OPNsense 26.7 tulemüüride loomiseks mõeldud jaotuskomplekti väljaandmine

OPNsense 26.7 tulemüüri distributsioon on välja antud 2015. aastal pfSense'i projektist eesmärgiga arendada välja täielikult avatud distributsioon, mis võiks olla funktsionaalne tulemüüride ja võrgulüüside juurutamiseks kommertslahenduste tasemel. Erinevalt pfSense'ist on projekt positsioneeritud nii, et seda ei kontrolli üksainus ettevõte, see on välja töötatud kogukonna otsesel osalusel ja millel on täiesti läbipaistev arendusprotsess, samuti annab see võimaluse kasutada oma arendusi kolmandate osapoolte toodetes, sealhulgas kaubanduslikud. Distributsioonikomponentide lähtekoodi ja ka monteerimiseks kasutatavaid tööriistu levitatakse BSD litsentsi alusel. Komplektid on ette valmistatud LiveCD ja süsteemipildi kujul Flash-draividele (490 MB) salvestamiseks.

Distributsiooni tuum põhineb FreeBSD koodil. OPNsense'i funktsioonide hulka kuuluvad: täielikult avatud lähtekoodiga ehitustööriistakett, tugi pakettidena tavalise FreeBSD peale installimiseks, koormuse tasakaalustamise tööriistad, veebiliides kasutajate ühenduste korraldamiseks võrguga (Captive Portal), ühenduste oleku jälgimise mehhanismid (pf-il põhinev olekupõhine tulemüür), ribalaiuse piiramise süsteem, liikluse filtreerimine ja IPsec-põhine VPN-i loomine. OpenVPN ja PPTP, integratsioon LDAP ja RADIUS-iga, DDNS (dünaamiline DNS) tugi, visuaalsete aruannete ja graafikute süsteem.

Jaotuse alusel on võimalik luua tõrketaluvusega konfiguratsioone, mis põhinevad CARP-protokolli kasutamisel ja võimaldavad lisaks põhitulemüürile käivitada ka varusõlme, mis sünkroniseeritakse automaatselt konfiguratsiooni tasemel ja võtab esmase sõlme rikke korral koormuse üle. Administraatorile pakutakse tulemüüri seadistamiseks veebiliidest, mis on ehitatud Bootstrap veebiraamistiku ja Phalcon MVC abil.

Muudatuste hulgas:

  • Üleminek FreeBSD 15.1 koodibaasile on lõpule viidud (varem kasutati FreeBSD 14.3).
  • Tulemüürireeglite konfigureerimise, võrguliideste määramise (LAN-i ja WAN-i eraldamine) ja lüüsirühmade haldamise liidesed on migreeritud MVC raamistikku kasutama ning neile pääseb nüüd lisaks juurde veebiliidese (WAB) kaudu võrgukonfiguratsiooni haldamise automatiseerimiseks.
  • Lisatud viisard aadresside teisendamise reeglite migreerimiseks vanast väljamineva NAT-i konfiguratsioonivormingust uude vormingusse, kasutades lähtekoodi NAT-i (SNAT) arhitektuuri.
  • KEA DHCP konfiguraatorisse on lisatud DDNS-i (dünaamilise) tugi ja IPv6 prefiksite (aadressiplokkide) automaatne eraldamine.
  • Captive portaalile on lisatud IPv6 tugi.
  • Uuendatud versioonid OpenVPN 2.7, PHP 8.5, Python 3.13.
  • Parandatud on kriitiline haavatavus (CVE-2026-57155, raskusaste 9.9 kümnest). See haavatavus võimaldas privileegideta kasutajal, kellel polnud juurdepääsu shellile ja piiratud juurdepääsuga aliasidele (võrgu- ja hostinimede loenditele), käivitada koodi juurõigustega. Haavatavus tuleneb ebapiisavatest kontrollidest GeoIP andmebaasi andmete töötlemisel, mis seostab riike IP-aadressidega.

    GeoIP andmebaasist pärit riigikood asendati kirjutatava failinime genereerimisel ilma kinnituseta, mis võimaldas süsteemis olevate failide ülekirjutamist, kuna käitleja töötab root-õigustega. Privilegeerimata kasutaja sai veebiliidese abil määrata URL-i, et laadida alla muudetud GeoIP andmebaasi aliased. Juurõiguste saamiseks sai andmebaasi ühes kirjes riigikoodi asemel määrata "../../../../../../../../etc/newsyslog.conf.d/zzz_pwn". See lõi logide rotatsioonisüsteemi konfiguratsioonifaili, mis sai määratleda root-õigustega käivitatavad käsud.

Allikas: opennet.ru

Ostke DDoS-kaitsega saitide jaoks usaldusväärne hostimine, VPS VDS-serverid 🔥 Osta usaldusväärne veebimajutus DDoS-kaitsega, VPS VDS serverid | ProHoster