt dadurch eine längere Supportunterstützung. R80.40 ist nun bis Januar 2024 unterstützt. Aus meiner Warte macht dies absolut Sinn. Wurde doch kräftig an grundlegenden Funktionen gewerkelt. Zum einen kam mit R80.20 komplett umgeschriebenes SecureXL und, je nachdem, mit R80.20 oder R80.30 ein «neuer» Linux Kernel mit entsprechenden Verhaltensänderungen. Um ehrlich zu sein, trugen diese Änderungen, vor allem zu Beginn, nicht gerade zur Stabilität bei.


Was ist zu tun?

Ist man auf R80.20 / R80.30 hat man in jedem Fall den SecureXL Umbau bereits hinter sich. Je nach Gateway Version kann es sein, dass man noch nicht auf Kernel 3.10 ist. Das Management wurde bereits mit R80.20 auf den neuen Kernel und damit aufs neue Filesystem XFS umgestellt. Wer also sein System bereits auf dem Kernel 3.10 hat und Zeit sparen möchte, kann mit gutem Gewissen einen «Inplace-upgrade» auf R80.40 durchführen. Für alle anderen Systeme mit 2.6 Kernel empfehle ich dringend eine Neuinstallation des OS. Da man in dem Fall sowieso neu installieren muss, kann man gerade so gut R80.40 überspringen und auf R81.10 migrieren. Das beschert einem dann Supportunterstützung bis Oktober 2024. Natürlich muss das Management in dem Fall ebenfalls, und wie immer, im Voraus migriert werden.

Wie kann ich prüfen, welcher Kernel auf meinem System läuft:

In Clish: show version os kernel
In Bash: uname -a oder cpstat os

Wer auf R80.40 ist, kann getrost noch warten mit Upgraden und dann zu gegebener Zeit (Q4/2023) auf R81.40 migrieren. Es sei denn, es werden Features aus R81.x benötigt.

Um meine Empfehlung zu visualisieren hier ein Flussdiagramm:

Flussdiagram Check Point Upgrade AVANTEC
Quelle: AVANTEC

Wie komme ich auf Q4/2023 für R81.40?

Check Point gibt an, pro Jahr zwei Versionen rausbringen zu wollen. R81.20 steht kurz vor Release. Dann wäre im Q4/2022 R81.30 und im Q2/2023 R81.40 an der Reihe. R81.40 sollte dann im Q4 die Reife und Stabilität erhalten haben, die man für produktive Systeme erwartet. Gut möglich, dass dann dies wieder die letzte R81.x Version sein wird und Zwecks Supportverlängerung zur Major Version erhoben wird. So war’s jedenfalls mit 77.30 und R80.40. Doch Check Point ist mit ihrer Release Politik und was Major/Minor Version ist, nicht immer konsistent. Zum Beispiel wurde R75.40 zur neuen Major Version erhoben und danach kamen noch die Minor Versionen R75.45, R75.46, und schliesslich als letzte R75er Version R75.47. Diese Minor Versionen waren aber, soweit ich mich erinnern kann, nur Stability Fixes und das Konzept von Jumbo Hotfixes gab es damals noch nicht.