Veröffentlichung der Distribution zur Erstellung von Firewalls OPNsense 26.7.

Die Veröffentlichung des OPNsense 26.7-Distribution, die 2015 von dem pfSense-Projekt abgetrennt wurde, zielt darauf ab, eine vollständig offene Distribution zu entwickeln, die Funktionen auf Niveau kommerzieller Lösungen für die Bereitstellung von Firewalls und Netzwerkgateways bieten kann. Im Gegensatz zu pfSense positioniert sich das Projekt als unabhängig von einem einzelnen Unternehmen, entwickelt mit aktiver Beteiligung der Community und bietet einen vollkommen transparenten Entwicklungsprozess, der die Nutzung aller eigenen Entwicklungen in Drittprodukten, auch kommerziellen, ermöglicht. Die Quelltexte der Komponenten der Distribution sowie die verwendeten Build-Tools werden unter der BSD-Lizenz distribuiert. Die Builds sind in Form eines LiveCD und eines Systemabbilds für die Installation auf Flash-Speicher (490 MB) verfügbar.

Die Basis des Distribution-Systems basiert auf dem Code von FreeBSD. Zu den Funktionen von OPNsense gehören: vollständig offenes Build-Tool, Unterstützung der Paketinstallation über das normale FreeBSD, Lastenausgleich, Web-Interface zur Verbindung von Benutzern mit dem Netzwerk (Captive Portal), Mechanismen zur Verbindungsstatusverfolgung (stateful Firewall basierend auf pf), Bandbreitenbegrenzung, Verkehrsfilterung, Erstellung von VPNs basierend auf IPsec, OpenVPN und PPTP, Integration mit LDAP und RADIUS, Unterstützung von DDNS (Dynamic DNS), sowie ein System für anschauliche Berichte und Grafiken.

Auf Basis dieser Distribution können hochverfügbare Konfigurationen erstellt werden, die auf dem CARP-Protokoll basieren und es ermöglichen, neben der Hauptfirewall einen Backup-Knoten zu starten, der automatisch auf Konfigurationsebene synchronisiert wird und die Last im Falle eines Ausfalls des primären Knotens übernimmt. Für den Administrator steht ein Web-Interface zur Konfiguration der Firewall zur Verfügung, das mit dem Web-Framework Bootstrap und Phalcon MVC aufgebaut wurde.

Zu den Änderungen gehören:

  • Der Übergang zur Codebasis FreeBSD 15.1 wurde vollzogen (zuvor wurde FreeBSD 14.3 verwendet).
  • Die Interfaces zur Konfiguration von Firewall-Regeln, der Zuweisung von Netzwerkschnittstellen (Trennung zwischen LAN und WAN) sowie zur Verwaltung von Gateway-Gruppen wurden auf das MVC-Framework umgestellt und sind jetzt zusätzlich über die Web-API für die Automatisierung des Netzwerkmanagements zugänglich.
  • Ein Assistent zur Migration von NAT-Regeln aus dem alten Konfigurationsformat Outbound NAT auf das neue Format, das die Source NAT (SNAT) Architektur verwendet, wurde hinzugefügt.
  • Der KEA DHCP-Konfigurator unterstützt jetzt DDNS (Dynamic) und die automatische Zuweisung von IPv6-Präfixen (Adressblöcken).
  • Der Captive Portal bietet nun Unterstützung für IPv6.
  • Die Versionen von OpenVPN 2.7, PHP 8.5 und Python 3.13 wurden aktualisiert.
  • Eine kritische Sicherheitsanfälligkeit (CVE-2026-57155, Schweregrad 9,9 von 10) wurde behoben, die es einem nicht privilegierten Benutzer ohne Shell-Zugriff und mit eingeschränkter Nutzung von Aliases (Listen von Netz- und Hostnamen) ermöglicht, Code mit Root-Rechten auszuführen. Die Sicherheitsanfälligkeit resultierte aus fehlenden Überprüfungen bei der Verarbeitung von Daten aus der GeoIP-Datenbank zur Zuordnung von Ländern zu IP-Adressen.

    Der Ländercode aus der GeoIP-Datenbank wurde ohne Überprüfung beim Erstellen des Dateinamens verwendet, was es ermöglichte, jede Datei im System zu überschreiben, da der Handler mit Root-Rechten ausgeführt wird. Über die Web-API konnte ein nicht privilegierter Benutzer seine eigene URL angeben, um eine modifizierte GeoIP-Datenbank für Aliase hochzuladen. Um Root-Rechte zu erhalten, konnte in einem der Datensätze anstelle des Ländercodes „../../../../../../../../etc/newsyslog.conf.d/zzz_pwn“ angegeben werden, was zur Erstellung einer Konfigurationsdatei für das Log-Rotationssystem führt, in der Befehle definiert werden können, die mit Root-Rechten ausgeführt werden.

Quelle: opennet.ru

Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server 🔥 Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server | ProHoster