OPNsense 26.7 xavfsizlik devorlarini yaratish uchun tarqatish to'plamining chiqarilishi

OPNsense 26.7 xavfsizlik devori taqsimoti 2015 yilda pfSense loyihasidan tijoriy xavfsizlik devori va shlyuz yechimlari funksiyasiga ega bo'lishi mumkin bo'lgan to'liq ochiq manba tarqatishni ishlab chiqish maqsadida chiqarilgan. PfSense-dan farqli o'laroq, loyiha bitta kompaniya tomonidan boshqarilmaydigan, jamiyatning bevosita ishtirokida ishlab chiqilgan va to'liq shaffof rivojlanish jarayoniga ega, shuningdek, uchinchi tomon mahsulotlarida, shu jumladan, o'z ishlanmalaridan foydalanish imkoniyatini beradi. tijorat bo'lganlar. Tarqatish komponentlarining manba kodi, shuningdek, yig'ish uchun ishlatiladigan asboblar BSD litsenziyasi ostida tarqatiladi. Yig'malar LiveCD va flesh-disklarga (490 MB) yozib olish uchun tizim tasviri shaklida tayyorlangan.

Distribyutorning yadrosi FreeBSD kodiga asoslangan. OPNsense xususiyatlari quyidagilarni o'z ichiga oladi: to'liq ochiq kodli yaratish vositalari zanjiri, oddiy FreeBSD ustiga paketlar sifatida o'rnatishni qo'llab-quvvatlash, yuklarni muvozanatlash vositalari, tarmoqqa foydalanuvchi ulanishlarini tashkil qilish uchun veb-interfeys (Captive Portal), ulanish holatini kuzatish mexanizmlari (pf asosidagi holatli xavfsizlik devori), o'tkazish qobiliyatini cheklash tizimi, trafikni filtrlash va IPsec asosidagi VPN yaratish. OpenVPN va PPTP, LDAP va RADIUS bilan integratsiya, DDNS (Dynamic DNS) qo'llab-quvvatlashi, vizual hisobotlar va grafiklar tizimi.

Tarqatish asosida CARP protokolidan foydalanishga asoslangan va asosiy xavfsizlik devoriga qo'shimcha ravishda konfiguratsiya darajasida avtomatik ravishda sinxronlashtiriladigan zaxira tugunni ishga tushirishga imkon beruvchi xatolarga chidamli konfiguratsiyalarni yaratish mumkin. asosiy tugunning ishdan chiqishida yukni o'z zimmasiga oladi. Administratorga xavfsizlik devorini sozlash uchun Bootstrap veb-ramka va Phalcon MVC yordamida qurilgan veb-interfeys taklif etiladi.

O'zgarishlar orasida:

  • FreeBSD 15.1 kod bazasiga o'tish yakunlandi (ilgari FreeBSD 14.3 ishlatilgan).
  • Xavfsizlik devori qoidalarini sozlash, tarmoq interfeyslarini tayinlash (LAN va WAN o'rtasida ajratish) va shlyuz guruhlarini boshqarish interfeyslari MVC freymvorkidan foydalanish uchun ko'chirildi va endi tarmoq konfiguratsiyasini boshqarishni avtomatlashtirish uchun Web API orqali qo'shimcha ravishda kirish mumkin.
  • Manzilni tarjima qilish qoidalarini eski Outbound NAT konfiguratsiya formatidan Source NAT (SNAT) arxitekturasidan foydalangan holda yangi formatga ko'chirish uchun sehrgar qo'shildi.
  • KEA DHCP konfiguratoriga DDNS (Dynamic) va IPv6 prefikslarini (manzil bloklari) avtomatik ravishda taqsimlashni qo'llab-quvvatlash qo'shildi.
  • Captive portaliga IPv6 qo'llab-quvvatlashi qo'shildi.
  • Yangilangan versiyalar OpenVPN 2.7, PHP 8.5, Python 3.13.
  • Muhim zaiflik (CVE-2026-57155, jiddiylik darajasi 10 dan 9.9) tuzatildi. Ushbu zaiflik qobiqga kirish huquqiga ega bo'lmagan va taxalluslarga (tarmoq va xost nomlari ro'yxati) cheklangan kirish huquqiga ega bo'lmagan imtiyozsiz foydalanuvchiga root imtiyozlari bilan kodni bajarish imkonini berdi. Zaiflik mamlakatlarni IP manzillari bilan bog'laydigan GeoIP ma'lumotlar bazasidan ma'lumotlarni qayta ishlashda tegishli tekshiruvlarning yo'qligidan kelib chiqadi.

    GeoIP ma'lumotlar bazasidan mamlakat kodi yozilayotgan fayl nomini yaratishda tekshiruvsiz almashtirildi, bu esa tizimdagi har qanday faylning ustiga yozilishiga imkon berdi, chunki ishlov beruvchi root imtiyozlari bilan ishlaydi. Imtiyozsiz foydalanuvchi taxalluslar uchun o'zgartirilgan GeoIP ma'lumotlar bazasini yuklab olish uchun URL manzilini ko'rsatish uchun Web API dan foydalanishi mumkin edi. Root imtiyozlarini olish uchun ma'lumotlar bazasi yozuvlaridan birida mamlakat kodi o'rniga "../../../../../../../../etc/newsyslog.conf.d/zzz_pwn" ni ko'rsatish mumkin edi. Bu jurnalni aylantirish tizimi uchun konfiguratsiya faylini yaratadi, bu root imtiyozlari bilan bajariladigan buyruqlarni belgilashi mumkin.

Manba: opennet.ru

DDoS himoyasi, VPS VDS serverlari bo'lgan saytlar uchun ishonchli hosting sotib oling 🔥 DDoS himoyasi, VPS VDS serverlari bilan ishonchli veb-sayt xostingini sotib oling | ProHoster