Η διανομή τείχους προστασίας OPNsense 26.7 κυκλοφόρησε από το έργο pfSense το 2015 με στόχο την ανάπτυξη μιας διανομής πλήρως ανοιχτού κώδικα που θα μπορούσε να έχει τη λειτουργικότητα εμπορικών λύσεων τείχους προστασίας και πύλης. Σε αντίθεση με το pfSense, το έργο θεωρείται ότι δεν ελέγχεται από μία μόνο εταιρεία, που αναπτύχθηκε με την άμεση συμμετοχή της κοινότητας και έχει μια απολύτως διαφανή διαδικασία ανάπτυξης, καθώς και παρέχει την ευκαιρία να χρησιμοποιήσει οποιαδήποτε από τις εξελίξεις του σε προϊόντα τρίτων, συμπεριλαμβανομένων εμπορικές. Ο πηγαίος κώδικας των στοιχείων διανομής, καθώς και τα εργαλεία που χρησιμοποιούνται για τη συναρμολόγηση, διανέμονται υπό την άδεια BSD. Τα συγκροτήματα προετοιμάζονται με τη μορφή LiveCD και εικόνας συστήματος για εγγραφή σε μονάδες Flash (490 MB).
Ο πυρήνας της διανομής βασίζεται σε κώδικα FreeBSD. Τα χαρακτηριστικά του OPNsense περιλαμβάνουν: μια πλήρως ανοιχτού κώδικα εργαλειοθήκη δημιουργίας, υποστήριξη για εγκατάσταση ως πακέτα πάνω από το κανονικό FreeBSD, εργαλεία εξισορρόπησης φορτίου, μια διεπαφή ιστού για την οργάνωση των συνδέσεων χρηστών στο δίκτυο (Captive Portal), μηχανισμούς παρακολούθησης κατάστασης σύνδεσης (ένα τείχος προστασίας με κατάσταση βασισμένο σε pf), ένα σύστημα περιορισμού εύρους ζώνης, φιλτράρισμα κίνησης και δημιουργία VPN βασισμένου σε IPsec. OpenVPN και PPTP, ενσωμάτωση με LDAP και RADIUS, υποστήριξη DDNS (Dynamic DNS), σύστημα οπτικών αναφορών και γραφημάτων.
Με βάση τη διανομή, είναι δυνατό να δημιουργηθούν διαμορφώσεις ανεκτικές σε σφάλματα με βάση τη χρήση του πρωτοκόλλου CARP και επιτρέποντας την εκκίνηση, εκτός από το κύριο τείχος προστασίας, ενός κόμβου ασφαλείας, ο οποίος θα συγχρονίζεται αυτόματα σε επίπεδο διαμόρφωσης και θα αναλάβει το φορτίο σε περίπτωση αστοχίας του πρωτεύοντος κόμβου. Στον διαχειριστή προσφέρεται μια διεπαφή ιστού για τη διαμόρφωση του τείχους προστασίας, η οποία έχει δημιουργηθεί χρησιμοποιώντας το πλαίσιο web Bootstrap και το Phalcon MVC.
Μεταξύ των αλλαγών:
- Η μετάβαση στη βάση κώδικα του FreeBSD 15.1 έχει ολοκληρωθεί (προηγουμένως χρησιμοποιούνταν το FreeBSD 14.3).
- Οι διεπαφές για τη διαμόρφωση κανόνων τείχους προστασίας, την ανάθεση διεπαφών δικτύου (διαχωρισμός μεταξύ LAN και WAN) και τη διαχείριση ομάδων πύλης έχουν μετεγκατασταθεί για να χρησιμοποιούν το πλαίσιο MVC και είναι πλέον επιπλέον προσβάσιμες μέσω του Web API για την αυτοματοποίηση της διαχείρισης διαμόρφωσης δικτύου.
- Προστέθηκε ένας οδηγός για τη μετεγκατάσταση κανόνων μετάφρασης διευθύνσεων από την παλιά μορφή διαμόρφωσης Outbound NAT στη νέα μορφή χρησιμοποιώντας την αρχιτεκτονική Source NAT (SNAT).
- Έχει προστεθεί υποστήριξη για DDNS (Δυναμική) και αυτόματη εκχώρηση προθεμάτων IPv6 (μπλοκ διευθύνσεων) στον διαμορφωτή DHCP του KEA.
- Έχει προστεθεί υποστήριξη IPv6 στην πύλη Captive.
- Ενημερωμένες εκδόσεις OpenVPN 2.7, PHP 8.5, Python 3.13.
- Διορθώθηκε ένα κρίσιμο θέμα ευπάθειας (CVE-2026-57155, επίπεδο σοβαρότητας 9.9 στα 10). Αυτό το θέμα ευπάθειας επέτρεπε σε έναν χρήστη χωρίς δικαιώματα χωρίς πρόσβαση στο κέλυφος και περιορισμένη πρόσβαση σε ψευδώνυμα (λίστες ονομάτων δικτύου και κεντρικού υπολογιστή) να εκτελέσει κώδικα με δικαιώματα root. Το θέμα ευπάθειας προκαλείται από την έλλειψη κατάλληλων ελέγχων κατά την επεξεργασία δεδομένων από τη βάση δεδομένων GeoIP που συσχετίζει χώρες με διευθύνσεις IP.
Ο κωδικός χώρας από τη βάση δεδομένων GeoIP αντικαταστάθηκε χωρίς επαλήθευση κατά τη δημιουργία του ονόματος αρχείου που γράφεται, επιτρέποντας την αντικατάσταση οποιουδήποτε αρχείου στο σύστημα, καθώς ο χειριστής εκτελείται με δικαιώματα root. Ένας χρήστης χωρίς δικαιώματα θα μπορούσε να χρησιμοποιήσει το Web API για να καθορίσει μια διεύθυνση URL για να κατεβάσει μια τροποποιημένη βάση δεδομένων GeoIP για ψευδώνυμα. Για να αποκτήσετε δικαιώματα root, θα μπορούσατε να καθορίσετε "../../../../../../../../etc/newsyslog.conf.d/zzz_pwn" αντί για τον κωδικό χώρας σε μία από τις καταχωρήσεις της βάσης δεδομένων. Αυτό θα δημιουργούσε ένα αρχείο διαμόρφωσης για το σύστημα εναλλαγής αρχείων καταγραφής, το οποίο θα μπορούσε να ορίσει εντολές που εκτελούνται με δικαιώματα root.
Πηγή: opennet.ru
