La risorsa Italiana per pfSense

28 febbraio 2024

Abilitare FTP Client Proxy su pfSense

Il FTP Client Proxy su pfSense è uno strumento che offre vantaggi di sicurezza e gestione per le connessioni FTP.

Funziona come intermediario tra il client e il server FTP, intercettando le richieste FTP e gestendo separatamente le connessioni di dati e di controllo. 
I principali vantaggi di una sua implementazione sono:
 
  • NAT traversal: Facilita la gestione delle connessioni in presenza di NAT
  • Sicurezza: L'FTP Proxy Client può fornire un livello aggiuntivo di sicurezza agendo come un punto di controllo per monitorare e filtrare il traffico FTP in base alle politiche di sicurezza dell'azienda;
  • Controllo degli accessi: Può essere utilizzato per controllare e limitare gli accessi agli utenti FTP. Ad esempio, è possibile configurarlo per consentire solo determinati indirizzi IP o utenti autorizzati a connettersi ai server FTP interni;
  • Logging: L'FTP Proxy Client registra le attività FTP, consentendo agli amministratori di rete di monitorare e analizzare il traffico per identificare eventuali problemi di sicurezza o anomalie;
  • Riduzione del carico di lavoro: In ambienti con un alto volume di traffico FTP, l'FTP Proxy Client può ridurre il carico sui server FTP interni, gestendo in modo efficiente le connessioni e ottimizzando le risorse di rete;
  • Supporto per protocolli FTP attuali e legacy: Può essere configurato per supportare sia il tradizionale protocollo FTP (File Transfer Protocol) che le sue varianti più sicure come FTPS (FTP over SSL/TLS) e SFTP (SSH File Transfer Protocol).


Gli step di installazione e configurazione sono i seguenti:

  • Installare il package da System à Package Manager à Avaiable Packages
  • Individuare il Package: FTP_Client_Proxy


  • Una volta installando andare su à Services à FTP Client Proxy
  • Posizionarsi su Local Interface à Selezionare l’interfaccia locale sul quale applicare questo package (la/le LAN/VLAN desiderate): in questo caso lo applichiamo su un interfaccia di Bridge.


  • Flaggare Early Firewall Rule per posizionare le regole FTP in cima al set di regole per ignorare i blocchi espliciti; aiuta inoltre a consentire l’FTP passivo verso destinazioni arbitrarie
  • Flaggare Rewrite Source to Port 20
  • Abilitare le Log Connection per avere una traccia all’interno dei log.

15 febbraio 2024

Rilasciata la versione 2.7.2 di pfSense

 

 E' stata rilasciata la versione 2.7 di pfSense a cui sono seguite, nel giro di poche settimane, le minor release 2.7.1 e 2.7.2.
Vediamo quali sono le principali migliorie e i fix più importanti introdotti.

Versione 2.7.0


La versione 2.7.0 (qui i dettagli) ha introdotto diverse novità interessanti, in particolare i major upgrade delle versioni di PHP e del sistema operativo FreeBSD.

In particolare:

  • PHP è stato aggiornato dalla versione 7.4.x a 8.2.6.
  • Il sistema operativo di base è stato aggiornato a FreeBSD 14-CURRENT
Sono poi state apportate diverse modifiche agli algoritmi accettati dalle VPN Ipsec:
  • Sono stati rimossi diversi algoritmi IPsec deprecati, tra cui:
    • 3DES Encryption
    • Blowfish Encryption
    • CAST 128 Encryption
    • MD5 HMAC Authentication
Stanti queste modifiche, prima di aggiornare, è importante controllare e riconfigurare le tue connessioni IPsec utilizzando algoritmi di crittografia più sicuri, e testarle.
  • E’ stato aggiunto il supporto per la crittografia ChaCha20-Poly1305 con IPsec.
Altre modifiche:
  • Captive Portal è stato migrato da IPFW a PF
  • E’ stata introdotta una nuova GUI per il Packet Capture
  • OpenVPN è stata upgradata alla 2.6.4
Sono state inoltre fixate diverse vulnerabilità e migliorata la GUI

NB. Il processo di aggiornamento da versioni più vecchie (2.5.x) prevede la necessità di fare un aggiornamento intermedio alla 2.6.
Come sempre, prima di effettuare un aggiornamento è consigliato effettuare il backup della configurazione.


Versioni 2.7.1 e 2.7.2


Le versioni 2.71. e 2.7.2 apportano poche modifiche sostanziali, ma implementano il fix di diverse vulnerabilità:

    • Migliora il supporto a SCTP
    • PHP è stato aggiornato alla versione 8.2.11.
    • Il sistema operativo di base è stato aggiornato a un punto più recente su FreeBSD 14-CURRENT.
    • OpenSSL nel sistema base è stato aggiornato dalla versione 1.1.1g a 1.1.1n.
    • Risolve la vulnerabilità di tipo remote code execution CVE-2023-42326
    • Sono state apportate correzioni per diverse Notices e Security Advisories di FreeBSD, tra cui:
      • Vulnerabilità di spoofing TCP in pf (4) (FreeBSD-SA-23:17.pf)
      • Possibile corruzione dei dati ZFS (FreeBSD-EN-23:16.openzfs)
      • Utilizzo elevato della CPU da parte dei thread del kernel ZFS (FreeBSD-EN-23:18.openzfs)
      • Implementazione AES-GCM errata in ossl (4) (FreeBSD-EN-23:17.ossl)
      • Problemi di prestazioni in OpenSSL, corretti con accelerazione come AES-NI
    • Viene installata la versione 2.6.8 di OpenVPN che risolve le vulnerabilità CVE-2023-46849  e CVE-2023-46850
 

Come sempre, prima di effettuare un aggiornamento è consigliato effettuare il backup della configurazione. Al termine dell’update, installare tramite l'apposito addon le eventuali patch presenti.




Per quanto riguarda gli update, nei test effettuati anche su configurazioni complesse, non ho riscontrato problemi.

Se aggiornate in presenza di pacchetti deprecati perderete le funzionalità offerte da tali pacchetti, non sono state previste migrazioni automatiche a versioni alternative dei servizi.

Se durante gli aggiornamenti doveste riscontrare anomalie, scrivetelo nei commenti


Nome

Email *

Messaggio *