Издавање дистрибутивног комплета за креирање ОПНсенсе 26.7 заштитних зидова

Дистрибуција заштитног зида ОПНсенсе 26.7 је издвојена из пројекта пфСенсе 2015. године са циљем да се развије потпуно отворена дистрибуција која би могла да има функционалност комерцијалних решења заштитног зида и мрежног пролаза. За разлику од пфСенсе-а, пројекат је позициониран као да га не контролише једна компанија, развијен уз директно учешће заједнице и који има потпуно транспарентан развојни процес, као и да пружа могућност коришћења било ког свог развоја у производима трећих страна, укључујући комерцијалне. Изворни код компоненти дистрибуције, као и алати који се користе за склапање, дистрибуирају се под БСД лиценцом. Склопови су припремљени у облику ЛивеЦД-а и слике система за снимање на флеш дискове (490 МБ).

Језгро дистрибуције је засновано на FreeBSD коду. OPNsense карактеристике укључују: потпуно отворени алат за изградњу, подршку за инсталацију као пакета преко обичног FreeBSD-а, алате за балансирање оптерећења, веб интерфејс за организовање корисничких веза са мрежом (Captive Portal), механизме за праћење стања везе (stateful firewall базиран на pf-у), систем за ограничавање пропусног опсега, филтрирање саобраћаја и креирање VPN-а заснованог на IPsec-у. OpenVPN и PPTP, интеграција са LDAP и RADIUS, подршка за DDNS (Dynamic DNS), систем визуелних извештаја и графикона.

На основу дистрибуције, могуће је креирати конфигурације отпорне на грешке засноване на коришћењу ЦАРП протокола и омогућавајући покретање, поред главног заштитног зида, резервног чвора, који ће се аутоматски синхронизовати на нивоу конфигурације и ће преузети оптерећење у случају квара примарног чвора. Администратору се нуди веб интерфејс за конфигурисање заштитног зида, изграђен коришћењем Боотстрап веб оквира и Пхалцон МВЦ-а.

Међу променама:

  • Прелазак на FreeBSD 15.1 кодну базу је завршен (раније је коришћен FreeBSD 14.3).
  • Интерфејси за конфигурисање правила заштитног зида (фајервола), додељивање мрежних интерфејса (раздвајање између LAN и WAN мреже) и управљање групама гејтвеја су мигрирани да користе MVC оквир и сада су додатно доступни путем Web API-ја за аутоматизацију управљања конфигурацијом мреже.
  • Додат је чаробњак за миграцију правила превођења адреса из старог формата конфигурације одлазног NAT-а у нови формат користећи архитектуру изворног NAT-а (SNAT).
  • Подршка за DDNS (динамички) и аутоматско додељивање IPv6 префикса (блокова адреса) је додата у KEA DHCP конфигуратор.
  • Подршка за IPv6 је додата на Captive портал.
  • Ажуриране верзије OpenVPN 2.7, PHP 8.5, Пајтон 3.13.
  • Критична рањивост (CVE-2026-57155, ниво озбиљности 9.9 од 10) је исправљена. Ова рањивост је омогућавала непривилегованом кориснику без приступа командној линији и ограниченог приступа алијасима (листама имена мреже и хоста) да извршава код са root привилегијама. Рањивост је узрокована недостатком одговарајућих провера приликом обраде података из GeoIP базе података која повезује земље са IP адресама.

    Шифра земље из GeoIP базе података је замењена без провере приликом генерисања имена датотеке која се уписује, што је омогућило преписивање било које датотеке у систему, јер се програм за руковање покреће са root привилегијама. Непривилеговани корисник би могао да користи Web API да наведе URL адресу за преузимање модификоване GeoIP базе података за алијасе. Да би се добиле root привилегије, могло би се навести „../../../../../../../../etc/newsyslog.conf.d/zzz_pwn“ уместо кода земље у једном од уноса у базу података. Ово би креирало конфигурациону датотеку за систем ротације логова, која би могла да дефинише команде које се покрећу са root привилегијама.

Извор: опеннет.ру

Купите поуздан хостинг за сајтове са ДДоС заштитом, ВПС ВДС сервере 🔥 Купите поуздан веб хостинг са DDoS заштитом, VPS VDS сервере | ProHoster