Llançament d'un kit de distribució per crear tallafocs OPNsense 26.7

S'ha publicat el llançament del kit de distribució per a la creació de tallafocs OPNsense 26.7, que l'any 2015 es va separar del projecte pfSense per tal de desenvolupar un kit de distribució totalment obert que pogués tenir funcionalitat a nivell de solucions comercials per desplegar tallafocs i passarel·les de xarxa. A diferència de pfSense, el projecte es posiciona com no controlat per una sola empresa, desenvolupat amb la participació directa de la comunitat i té un procés de desenvolupament totalment transparent, a més de proporcionar l'oportunitat d'utilitzar qualsevol dels seus desenvolupaments en productes de tercers, inclosos els comercials. uns. El codi font dels components de distribució, així com les eines utilitzades per al muntatge, es distribueixen sota la llicència BSD. Els muntatges es preparen en forma de LiveCD i una imatge del sistema per gravar en unitats Flash (490 MB).

El nucli de la distribució es basa en codi FreeBSD. Les característiques d'OPNsense inclouen: una cadena d'eines de compilació completament de codi obert, compatibilitat amb la instal·lació com a paquets sobre el FreeBSD normal, eines de balanceig de càrrega, una interfície web per organitzar les connexions dels usuaris a la xarxa (Captive Portal), mecanismes de seguiment de l'estat de la connexió (un tallafocs amb estat basat en pf), un sistema de limitació d'amplada de banda, filtratge de trànsit i creació de VPN basades en IPsec. OpenVPN i PPTP, integració amb LDAP i RADIUS, suport per a DDNS (DNS dinàmic), un sistema d'informes visuals i gràfics.

En funció de la distribució, es poden crear configuracions tolerants a errors a partir de l'ús del protocol CARP i que permeten llançar, a més del tallafoc principal, un node de còpia de seguretat que es sincronitzarà automàticament a nivell de configuració i es farà càrrec del càrrega en cas de fallada del node primari. S'ofereix a l'administrador una interfície web per configurar el tallafoc, construïda amb el marc web Bootstrap i Phalcon MVC.

Entre els canvis:

  • La transició a la base de codi de FreeBSD 15.1 s'ha completat (anteriorment s'utilitzava FreeBSD 14.3).
  • Les interfícies per configurar regles de tallafocs, assignar interfícies de xarxa (separant entre LAN i WAN) i gestionar grups de passarel·la s'han migrat per utilitzar el marc de treball MVC i ara també són accessibles a través de l'API web per automatitzar la gestió de la configuració de xarxa.
  • S'ha afegit un assistent per migrar les regles de traducció d'adreces del format de configuració NAT de sortida antic al format nou mitjançant l'arquitectura Source NAT (SNAT).
  • S'ha afegit compatibilitat amb DDNS (dinàmic) i assignació automàtica de prefixos IPv6 (blocs d'adreces) al configurador DHCP de KEA.
  • S'ha afegit compatibilitat amb IPv6 al portal captiu.
  • Versions actualitzades OpenVPN 2.7, PHP 8.5, Python 3.13.
  • S'ha corregit una vulnerabilitat crítica (CVE-2026-57155, nivell de gravetat 9.9 sobre 10). Aquesta vulnerabilitat permetia a un usuari sense privilegis sense accés a l'intèrpret d'ordres i accés limitat a àlies (llistes de noms de xarxa i host) executar codi amb privilegis de root. La vulnerabilitat està causada per la manca de comprovacions adequades en processar dades de la base de dades GeoIP que associa països amb adreces IP.

    El codi de país de la base de dades GeoIP es va substituir sense verificació en generar el nom de fitxer que s'estava escrivint, permetent que qualsevol fitxer del sistema se sobreescrigués, ja que el controlador s'executa amb privilegis de root. Un usuari sense privilegis podria utilitzar l'API web per especificar una URL per descarregar una base de dades GeoIP modificada per a àlies. Per obtenir privilegis de root, es podria especificar "../../../../../../../../../etc/newsyslog.conf.d/zzz_pwn" en lloc del codi de país en una de les entrades de la base de dades. Això crearia un fitxer de configuració per al sistema de rotació de registres, que podria definir ordres que s'executen amb privilegis de root.

Font: opennet.ru

Compreu allotjament fiable per a llocs amb protecció DDoS, servidors VPS VDS 🔥 Compra allotjament web fiable amb protecció DDoS, servidors VPS VDS | ProHoster