Izdavanje distributivnog kompleta za kreiranje firewall-a OPNsense 26.7

OPNsense 26.7 firewall distribucija je puštena u prodaju iz projekta pfSense 2015. godine s ciljem razvoja potpuno otvorene distribucije koja bi mogla imati funkcionalnost na nivou komercijalnih rješenja za postavljanje zaštitnih zidova i mrežnih prolaza. Za razliku od pfSense-a, projekat je pozicioniran kao da ga ne kontroliše jedna kompanija, razvijen uz direktno učešće zajednice i koji ima potpuno transparentan razvojni proces, kao i da pruža mogućnost korišćenja bilo kojeg svog razvoja u proizvodima trećih strana, uključujući komercijalne. Izvorni kod komponenti distribucije, kao i alati koji se koriste za sklapanje, distribuiraju se pod BSD licencom. Sklopovi su pripremljeni u obliku LiveCD-a i slike sistema za snimanje na Flash diskove (490 MB).

Jezgro distribucije zasnovano je na FreeBSD kodu. OPNsense karakteristike uključuju: potpuno otvoreni alat za izgradnju, podršku za instalaciju kao paketa preko redovnog FreeBSD-a, alate za balansiranje opterećenja, web interfejs za organiziranje korisničkih veza s mrežom (Captive Portal), mehanizme za praćenje stanja veze (stateful firewall baziran na pf-u), sistem za ograničavanje propusnog opsega, filtriranje prometa i kreiranje VPN-a baziranog na IPsec-u. OpenVPN i PPTP, integracija sa LDAP i RADIUS, podrška za DDNS (Dynamic DNS), sistem vizuelnih izvještaja i grafikona.

Na osnovu distribucije moguće je kreirati konfiguracije otporne na greške zasnovane na korišćenju CARP protokola i omogućavajući pokretanje, pored glavnog firewall-a, rezervnog čvora, koji će se automatski sinhronizovati na nivou konfiguracije i će preuzeti opterećenje u slučaju kvara primarnog čvora. Administratoru se nudi web interfejs za konfigurisanje firewall-a, izgrađen korišćenjem Bootstrap web okvira i Phalcon MVC-a.

Među promjenama:

  • Prelazak na kodnu bazu FreeBSD 15.1 je završen (ranije je korišten FreeBSD 14.3).
  • Interfejsi za konfigurisanje pravila zaštitnog zida (firewall), dodeljivanje mrežnih interfejsa (razdvajanje između LAN i WAN mreže) i upravljanje grupama pristupnika migrirani su na MVC okvir i sada su dodatno dostupni putem Web API-ja za automatizaciju upravljanja konfiguracijom mreže.
  • Dodan je čarobnjak za migraciju pravila prevođenja adresa iz starog formata konfiguracije Outbound NAT-a u novi format korištenjem arhitekture Source NAT-a (SNAT).
  • U KEA DHCP konfigurator dodana je podrška za DDNS (dinamički) i automatsku dodjelu IPv6 prefiksa (blokova adresa).
  • Podrška za IPv6 je dodana na Captive portal.
  • Ažurirane verzije OpenVPN 2.7, PHP 8.5, Python 3.13.
  • Kritična ranjivost (CVE-2026-57155, nivo ozbiljnosti 9.9 od 10) je ispravljena. Ova ranjivost je omogućavala neprivilegovanom korisniku bez pristupa ljusci i ograničenog pristupa aliasima (listama mrežnih i host imena) da izvršava kod sa root privilegijama. Ranjivost je uzrokovana nedostatkom odgovarajućih provjera prilikom obrade podataka iz GeoIP baze podataka koja povezuje zemlje sa IP adresama.

    Kod države iz GeoIP baze podataka je zamijenjen bez provjere prilikom generiranja naziva datoteke koja se upisivala, što je omogućilo prepisivanje bilo koje datoteke u sistemu, jer se program za obradu podataka pokreće s root privilegijama. Neprivilegirani korisnik mogao je koristiti Web API za određivanje URL-a za preuzimanje modificirane GeoIP baze podataka za aliase. Da bi se dobile root privilegije, moglo se navesti "../../../../../../../../etc/newsyslog.conf.d/zzz_pwn" umjesto koda države u jednom od unosa u bazu podataka. Ovo bi kreiralo konfiguracijsku datoteku za sistem rotacije logova, koja bi mogla definirati naredbe koje se pokreću s root privilegijama.

izvor: opennet.ru

Kupite pouzdan hosting za sajtove sa DDoS zaštitom, VPS VDS servere 🔥 Kupite pouzdan web hosting sa DDoS zaštitom, VPS VDS servere | ProHoster