Vydání distribuční sady pro vytváření firewallů OPNsense 26.7

Distribuce firewallu OPNsense 26.7 byla vypuštěna z projektu pfSense v roce 2015 s cílem vyvinout distribuci s plně otevřeným zdrojovým kódem, která by mohla mít funkce komerčních řešení firewallu a brány. Na rozdíl od pfSense je projekt umístěn tak, že není řízen jedinou společností, je vyvíjen s přímou účastí komunity a má zcela transparentní vývojový proces a zároveň poskytuje příležitost využít jakýkoli z jeho vývoje v produktech třetích stran, včetně komerčních. Zdrojový kód komponent distribuce, stejně jako nástroje používané pro sestavení, jsou distribuovány pod licencí BSD. Sestavy jsou připraveny ve formě LiveCD a obrazu systému pro záznam na Flash disky (490 MB).

Jádro distribuce je založeno na kódu FreeBSD. Mezi funkce OPNsense patří: plně open-source nástroj pro sestavení, podpora instalace balíčků nad běžným FreeBSD, nástroje pro vyvažování zátěže, webové rozhraní pro organizaci uživatelských připojení k síti (Captive Portal), mechanismy sledování stavu připojení (stavový firewall založený na pf), systém omezování šířky pásma, filtrování provozu a vytváření VPN založených na IPsec. OpenVPN a PPTP, integrace s LDAP a RADIUS, podpora DDNS (Dynamic DNS), systém vizuálních reportů a grafů.

Na základě distribuce je možné vytvářet konfigurace odolné proti chybám založené na použití protokolu CARP a umožňující spustit kromě hlavního firewallu i záložní uzel, který bude automaticky synchronizován na konfigurační úrovni a převezme zátěž v případě poruchy primárního uzlu. Administrátorovi je nabídnuto webové rozhraní pro konfiguraci firewallu vytvořené pomocí webového frameworku Bootstrap a Phalcon MVC.

Mezi změnami:

  • Přechod na kódovou základnu FreeBSD 15.1 byl dokončen (dříve se používala FreeBSD 14.3).
  • Rozhraní pro konfiguraci pravidel firewallu, přiřazování síťových rozhraní (oddělení mezi LAN a WAN) a správu skupin bran byla migrována pro použití frameworku MVC a nyní jsou navíc dostupná prostřednictvím webového API pro automatizaci správy konfigurace sítě.
  • Přidán průvodce pro migraci pravidel překladu adres ze starého formátu konfigurace odchozího NAT do nového formátu s využitím architektury zdrojového NAT (SNAT).
  • Do konfigurátoru KEA DHCP byla přidána podpora pro DDNS (dynamické) a automatické přidělování prefixů IPv6 (bloků adres).
  • Do captive portálu byla přidána podpora IPv6.
  • Aktualizované verze OpenVPN 2.7, PHP 8.5, Python 3.13.
  • Byla opravena kritická zranitelnost (CVE-2026-57155, úroveň závažnosti 9.9 z 10). Tato zranitelnost umožňovala neoprávněnému uživateli bez přístupu k shellu a omezeného přístupu k aliasům (seznamům názvů sítí a hostitelů) spouštět kód s root oprávněními. Zranitelnost je způsobena nedostatkem řádných kontrol při zpracování dat z databáze GeoIP, která přiřazuje země k IP adresám.

    Kód země z databáze GeoIP byl při generování názvu zapisovaného souboru nahrazen bez ověření, což umožnilo přepsání libovolného souboru v systému, protože obslužná rutina běží s root oprávněními. Neprivilegovaný uživatel mohl pomocí webového API zadat URL pro stažení upravené databáze GeoIP pro aliasy. Pro získání root oprávnění bylo možné v jedné z položek databáze zadat místo kódu země „../../../../../../../../etc/newsyslog.conf.d/zzz_pwn“. Tím by se vytvořil konfigurační soubor pro systém rotace protokolů, který by mohl definovat příkazy spouštěné s root oprávněními.

Zdroj: opennet.ru

Kupte si spolehlivý hosting pro stránky s DDoS ochranou, VPS VDS servery 🔥 Kupte si spolehlivý webhosting s ochranou DDoS, VPS VDS servery | ProHoster