Lançamento de um kit de distribuição para criação de firewalls OPNsense 26.7

A distribuição de firewall OPNsense 26.7 foi lançada. Ela foi bifurcada do projeto pfSense em 2015 com o objetivo de desenvolver uma distribuição totalmente de código aberto que pudesse ter a funcionalidade de soluções comerciais de firewall e gateway. Ao contrário do pfSense, o projeto se posiciona como não controlado por uma única empresa, desenvolvido com a participação direta da comunidade e tendo um processo de desenvolvimento totalmente transparente, além de oferecer a oportunidade de utilizar qualquer um de seus desenvolvimentos em produtos de terceiros, incluindo comerciais. O código-fonte dos componentes de distribuição, bem como as ferramentas usadas para montagem, são distribuídos sob a licença BSD. As montagens são preparadas na forma de LiveCD e uma imagem do sistema para gravação em pen drives (490 MB).

Начинка дистрибутива основывается на коде FreeBSD. Среди возможностей OPNsense: полностью открытый сборочный инструментарий, поддержка установки в форме пакетов поверх обычного FreeBSD, средства балансировки нагрузки, web-интерфейс для организации подключения пользователей к сети (Captive portal), наличие механизмов отслеживания состояний соединений (stateful firewall на основе pf), система ограничения пропускной способности, фильтрация трафика, создание VPN на базе IPsec, OpenVPN e PPTP, integração com LDAP e RADIUS, suporte a DDNS (DNS Dinâmico), um sistema de relatórios e gráficos visuais.

Com base na distribuição, é possível criar configurações tolerantes a falhas baseadas na utilização do protocolo CARP e permitindo lançar, além do firewall principal, um nó de backup, que será sincronizado automaticamente no nível de configuração e assumirá a carga em caso de falha do nó primário. O administrador recebe uma interface web para configurar o firewall, criada usando o framework web Bootstrap e o Phalcon MVC.

Entre as mudanças:

  • Осуществлён переход на кодовую базу FreeBSD 15.1 (ранее использовался FreeBSD 14.3).
  • Интерфейсы для настройки правил межсетевых экранов, назначения сетевых интерфейсов (разделение между LAN и WAN) и управления группами шлюзов переведены на использование MVC-фреймворка и теперь дополнительно доступны через Web API для автоматизации управления сетевой конфигурацией.
  • Добавлен мастер для миграции правил трансляции адресов со старого формата конфигурации Outbound NAT на новый формат, использующий архитектуру Source NAT (SNAT).
  • В конфигуратор KEA DHCP добавлена поддержка DDNS (Dynamic) и автоматического выделения префиксов IPv6 (блоков адресов).
  • В Captive portal добавлена поддержка IPv6.
  • Versões atualizadas OpenVPN 2.7, PHP 8.5, Python 3.13.
  • Устранена критическая уязвимость (CVE-2026-57155, уровень опасности 9.9 из 10), позволяющая непривилегированному пользователю без доступа к shell и ограниченному работой с алиасами (списки с именами сетей и хостов), выполнить код с правами root. Уязвимость вызвана отсутствием должных проверок при обработке данных из БД GeoIP c привязкой стран к IP-адресам.

    Код страны из БД GeoIP без проверки подставлялся при формировании записываемого имени файла, что позволяло перезаписать любой файл в системе, так как обработчик запускается с правами root. Через Web API непривилегированный пользователь мог указать свой URL для загрузки модифицированной БД GeoIP для алиасов. Для получения прав root в одной из записей в БД вместо кода страны можно указать «../../../../../../../../etc/newsyslog.conf.d/zzz_pwn», что приведёт к созданию файла конфигурации для системы ротации логов, в котором могут быть определены команды, запускаемые с правами root.

Fonte: opennet.ru

Compre hospedagem confiável para sites com proteção DDoS, servidores VPS VDS 🔥 Compre hospedagem de sites confiável com proteção contra DDoS, servidores VPS/VDS | ProHoster