Дистрибуцијата на заштитниот ѕид OPNsense 26.7 беше објавена од проектот pfSense во 2015 година со цел да се развие дистрибуција со целосно отворен код што би можела да има функционалност на решенија за комерцијални заштитни ѕидови и портали. За разлика од pfSense, проектот е позициониран како неконтролиран од една компанија, развиен со директно учество на заедницата и има целосно транспарентен процес на развој, како и дава можност за користење на кој било од неговите случувања во производи од трети страни, вклучително и комерцијални. Изворниот код на компонентите за дистрибуција, како и алатките што се користат за склопување, се дистрибуираат под лиценцата BSD. Склопите се подготвени во форма на LiveCD и системска слика за снимање на флеш-дискови (490 MB).
Јадрото на дистрибуцијата е базирано на FreeBSD код. Карактеристиките на OPNsense вклучуваат: целосно ланец на алатки за градење со отворен код, поддршка за инсталација како пакети врз обичниот FreeBSD, алатки за балансирање на оптоварувањето, веб-интерфејс за организирање на корисничките конекции со мрежата (Captive Portal), механизми за следење на состојбата на конекцијата (заштитен ѕид со статус базиран на pf), систем за ограничување на пропусниот опсег, филтрирање на сообраќајот и креирање на VPN базиран на IPsec. OpenVPN и PPTP, интеграција со LDAP и RADIUS, поддршка за DDNS (Dynamic DNS), систем на визуелни извештаи и графикони.
Врз основа на дистрибуцијата, можно е да се создадат конфигурации толерантни за грешки врз основа на употребата на протоколот CARP и овозможувајќи лансирање, покрај главниот заштитен ѕид, резервен јазол, кој автоматски ќе се синхронизира на ниво на конфигурација и ќе го преземе товарот во случај на дефект на примарниот јазол. На администраторот му се нуди веб-интерфејс за конфигурирање на заштитниот ѕид, изграден со помош на веб-рамката Bootstrap и Phalcon MVC.
Меѓу промените:
- Транзицијата кон кодната база на FreeBSD 15.1 е завршена (претходно се користеше FreeBSD 14.3).
- Интерфејсите за конфигурирање на правилата за заштитен ѕид, доделување мрежни интерфејси (одвојување помеѓу LAN и WAN) и управување со групи на гејтвеј се мигрирани за да ја користат рамката MVC и сега се дополнително достапни преку Web API за автоматизирање на управувањето со конфигурацијата на мрежата.
- Додаден е волшебник за мигрирање на правилата за превод на адреси од стариот формат за конфигурација на Outbound NAT во новиот формат користејќи ја архитектурата Source NAT (SNAT).
- Во конфигураторот KEA DHCP е додадена поддршка за DDNS (Динамички) и автоматско доделување на IPv6 префикси (адресни блокови).
- Поддршката за IPv6 е додадена на порталот Captive.
- Ажурирани верзии OpenVPN 2.7, PHP 8.5, Пајтон 3.13.
- Поправена е критична ранливост (CVE-2026-57155, ниво на сериозност 9.9 од 10). Оваа ранливост му дозволуваше на непривилегиран корисник без пристап до школка и ограничен пристап до алијаси (списоци на имиња на мрежи и хостови) да изврши код со root привилегии. Ранливоста е предизвикана од недостаток на соодветни проверки при обработка на податоци од базата на податоци GeoIP што ги поврзува земјите со IP адреси.
Кодот на земјата од базата на податоци GeoIP беше заменет без верификација при генерирањето на името на датотеката што се запишува, дозволувајќи која било датотека во системот да биде презапишана, бидејќи обработувачот работи со root привилегии. Непривилегиран корисник може да го користи Web API за да наведе URL за преземање на изменета GeoIP база на податоци за псевдоними. За да се добијат root привилегии, може да се наведе „../../../../../../../../etc/newsyslog.conf.d/zzz_pwn“ наместо кодот на земјата во еден од записите во базата на податоци. Ова би креирало конфигурациска датотека за системот за ротација на дневникот, која би можела да дефинира команди што се извршуваат со root привилегии.
Извор: opennet.ru
