Lansarea unui kit de distribuție pentru crearea de firewall-uri OPNsense 26.7

A fost publicată lansarea kit-ului de distribuție pentru crearea firewall-urilor OPNsense 26.7, care în 2015 s-a separat de proiectul pfSense pentru a dezvolta un kit de distribuție complet deschis, care ar putea avea funcționalitate la nivelul soluțiilor comerciale pentru implementarea firewall-urilor și gateway-urilor de rețea. Spre deosebire de pfSense, proiectul este poziționat ca necontrolat de o singură companie, dezvoltat cu participarea directă a comunității și are un proces de dezvoltare complet transparent, precum și oferind posibilitatea de a utiliza oricare dintre dezvoltările sale în produse terțe, inclusiv comerciale. cele. Codul sursă al componentelor de distribuție, precum și instrumentele utilizate pentru asamblare, sunt distribuite sub licență BSD. Ansamblurile sunt pregătite sub forma unui LiveCD și a unei imagini de sistem pentru înregistrarea pe unități Flash (490 MB).

Nucleul distribuției se bazează pe cod FreeBSD. Caracteristicile OPNsense includ: un lanț de instrumente de construire complet open-source, suport pentru instalare ca pachete peste FreeBSD obișnuit, instrumente de echilibrare a încărcării, o interfață web pentru organizarea conexiunilor utilizatorilor la rețea (Captive Portal), mecanisme de urmărire a stării conexiunii (un firewall cu stări bazat pe pf), un sistem de limitare a lățimii de bandă, filtrare a traficului și creare de VPN bazate pe IPsec. OpenVPN și PPTP, integrare cu LDAP și RADIUS, suport DDNS (Dynamic DNS), un sistem de rapoarte vizuale și grafice.

Pe baza distribuției, pot fi create configurații tolerante la erori pe baza utilizării protocolului CARP și permițându-vă să lansați, pe lângă firewall-ul principal, un nod de rezervă care va fi sincronizat automat la nivel de configurare și va prelua încărcare în cazul unei defecțiuni a nodului primar. Administratorului i se oferă o interfață web pentru configurarea firewall-ului, construită folosind framework-ul web Bootstrap și Phalcon MVC.

Printre modificari:

  • Tranziția la baza de cod FreeBSD 15.1 a fost finalizată (anterior se folosea FreeBSD 14.3).
  • Interfețele pentru configurarea regulilor de firewall, atribuirea interfețelor de rețea (separarea între LAN și WAN) și gestionarea grupurilor de gateway-uri au fost migrate pentru a utiliza framework-ul MVC și sunt acum accesibile suplimentar prin intermediul API-ului Web pentru automatizarea gestionării configurației rețelei.
  • A fost adăugat un asistent pentru migrarea regulilor de traducere a adreselor din vechiul format de configurare NAT de ieșire în noul format utilizând arhitectura Source NAT (SNAT).
  • Suportul pentru DDNS (dinamic) și alocarea automată a prefixelor IPv6 (blocurilor de adrese) a fost adăugat la configuratorul KEA DHCP.
  • Suportul IPv6 a fost adăugat la portalul captiv.
  • Versiuni actualizate OpenVPN 2.7, PHP 8.5, Python 3.13.
  • O vulnerabilitate critică (CVE-2026-57155, nivel de severitate 9.9 din 10) a fost remediată. Această vulnerabilitate permitea unui utilizator neprivilegiat, fără acces la shell și acces limitat la aliasuri (liste de nume de rețea și gazdă), să execute cod cu privilegii de root. Vulnerabilitatea este cauzată de lipsa unor verificări adecvate la procesarea datelor din baza de date GeoIP care asociază țările cu adresele IP.

    Codul țării din baza de date GeoIP a fost înlocuit fără verificare la generarea numelui fișierului care era scris, permițând suprascrierea oricărui fișier din sistem, deoarece handler-ul rulează cu privilegii de root. Un utilizator neprivilegiat ar putea utiliza API-ul Web pentru a specifica o adresă URL pentru a descărca o bază de date GeoIP modificată pentru aliasuri. Pentru a obține privilegii de root, s-ar putea specifica „../../../../../../../../../etc/newsyslog.conf.d/zzz_pwn” în loc de codul țării într-una dintre intrările bazei de date. Aceasta ar crea un fișier de configurare pentru sistemul de rotație a jurnalelor, care ar putea defini comenzi rulate cu privilegii de root.

Sursa: opennet.ru

Cumpărați găzduire de încredere pentru site-uri cu protecție DDoS, servere VPS VDS 🔥 Cumpără găzduire web fiabilă cu protecție DDoS, servere VPS VDS | ProHoster