OPNsense 26.7 галт хана үүсгэх түгээлтийн иж бүрдлийг гаргасан

OPNsense 26.7 галт ханын түгээлтийг 2015 онд pfSense төслөөс гаргаж авсан бөгөөд энэ нь арилжааны галт хана болон гарцын шийдлүүдийн функцийг агуулсан бүрэн нээлттэй эхийн түгээлтийг хөгжүүлэх зорилготой юм. PfSense-ээс ялгаатай нь уг төсөл нь нэг компанийн хяналтанд байдаггүй, олон нийтийн шууд оролцоотойгоор боловсруулагдсан, бүрэн ил тод хөгжлийн үйл явцтай, түүнчлэн гуравдагч этгээдийн бүтээгдэхүүнүүдэд өөрийн бүтээн байгуулалтыг ашиглах боломжийг олгодог. арилжааных. Түгээлтийн бүрэлдэхүүн хэсгүүдийн эх код, түүнчлэн угсрахад ашигладаг багаж хэрэгслийг BSD лицензийн дагуу түгээдэг. Угсралтуудыг LiveCD болон флаш диск дээр (490 MB) бичих системийн дүрс хэлбэрээр бэлтгэсэн.

Түгээлтийн гол цөм нь FreeBSD код дээр суурилдаг. OPNsense-ийн онцлог шинж чанаруудад: бүрэн нээлттэй эхийн бүтээх хэрэгслийн хэлхээ, ердийн FreeBSD дээр багц хэлбэрээр суулгах дэмжлэг, ачааллыг тэнцвэржүүлэх хэрэгслүүд, сүлжээнд хэрэглэгчийн холболтыг зохион байгуулах вэб интерфэйс (Captive Portal), холболтын төлөвийг хянах механизмууд (pf дээр суурилсан төлөвтэй галт хана), зурвасын хязгаарлах систем, урсгалын шүүлтүүр, IPsec дээр суурилсан VPN үүсгэх зэрэг орно. OpenVPN болон PPTP, LDAP болон RADIUS-тай нэгтгэх, DDNS (Динамик DNS) дэмжлэг, харааны тайлан болон графикийн систем.

Түгээлтийн үндсэн дээр CARP протоколын хэрэглээнд тулгуурлан алдаад тэсвэртэй тохиргоог бий болгож, үндсэн галт ханаас гадна тохиргооны түвшинд автоматаар синхрончлогдсон нөөц зангилааг эхлүүлэх боломжтой. анхдагч зангилаа эвдэрсэн тохиолдолд ачааллыг хүлээн авна. Администраторт Bootstrap вэб хүрээ болон Phalcon MVC ашиглан бүтээсэн галт ханыг тохируулах вэб интерфэйсийг санал болгож байна.

Өөрчлөлтүүдийн дунд:

  • FreeBSD 15.1 кодын суурь руу шилжих ажил дууссан (өмнө нь FreeBSD 14.3-г ашиглаж байсан).
  • Галт ханын дүрмийг тохируулах, сүлжээний интерфэйсүүдийг оноох (LAN болон WAN-г тусгаарлах), гарцын бүлгүүдийг удирдах интерфэйсүүдийг MVC фрэймворкийг ашиглахаар шилжүүлсэн бөгөөд одоо сүлжээний тохиргооны менежментийг автоматжуулахын тулд Вэб API-аар дамжуулан нэмэлтээр хандах боломжтой болсон.
  • Source NAT (SNAT) архитектурыг ашиглан хаягийн орчуулгын дүрмийг хуучин Outbound NAT тохиргооны форматаас шинэ формат руу шилжүүлэх шидтэн нэмсэн.
  • KEA DHCP тохируулагч дээр DDNS (Динамик) дэмжлэг болон IPv6 угтвар (хаягийн блок)-ын автомат хуваарилалтыг нэмсэн.
  • Captive порталд IPv6 дэмжлэг нэмэгдсэн.
  • Шинэчлэгдсэн хувилбарууд OpenVPN 2.7, PHP 8.5, Python 3.13.
  • Чухал эмзэг байдлыг (CVE-2026-57155, ноцтой байдлын түвшин 10-аас 9.9) зассан. Энэхүү эмзэг байдал нь бүрхүүлийн хандалтгүй, хязгаарлагдмал нэр (сүлжээний болон хостын нэрсийн жагсаалт)-д хандах эрхгүй хэрэглэгчдэд root эрх бүхий кодыг ажиллуулах боломжийг олгосон. Энэхүү эмзэг байдал нь улс орнуудыг IP хаягтай холбодог GeoIP мэдээллийн сангаас өгөгдлийг боловсруулах үед зохих шалгалт хийгдээгүйгээс үүдэлтэй юм.

    Бичигдэж буй файлын нэрийг үүсгэх үед GeoIP мэдээллийн сангаас улсын кодыг баталгаажуулалтгүйгээр сольсон бөгөөд энэ нь боловсруулагч нь root эрхээр ажилладаг тул систем дэх аливаа файлыг дарж бичих боломжийг олгосон. Эрхгүй хэрэглэгч нь өөрчилсөн GeoIP мэдээллийн санг өөрчилсөн хуурамч нэрээр татаж авах URL хаягийг тодорхойлохын тулд Web API-г ашиглаж болно. Root эрхийг авахын тулд мэдээллийн сангийн оруулгуудын аль нэгэнд улсын кодын оронд "../../../../../../../../etc/newsyslog.conf.d/zzz_pwn" гэж зааж өгч болно. Энэ нь лог эргүүлэх системийн тохиргооны файлыг үүсгэх бөгөөд энэ нь root эрхээр ажилладаг командуудыг тодорхойлж болно.

Эх сурвалж: opennet.ru

DDoS хамгаалалт, VPS VDS сервер бүхий сайтуудад найдвартай хостинг худалдаж аваарай 🔥 DDoS хамгаалалттай, VPS VDS сервертэй найдвартай вэбсайт хостинг худалдаж аваарай | ProHoster